Intune ログ データを Azure Storage、Event Hubs、または Log Analytics に送信する

Microsoft Intune には、お客様の環境に関する情報を提供する組み込みのログがあります。

• 監査ログには、作成、更新 (編集)、削除、割り当て、リモート アクションなど、Intune で変更を生成するアクティビティの記録が表示されます。
• 操作ログ には、登録に成功 (または失敗) したユーザーとデバイスの詳細と、非準拠デバイスの詳細が表示されます。
• デバイス コンプライアンス組織ログ には、Intune のデバイス コンプライアンスに関する組織レポートと、準拠していないデバイスの詳細が表示されます。
• IntuneDevices には、Intune の登録済みデバイスとマネージド デバイスに関するデバイスのインベントリと状態の情報が表示されます。

これらのログは、ストレージ アカウント、Event Hubs、Log Analytics などの Azure Monitor サービスにも送信できます。 具体的には次のことができます。

• Intune ログを Azure Storage アカウントにアーカイブしてデータを保持するか、一定の時間アーカイブします。
• Splunk や QRadar などの一般的なセキュリティ情報とイベント管理 (SIEM) ツールを使用して、分析用のAzure Event Hubsに Intune ログをストリーミングします。
• Intune ログを Event Hubs にストリーミングすることで、独自のカスタム ログ ソリューションと統合します。
• Intune ログを Log Analytics に送信して、接続されているデータの高度な視覚化、監視、および警告を実現する。

このような機能は、Intune の診断設定の一部です。

この記事では 、診断設定 を使用してログ データをさまざまなサービスに送信する方法、コストの見積もり & 例を示し、一般的な質問に回答する方法について説明します。 この機能を有効にすると、選択した Azure Monitor サービスにログがルーティングされます。

注:

これらのログでは、変更される可能性のあるスキーマが使用されます。 ログに含まれる情報を含むフィードバックを提供するには、[ フィードバック for Intune] に移動します。

前提条件

この機能を使用するには、以下が必要です。

• サインインできる Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、無料試用版にサインアップすることができます。
• Microsoft Intune環境 (テナント)
• Intune テナントの全体管理者または Intune サービス管理者であるユーザー。
• Azure Storage からのログ コレクションを構成するには、Log Analytics ワークスペースで ログ分析共同作成者 ロールが必要です。 さまざまなロールと実行できる操作の詳細については、「 Azure Monitor でログ データとワークスペースへのアクセスを管理する」を参照してください。

監査ログ データをルーティングする場所によっては、次のいずれかのサービスが必要になります。

• ListKeys アクセス許可を持つ Azure ストレージ アカウント。 BLOB ストレージ アカウントではなく、一般的なストレージ アカウントを使用することをお勧めします。 ストレージの価格情報については、 Azure Storage 料金計算ツールに関するページを参照してください。
• サード パーティのパートナー ソリューションと統合するためのAzure Event Hubs名前空間。
• ログを Log Analytics に送信する Azure Log Analytics ワークスペース。

ログを Azure Monitor に送信する

1. Microsoft Intune 管理センターにサインインします。

2. [レポート]>[診断設定] を選択します。 初めて開いたときに有効にします。 それ以外の場合、設定を追加します。

   

   Azure サブスクリプションが表示されない場合は、右上隅に移動し、サインインしているアカウント >の Switch ディレクトリを選択します。 Azure サブスクリプション アカウントを入力する必要がある場合があります。

3. 次のプロパティを入力します。

   • 名前: 診断設定の名前を入力します。 この設定には、入力したすべてのプロパティが含まれます。 たとえば、「Route audit logs to storage account」と入力します。

   • ストレージ アカウントへのアーカイブ: ログ データを Azure Storage アカウントに保存します。 データを保存またはアーカイブする場合は、このオプションを選択します。

     1. このオプション [構成] を>選択します。
     2. [OK] の一覧>から既存のストレージ アカウントを選択します。

   • イベント ハブへのストリーミング: ログをAzure Event Hubsにストリーミングします。 Splunk や QRadar などの SIEM ツールを使用してログ データを分析する場合は、このオプションを選択します。

     1. このオプション [構成] を>選択します。
     2. [OK] の一覧>から既存の Event Hubs 名前空間とポリシーを選択します。

   • Log Analytics に送信する: Azure Log Analytics にデータを送信します。 ログの視覚化、監視、アラートを使用する場合は、このオプションを選択します。

     1. このオプション [構成] を>選択します。

     2. 新しいワークスペースを作成し、ワークスペースの詳細を入力します。 または、リスト>から既存のワークスペースを選択します 。OK。

        Azure Log Analytics ワークスペースでは、 これらの設定の詳細が提供されます。

   • ログ>AuditLogs: Intune 監査ログ をストレージ アカウント、Event Hubs、または Log Analytics に送信するには、このオプションを選択します。 監査ログには、Intune で変更を生成したすべてのタスクの履歴 (誰がいつ行ったのかなど) が表示されます。 詳細については、「IntuneAuditLogs」 を参照してください。

     ストレージ アカウントの使用を選択した場合は、データを保持する日数 (リテンション期間) も入力します。 データを永続的に保持するには、[リテンション期間 (日数)] を 0 (ゼロ) に設定します。

   • ログ>OperationalLogs: 運用ログには、Intune に登録されているユーザーとデバイスの成功または失敗と、非準拠デバイスの詳細が表示されます。 登録ログをストレージ アカウント、Event Hubs、または Log Analytics に送信するには、このオプションを選択します。 詳細については、「IntuneOperationalLogs」 を参照してください。

     ストレージ アカウントの使用を選択した場合は、データを保持する日数 (リテンション期間) も入力します。 データを永続的に保持するには、[リテンション期間 (日数)] を 0 (ゼロ) に設定します。

   • ログ>DeviceComplianceOrg: デバイス コンプライアンス組織ログには、Intune のデバイス コンプライアンスの組織レポートと、非準拠デバイスの詳細が表示されます。 コンプライアンス ログをストレージ アカウント、Event Hubs、または Log Analytics に送信するには、このオプションを選択します。 詳細については、「IntuneDeviceComplianceOrg」 を参照してください。

     ストレージ アカウントの使用を選択した場合は、データを保持する日数 (リテンション期間) も入力します。 データを永続的に保持するには、[リテンション期間 (日数)] を 0 (ゼロ) に設定します。

   • ［ログ］>［IntuneDevices］: Intune デバイス ログには、Intune の登録済みデバイスとマネージド デバイスに関するデバイスのインベントリと状態の情報が表示されます。 IntuneDevices ログをストレージ アカウント、Event Hubs、または Log Analytics に送信するには、このオプションを選択します。 詳細については、「IntuneDevices」 を参照してください。

     ストレージ アカウントの使用を選択した場合は、データを保持する日数 (リテンション期間) も入力します。 データを永続的に保持するには、[リテンション期間 (日数)] を 0 (ゼロ) に設定します。

   完了すると、設定は次のようになります。

   

4. 変更内容を保存します。 一覧に設定が表示されます。 設定が作成されたら、[設定の編集][保存] を選択して設定>を変更できます。

Intune 全体で監査ログを使用する

登録、コンプライアンス、構成、デバイス、クライアント アプリなど、Intune の他の部分で使用される監査ログをエクスポートすることもできます。

詳細については、「 監査ログを使用してイベントを追跡および監視する」を参照してください。 「ログを Azure Monitor に送信する」 (この記事内) で説明されているように、監査ログの送信先を選択することもできます。

監査ログのプロパティ

監査ログには、次のプロパティとその特定の値があります。

プロパティ	プロパティの説明	値
ActivityType	管理者が実行するアクション。	Create、Delete、Patch、Action、SetReference、RemoveReference、Get、Search
ActorType	アクションを実行しているユーザー。	Unknown = 0、ItPro、IW、System、Partner、Application、GuestUser
カテゴリ	アクションが実行されたウィンドウ。	Other = 0, 登録 = 1、コンプライアンス = 2、DeviceConfiguration = 3、Device = 4、Application = 5、EBookManagement = 6、ConditionalAccess= 7、OnPremiseAccess= 8、Role = 9、SoftwareUpdates =10、DeviceSetupConfiguration = 11、DeviceIntentSetting = 12、DeviceIntentSetting = 13、DeviceSecurity = 14、GroupPolicyAnalytics = 15
ActivityResult	アクションが成功したかどうか	Success = 1

コストの考慮事項

Microsoft Intune ライセンスが既にある場合は、ストレージ アカウントと Event Hubs を設定するための Azure サブスクリプションが必要です。 通常、Azure サブスクリプションは無料です。 ただし、アーカイブ用のストレージ アカウントやストリーミング用の Event Hubs など、Azure リソースの使用には料金が発生します。 データやコストの合計は、テナントの規模によって変わります。

アクティビティ ログのストレージ サイズ

各監査ログ イベントでは、データ ストレージに約 2 KB が使用されます。 ユーザー数が 100,000 人のテナントの場合、1 日あたり約 150 万件のイベントを作成できます。 1 日あたり約 3 GB のデータ ストレージが必要な場合があります。 書き込みは通常、5 分間のバッチで行われるので、1 か月あたり約 9,000 の書き込み操作が予想されます。

次の表は、テナントの規模に応じたコスト見積もりを示しています。 また、少なくとも 1 年間のデータ保持のために、米国西部の汎用 v2 ストレージ アカウントも含まれています。 ログについて予想されるデータ量の見積もりを取得するには、Azure Storage 料金計算ツールを使用します。

100,000 人のユーザーを含む監査ログ:

カテゴリ	値
1 日あたりのイベント	150 万
1 か月あたりの推定データ量	90 GB
1 か月あたりの推定コスト (USD)	$1.93
1 年あたりの推定コスト (USD)	$23.12

1,000 人のユーザーを含む監査ログ:

カテゴリ	値
1 日あたりのイベント	15,000
1 か月あたりの推定データ量	900 MB
1 か月あたりの推定コスト (USD)	$0.02
1 年あたりの推定コスト (USD)	$0.24

アクティビティ ログの Event Hubs メッセージ

通常、イベントは 5 分間隔でバッチ処理され、その時間枠内のすべてのイベントを含む単一のメッセージとして送信されます。 Event Hubs のメッセージの最大サイズは 256 KB です。 時間枠内のすべてのメッセージの合計サイズがその量を超えると、複数のメッセージが送信されます。

たとえば、ユーザーが 100,000 人を超える大規模なテナントの場合、通常、1 秒間に約 18 個のイベントが発生します。 この値は、5 分ごとに 5,400 イベント (300 秒 x 18 イベント) に相当します。 監査ログはイベントごとに約 2 KB です。 この値は、10.8 MB のデータに相当します。 そのため、その 5 分間隔で 43 個のメッセージが Event Hubs に送信されます。

次の表は、イベント データの量に応じて、米国西部の基本的な Event Hubs の 1 か月あたりの推定コストを示しています。 ログについて予想されるデータ量の見積もりを取得するには、イベント ハブ料金計算ツールを使用します。

100,000 人のユーザーを含む監査ログ:

カテゴリ	値
イベント/秒	18
5 分間隔ごとのイベント	5,400
間隔あたりの量	10.8 MB
間隔あたりのメッセージ	43
1 か月あたりのメッセージ	371,520
1 か月あたりの推定コスト (USD)	$10.83

1,000 人のユーザーを含む監査ログ:

カテゴリ	値
イベント/秒	0.1
5 分間隔ごとのイベント	52
間隔あたりの量	104 KB
間隔あたりのメッセージ	1
1 か月あたりのメッセージ	8,640
1 か月あたりの推定コスト (USD)	$10.80

Log Analytics コストの考慮事項

Log Analytics ワークスペースの管理に関連するコストを確認するには、「 Log Analytics でデータ量と保有期間を制御してコストを管理する」に移動します。

よく寄せられる質問 (FAQ)

待機時間、コストの影響、サポートされている SIEM ツールなど、よく寄せられる質問に対する回答を取得します。

どのログが含まれていますか。

Intune 監査ログ と 運用ログ は、この機能を使用したルーティングに使用できます。

アクションの後、Azure Monitor サービスにログはいつ表示されますか?

アクションの後:

• Intune 監査ログ と 運用ログ は、Intune から Azure Monitor サービスに直ちに送信されます。
• Intune デバイス コンプライアンス組織ログ と IntuneDevices レポート データは、24 時間ごとに Intune から Azure Monitor サービスに送信されます。

Intune からデータが送信されると、通常は 30 分以内に Azure Monitor サービスに表示されます。

管理者が診断設定の保持期間を変更した場合はどうなりますか?

新しいアイテム保持ポリシーは、変更後に収集されたログに適用されます。 ポリシーの変更前に収集されたログは影響を受けません。

データの保存にかかるコストはどのくらいですか。

ストレージ コストは、ログのサイズと選択した保持期間によって変わります。 生成されたログ ボリュームに依存するテナントの推定コストの一覧については、 アクティビティ ログのストレージ サイズ (この記事の) に移動します。

データをAzure Event Hubsにストリーミングするにはどのくらいのコストがかかりますか?

ストリーム コストは、1 分間に受信するメッセージ数によって変わります。 メッセージ数に基づくコストの計算方法とコスト見積もりの詳細については、 アクティビティ ログの Event Hubs メッセージ に関するページ (この記事の記事) を参照してください。

Intune の監査ログを SIEM システムと統合するにはどうすればよいですか。

Event Hubs で Azure Monitor を使用して、ログを SIEM システムにストリーミングします。

1. ログを Event Hubs にストリーミングします。
2. 構成された Event Hubs を使用して SIEM ツールを設定します。

現在サポートされている SIEM ツールは何ですか。

現在、 Splunk、QRadar、 Sumo Logic (新しい Web サイトが開きます) では、Azure Monitor がサポートされています。 コネクタのしくみの詳細については、「 Azure 監視データを Event Hubs にストリーミングして外部ツールで使用する」を参照してください。

外部 SIEM ツールを使用せずにAzure Event Hubsからデータにアクセスできますか?

はい。 カスタム アプリケーションからログにアクセスするには、Event Hubs API を使用できます。

どのデータが保存されますか。

Intune では、パイプラインを介して送信されたデータは保存されません。 Intune では、テナントの権限でデータが Azure Monitor パイプラインにルーティングされます。 詳細については、「 Azure Monitor の概要」を参照してください。

関連コンテンツ

• アクティビティ ログをストレージ アカウントにアーカイブする
• アクティビティ ログをAzure Event Hubsにルーティングする
• アクティビティ ログを Log Analytics と統合する