Azure Storage, Event Hubs 또는 Log Analytics에 Intune 로그 데이터 보내기
Microsoft Intune에는 사용자 환경에 대한 정보를 제공하는 기본 제공 로그가 포함되어 있습니다.
- 감사 로그는 만들기, 업데이트(편집), 삭제, 할당 및 원격 작업을 포함하여 Intune에서 변경을 생성하는 활동 레코드를 보여 줍니다.
- 운영 로그는 등록에 성공(또는 실패한) 사용자 및 디바이스에 대한 세부 정보와 비준수 디바이스에 대한 세부 정보를 표시합니다.
- 디바이스 준수 조직 로그에는 Intune의 디바이스 준수에 대한 조직 보고서와 비규격 디바이스에 대한 세부 정보가 표시됩니다.
- IntuneDevices Intune 등록 및 관리 디바이스에 대한 디바이스 인벤토리 및 상태 정보를 표시합니다.
이러한 로그는 스토리지 계정, Event Hubs 및 Log Analytics를 비롯한 Azure Monitor 서비스로 보낼 수도 있습니다. 특히 다음을 수행할 수 있습니다.
- Intune 보관은 Azure Storage 계정에 로그하여 데이터를 유지하거나 설정된 시간 동안 보관합니다.
- Splunk 및 QRadar와 같은 인기 있는 SIEM(보안 정보 및 이벤트 관리) 도구를 사용하여 분석을 위한 Azure Event Hubs Intune 로그를 스트리밍합니다.
- Intune 로그를 Event Hubs로 스트리밍하여 사용자 지정 로그 솔루션과 통합합니다.
- Log Analytics에 Intune 로그를 전송하여 연결된 데이터에 다양한 시각화, 모니터링 및 경고를 사용하도록 설정합니다.
이러한 기능은 Intune 진단 설정의 일부분입니다.
이 문서에서는 진단 설정을 사용하여 로그 데이터를 다른 서비스로 보내는 방법을 보여 주고, 비용 예측에 & 예제를 제공하고, 몇 가지 일반적인 질문에 답변합니다. 이 기능을 사용하도록 설정하면 로그가 선택한 Azure Monitor 서비스로 라우팅됩니다.
참고
이러한 로그는 변경할 수 있는 스키마를 사용합니다. 로그에 정보를 포함하여 피드백을 제공하려면 Intune에 대한 피드백으로 이동합니다.
필수 구성 요소
이 기능을 사용하려면 다음이 필요합니다.
- 로그인할 수 있는 Azure 구독. Azure 구독이 없으면 평가판에 등록할 수 있습니다.
- Microsoft Intune 환경(테넌트)
- Intune 테넌트에 대한 글로벌 관리자 또는 Intune 서비스 관리자인 사용자.
- Azure Storage에서 로그 컬렉션을 구성하려면 Log Analytics 작업 영역에서 Log Analytics 기여자 역할이 필요합니다. 다양한 역할 및 수행할 수 있는 작업에 대한 자세한 내용은 Azure Monitor에서 로그 데이터 및 작업 영역에 대한 액세스 관리를 참조하세요.
감사 로그 데이터를 라우팅하려는 대상에 따라 다음 서비스 중 하나가 필요합니다.
- ListKeys 권한이 있는 Azure Storage 계정입니다. Blob 스토리지 계정이 아닌 일반 스토리지 계정을 사용하는 것이 좋습니다. 스토리지 가격 책정 정보는 Azure Storage 가격 계산기로 이동합니다.
- 타사 파트너 솔루션과 통합할 Azure Event Hubs 네임스페이스입니다.
- Log Analytics 에 로그를 보낼 Azure Log Analytics 작업 영역입니다.
Azure Monitor로 로그 보내기
Microsoft Intune 관리 센터에 로그인합니다.
보고서>진단 설정을 선택합니다. 처음으로 여는 경우 다음과 같이 켭니다. 그렇지 않은 경우 설정을 추가합니다.
Azure 구독이 표시되지 않으면 오른쪽 위 모서리로 이동하여 로그인한 계정 >전환 디렉터리를 선택합니다. Azure 구독 계정을 입력해야 할 수도 있습니다.
다음 속성을 입력합니다.
이름: 진단 설정의 이름을 입력합니다. 이 설정에는 입력한 모든 속성이 포함됩니다. 예를 들어
Route audit logs to storage account을(를) 입력합니다.스토리지 계정에 보관: 로그 데이터를 Azure Storage 계정에 저장합니다. 데이터를 저장하거나 보관하려면 이 옵션을 선택합니다.
- 구성 옵션을 >선택합니다.
- 목록에서 > 기존 스토리지 계정을 선택합니다.
이벤트 허브로 스트림: 로그를 Azure Event Hubs 스트리밍합니다. Splunk 및 QRadar와 같은 SIEM 도구를 사용하여 로그 데이터에 대한 분석을 원하는 경우 이 옵션을 선택합니다.
- 구성 옵션을 >선택합니다.
- 목록에서 > 기존 Event Hubs 네임스페이스 및 정책을 선택합니다.
Log Analytics로 보내기: Azure Log Analytics에 데이터를 보냅니다. 로그에 대한 시각화, 모니터링 및 경고를 사용하려면 이 옵션을 선택합니다.
구성 옵션을 >선택합니다.
새 작업 영역을 만들고 작업 영역 세부 정보를 입력합니다. 또는 목록에서 > 기존 작업 영역을 선택합니다.
Azure Log Analytics 작업 영역은 이러한 설정에 대한 자세한 정보를 제공합니다.
로그>AuditLogs: Intune 감사 로그 를 스토리지 계정, Event Hubs 또는 Log Analytics로 보내려면 이 옵션을 선택합니다. 감사 로그는 작업자 및 작업 시기를 포함한 Intune에서 변경을 생성하는 모든 작업의 기록을 표시합니다. 더 많은 참조 정보를 확인하려면 IntuneAuditLogs로 이동합니다.
스토리지 계정을 사용하려는 경우 데이터를 유지(보존)하려는 기간(일)을 입력합니다. 데이터를 영구적으로 유지하려면 보존(일)을
0(영)으로 설정합니다.로그>OperationalLogs: 운영 로그는 Intune에 등록하는 사용자 및 디바이스의 성공 또는 실패와 비규격 디바이스에 대한 세부 정보를 표시합니다. 스토리지 계정, Event Hubs 또는 Log Analytics에 등록 로그를 보내려면 이 옵션을 선택합니다. 더 많은 참조 정보를 확인하려면 IntuneOperationalLogs로 이동합니다.
스토리지 계정을 사용하려는 경우 데이터를 유지(보존)하려는 기간(일)을 입력합니다. 데이터를 영구적으로 유지하려면 보존(일)을
0(영)으로 설정합니다.로그>DeviceComplianceOrg: 디바이스 준수 조직 로그에는 Intune의 디바이스 준수에 대한 조직 보고서와 비규격 디바이스에 대한 세부 정보가 표시됩니다. 스토리지 계정, Event Hubs 또는 Log Analytics에 규정 준수 로그를 보내려면 이 옵션을 선택합니다. 더 많은 참조 정보를 확인하려면 IntuneDeviceComplianceOrg로 이동합니다.
스토리지 계정을 사용하려는 경우 데이터를 유지(보존)하려는 기간(일)을 입력합니다. 데이터를 영구적으로 유지하려면 보존(일)을
0(영)으로 설정합니다.LOG>IntuneDevices: Intune 디바이스 로그는 Intune에 등록되어 관리되는 디바이스에 대한 인벤토리와 상태 정보를 표시합니다. IntuneDevices 로그를 스토리지 계정, Event Hubs 또는 Log Analytics로 보내려면 이 옵션을 선택합니다. 더 많은 참조 정보를 확인하려면 IntuneDevices로 이동합니다.
스토리지 계정을 사용하려는 경우 데이터를 유지(보존)하려는 기간(일)을 입력합니다. 데이터를 영구적으로 유지하려면 보존(일)을
0(영)으로 설정합니다.
완료되면 설정이 다음 설정과 유사하게 표시됩니다.
변경 내용을 저장합니다. 설정이 목록에 표시됩니다. 설정이 만들어지면편집 설정 저장을 선택하여 설정을> 변경할 수 있습니다.
Intune 전체에서 감사 로그 사용
등록, 규정 준수, 구성, 디바이스, 클라이언트 앱 등을 포함하여 Intune의 다른 부분에서 사용되는 감사 로그를 내보낼 수도 있습니다.
자세한 내용은 감사 로그를 사용하여 이벤트를 추적하고 모니터링으로 이동하세요. 로 로그 보내기(이 문서)에서 설명된 대로 감사 로그를 보낼 위치를 선택할 수 있습니다.
감사 로그 속성
감사 로그에서 다음 속성과 해당 특정 값을 찾을 수 있습니다.
| 속성 | 속성 설명 | 값 |
|---|---|---|
| ActivityType | 관리자가 수행하는 작업입니다. | Create, Delete, Patch, Action, SetReference, RemoveReference, Get, Search |
| ActorType | 작업을 수행하는 사용자입니다. | Unknown = 0, ItPro, IW, System, Partner, Application, GuestUser |
| 범주 | 작업이 수행된 창입니다. | 기타 = 0, 등록 = 1, 규정 준수 = 2, DeviceConfiguration = 3, Device = 4, Application = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15 |
| ActivityResult | 작업이 성공했는지 여부 | Success = 1 |
비용 고려 사항
이미 Microsoft Intune 라이선스가 있는 경우 스토리지 계정 및 Event Hubs를 설정하려면 Azure 구독이 필요합니다. Azure 구독은 일반적으로 무료입니다. 그러나 보관용 스토리지 계정 및 스트리밍을 위한 Event Hubs를 포함하여 Azure 리소스를 사용하기 위해 비용을 지불합니다. 데이터의 양과 비용은 테넌트 크기에 따라 달라집니다.
활동 로그에 대한 스토리지 크기
모든 감사 로그 이벤트는 약 2KB의 데이터 스토리지를 사용합니다. 사용자가 100,000명인 테넌트에서는 하루에 약 150만 개의 이벤트를 가질 수 있습니다. 하루에 약 3GB의 데이터 스토리지가 필요할 수 있습니다. 쓰기는 일반적으로 5분 일괄 처리에서 발생하므로 매월 약 9,000개의 쓰기 작업을 예상할 수 있습니다.
다음 표에 테넌트의 크기에 따른 예상 비용이 나와 있습니다. 또한 미국 서부의 범용 v2 스토리지 계정을 1년 이상의 데이터 보존 기간 동안 포함합니다. 로그에 예상하는 데이터 볼륨의 예상치를 가져오려면 Azure Storage 가격 책정 계산기를 사용합니다.
100,000명의 사용자가 있는 감사 로그:
| 범주 | 값 |
|---|---|
| 일별 이벤트 | 150만 |
| 월별 예상 데이터 볼륨 | 90GB |
| 월별 예상 비용(USD) | $1.93 |
| 연간 예상 비용(USD) | $23.12 |
1,000명의 사용자가 있는 감사 로그:
| 범주 | 값 |
|---|---|
| 일별 이벤트 | 15,000 |
| 월별 예상 데이터 볼륨 | 900MB |
| 월별 예상 비용(USD) | $0.02 |
| 연간 예상 비용(USD) | $0.24 |
활동 로그에 대한 Event Hubs 메시지
이벤트는 일반적으로 5분 간격으로 일괄 처리되며 해당 시간대 내에서 모든 이벤트를 사용하여 단일 메시지로 전송됩니다. Event Hubs의 메시지는 최대 크기가 256KB입니다. 시간대 내의 모든 메시지의 총 크기가 해당 볼륨을 초과하는 경우 메시지가 여러 개 전송됩니다.
예를 들어, 사용자가 100,000명 이상인 대규모 테넌트의 경우 일반적으로 초당 약 18개 이벤트가 발생합니다. 이 값은 5분마다 5,400개의 이벤트(300초 x 18개 이벤트)에 해당합니다. 감사 로그는 이벤트당 약 2KB입니다. 이 값은 10.8MB의 데이터와 동일합니다. 따라서 5분 간격으로 43개의 메시지가 Event Hubs로 전송됩니다.
다음 표에는 이벤트 데이터의 양에 따라 미국 서부의 기본 Event Hubs에 대한 월별 예상 비용이 포함되어 있습니다. 로그에 대해 예상하는 데이터 볼륨의 예상치를 가져오려면 Event Hubs 가격 책정 계산기를 사용합니다.
100,000명의 사용자가 있는 감사 로그:
| 범주 | 값 |
|---|---|
| 초당 이벤트 수 | 18 |
| 5분당 이벤트 수 | 5,400 |
| 간격당 볼륨 | 10.8MB |
| 간격당 메시지 수 | 43 |
| 월별 메시지 수 | 371,520 |
| 월별 예상 비용(USD) | $10.83 |
1,000명의 사용자가 있는 감사 로그:
| 범주 | 값 |
|---|---|
| 초당 이벤트 수 | 0.1 |
| 5분 간격당 이벤트 수 | 52 |
| 간격당 볼륨 | 104KB |
| 간격당 메시지 수 | 1 |
| 월별 메시지 수 | 8,640 |
| 월별 예상 비용(USD) | $10.80 |
Log Analytics 비용 고려 사항
Log Analytics 작업 영역 관리와 관련된 비용을 검토하려면 Log Analytics에서 데이터 볼륨 및 보존을 제어하여 비용 관리로 이동합니다.
질문과 대답(FAQ)
대기 시간, 비용이 영향을 받는 방법, 지원되는 SIEM 도구 등을 포함하여 자주 묻는 질문에 대한 답변을 가져옵니다.
어떤 로그가 포함되나요?
Intune 감사 로그 및운영 로그 는 이 기능을 사용하여 라우팅에 사용할 수 있습니다.
작업 후 로그가 Azure Monitor 서비스에 언제 표시되나요?
작업 후:
- Intune 감사 로그 및운영 로그 는 Intune에서 Azure Monitor 서비스로 즉시 전송됩니다.
- Intune 디바이스 준수 조직 로그 및IntuneDevices 보고서 데이터는 24시간마다 한 번씩 Intune에서 Azure Monitor 서비스로 전송됩니다.
데이터가 Intune에서 전송되면 일반적으로 30분 이내에 Azure Monitor 서비스에 표시됩니다.
관리자가 진단 설정의 보존 기간을 변경하면 어떻게 되나요?
새 보존 정책은 변경 후 수집된 로그에 적용됩니다. 정책 변경 전에 수집된 로그는 영향을 받지 않습니다.
내 데이터를 저장하는 비용은 얼마인가요?
스토리지 비용은 사용자가 선택하는 로그 크기 및 보존 기간에 따라 달라집니다. 생성된 로그 볼륨에 따라 달라지는 테넌트 예상 비용 목록은 활동 로그의 스토리지 크기 (이 문서)로 이동합니다.
데이터를 Azure Event Hubs 스트리밍하는 데 드는 비용은 얼마인가요?
스트리밍 비용은 분당 수신하는 메시지의 수에 따라 달라집니다. 비용 계산 방법 및 메시지 수에 따른 예상 비용에 대한 자세한 내용은 활동 로그에 대한 Event Hubs 메시지 (이 문서)로 이동하세요.
Intune 감사 로그를 내 SIEM 시스템과 통합하려면 어떻게 해야 하나요?
Event Hubs와 함께 Azure Monitor를 사용하여 SIEM 시스템으로 로그를 스트리밍합니다.
- 로그를 Event Hubs로 스트리밍합니다.
- 구성된 Event Hubs를 사용하여 SIEM 도구를 설정합니다.
현재 지원되는 SIEM 도구는 무엇인가요?
현재 Splunk, QRadar 및 Sumo Logic (새 웹 사이트 열기)은 Azure Monitor를 지원합니다. 커넥터 작동 방식에 대한 자세한 내용은 외부 도구에서 사용할 수 있도록 Azure 모니터링 데이터를 Event Hubs로 스트리밍으로 이동하세요.
외부 SIEM 도구를 사용하지 않고 Azure Event Hubs 데이터에 액세스할 수 있나요?
예. 사용자 지정 애플리케이션에서 로그에 액세스하려면 Event Hubs API를 사용할 수 있습니다.
어떤 데이터가 저장되나요?
Intune은 파이프라인을 통해 전송되는 데이터를 모두 저장하지는 않습니다. Intune은 테넌트의 인증 기관에서 Azure Monitor 파이프라인으로 데이터를 라우팅합니다. 자세한 내용은 Azure Monitor 개요를 참조하세요.
관련 콘텐츠
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기