Wysyłanie danych dziennika usługi Intune do usługi Azure Storage, usługi Event Hubs lub usługi Log Analytics
Microsoft Intune zawiera wbudowane dzienniki, które zawierają informacje o środowisku:
- Dzienniki inspekcji pokazują rekord działań, które generują zmiany w usłudze Intune, w tym tworzenie, aktualizowanie (edytowanie), usuwanie, przypisywanie i akcje zdalne.
- Dzienniki operacyjne zawierają szczegółowe informacje o użytkownikach i urządzeniach, którzy pomyślnie (lub nie mogą) zarejestrować się, oraz szczegóły dotyczące niezgodnych urządzeń.
- Dzienniki organizacyjne zgodności urządzeń zawierają raport organizacyjny dotyczący zgodności urządzeń w usłudze Intune oraz szczegóły dotyczące niezgodnych urządzeń.
- Urządzenia intuneUrządzenia pokazują spis urządzeń i informacje o stanie dla urządzeń zarejestrowanych i zarządzanych w usłudze Intune.
Te dzienniki można również wysyłać do usług Azure Monitor, w tym kont magazynu, usługi Event Hubs i Log Analytics. W szczególności możesz:
- Archiwizuj dzienniki usługi Intune na koncie usługi Azure Storage w celu przechowywania danych lub archiwizuj przez określony czas.
- Przesyłanie strumieniowe dzienników usługi Intune do Azure Event Hubs na potrzeby analizy przy użyciu popularnych narzędzi do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takich jak Splunk i QRadar.
- Zintegruj dzienniki usługi Intune z własnymi niestandardowymi rozwiązaniami dzienników, przesyłając je strumieniowo do usługi Event Hubs.
- Wysyłanie dzienników usługi Intune do usługi Log Analytics w celu włączenia rozbudowanych wizualizacji, monitorowania i alertów dotyczących połączonych danych.
Te funkcje są częścią ustawień diagnostycznych w usłudze Intune.
W tym artykule przedstawiono sposób wysyłania danych dziennika do różnych usług przy użyciu ustawień diagnostycznych , przykładów & szacowania kosztów i odpowiedzi na niektóre typowe pytania. Po włączeniu tej funkcji dzienniki są kierowane do wybranej usługi Azure Monitor.
Uwaga
Te dzienniki używają schematów, które mogą ulec zmianie. Aby przekazać opinię, w tym informacje w dziennikach, przejdź do strony Opinie dotyczące usługi Intune.
Wymagania wstępne
Do korzystania z tej funkcji potrzebne są następujące elementy:
- Subskrypcja platformy Azure, do którą możesz się zalogować. Jeśli nie masz subskrypcji platformy Azure, możesz utworzyć konto bezpłatnej wersji próbnej.
- Środowisko Microsoft Intune (dzierżawa)
- Użytkownik będący administratorem globalnym lub administratorem usługi Intune dla dzierżawy usługi Intune.
- Do skonfigurowania kolekcji dzienników z usługi Azure Storage potrzebna jest rola Współautor usługi Log Analytics w obszarze roboczym usługi Log Analytics. Aby uzyskać więcej informacji na temat różnych ról i ich możliwości, przejdź do tematu Zarządzanie dostępem do danych dziennika i obszarów roboczych w usłudze Azure Monitor.
W zależności od tego, gdzie chcesz kierować dane dziennika inspekcji, potrzebujesz jednej z następujących usług:
- Konto usługi Azure Storage z uprawnieniami ListKeys. Zalecamy użycie konta magazynu ogólnego, a nie konta magazynu obiektów blob. Aby uzyskać informacje o cenach magazynu, przejdź do kalkulatora cen usługi Azure Storage.
- Przestrzeń nazw Azure Event Hubs do integracji z rozwiązaniami partnerskimi innych firm.
- Obszar roboczy usługi Azure Log Analytics do wysyłania dzienników do usługi Log Analytics.
Wysyłanie dzienników do usługi Azure Monitor
Zaloguj się do centrum administracyjnego Microsoft Intune.
Wybierz pozycjęUstawienia diagnostyki raportów>. Przy pierwszym otwarciu włącz go. W przeciwnym razie dodaj ustawienie.
Jeśli subskrypcja platformy Azure nie jest wyświetlana, przejdź do prawego górnego rogu, wybierz zalogowane konto >Przełącz katalog. Może być konieczne wprowadzenie konta subskrypcji platformy Azure.
Wprowadź następujące właściwości:
Nazwa: wprowadź nazwę ustawień diagnostycznych. To ustawienie obejmuje wszystkie wprowadzone właściwości. Na przykład wprowadź
Route audit logs to storage account.Archiwizuj na koncie magazynu: zapisuje dane dziennika na koncie usługi Azure Storage. Jeśli chcesz zapisać lub zarchiwizować dane, wybierz tę opcję.
- Wybierz tę opcję >Skonfiguruj.
- Wybierz istniejące konto magazynu z listy >OK.
Przesyłanie strumieniowe do centrum zdarzeń: przesyła strumieniowo dzienniki do Azure Event Hubs. Jeśli potrzebujesz analizy danych dziennika przy użyciu narzędzi SIEM, takich jak Splunk i QRadar, wybierz tę opcję.
- Wybierz tę opcję >Skonfiguruj.
- Wybierz istniejącą przestrzeń nazw i zasady usługi Event Hubs z listy >OK.
Wyślij do usługi Log Analytics: wysyła dane do usługi Azure Log Analytics. Jeśli chcesz używać wizualizacji, monitorowania i alertów dla dzienników, wybierz tę opcję.
Wybierz tę opcję >Skonfiguruj.
Utwórz nowy obszar roboczy i wprowadź szczegóły obszaru roboczego. Możesz też wybrać istniejący obszar roboczy z listy >OK.
Obszar roboczy usługi Azure Log Analytics zawiera więcej szczegółów na temat tych ustawień.
DZIENNIKA>Dzienniki inspekcji: wybierz tę opcję, aby wysłać dzienniki inspekcji usługi Intune do konta magazynu, usługi Event Hubs lub usługi Log Analytics. Dzienniki inspekcji pokazują historię każdego zadania, które generuje zmianę w usłudze Intune, w tym tego, kto to zrobił i kiedy. Aby uzyskać więcej informacji referencyjnych, przejdź do tematu IntuneAuditLogs.
Jeśli zdecydujesz się na użycie konta magazynu, wprowadź również liczbę dni przechowywania danych (przechowywania). Aby zachować dane na zawsze, ustaw wartość Przechowywania (dni) na
0(zero).DZIENNIKA>OperationalLogs: Dzienniki operacyjne pokazują powodzenie lub niepowodzenie użytkowników i urządzeń zarejestrowanych w usłudze Intune oraz szczegóły dotyczące niezgodnych urządzeń. Wybierz tę opcję, aby wysłać dzienniki rejestracji do konta magazynu, usługi Event Hubs lub usługi Log Analytics. Aby uzyskać więcej informacji referencyjnych, przejdź do tematu IntuneOperationalLogs.
Jeśli zdecydujesz się na użycie konta magazynu, wprowadź również liczbę dni przechowywania danych (przechowywania). Aby zachować dane na zawsze, ustaw wartość Przechowywania (dni) na
0(zero).DZIENNIKA>DeviceComplianceOrg: dzienniki organizacyjne zgodności urządzeń pokazują raport organizacyjny dotyczący zgodności urządzeń w usłudze Intune oraz szczegóły niezgodnych urządzeń. Wybierz tę opcję, aby wysłać dzienniki zgodności do konta magazynu, usługi Event Hubs lub usługi Log Analytics. Aby uzyskać więcej informacji referencyjnych, przejdź do tematu IntuneDeviceComplianceOrg.
Jeśli zdecydujesz się na użycie konta magazynu, wprowadź również liczbę dni przechowywania danych (przechowywania). Aby zachować dane na zawsze, ustaw wartość Przechowywania (dni) na
0(zero).DZIENNIKA>IntuneUrządzenia: w dzienniku urządzenia usługi Intune są wyświetlane informacje o spisie urządzeń i stanie dla urządzeń zarejestrowanych i zarządzanych w usłudze Intune. Wybierz tę opcję, aby wysłać dzienniki urządzeń usługi IntuneDevices do konta magazynu, usługi Event Hubs lub usługi Log Analytics. Aby uzyskać więcej informacji referencyjnych, przejdź do pozycji IntuneUrządzenia.
Jeśli zdecydujesz się na użycie konta magazynu, wprowadź również liczbę dni przechowywania danych (przechowywania). Aby zachować dane na zawsze, ustaw wartość Przechowywania (dni) na
0(zero).
Po zakończeniu ustawienia wyglądają podobnie do następujących ustawień:
Zapisz zmiany. Ustawienie jest wyświetlane na liście. Po utworzeniu ustawień możesz zmienić ustawienia, wybierając pozycję Edytuj ustawienie>Zapisz.
Używanie dzienników inspekcji w usłudze Intune
Można również wyeksportować dzienniki inspekcji używane w innych częściach usługi Intune, w tym rejestrację, zgodność, konfigurację, urządzenia, aplikacje klienckie i inne.
Aby uzyskać więcej informacji, przejdź do tematu Używanie dzienników inspekcji do śledzenia i monitorowania zdarzeń. Możesz wybrać miejsce wysyłania dzienników inspekcji zgodnie z opisem w artykule Wysyłanie dzienników do usługi Azure Monitor (w tym artykule).
Właściwości dziennika inspekcji
W dzienniku inspekcji można znaleźć następujące właściwości i ich określone wartości:
| Właściwość | Opis właściwości | Wartości |
|---|---|---|
| Activitytype | Akcja wykonywana przez administratora. | Tworzenie, usuwanie, poprawka, akcja, SetReference, RemoveReference, Get, Search |
| Typ aktora | Osoba podejmująca akcję. | Unknown = 0, ItPro, IW, System, Partner, Application, GuestUser |
| Kategoria | Okienko, w którym miała miejsce akcja. | Inne = 0, Rejestracja = 1, Zgodność = 2, DeviceConfiguration = 3, Urządzenie = 4, Aplikacja = 5, EBookManagement = 6, ConditionalAccess = 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15 |
| ActivityResult | Czy akcja zakończy się pomyślnie, czy nie | Powodzenie = 1 |
Zagadnienia dotyczące kosztów
Jeśli masz już licencję Microsoft Intune, musisz mieć subskrypcję platformy Azure, aby skonfigurować konto magazynu i usługę Event Hubs. Subskrypcja platformy Azure jest zazwyczaj bezpłatna. Płacisz jednak za korzystanie z zasobów platformy Azure, w tym konta magazynu na potrzeby archiwizacji i usługi Event Hubs na potrzeby przesyłania strumieniowego. Ilość danych i koszty różnią się w zależności od rozmiaru dzierżawy.
Rozmiar magazynu dla dzienników aktywności
Każde zdarzenie dziennika inspekcji używa około 2 KB magazynu danych. W przypadku dzierżawy z 100 000 użytkowników możesz mieć około 1,5 miliona zdarzeń dziennie. Może być potrzebne około 3 GB magazynu danych dziennie. Ponieważ zapisy zwykle odbywają się w partiach pięciominutowych, można oczekiwać około 9000 operacji zapisu miesięcznie.
W poniższych tabelach przedstawiono oszacowanie kosztów w zależności od rozmiaru dzierżawy. Obejmuje ona również konto magazynu ogólnego przeznaczenia w wersji 2 w zachodnich stanach USA przez co najmniej jeden rok przechowywania danych. Aby uzyskać oszacowanie woluminu danych oczekiwanego dla dzienników, użyj kalkulatora cen usługi Azure Storage.
Dziennik inspekcji z 100 000 użytkowników:
| Kategoria | Value |
|---|---|
| Zdarzenia dziennie | 1,5 mln |
| Szacowana ilość danych miesięcznie | 90 GB |
| Szacowany koszt miesięcznie (USD) | 1,93 USD |
| Szacowany koszt rocznie (USD) | 23,12 USD |
Dziennik inspekcji z 1000 użytkownikami:
| Kategoria | Value |
|---|---|
| Zdarzenia dziennie | 15,000 |
| Szacowana ilość danych miesięcznie | 900 MB |
| Szacowany koszt miesięcznie (USD) | 0,02 USD |
| Szacowany koszt rocznie (USD) | 0,24 USD |
Komunikaty usługi Event Hubs dla dzienników aktywności
Zdarzenia są zwykle wsadowe w odstępach pięciu minut i wysyłane jako pojedynczy komunikat ze wszystkimi zdarzeniami w tym przedziale czasu. Komunikat w usłudze Event Hubs ma maksymalny rozmiar 256 KB. Jeśli łączny rozmiar wszystkich komunikatów w przedziale czasu przekracza ten wolumin, wysyłane jest wiele komunikatów.
Na przykład około 18 zdarzeń na sekundę zwykle występuje w przypadku dużej dzierżawy ponad 100 000 użytkowników. Ta wartość odpowiada 5400 zdarzeń co pięć minut (300 sekund x 18 zdarzeń). Dzienniki inspekcji to około 2 KB na zdarzenie. Ta wartość odpowiada 10,8 MB danych. W związku z tym 43 komunikaty są wysyłane do usługi Event Hubs w tym pięciominutowym interwale.
Poniższa tabela zawiera szacowane koszty miesięczne dla podstawowej usługi Event Hubs w zachodnich stanach USA, w zależności od ilości danych zdarzeń. Aby uzyskać oszacowanie woluminu danych oczekiwanego dla dzienników, użyj kalkulatora cen usługi Event Hubs.
Dziennik inspekcji z 100 000 użytkowników:
| Kategoria | Value |
|---|---|
| Zdarzenia na sekundę | 18 |
| Zdarzenia na interwał pięciominutowy | 5,400 |
| Wolumin na interwał | 10,8 MB |
| Komunikaty na interwał | 43 |
| Komunikaty miesięcznie | 371,520 |
| Szacowany koszt miesięcznie (USD) | 10,83 USD |
Dziennik inspekcji z 1000 użytkownikami:
| Kategoria | Value |
|---|---|
| Zdarzenia na sekundę | 0.1 |
| Zdarzenia na interwał pięciominutowy | 52 |
| Wolumin na interwał | 104 KB |
| Komunikaty na interwał | 1 |
| Komunikaty miesięcznie | 8,640 |
| Szacowany koszt miesięcznie (USD) | 10,80 USD |
Zagadnienia dotyczące kosztów usługi Log Analytics
Aby przejrzeć koszty związane z zarządzaniem obszarem roboczym usługi Log Analytics, przejdź do tematu Zarządzanie kosztami przez kontrolowanie ilości danych i przechowywania w usłudze Log Analytics.
Często zadawane pytania
Uzyskaj odpowiedzi na często zadawane pytania, w tym czasy opóźnień, wpływ kosztów, obsługiwane narzędzia SIEM i inne.
Które dzienniki są uwzględniane?
Dzienniki inspekcji i dzienniki operacyjne usługi Intune są dostępne do routingu przy użyciu tej funkcji.
Kiedy po wykonaniu akcji dzienniki są wyświetlane w usługach Azure Monitor?
Po wykonaniu akcji:
- Dzienniki inspekcji i dzienniki operacyjne usługi Intune są wysyłane natychmiast z usługi Intune do usług Azure Monitor.
- Dzienniki organizacyjne zgodności urządzeń usługi Intune i dane raportu IntuneUrządzenia są wysyłane z usługi Intune do usług Azure Monitor raz na 24 godziny.
Po wysłaniu danych z usługi Intune zwykle są wyświetlane w usłudze Azure Monitor w ciągu 30 minut.
Co się stanie, jeśli administrator zmieni okres przechowywania ustawienia diagnostycznego?
Nowe zasady przechowywania są stosowane do dzienników zebranych po zmianie. Dzienniki zebrane przed zmianą zasad nie mają wpływu.
Ile kosztuje przechowywanie danych?
Koszty magazynu zależą od rozmiaru dzienników i wybranego okresu przechowywania. Aby uzyskać listę szacowanych kosztów dzierżaw, które zależą od wygenerowanego woluminu dziennika, przejdź do obszaru Rozmiar magazynu dla dzienników aktywności (w tym artykule).
Ile kosztuje przesyłanie strumieniowe danych do Azure Event Hubs?
Koszty przesyłania strumieniowego zależą od liczby komunikatów odbieranych na minutę. Aby uzyskać szczegółowe informacje na temat sposobu obliczania kosztów i szacowania kosztów na podstawie liczby komunikatów, przejdź do pozycji Komunikaty usługi Event Hubs dotyczące dzienników aktywności (w tym artykule).
Jak mogę zintegrować dzienniki inspekcji usługi Intune z systemem SIEM?
Użyj usługi Azure Monitor z usługą Event Hubs, aby przesyłać strumieniowo dzienniki do systemu SIEM:
- Przesyłaj strumieniowo dzienniki do usługi Event Hubs.
- Skonfiguruj narzędzie SIEM przy użyciu skonfigurowanych centrów zdarzeń.
Jakie narzędzia SIEM są obecnie obsługiwane?
Obecnie rozwiązania Splunk, QRadar i Sumo Logic (otwiera nową witrynę internetową) obsługują usługę Azure Monitor. Aby uzyskać więcej informacji na temat sposobu działania łączników, przejdź do tematu Stream Azure monitoring data to Event Hubs for consumption by an external tool (Przesyłanie strumieniowe danych monitorowania platformy Azure do usługi Event Hubs w celu użycia przez narzędzie zewnętrzne).
Czy mogę uzyskać dostęp do danych z Azure Event Hubs bez użycia zewnętrznego narzędzia SIEM?
Tak. Aby uzyskać dostęp do dzienników z aplikacji niestandardowej, możesz użyć interfejsu API usługi Event Hubs.
Jakie dane są przechowywane?
Usługa Intune nie przechowuje żadnych danych wysyłanych za pośrednictwem potoku. Usługa Intune kieruje dane do potoku usługi Azure Monitor w urzędzie dzierżawy. Aby uzyskać więcej informacji, przejdź do omówienia usługi Azure Monitor.
Zawartość pokrewna
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla