Enviar Intune dados de registo para o Armazenamento do Azure, os Hubs de Eventos ou o Log Analytics
O Microsoft Intune inclui logs internos que fornecem informações sobre o ambiente:
- Logs de Auditoria mostra um registro de atividades que geram uma alteração no Intune, incluindo ações de criar, atualizar (editar), excluir, atribuir e remotas.
- Os Registos Operacionais mostram detalhes sobre utilizadores e dispositivos que conseguiram (ou falharam) a inscrição com êxito e os detalhes em dispositivos não conformes.
- Os Registos Organizacionais de Conformidade do Dispositivo mostram um relatório organizacional para a conformidade do dispositivo no Intune e detalhes sobre dispositivos não conformes.
- IntuneDevices mostrar informações de inventário e status do dispositivo para dispositivos registrados e gerenciados do Intune.
Estes registos também podem ser enviados para os serviços do Azure Monitor, incluindo contas de armazenamento, Hubs de Eventos e Log Analytics. Especificamente, você pode:
- Arquivar Intune registos numa conta de Armazenamento do Azure para manter os dados ou arquivar durante uma hora definida.
- Stream Intune registos num Hubs de Eventos do Azure para análise através de ferramentas populares de Gestão de Informações e Eventos de Segurança (SIEM), como o Splunk e o QRadar.
- Integre Intune registos com as suas próprias soluções de registo personalizadas ao transmiti-los em fluxo para os Hubs de Eventos.
- Envie logs do Intune para o Log Analytics para ativar visualizações, monitoramento e alertas avançados sobre os dados conectados.
Esses recursos fazem parte das Configurações de Diagnóstico no Intune.
Este artigo mostra-lhe como utilizar as Definições de Diagnóstico para enviar dados de registo para diferentes serviços, dá exemplos & estimativas de custos e responde a algumas perguntas comuns. Depois de habilitar esse recurso, os logs serão encaminhados para o serviço do Azure Monitor escolhido.
Observação
Esses logs usam esquemas que podem ser alterados. Para fornecer feedback, incluindo informações nos registos, aceda a Feedback para obter Intune.
Pré-requisitos
Para usar esse recurso, você precisa de:
- Uma assinatura do Azure com a qual você possa entrar. Se você não tiver uma assinatura do Azure, você pode se inscrever para uma avaliação gratuita.
- Um ambiente de Microsoft Intune (inquilino)
- Um utilizador que tenha a função Microsoft Entra Administrador de Serviços Intune para o inquilino do Intune. Para obter informações sobre esta função, aceda a Microsoft Entra funções incorporadas - Intune Administrador.
- Para configurar a coleção de logs do Armazenamento do Microsoft Azure, você precisa da função Colaborador de Análise de Registros no Espaço de Trabalho do Log Analytics. Para obter mais informações sobre as diferentes funções e o que podem fazer, aceda a Gerir o acesso a dados de registo e áreas de trabalho no Azure Monitor.
Dependendo de onde você deseja rotear os dados de log de auditoria, serão necessários um dos serviços a seguir:
- Uma conta de armazenamento do Azure com as permissões ListKeys . É recomendável que você use uma conta de armazenamento geral e não uma conta de armazenamento de blobs. Para obter informações sobre preços de armazenamento, aceda à calculadora de preços do Armazenamento do Azure.
- Um espaço de nomes Hubs de Eventos do Azure para integrar com soluções de parceiros de terceiros.
- Uma área de trabalho do Azure Log Analytics para enviar registos para o Log Analytics.
Enviar logs ao Azure Monitor
Selecione Relatórios>Configurações de diagnóstico. Na primeira vez que o abrir, ative-o. Caso contrário, adicione uma configuração.
Se a sua subscrição do Azure não for apresentada, aceda ao canto superior direito e selecione o diretório Mudar de conta > com sessão iniciada. Talvez seja necessário inserir a conta de assinatura do Azure.
Insira as seguintes propriedades:
Nome: insira um nome para as configurações de diagnóstico. Essa configuração inclui todas as propriedades que você inserir. Por exemplo, digite
Route audit logs to storage account.Arquivar numa conta de armazenamento: guarda os dados de registo numa conta de Armazenamento do Azure. Se quiser guardar ou arquivar os dados, escolha esta opção.
- Selecione esta opção >Configurar.
- Escolha uma conta de armazenamento existente na lista >OK.
Stream para um hub de eventos: transmite os registos para Hubs de Eventos do Azure. Se quiser análises nos seus dados de registo com ferramentas SIEM, como o Splunk e o QRadar, escolha esta opção.
- Selecione esta opção >Configurar.
- Escolha um espaço de nomes e uma política existentes dos Hubs de Eventos na lista >OK.
Enviar para o Log Analytics: envia os dados para o Azure Log Analytics. Se quiser utilizar visualizações, monitorização e alertas para os registos, escolha esta opção.
Selecione esta opção >Configurar.
Crie um novo workspace e insira os detalhes do workspace. Em alternativa, escolha uma área de trabalho existente na lista >OK.
A área de trabalho do Azure Log Analytics fornece mais detalhes sobre estas definições.
REGISTO>AuditLogs: selecione esta opção para enviar os Intune registos de auditoria para a sua conta de armazenamento, Hubs de Eventos ou Log Analytics. Os logs de auditoria mostram o histórico de todas as tarefas que gera uma alteração no Intune, incluindo quem realizou a tarefa e quando. Para obter mais informações de referência, acesse IntuneAuditLogs.
Se você optar por usar uma conta de armazenamento, insira também quantos dias deseja manter os dados (retenção). Para manter os dados permanentemente, defina a Retenção (dias) como
0(zero).REGISTO>OperationalLogs: os registos operacionais mostram o êxito ou a falha de utilizadores e dispositivos que se inscrevem no Intune e detalhes em dispositivos não conformes. Escolha esta opção para enviar os registos de inscrição para a sua conta de armazenamento, Hubs de Eventos ou Log Analytics. Para obter mais informações de referência, acesse IntuneOperationalLogs.
Se você optar por usar uma conta de armazenamento, insira também quantos dias deseja manter os dados (retenção). Para manter os dados permanentemente, defina a Retenção (dias) como
0(zero).REGISTO>DeviceComplianceOrg: os registos organizacionais de conformidade do dispositivo mostram o relatório organizacional da Conformidade do Dispositivo no Intune e os detalhes dos dispositivos não conformes. Escolha esta opção para enviar os registos de compatibilidade para a sua conta de armazenamento, Hubs de Eventos ou Log Analytics. Para obter mais informações de referência, acesse IntuneDeviceComplianceOrg.
Se você optar por usar uma conta de armazenamento, insira também quantos dias deseja manter os dados (retenção). Para manter os dados permanentemente, defina a Retenção (dias) como
0(zero).LOG>IntuneDevices: o log de Dispositivos do Intune mostra informações de inventário e status do dispositivo para dispositivos registrados e gerenciados pelo Intune. Escolha esta opção para enviar os registos intuneDispositivos para a sua conta de armazenamento, Hubs de Eventos ou Log Analytics. Para obter mais informações de referência, acesse IntuneDevices.
Se você optar por usar uma conta de armazenamento, insira também quantos dias deseja manter os dados (retenção). Para manter os dados permanentemente, defina a Retenção (dias) como
0(zero).
Quando terminar, suas configurações serão semelhantes às seguintes configurações:
Salve suas alterações. A configuração é mostrada na lista. Assim que as definições forem criadas, pode alterar as definições ao selecionar Editar definição>Guardar.
Usar logs de auditoria em todo o Intune
Também pode exportar os registos de auditoria utilizados noutras partes do Intune, incluindo inscrição, conformidade, configuração, dispositivos, aplicações cliente e muito mais.
Para obter mais informações, aceda a Utilizar registos de auditoria para controlar e monitorizar eventos. É possível escolher para onde enviar os logs de auditoria, conforme descrito em enviar logs para o Azure Monitor (neste artigo).
Propriedades do log de auditoria
No registo de auditoria, pode encontrar as seguintes propriedades e os respetivos valores específicos:
| Propriedade | Descrição da propriedade | Values |
|---|---|---|
| ActivityType | A ação tomada pelo administrador. | Create, Delete, Patch, Action, SetReference, RemoveReference, Get, Search |
| ActorType | Pessoa que está realizando a ação. | Unknown = 0, ItPro, IW, System, Partner, Application, GuestUser |
| Categoria | O painel onde a ação ocorreu. | Outro = 0, Inscrição = 1, Conformidade = 2, DeviceConfiguration = 3, Dispositivo = 4, Aplicação = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15, AssignmentFilter = 16, RemoteHelp = 17, OrganizationalMessage = 18, EndpointPrivilegeMgmt = 19, DeviceInventory = 20 |
| ActivityResult | Se a ação foi ou não bem-sucedida | Success = 1 |
Considerações de custos
Se já tiver uma licença de Microsoft Intune, precisa de uma subscrição do Azure para configurar a conta de armazenamento e os Hubs de Eventos. Geralmente, a assinatura do Azure é gratuita. No entanto, paga para utilizar os recursos do Azure, incluindo a conta de armazenamento para arquivo e Hubs de Eventos para transmissão em fluxo. A quantidade de dados e os custos variam dependendo do tamanho do locatário.
Tamanho do armazenamento para logs de atividade
Cada evento de log de auditoria usa cerca de 2 KB de armazenamento de dados. Para um inquilino com 100 000 utilizadores, pode ter cerca de 1,5 milhões de eventos por dia. Poderá precisar de cerca de 3 GB de armazenamento de dados por dia. Uma vez que as escritas normalmente ocorrem em lotes de cinco minutos, pode esperar aproximadamente 9000 operações de escrita por mês.
As tabelas a seguir mostram uma previsão de custo, dependendo do tamanho do locatário. Também inclui uma conta de armazenamento para fins gerais v2 nos E.U.A. Oeste para, pelo menos, um ano de retenção de dados. Para obter uma previsão do volume de dados que você espera para seus logs, use a Calculadora de preços de armazenamento do Azure.
Registo de auditoria com 100 000 utilizadores:
| Categoria | Valor |
|---|---|
| Eventos por dia | 1,5 milhão |
| Volume estimado de dados por mês | 90 GB |
| Custo previsto por mês (USD) | US$ 1,93 |
| Custo previsto por ano (USD) | US$ 23,12 |
Registo de auditoria com 1000 utilizadores:
| Categoria | Valor |
|---|---|
| Eventos por dia | 15.000 |
| Volume estimado de dados por mês | 900 MB |
| Custo previsto por mês (USD) | US$ 0,02 |
| Custo previsto por ano (USD) | US$ 0,24 |
Mensagens dos Hubs de Eventos para registos de atividades
Os eventos são normalmente agrupados em intervalos de cinco minutos e enviados como uma única mensagem com todos os eventos desse período. Uma mensagem nos Hubs de Eventos tem um tamanho máximo de 256 KB. Se o tamanho total de todas as mensagens no período de tempo exceder esse volume, várias mensagens serão enviadas.
Por exemplo, cerca de 18 eventos por segundo geralmente ocorrem em um locatário de grande porte com mais de 100.000 usuários. Este valor equivale a 5400 eventos a cada cinco minutos (300 segundos x 18 eventos). Os logs de auditoria têm cerca de 2 KB por evento. Este valor equivale a 10,8 MB de dados. Assim, são enviadas 43 mensagens para os Hubs de Eventos nesse intervalo de cinco minutos.
A tabela seguinte contém os custos estimados por mês para os Hubs de Eventos básicos nos E.U.A. Oeste, consoante o volume de dados de eventos. Para obter uma previsão do volume de dados que você espera para seus logs, use a Calculadora de preços dos Hubs de Eventos.
Registo de auditoria com 100 000 utilizadores:
| Categoria | Valor |
|---|---|
| Eventos por segundo | 18 |
| Eventos por intervalo de cinco minutos | 5.400 |
| Volume por intervalo | 10,8 MB |
| Mensagens por intervalo | 43 |
| Mensagens por mês | 371.520 |
| Custo previsto por mês (USD) | US$ 10,83 |
Registo de auditoria com 1000 utilizadores:
| Categoria | Valor |
|---|---|
| Eventos por segundo | 0,1 |
| Eventos por intervalo de cinco minutos | 52 |
| Volume por intervalo | 104 KB |
| Mensagens por intervalo | 1 |
| Mensagens por mês | 8.640 |
| Custo previsto por mês (USD) | US$ 10,80 |
Considerações de custo do Log Analytics
Para rever os custos relacionados com a gestão da área de trabalho do Log Analytics, aceda a Gerir custos ao controlar o volume de dados e a retenção no Log Analytics.
Perguntas frequentes (FAQ)
Obtenha respostas às perguntas mais frequentes, incluindo tempos de latência, como os custos são afetados, ferramentas SIEM suportadas e muito mais.
Quais logs são incluídos?
Os registos de Auditoria Intune e os Registos operacionais estão disponíveis para encaminhamento com esta funcionalidade.
Após uma ação, quando é que os registos são apresentados nos serviços do Azure Monitor?
Após a ação:
- Os Registos de Auditoria Intune e os Registos Operacionais são enviados imediatamente do Intune para os serviços do Azure Monitor.
- Os dados de relatórios Intune Registos Organizacionais de Conformidade de Dispositivos e IntuneDispositivos são enviados de Intune para os serviços do Azure Monitor uma vez a cada 24 horas. Assim, pode demorar até 24 horas para obter os registos nos serviços do Azure Monitor.
Depois de os dados serem enviados a partir de Intune, normalmente são apresentados no serviço Azure Monitor dentro de 30 minutos.
O que acontece se um administrador alterar o período de retenção de uma definição de diagnóstico?
A nova política de retenção será aplicada aos logs coletados após a alteração. Os logs coletados antes da alteração da política não serão afetados.
Quanto custa armazenar meus dados?
Os custos de armazenamento dependem do tamanho dos logs e do período de retenção que você escolher. Para obter uma lista dos custos estimados para os inquilinos, que dependem do volume de registo gerado, aceda a Tamanho do armazenamento para registos de atividades (neste artigo).
Quanto custa transmitir os meus dados para Hubs de Eventos do Azure?
Os custos de streaming dependem do número de mensagens recebidas por minuto. Para obter detalhes sobre como os custos são calculados e as estimativas de custos com base no número de mensagens, aceda às mensagens dos Hubs de Eventos para obter registos de atividades (neste artigo).
Como faço para integrar os logs de auditoria do Intune com meu sistema SIEM?
Utilize o Azure Monitor com os Hubs de Eventos para transmitir registos para o seu sistema SIEM:
- Stream os registos para os Hubs de Eventos.
- Configure a ferramenta SIEM com os Hubs de Eventos configurados.
Atualmente, quais ferramentas SIEM têm suporte?
Atualmente, o Splunk, o QRadar e o Sumo Logic (abre um novo site) suportam o Azure Monitor. Para obter mais informações sobre como funcionam os conectores, aceda a Stream dados de monitorização do Azure aos Hubs de Eventos para consumo por uma ferramenta externa.
Posso aceder aos dados a partir de Hubs de Eventos do Azure sem utilizar uma ferramenta SIEM externa?
Sim. Para acessar os logs a partir de um aplicativo personalizado, você pode usar a API dos Hubs de Eventos.
Quais dados são armazenados?
O Intune não armazena todos os dados enviados pelo pipeline. O Intune roteia os dados para o pipeline do Azure Monitor, na autoridade do locatário. Para obter mais informações, aceda a Descrição geral do Azure Monitor.