Использование журналов аудита для отслеживания и мониторинга событий в Microsoft Intune

  • Статья

Журналы аудита содержат запись о действиях, которые вызывают изменения в Microsoft Intune. Создание, обновление (изменение), удаление, назначение и удаленные действия создают события аудита, которые администраторы могут просматривать для большинства рабочих нагрузок Intune. По умолчанию аудит включен для всех клиентов. Отключить его невозможно.

У кого есть доступ к данным?

Пользователи со следующими разрешениями могут просматривать журналы аудита:

  • Глобальный администратор
  • Администратор службы Intune
  • Администраторы, назначенные роли Intune с разрешениями начтениеданных - аудита

Журналы аудита для рабочих нагрузок Intune

Журналы аудита можно просмотреть в группе мониторинга для каждой рабочей нагрузки Intune:

  1. Войдите в Центр администрирования Microsoft Intune.
  2. Выберите Администрирование> клиентаЖурналы аудита.
  3. Чтобы отфильтровать результаты, выберите Фильтр и уточните результаты с помощью следующих параметров.
    • Категория: например , Соответствие требованиям, Устройство и Роль.
    • Действие: перечисленные здесь параметры ограничены параметром, выбранным в разделе Категория.
    • Диапазон дат: можно выбрать журналы за предыдущий месяц, неделю или день.
  4. Нажмите Применить.
  5. Выберите элемент в списке, чтобы просмотреть сведения о действиях.

Дополнительные сведения о журналах аудита см. в разделе Дополнительные сведения.

Маршрутизация журналов в Azure Monitor

Журналы аудита и операционные журналы также могут быть перенаправлены в Azure Monitor. В разделеЖурналы аудитаадминистрирования> клиента выберите Экспорт:

Экспортируйте данные журнала в Azure Monitor, выбрав Экспорт параметров данных в Microsoft Intune и Центре администрирования Intune.

Примечание.

  • Дополнительные сведения об этой функции и предварительные требования для ее использования см. в статье Отправка данных журнала в хранилище, центры событий или log Analytics.

  • Инициированный (субъект) содержит сведения о том, кто выполнял задачу и где она выполнялась.

    Например, если вы запускаете действие в Intune в портал Azure, приложение всегда перечисляет Microsoft Intune расширение портала, а идентификатор приложения всегда использует один и тот же GUID.

  • В разделе Целевые объекты перечислены несколько целевых объектов и свойства, которые были изменены.

Использование API Graph для получения событий аудита

Дополнительные сведения об использовании API графа для получения событий аудита в течение одного года см. в разделе Список auditEvents.

Дальнейшие действия

Дополнительные сведения