Отправка данных журнала Intune в службу хранилища Azure, Центры событий или Log Analytics
Microsoft Intune включает в себя встроенные журналы, которые предоставляют сведения о вашей среде.
- В журналах аудита отображается запись действий, создающих изменения в Intune, включая создание, обновление (изменение), удаление, назначение и удаленные действия.
- Операционные журналы содержат сведения о пользователях и устройствах, которые успешно (или не удалось) зарегистрировать, а также сведения о несоответствующих устройствах.
- В журналах организации по соответствию устройств отображается организационный отчет о соответствии устройств в Intune, а также сведения о несоответствующих устройствах.
- Журнал IntuneDevices отображает инвентаризацию устройств и информацию о состоянии для зарегистрированных и управляемых устройств Intune.
Эти журналы также можно отправлять в службы Azure Monitor, включая учетные записи хранения, Центры событий и Log Analytics. В частности, можно делать следующее.
- Архивируйте Intune журналы в учетную запись хранения Azure, чтобы хранить данные или архивировать в течение заданного времени.
- Stream Intune журналы в Центры событий Azure для аналитики с помощью популярных средств управления информационной безопасностью и событиями (SIEM), таких как Splunk и QRadar.
- Интегрируйте журналы Intune с собственными пользовательскими решениями журналов путем их потоковой передачи в Центры событий.
- Отправлять журналы Intune в Log Analytics, чтобы включить расширенные возможности визуализации, мониторинга и оповещения о подключенных данных.
Эти функции являются частью Параметров диагностики в Intune.
В этой статье показано, как использовать параметры диагностики для отправки данных журнала в различные службы, приведены примеры & оценки затрат, а также приведены ответы на некоторые распространенные вопросы. После включения этой функции журналы направляются в выбранную службу Azure Monitor.
Примечание.
Эти журналы используют схемы, которые могут изменяться. Чтобы предоставить отзыв, включая сведения в журналах, перейдите в раздел Отзывы для Intune.
Предварительные требования
Чтобы использовать эту функцию, вам понадобится следующее.
- Подписка Azure, в которую можно войти. При отсутствии подписки Azure можно зарегистрироваться для получения бесплатной пробной версии.
- Среда Microsoft Intune (клиент)
- Пользователь с ролью администратора службы Intune Microsoft Entra для клиента Intune. Дополнительные сведения об этой роли см. в статье Microsoft Entra встроенные роли Intune администратор.
- Чтобы настроить сбор журнала из службы хранилища Azure, вам потребуется роль участника Log Analytics в рабочей области Log Analytics. Дополнительные сведения о различных ролях и их возможностях см. в статье Управление доступом к данным журнала и рабочим областям в Azure Monitor.
В зависимости от того, куда вы хотите направить данные журнала аудита, вам понадобится одна из следующих служб.
- Учетная запись хранения Azure с разрешениями ListKeys. Рекомендуется использовать обычную учетную запись хранения, а не учетную запись хранения BLOB-объектов. Сведения о ценах на хранилище см. в калькуляторе цен службы хранилища Azure.
- Пространство имен Центры событий Azure для интеграции со сторонними партнерскими решениями.
- Рабочая область Azure Log Analytics для отправки журналов в Log Analytics.
Отправка журналов в Azure Monitor
Войдите в Центр администрирования Microsoft Intune.
Выберите Отчеты>Параметры диагностики. При первом открытии включите их. В противном случае добавьте параметр.
Если подписка Azure не отображается, перейдите в правый верхний угол и выберите каталог Switch учетной записи > для входа. Возможно, потребоваться ввести учетную запись подписки Azure.
Укажите значения для перечисленных ниже свойств.
Имя. Введите имя для параметров диагностики. Этот параметр включает в себя все свойства, которые вы вводите. Например, введите
Route audit logs to storage account.Архивирование в учетную запись хранения. Сохраняет данные журнала в учетной записи хранения Azure. Если вы хотите сохранить или архивировать данные, выберите этот параметр.
- Выберите этот параметр >Настроить.
- Выберите существующую учетную запись хранения в списке >ОК.
Stream в концентратор событий: выполняет потоковую передачу журналов в Центры событий Azure. Если вам нужна аналитика данных журнала с помощью средств SIEM, таких как Splunk и QRadar, выберите этот параметр.
- Выберите этот параметр >Настроить.
- Выберите существующее пространство имен и политику Центров событий в списке >ОК.
Отправка в Log Analytics. Отправляет данные в Azure Log Analytics. Если вы хотите использовать визуализации, мониторинг и оповещение для журналов, выберите этот параметр.
Выберите этот параметр >Настроить.
Создайте новую рабочую область и введите сведения о рабочей области. Или выберите существующую рабочую область из списка >ОК.
Рабочая область Azure Log Analytics предоставляет дополнительные сведения об этих параметрах.
ЖУРНАЛ>AuditLogs. Выберите этот параметр, чтобы отправлять журналы аудита Intune в учетную запись хранения, Центры событий или Log Analytics. Журналы аудита показывают историю каждой задачи, которая вызывает изменения в Intune, включая то, кто и когда это сделал. Дополнительные справочные сведения см. в IntuneAuditLogs.
Если вы решите использовать учетную запись хранения, то также укажите, сколько дней вы хотите хранить данные (период удержания). Чтобы сохранить данные навсегда, присвойте параметру Период удержания (дни) значение
0(ноль).ЖУРНАЛ>OperationalLogs: операционные журналы показывают успешное или неудачное завершение регистрации пользователей и устройств в Intune, а также сведения о несоответствующих устройствах. Выберите этот параметр, чтобы отправлять журналы регистрации в учетную запись хранения, Центры событий или Log Analytics. Дополнительные справочные сведения см. в IntuneOperationalLogs.
Если вы решите использовать учетную запись хранения, то также укажите, сколько дней вы хотите хранить данные (период удержания). Чтобы сохранить данные навсегда, присвойте параметру Период удержания (дни) значение
0(ноль).ЖУРНАЛ>DeviceComplianceOrg: в журналах организации по соответствию устройств отображается организационный отчет о соответствии устройств в Intune, а также сведения о несоответствующих устройствах. Выберите этот параметр, чтобы отправлять журналы соответствия в учетную запись хранения, Центры событий или Log Analytics. Дополнительные справочные сведения см. в IntuneDeviceComplianceOrg.
Если вы решите использовать учетную запись хранения, то также укажите, сколько дней вы хотите хранить данные (период удержания). Чтобы сохранить данные навсегда, присвойте параметру Период удержания (дни) значение
0(ноль).LOG>IntuneDevices. В журнале устройств Intune отображается инвентаризация устройств и информация о состоянии для зарегистрированных и управляемых устройств Intune. Выберите этот параметр, чтобы отправлять журналы IntuneDevices в учетную запись хранения, Центры событий или Log Analytics. Дополнительные справочные сведения см. в IntuneDevices.
Если вы решите использовать учетную запись хранения, то также укажите, сколько дней вы хотите хранить данные (период удержания). Чтобы сохранить данные навсегда, присвойте параметру Период удержания (дни) значение
0(ноль).
После завершения ваши настройки будут выглядеть следующим образом.
Сохраните внесенные изменения. Ваш параметр появится в списке. После создания параметров их можно изменить, выбрав Изменить параметр>Сохранить.
Использование журналов аудита в Intune
Вы также можете экспортировать журналы аудита, используемые в других частях Intune, включая регистрацию, соответствие требованиям, конфигурацию, устройства, клиентские приложения и многое другое.
Дополнительные сведения см. в статье Использование журналов аудита для отслеживания и мониторинга событий. Вы можете выбрать, куда отправлять журналы аудита, как описано в разделе Отправка журналов в Azure Monitor (в этой статье).
Свойства журнала аудита
В журнале аудита можно найти следующие свойства и их конкретные значения:
| Свойство | Описание свойства | Значения |
|---|---|---|
| ActivityType | Действие, которое выполняет администратор. | Create, Delete, Patch, Action, SetReference, RemoveReference, Get, Search |
| ActorType | Пользователь, выполняющий действие. | Unknown = 0, ItPro, IW, System, Partner, Application, GuestUser |
| Category | Область, в которой произошло действие. | Other = 0, Enrollment = 1, Compliance = 2, DeviceConfiguration = 3, Device = 4, Application = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15, AssignmentFilter = 16, RemoteHelp = 17, OrganizationalMessage = 18, EndpointPrivilegeMgmt = 19, DeviceInventory = 20 |
| ActivityResult | Является ли действие успешным или нет | Success = 1 |
Факторы затрат
Если у вас уже есть лицензия на Microsoft Intune, вам потребуется подписка Azure для настройки учетной записи хранения и Центров событий. Подписка Azure обычно бесплатна. Но вы платите за использование ресурсов Azure, включая учетную запись хранения для архивации и Центры событий для потоковой передачи. Объем данных и затрат зависит от размера клиента.
Размер хранилища для журналов действий
Каждое событие журнала аудита использует около 2 КБ хранилища данных. Для клиента с 100 000 пользователей вы можете иметь около 1,5 миллиона событий в день. Может потребоваться около 3 ГБ хранилища данных в день. Поскольку операции записи обычно выполняются в пятиминутных пакетах, можно ожидать около 9000 операций записи в месяц.
В следующих таблицах показаны оценки затрат в зависимости от размера клиента. Он также включает учетную запись хранения общего назначения версии 2 в западной части США в течение по крайней мере одного года хранения данных. Чтобы получить оценку для объема данных, который предполагается для журналов, перейдите на страницуЦены на хранение блочных BLOB-объектов.
Журнал аудита с 100 000 пользователей:
| Category | Значение |
|---|---|
| Количество событий за день | 1,5 млн |
| Предполагаемый объем данных в месяц | 90 ГБ |
| Оценочная стоимость в месяц (долл. США) | 1,93 долл. США |
| Оценочная стоимость в год (долл. США) | 23,12 долл. США |
Журнал аудита с 1000 пользователями:
| Category | Значение |
|---|---|
| Количество событий за день | 15 000 |
| Предполагаемый объем данных в месяц | 900 МБ |
| Оценочная стоимость в месяц (долл. США) | 0,02 долл. США |
| Оценочная стоимость в год (долл. США) | 0,24 долл. США |
Сообщения Центров событий для журналов действий
События обычно добавляются в пакет с пятиминутными интервалами и отправляются как одно сообщение со всеми событиями в течение этого периода времени. Максимальный размер сообщения в Центрах событий составляет 256 КБ. Если общий размер всех сообщений в течение периода времени превышает объем, отправляются несколько сообщений.
Например, около 18 событий в секунду обычно происходят для большого клиента с более чем 100 000 пользователей. Это значение равно 5400 событиям каждые пять минут (300 секунд x 18 событий). Журналы аудита имеют около 2 КБ на событие. Это значение равно 10,8 МБ данных. Таким образом, 43 сообщения отправляются в Центры событий за этот пятиминутный интервал.
В следующей таблице приведены оценочные затраты в месяц для базовых Центров событий в западной части США в зависимости от объема данных о событиях. Чтобы получить оценку за объем данных, которые вы ожидаете для журналов, см. страницу Цены на Центры событий.
Журнал аудита с 100 000 пользователей:
| Category | Значение |
|---|---|
| Количество событий в секунду | 18 |
| Количество событий за пятиминутный интервал | 5,400 |
| Объем за интервал | 10,8 МБ |
| Сообщений за интервал | 43 |
| Сообщений в месяц | 371 520 |
| Оценочная стоимость в месяц (долл. США) | 10,83 долл. США |
Журнал аудита с 1000 пользователями:
| Category | Значение |
|---|---|
| Количество событий в секунду | 0,1 |
| Количество событий за пятиминутный интервал | 52 |
| Объем за интервал | 104 КБ |
| Сообщений за интервал | 1 |
| Сообщений в месяц | 8 640 |
| Оценочная стоимость в месяц (долл. США) | 10,80 долл. США |
Затраты на Log Analytics
Чтобы просмотреть затраты, связанные с управлением рабочей областью Log Analytics, перейдите к разделу Управление затратами путем управления объемом и хранением данных в Log Analytics.
Вопросы и ответы
Получите ответы на часто задаваемые вопросы, включая время задержки, влияние затрат, поддерживаемые средства SIEM и многое другое.
Какие журналы включены?
Журналы аудита Intune и операционные журналы доступны для маршрутизации с помощью этой функции.
Когда после действия журналы отображаются в службах Azure Monitor?
После действия:
- Журналы аудита Intune и операционные журналы немедленно отправляются из Intune в службы Azure Monitor.
- Данные отчетов о соответствии Intune устройств иIntuneDevices отправляются из Intune в службы Azure Monitor каждые 24 часа. Таким образом, получение журналов в службах Azure Monitor может занять до 24 часов.
После отправки данных из Intune они обычно отображаются в службе Azure Monitor в течение 30 минут.
Что произойдет, если администратор изменит срок хранения параметра диагностики?
К журналам, собранным после изменения, применяется новая политика хранения. Журналы, собранные до изменения, не затрагиваются.
Сколько стоит хранение моих данных?
Затраты на хранение зависят от размера журналов и срока хранения, который вы выбрали. Список предполагаемых затрат для клиентов, которые зависят от созданного тома журнала, см. в разделе Размер хранилища для журналов действий (в этой статье).
Сколько стоит потоковая передача данных в Центры событий Azure?
Стоимость потоковой передачи зависит от количества сообщений, получаемых в минуту. Дополнительные сведения о том, как вычисляются затраты, а также о затратах, основанных на количестве сообщений, см. в статье Сообщения Центров событий для журналов действий (в этой статье).
Как интегрировать журналы аудита Intune с системой SIEM?
Используйте Azure Monitor с Центрами событий для потоковой передачи журналов в систему SIEM:
- Stream журналы в Центры событий.
- Настройте средство SIEM с настроенными Центрами событий.
Какие средства SIEM поддерживаются сейчас?
В настоящее время Splunk, QRadar и Sumo Logic (открывает новый веб-сайт) поддерживают Azure Monitor. Дополнительные сведения о работе соединителей см. в статье Stream данных мониторинга Azure в Центры событий для использования внешним средством.
Можно ли получить доступ к данным из Центры событий Azure без использования внешнего средства SIEM?
Да. Чтобы узнать, как получить доступ к журналам из своего пользовательского приложения, см. статью Как начать получать сообщения с помощью узла Центра событий в .NET Core.
Какие данные хранятся?
Intune не хранит все данные, проходящие с помощью конвейера. Intune направляет данные конвейера в Azure Monitor, в центр клиента. Дополнительные сведения см. в статье Обзор Azure Monitor.