Använda granskningsloggar för att spåra och övervaka händelser i Microsoft Intune

I Microsoft Intune finns det granskningsloggar som innehåller en post med aktiviteter som genererar en ändring. Till exempel skapar alla granskningshändelser genom att skapa, uppdatera (redigera), ta bort, tilldela och fjärråtgärder.

Administratörer kan granska granskningsloggarna för att spåra och övervaka händelser för de flesta Intune-arbetsbelastningar. Granskning är aktiverat för alla kunder. Det kan inte inaktiveras.

Vem kan komma åt data?

Användare med följande behörigheter kan granska granskningsloggar:

• Microsoft Entra-roll för Intune-administratör
• Administratörer som tilldelats en Intune-roll med läsbehörigheter för granskningsdata - . En lista över inbyggda Intune-roller som har den här behörigheten finns i Inbyggda rollbehörigheter för Microsoft Intune.

Visa granskningsloggarna

Du kan granska granskningsloggar i övervakningsgruppen för varje Intune-arbetsbelastning, till exempel efterlevnad eller villkorlig åtkomst.

1. Logga in på Microsoft Intune administrationscenter.

2. VäljGranskningsloggarför klientadministration>.

3. En lista över loggarna visas. Välj en logg i listan för att se aktivitetsinformationen.

4. Om det finns många loggar kan du:

   1. Välj Datum och ange ett start- och slutdatum. Det här datumintervallet kan visa loggar för föregående månad, vecka eller dag.

      

   2. Välj Lägg till filterKategori>. Välj en kategori i listan, till exempel Efterlevnad, Enhet eller Roll. Välj sedan Använd.

   3. Välj Lägg till filteraktivitet>. Vilka alternativ som är tillgängliga beror på vilken kategori du väljer. Välj sedan Använd.

      Om du till exempel väljer kategorin Efterlevnad ser alternativen för aktivitetsfilter ut ungefär så här:

      

Om du vill ha relaterad information om granskningsloggar går du till:

• Datalagring och bearbetning i Intune
• Använda granskningsloggar i hela Intune
• Granska, exportera eller ta bort personliga data i Intune

Dirigera loggar till Azure Monitor

Granskningsloggar och driftloggar kan också dirigeras till Azure Monitor. I administrationscentret för Intune väljer duGranskningsloggar> för klientadministration>Exportera:

När du exporterar skapas och sparas en .csv fil lokalt, eventuellt i C:\Users\UserName\AppData\Local\Temp\MicrosoftEdgeDownloads\GUID.

När du tittar på .csv filen:

• Initierad av (aktör) innehåller information om vem som körde uppgiften och var den kördes.

  Om du till exempel kör aktiviteten i Intune i Azure-portalen visar Program alltid Microsoft Intune-portaltillägget och program-ID :t använder alltid samma GUID.

• I avsnittet Mål visas flera mål och de egenskaper som har ändrats.

Mer information om den här funktionen, inklusive kraven, finns i Skicka loggdata till lagring, händelsehubbar eller logganalys.

Använda Graph API för att hämta granskningshändelser

Du kan också använda Graph API för att få ett års granskningshändelser. Mer information finns i Lista auditEvents.

Relaterade artiklar

• Skicka loggdata till lagring, händelsehubbar eller Log Analytics
• Granska klientappens skyddsloggar