使用审核日志跟踪和监视Microsoft Intune中的事件
审核日志包括生成Microsoft Intune更改的活动记录。 创建、更新 (编辑) 、删除、分配和远程操作都会创建审核事件,管理员可以针对大多数 Intune 工作负载查看这些事件。 默认为所有客户启用审核功能。 该功能无法禁用。
谁可以访问数据?
拥有以下权限的用户可以查看审核日志:
- 全局管理员
- Intune 服务管理员
- 分配给具有 审核数据 - 读取 权限的 Intune 角色的管理员
Intune 工作负载的审核日志
可以在监视组中查看每个 Intune 工作负载的审核日志:
- 登录到Microsoft Intune管理中心。
- 选择 “租户管理>审核日志”。
- 若要筛选结果,请选择“ 筛选 ”,并使用以下选项优化结果。
- 类别:例如符合性、设备和角色。
- 活动:此处列出的选项受 “类别”下选择的选项的限制。
- 日期范围:可以选择前一个月、一周或一天的日志。
- 选择“应用”。
- 选择列表中的项以查看活动详细信息。
有关审核日志的相关信息,请参阅 其他信息。
将日志路由到 Azure Monitor
审核日志和操作日志也可以路由到 Azure Monitor。 在 “租户管理>审核日志”中,选择“ 导出”:
注意
有关此功能的详细信息以及查看使用它的先决条件,请参阅 将日志数据发送到存储、事件中心或日志分析。
由 (执行组件启动) 包括有关任务运行者及其运行位置的信息。
例如,如果在 Azure 门户 Intune 中运行活动,则 Application 始终列出Microsoft Intune门户扩展,并且应用程序 ID 始终使用相同的 GUID。
“ 目标 () ”部分列出了多个目标和已更改的属性。
使用图形 API检索审核事件
有关使用图形 API 获取长达一年的审核事件的详细信息,请参阅 列出 auditEvents。
后续步骤
其他信息
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈