分享方式:


將 Intune 記錄數據傳送至 Azure 記憶體、事件中樞或 Log Analytics

Microsoft Intune 包含提供環境相關信息的內建記錄:

  • 稽核記錄會顯示在 Intune 中產生變更的活動記錄,包括建立、更新 (編輯) 、刪除、指派和遠端動作。
  • 操作記錄會 顯示成功 (或) 註冊失敗之使用者和裝置的詳細數據,以及不符合規範裝置的詳細數據。
  • 裝置合規性組織記錄會顯示 Intune 中裝置合規性的組織報告,以及不相容裝置的詳細數據。
  • IntuneDevices 會顯示已註冊 Intune 受控裝置的裝置清查和狀態資訊。

這些記錄也可以傳送至 Azure 監視器服務,包括記憶體帳戶、事件中樞和 Log Analytics。 具體而言,您可以:

  • 將 Intune 記錄封存至 Azure 記憶體帳戶以保留數據,或封存一段時間。
  • 使用熱門的安全性資訊和事件管理 (SIEM) 工具,例如 Splunk 和 QRadar,Stream Intune 記錄到 Azure 事件中樞 進行分析。
  • 將記錄串流至事件中樞,以整合 Intune 記錄與您自己的自定義記錄解決方案。
  • 將 Intune 記錄傳送至 Log Analytics,以啟用連線數據的豐富視覺效果、監視和警示。

這些功能是 Intune 中診斷設定的一部分。

本文說明如何使用 診斷設定 將記錄數據傳送至不同的服務、提供範例 & 成本預估,並回答一些常見問題。 啟用此功能之後,您的記錄會路由傳送至您選擇的 Azure 監視器服務。

注意事項

這些記錄會使用可變更的架構。 若要提供意見反應,包括記錄中的資訊,請移至 Intune 的意見反應

必要條件

若要使用此功能,您需要:

視您要路由稽核記錄數據的位置而定,您需要下列其中一項服務:

將記錄傳送至 Azure 監視器

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取 [報告>診斷設定]。 第一次開啟它時,請將它開啟。 否則,請新增設定。

    顯示如何在 Microsoft Intune 中開啟診斷設定以將記錄傳送至 Azure 監視器的螢幕快照。

    如果未顯示您的 Azure 訂用帳戶,請移至右上角,選取已登入的帳戶 >切換目錄。 您可能必須輸入 Azure 訂用帳戶。

  3. 輸入下列內容:

    • 名稱:輸入診斷設定的名稱。 此設定包含您輸入的所有屬性。 例如,輸入 Route audit logs to storage account

    • 封存至記憶體帳戶:將記錄數據儲存至 Azure 記憶體帳戶。 如果您想要儲存或封存資料,請選擇此選項。

      1. 選取此選項 [ >設定]
      2. 從 [確定] 列表>中選擇現有的記憶體帳戶。
    • Stream 至事件中樞:將記錄串流至 Azure 事件中樞。 如果您想要使用 Splunk 和 QRadar 等 SIEM 工具來分析記錄數據,請選擇此選項。

      1. 選取此選項 [ >設定]
      2. 從 [確定] 列表>中選擇現有的事件中樞命名空間和原則。
    • 傳送至 Log Analytics:將數據傳送至 Azure Log Analytics。 如果您想要使用記錄的視覺效果、監視和警示,請選擇此選項。

      1. 選取此選項 [ >設定]

      2. 建立新的工作區,並輸入工作區詳細數據。 或者,從 [確定] 列表>中選擇現有的工作

        Azure Log Analytics 工作區 提供這些設定的詳細數據。

    • 日誌>AuditLogs:選擇此選項可將 Intune 稽核記錄傳送至您的記憶體帳戶、事件中樞或 Log Analytics。 稽核記錄會顯示在 Intune 中產生變更的每項工作歷程記錄,包括執行該作業的人員和執行時機。 如需詳細參考資訊,請移至 IntuneAuditLogs

      如果您選擇使用記憶體帳戶,請同時輸入要保留資料 (保留) 的天數。 若要永久保留數據,請將 保留 (天) 設定為 0 (零) 。

    • 日誌>OperationalLogs:作業記錄會顯示註冊 Intune 的使用者和裝置成功或失敗,以及不符合規範裝置的詳細數據。 選擇此選項可將註冊記錄傳送至您的記憶體帳戶、事件中樞或 Log Analytics。 如需詳細參考資訊,請移至 IntuneOperationalLogs

      如果您選擇使用記憶體帳戶,請同時輸入要保留資料 (保留) 的天數。 若要永久保留數據,請將 保留 (天) 設定為 0 (零) 。

    • 日誌>DeviceComplianceOrg:裝置合規性組織記錄會顯示 Intune 中裝置合規性的組織報告,以及不符合規範裝置的詳細數據。 選擇此選項可將合規性記錄傳送至您的記憶體帳戶、事件中樞或 Log Analytics。 如需詳細參考資訊,請移至 IntuneDeviceComplianceOrg

      如果您選擇使用記憶體帳戶,請同時輸入要保留資料 (保留) 的天數。 若要永久保留數據,請將 保留 (天) 設定為 0 (零) 。

    • 日誌>IntuneDevices:Intune 裝置記錄檔會顯示已註冊 Intune 受控裝置的裝置清查和狀態資訊。 選擇此選項可將 IntuneDevices 記錄傳送至您的記憶體帳戶、事件中樞或 Log Analytics。 如需詳細參考資訊,請移至 IntuneDevices

      如果您選擇使用記憶體帳戶,請同時輸入要保留資料 (保留) 的天數。 若要永久保留數據,請將 保留 (天) 設定為 0 (零) 。

    完成時,您的設定看起來類似下列設定:

    顯示如何將 Microsoft Intune 稽核記錄傳送至 Azure 記憶體帳戶的螢幕快照。

  4. 儲存 您的變更。 您的設定會顯示在清單中。 建立設定之後,您可以選取 [編輯] 設定> [儲存] 來變更設定。

在整個 Intune 使用稽核記錄

您也可以匯出用於 Intune 其他部分的稽核記錄,包括註冊、合規性、設定、裝置、用戶端應用程式等等。

如需詳細資訊,請移至 使用稽核記錄來追蹤和監視事件。 您可以選擇稽核記錄的傳送位置,如本文) 將 記錄傳送至 Azure 監視器 (中所述。

稽核記錄屬性

在稽核記錄中,您可以找到下列屬性及其特定值:

Property 屬性描述
ActivityType 系統管理員所採取的動作。 Create、Delete、Patch、Action、SetReference、RemoveReference、Get、Search
ActorType 採取動作的人員。 未知 = 0、ItPro、IW、System、Partner、Application、GuestUser
類別 動作執行所在的窗格。 Other = 0, Enrollment = 1, Compliance = 2, DeviceConfiguration = 3, Device = 4, Application = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15, AssignmentFilter = 16, RemoteHelp = 17, OrganizationalMessage = 18, EndpointPrivilegeMgmt = 19, DeviceInventory = 20
ActivityResult 動作是否成功 成功 = 1

成本考慮

如果您已經有 Microsoft Intune 授權,則需要 Azure 訂用帳戶來設定記憶體帳戶和事件中樞。 Azure 訂用帳戶通常是免費的。 但是,您必須支付使用 Azure 資源的費用,包括用於封存的記憶體帳戶,以及用於串流處理的事件中樞。 數據量和成本會根據租使用者大小而有所不同。

活動記錄的記憶體大小

每個稽核記錄事件都會使用大約 2 KB 的數據記憶體。 對於具有 100,000 位使用者的租使用者,您每天可以有大約 150 萬個事件。 您每天可能需要大約 3 GB 的數據記憶體。 由於寫入通常會以五分鐘的批次進行,因此您預期每個月大約會有9,000個寫入作業。

下表顯示成本預估,視租使用者的大小而定。 它也包含美國西部至少保留一年數據的一般用途 v2 儲存器帳戶。 若要取得您預期記錄的數據量估計值,請使用 Azure 記憶體定價計算機

具有 100,000 位使用者的稽核記錄

類別
每天的事件 150 萬
每月估計的數據量 90 GB
每月預估成本 (美元) $1.93
每年預估成本 (美元) $23.12

具有 1,000 位使用者的稽核記錄

類別
每天的事件 15,000
每月估計的數據量 900 MB
每月預估成本 (美元) $0.02
每年預估成本 (美元) $0.24

活動記錄的事件中樞訊息

事件通常會以五分鐘間隔批處理,並以單一訊息傳送,其中包含該時間範圍內的所有事件。 事件中樞中的訊息大小上限為 256 KB。 如果時間範圍內所有訊息的總大小超過該磁碟區,則會傳送多個訊息。

例如,對於超過100,000位使用者的大型租使用者,每秒通常會發生大約18個事件。 這個值相當於每隔五分鐘 5,400 個事件, (300 秒 x 18 個事件) 。 每個事件的稽核記錄大約為 2 KB。 此值等於 10.8 MB 的數據。 因此,43 則訊息會在該五分鐘間隔內傳送至事件中樞。

下表包含美國西部基本事件中樞的每月預估成本,視事件數據量而定。 若要取得您預期記錄的數據量估計,請使用事件中 樞定價計算機

具有 100,000 位使用者的稽核記錄

類別
每秒的事件數 18
每五分鐘間隔的事件數 5,400
每個間隔的磁碟區 10.8 MB
每個間隔的訊息數 43
每個月訊息 371,520
每月預估成本 (美元) $10.83

具有 1,000 位使用者的稽核記錄

類別
每秒的事件數 0.1
每五分鐘間隔的事件數 52
每個間隔的磁碟區 104 KB
每個間隔的訊息數 1
每個月訊息 8,640
每月預估成本 (美元) $10.80

Log Analytics 成本考慮

若要檢閱與管理 Log Analytics 工作區相關的成本,請移至 在 Log Analytics 中控制數據量和保留期來管理成本

常見問題集 (FAQ)

取得常見問題的解答,包括延遲時間、影響成本的方式、支援的 SIEM 工具等等。

包含哪些記錄?

Intune 稽核記錄作業記錄可使用此功能進行路由傳送。

動作之後,記錄何時會顯示在 Azure 監視器服務中?

動作之後:

  • Intune 稽核記錄作業記錄會立即從 Intune 傳送至 Azure 監視器服務。
  • Intune 裝置合規性組織記錄IntuneDevices 報告數據會每隔 24 小時從 Intune 傳送到 Azure 監視器服務一次。 因此,在 Azure 監視器服務中取得記錄最多可能需要 24 小時的時間。

從 Intune 傳送數據之後,通常會在 30 分鐘內顯示在 Azure 監視器服務中。

如果系統管理員變更診斷設定的保留期間,會發生什麼事?

新的保留原則會套用至變更之後所收集的記錄。 原則變更之前收集的記錄不受影響。

儲存我的數據需要多少費用?

記憶體成本取決於您的記錄大小和您選擇的保留期間。 如需取決於所產生記錄磁碟區的租用戶預估成本清單,請移至本文中 (活動記錄的記憶體大小) 。

將我的數據串流至 Azure 事件中樞 需要多少成本?

串流成本取決於您每分鐘收到的訊息數目。 如需如何根據訊息數目的計算成本和成本估計的詳細資訊,請移至本文中活動記錄 (的事件中樞 息) 。

如何? 整合 Intune 稽核記錄與我的 SIEM 系統嗎?

使用 Azure 監視器搭配事件中樞將記錄串流至 SIEM 系統:

  1. 將記錄 Stream 至事件中樞
  2. 使用已設定的事件中樞來設定 SIEM 工具

目前支援哪些 SIEM 工具?

目前, Splunk、QRadar 和 Sumo Logic (會開啟新的網站) 支援 Azure 監視器。 如需連接器運作方式的詳細資訊,請移至 Stream Azure 監視數據至事件中樞,以供外部工具取用

我可以在不使用外部 SIEM 工具的情況下,從 Azure 事件中樞 存取資料嗎?

是。 若要從自定義應用程式存取記錄,您可以使用 事件中樞 API

儲存了哪些數據?

Intune 不會儲存透過管線傳送的任何數據。 Intune 會將數據路由至租用戶授權單位的 Azure 監視器管線。 如需詳細資訊,請移至 Azure 監視器概觀