Microsoft Intune 包含內建記錄,可提供環境的相關資訊:
- 稽核記錄 會顯示在 Intune 中產生變更的活動記錄,包括建立、更新 (編輯) 、刪除、指派和遠端動作。
- 作業記錄 會顯示成功 (或註冊失敗) 的使用者和裝置的詳細資料,以及不符合規範的裝置的詳細資料。
- 裝置合規性組織記錄會 顯示 Intune 中裝置合規性的組織報告,以及不合規裝置的詳細數據。
- IntuneDevices 會顯示 Intune 已註冊和受控裝置的裝置清查和狀態資訊。
這些記錄也可以傳送至 Azure 監視器服務,包括儲存體帳戶、事件中樞和 Log Analytics。 具體來說,您可以:
- 將 Intune 記錄封存至 Azure 儲存體帳戶以保留資料,或封存設定的時間。
- 使用 SIEM) 工具 (例如 Splunk 和 QRadar) (熱門的安全性資訊和事件管理,將 Intune 記錄串流至Azure 事件中樞進行分析。
- 將 Intune 記錄與您自己的自訂記錄解決方案整合,方法是將 Intune 記錄串流至事件中樞。
- 將 Intune 記錄傳送至 Log Analytics,以啟用連線資料的豐富視覺效果、監視和警示。
這些功能是 Intune 中 診斷設定 的一部分。
本文說明如何使用 診斷設定 將記錄資料傳送至不同的服務、提供成本預估 & 範例,並回答一些常見問題。 啟用此功能之後,您的記錄會路由傳送至您選擇的 Azure 監視器服務。
注意事項
這些日誌使用可變更的結構描述。 若要提供意見反應,包括記錄中的資訊,請移至 Intune 的意見反應。
必要條件
要使用此功能,您需要:
- 您可以登入的 Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以 註冊免費試用版。
- 租用戶) (Microsoft Intune 環境
- 具有 Intune 租用戶 Intune 服務系統管理員 Microsoft Entra 角色的使用者。 如需此角色的相關資訊,請移至 Microsoft Entra 內建角色 - Intune 系統管理員。
- 若要設定來自 Azure 儲存體的記錄收集,您需要 Log Analytics 工作區中的 Log Analytics 參與者 角色。 如需不同角色及其可以執行的動作的詳細資訊,請移至 管理 Azure 監視器中記錄資料和工作區的存取權。
視您要路由傳送稽核記錄資料的位置而定,您需要下列其中一項服務:
- 具有 ListKeys 許可權的 Azure 儲存體帳戶。 建議您使用一般儲存體帳戶,而不是 Blob 儲存體帳戶。 如需儲存體定價資訊,請移至 Azure 儲存體定價計算機。
- 與第三方合作夥伴解決方案整合的 Azure 事件中樞命名空間。
- Azure Log Analytics 工作區 ,可將記錄傳送至 Log Analytics。
將記錄傳送至 Azure 監視器
選取 [報表>診斷設定]。 第一次打開它時,將其打開。 否則,請新增設定。
如果您的 Azure 訂用帳戶未顯示,請移至右上角,選取已登入的帳戶 >[切換目錄]。 您可能必須輸入 Azure 訂用帳戶帳戶。
輸入下列內容:
名稱:輸入診斷設定的名稱。 此設定包括您輸入的所有屬性。 例如,輸入
Route audit logs to storage account。封存至儲存體帳戶:將記錄資料儲存至 Azure 儲存體帳戶。 如果您想保存或存檔數據,請選擇此選項。
- 選取此選項 >[設定]。
- 從清單>中選擇現有的儲存體帳戶 確定。
串流至事件中樞:將記錄串流至 Azure 事件中樞。 如果您想要使用 SIEM 工具 (例如 Splunk 及 QRadar) 來分析日誌資料,請選擇此選項。
- 選取此選項 >[設定]。
- 從清單 >中選擇現有的事件中樞命名空間和原則 確定。
傳送至 Log Analytics:將資料傳送至 Azure Log Analytics。 如果您想要對日誌使用視覺化、監控和警示,請選擇此選項。
選取此選項 >[設定]。
建立新的工作區,然後輸入工作區詳細資料。 或者,從清單中>選擇現有的工作區 確定。
Azure Log Analytics 工作區 提供這些設定的詳細資訊。
日誌>AuditLogs:選擇此選項,將 Intune 稽核記錄 傳送至您的儲存體帳戶、事件中樞或 Log Analytics。 稽核記錄會顯示在 Intune 中產生變更的每個工作歷程記錄,包括執行變更的人員和時間。 如需詳細資訊,請移至 IntuneAuditLogs。
如果您選擇使用儲存體帳戶,也請輸入您要將資料保留 (保留) 天數。 若要永久保留資料,請將 保留 (天) 設定為
0(零) 。日誌>OperationalLogs:作業記錄會顯示在 Intune 中註冊的使用者和裝置的成功或失敗,以及不符合規範裝置的詳細數據。 選擇此選項,將註冊記錄傳送至您的儲存體帳戶、事件中樞或 Log Analytics。 如需詳細資訊,請移至 IntuneOperationalLogs。
如果您選擇使用儲存體帳戶,也請輸入您要將資料保留 (保留) 天數。 若要永久保留資料,請將 保留 (天) 設定為
0(零) 。日誌>DeviceComplianceOrg:裝置合規性組織記錄會顯示 Intune 中裝置合規性的組織報告,以及不符合規範裝置的詳細數據。 選擇此選項,將合規性記錄傳送至您的儲存體帳戶、事件中樞或 Log Analytics。 如需詳細資訊,請移至 IntuneDeviceComplianceOrg。
如果您選擇使用儲存體帳戶,也請輸入您要將資料保留 (保留) 天數。 若要永久保留資料,請將 保留 (天) 設定為
0(零) 。日誌>IntuneDevices:Intune 裝置記錄會顯示 Intune 已註冊和受控裝置的裝置清查和狀態資訊。 選擇此選項,將 IntuneDevices 記錄傳送至您的儲存體帳戶、事件中樞或 Log Analytics。 如需詳細資訊,請移至 IntuneDevices。
如果您選擇使用儲存體帳戶,也請輸入您要將資料保留 (保留) 天數。 若要永久保留資料,請將 保留 (天) 設定為
0(零) 。
完成後,您的設定看起來類似於下列設定:
儲存 您的變更。 您的設定會顯示在清單中。 建立設定之後,您可以選取 [編輯設定>] [儲存] 來變更設定。
在整個 Intune 中使用稽核記錄
您也可以匯出 Intune 其他部分中使用的稽核記錄,包括註冊、合規性、設定、裝置、用戶端應用程式等等。
如需詳細資訊,請移至 使用稽核記錄來追蹤和監控事件。 您可以選擇傳送稽核記錄的位置,如本文) 中的將 記錄傳送至 Azure 監視器 (中所述。
稽核記錄屬性
在稽核記錄中,您可以找到下列屬性及其特定值:
| Property | 屬性描述 | 值 |
|---|---|---|
| 活動類型 | 管理員採取的動作。 | 建立、刪除、修補程式、動作、SetReference、RemoveReference、取得、搜尋 |
| Actor類型 | 採取行動的人。 | 未知 = 0、ItPro、IW、系統、合作夥伴、應用程式、訪客使用者 |
| 類別 | 動作發生的窗格。 | 其他 = 0、註冊 = 1、合規性 = 2、DeviceConfiguration = 3、裝置 = 4、應用程式 = 5、EBookManagement = 6、ConditionalAccess= 7、OnPremiseAccess= 8、角色 = 9、SoftwareUpdates =10、DeviceSetupConfiguration = 11、DeviceIntent = 12、DeviceIntentSetting = 13、DeviceSecurity = 14、GroupPolicyAnalytics = 15、AssignmentFilter = 16、RemoteHelp = 17、OrganizationalMessage = 18、EndpointPrivilegeMgmt = 19、DeviceInventory = 20 |
| 活動結果 | 動作是否成功 | 成功 = 1 |
成本考量
如果您已經有 Microsoft Intune 授權,則需要 Azure 訂用帳戶來設定儲存體帳戶和事件中樞。 Azure 訂用帳戶通常是免費的。 但是,您確實需要付費才能使用 Azure 資源,包括封存的儲存體帳戶和串流的事件中樞。 資料量和成本會因租用戶大小而異。
活動記錄的儲存體大小
每個稽核記錄事件都會使用大約 2 KB 的資料儲存體。 對於擁有 100,000 個使用者的租用戶,您每天可以有大約 1,500,000 個事件。 您每天可能需要大約 3 GB 的資料儲存空間。 由於寫入通常以五分鐘批次進行,因此您預計每月大約有 9,000 次寫入操作。
下表顯示成本預估,視租用戶大小而定。 它也包含美國西部的一般用途 v2 儲存體帳戶,可保留至少一年的資料。 若要取得您預期的記錄資料量預估值,請使用 Azure 儲存體定價計算機。
具有 100,000 個使用者的稽核記錄:
| 類別 | 值 |
|---|---|
| 每天的事件 | 一百五十萬 |
| 每月預估資料量 | 90 GB |
| 每月預估成本 (USD) | 1.93 美元 |
| 每年預估成本 (美元) | 23.12 美元 |
具有 1,000 個使用者的稽核記錄:
| 類別 | 值 |
|---|---|
| 每天的事件 | 15,000 |
| 每月預估資料量 | 900 MB |
| 每月預估成本 (USD) | 0.02 美元 |
| 每年預估成本 (美元) | 0.24 美元 |
活動記錄的事件中樞訊息
事件通常以五分鐘的間隔批次處理,並以單一訊息的形式傳送,其中包含該時間範圍內的所有事件。 事件中樞中的訊息大小上限為 256 KB。 如果時間範圍內所有訊息的總大小超過該磁碟區,則會傳送多則訊息。
例如,對於超過 100,000 個使用者的大型租用戶,通常每秒大約會發生 18 個事件。 此值相當於每 5 分鐘 5,400 個事件 (300 秒 x) 18 個事件。 稽核記錄每個事件約為 2 KB。 此值等於 10.8 MB 的資料。 因此,會在這五分鐘的間隔內傳送 43 則訊息至事件中樞。
下表包含美國西部基本事件中樞每月的預估成本,視事件資料量而定。 若要取得您預期的記錄資料量預估值,請使用 事件中樞定價計算機。
具有 100,000 個使用者的稽核記錄:
| 類別 | 值 |
|---|---|
| 每秒事件數 | 18 |
| 每五分鐘間隔的事件數 | 5,400 |
| 每個間隔的音量 | 10.8 MB |
| 每個間隔的訊息數 | 43 |
| 每月訊息數 | 371,520 |
| 每月預估成本 (USD) | 10.83 美元 |
具有 1,000 個使用者的稽核記錄:
| 類別 | 值 |
|---|---|
| 每秒事件數 | 0.1 |
| 每五分鐘間隔的事件數 | 52 |
| 每個間隔的音量 | 104 KB |
| 每個間隔的訊息數 | 1 |
| 每月訊息數 | 8,640 |
| 每月預估成本 (USD) | 10.80 美元 |
Log Analytics 成本考慮
若要檢閱與管理 Log Analytics 工作區相關的成本,請移至 透過控制 Log Analytics 中的資料量和保留來管理成本。
常見問題集 (FAQ)
取得常見問題的解答,包括延遲時間、成本如何受到影響、支援的 SIEM 工具等等。
包含哪些日誌?
Intune 稽核記錄 和 作業記錄 可用於使用此功能進行路由傳送。
動作之後,記錄何時會顯示在 Azure 監視器服務中?
動作後:
- Intune 稽核記錄 和 作業記錄 會立即從 Intune 傳送至 Azure 監視器服務。
- Intune 裝置合規性組織記錄 和 IntuneDevices 報表資料會每 24 小時從 Intune 傳送一次至 Azure 監視器服務。 因此,最多可能需要 24 小時才能取得 Azure 監視器服務中的記錄。
從 Intune 傳送資料之後,通常會在 30 分鐘內顯示在 Azure 監視器服務中。
如果系統管理員變更診斷設定的保留期間,會發生什麼事?
新的保留原則會套用至變更後收集的記錄。 在原則變更之前收集的記錄不會受到影響。
儲存我的資料需要多少費用?
儲存成本取決於日誌的大小和您選擇的保留期間。 如需租用戶的預估成本清單,視產生的記錄磁碟區而定,請移至本文) (活動 記錄的儲存體大小 。
將資料串流至 Azure 事件中樞的成本是多少?
串流成本取決於您每分鐘收到的訊息數量。 如需如何計算成本,以及根據訊息數目進行成本預估的詳細資訊,請移至本文) (活動 記錄的事件中樞訊息 。
如何?將 Intune 稽核記錄與我的 SIEM 系統整合?
搭配事件中樞使用 Azure 監視器,將記錄串流至 SIEM 系統:
目前支援哪些 SIEM 工具?
目前, Splunk、QRadar 和 Sumo Logic (開啟了支援 Azure 監視器) 新網站。 如需連接器運作方式的詳細資訊,請移至 將 Azure 監視資料串流至事件中樞,以供外部工具取用。
我可以在不使用外部 SIEM 工具的情況下從 Azure 事件中樞存取資料嗎?
是。 若要從自訂應用程式存取記錄,您可以使用 事件中樞 API。
會儲存哪些資料?
Intune 不會儲存透過管線傳送的任何數據。 Intune 會以租用戶的授權單位將資料路由傳送至 Azure 監視器管線。 如需詳細資訊,請移至 Azure 監視器概觀。