將 Intune 記錄數據傳送至 Azure 記憶體、事件中樞或 Log Analytics
Microsoft Intune 包含提供環境相關信息的內建記錄:
- 稽核記錄會顯示在 Intune 中產生變更的活動記錄,包括建立、更新 (編輯) 、刪除、指派和遠端動作。
- 操作記錄會 顯示成功 (或) 註冊失敗之使用者和裝置的詳細數據,以及不符合規範裝置的詳細數據。
- 裝置合規性組織記錄會顯示 Intune 中裝置合規性的組織報告,以及不相容裝置的詳細數據。
- IntuneDevices 會顯示已註冊 Intune 受控裝置的裝置清查和狀態資訊。
這些記錄也可以傳送至 Azure 監視器服務,包括記憶體帳戶、事件中樞和 Log Analytics。 具體而言,您可以:
- 將 Intune 記錄封存至 Azure 記憶體帳戶以保留數據,或封存一段時間。
- 使用熱門的安全性資訊和事件管理 (SIEM) 工具,例如 Splunk 和 QRadar,Stream Intune 記錄到 Azure 事件中樞 進行分析。
- 將記錄串流至事件中樞,以整合 Intune 記錄與您自己的自定義記錄解決方案。
- 將 Intune 記錄傳送至 Log Analytics,以啟用連線數據的豐富視覺效果、監視和警示。
這些功能是 Intune 中診斷設定的一部分。
本文說明如何使用 診斷設定 將記錄數據傳送至不同的服務、提供範例 & 成本預估,並回答一些常見問題。 啟用此功能之後,您的記錄會路由傳送至您選擇的 Azure 監視器服務。
注意事項
這些記錄會使用可變更的架構。 若要提供意見反應,包括記錄中的資訊,請移至 Intune 的意見反應。
必要條件
若要使用此功能,您需要:
- 您可以登入的 Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以 註冊免費試用。
- 租使用者) (Microsoft Intune 環境
- 具有 Intune 租使用者 Intune 服務管理員 Microsoft Entra 角色的使用者。 如需此角色的相關信息,請移至 Microsoft Entra 內建角色 - Intune Administrator。
- 若要從 Azure 記憶體設定記錄收集,您需要 Log Analytics 工作區中的 Log Analytics 參與者 角色。 如需不同角色及其功能的詳細資訊,請移至 管理 Azure 監視器中記錄數據和工作區的存取權。
視您要路由稽核記錄數據的位置而定,您需要下列其中一項服務:
- 具有 ListKeys 許可權的 Azure 記憶體帳戶。 建議您使用一般記憶體帳戶,而不是 Blob 記憶體帳戶。 如需記憶體定價資訊,請移至 Azure 記憶體定價計算機。
- 要與第三方合作夥伴解決方案整合的 Azure 事件中樞 命名空間。
- 將記錄傳送至 Log Analytics 的 Azure Log Analytics 工作 區。
將記錄傳送至 Azure 監視器
選取 [報告>診斷設定]。 第一次開啟它時,請將它開啟。 否則,請新增設定。
如果未顯示您的 Azure 訂用帳戶,請移至右上角,選取已登入的帳戶 >切換目錄。 您可能必須輸入 Azure 訂用帳戶。
輸入下列內容:
名稱:輸入診斷設定的名稱。 此設定包含您輸入的所有屬性。 例如,輸入
Route audit logs to storage account。封存至記憶體帳戶:將記錄數據儲存至 Azure 記憶體帳戶。 如果您想要儲存或封存資料,請選擇此選項。
- 選取此選項 [ >設定]。
- 從 [確定] 列表>中選擇現有的記憶體帳戶。
Stream 至事件中樞:將記錄串流至 Azure 事件中樞。 如果您想要使用 Splunk 和 QRadar 等 SIEM 工具來分析記錄數據,請選擇此選項。
- 選取此選項 [ >設定]。
- 從 [確定] 列表>中選擇現有的事件中樞命名空間和原則。
傳送至 Log Analytics:將數據傳送至 Azure Log Analytics。 如果您想要使用記錄的視覺效果、監視和警示,請選擇此選項。
選取此選項 [ >設定]。
建立新的工作區,並輸入工作區詳細數據。 或者,從 [確定] 列表>中選擇現有的工作區。
Azure Log Analytics 工作區 提供這些設定的詳細數據。
日誌>AuditLogs:選擇此選項可將 Intune 稽核記錄傳送至您的記憶體帳戶、事件中樞或 Log Analytics。 稽核記錄會顯示在 Intune 中產生變更的每項工作歷程記錄,包括執行該作業的人員和執行時機。 如需詳細參考資訊,請移至 IntuneAuditLogs。
如果您選擇使用記憶體帳戶,請同時輸入要保留資料 (保留) 的天數。 若要永久保留數據,請將 保留 (天) 設定為
0(零) 。日誌>OperationalLogs:作業記錄會顯示註冊 Intune 的使用者和裝置成功或失敗,以及不符合規範裝置的詳細數據。 選擇此選項可將註冊記錄傳送至您的記憶體帳戶、事件中樞或 Log Analytics。 如需詳細參考資訊,請移至 IntuneOperationalLogs。
如果您選擇使用記憶體帳戶,請同時輸入要保留資料 (保留) 的天數。 若要永久保留數據,請將 保留 (天) 設定為
0(零) 。日誌>DeviceComplianceOrg:裝置合規性組織記錄會顯示 Intune 中裝置合規性的組織報告,以及不符合規範裝置的詳細數據。 選擇此選項可將合規性記錄傳送至您的記憶體帳戶、事件中樞或 Log Analytics。 如需詳細參考資訊,請移至 IntuneDeviceComplianceOrg。
如果您選擇使用記憶體帳戶,請同時輸入要保留資料 (保留) 的天數。 若要永久保留數據,請將 保留 (天) 設定為
0(零) 。日誌>IntuneDevices:Intune 裝置記錄檔會顯示已註冊 Intune 受控裝置的裝置清查和狀態資訊。 選擇此選項可將 IntuneDevices 記錄傳送至您的記憶體帳戶、事件中樞或 Log Analytics。 如需詳細參考資訊,請移至 IntuneDevices。
如果您選擇使用記憶體帳戶,請同時輸入要保留資料 (保留) 的天數。 若要永久保留數據,請將 保留 (天) 設定為
0(零) 。
完成時,您的設定看起來類似下列設定:
儲存 您的變更。 您的設定會顯示在清單中。 建立設定之後,您可以選取 [編輯] 設定> [儲存] 來變更設定。
在整個 Intune 使用稽核記錄
您也可以匯出用於 Intune 其他部分的稽核記錄,包括註冊、合規性、設定、裝置、用戶端應用程式等等。
如需詳細資訊,請移至 使用稽核記錄來追蹤和監視事件。 您可以選擇稽核記錄的傳送位置,如本文) 將 記錄傳送至 Azure 監視器 (中所述。
稽核記錄屬性
在稽核記錄中,您可以找到下列屬性及其特定值:
| Property | 屬性描述 | 值 |
|---|---|---|
| ActivityType | 系統管理員所採取的動作。 | Create、Delete、Patch、Action、SetReference、RemoveReference、Get、Search |
| ActorType | 採取動作的人員。 | 未知 = 0、ItPro、IW、System、Partner、Application、GuestUser |
| 類別 | 動作執行所在的窗格。 | Other = 0, Enrollment = 1, Compliance = 2, DeviceConfiguration = 3, Device = 4, Application = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15, AssignmentFilter = 16, RemoteHelp = 17, OrganizationalMessage = 18, EndpointPrivilegeMgmt = 19, DeviceInventory = 20 |
| ActivityResult | 動作是否成功 | 成功 = 1 |
成本考慮
如果您已經有 Microsoft Intune 授權,則需要 Azure 訂用帳戶來設定記憶體帳戶和事件中樞。 Azure 訂用帳戶通常是免費的。 但是,您必須支付使用 Azure 資源的費用,包括用於封存的記憶體帳戶,以及用於串流處理的事件中樞。 數據量和成本會根據租使用者大小而有所不同。
活動記錄的記憶體大小
每個稽核記錄事件都會使用大約 2 KB 的數據記憶體。 對於具有 100,000 位使用者的租使用者,您每天可以有大約 150 萬個事件。 您每天可能需要大約 3 GB 的數據記憶體。 由於寫入通常會以五分鐘的批次進行,因此您預期每個月大約會有9,000個寫入作業。
下表顯示成本預估,視租使用者的大小而定。 它也包含美國西部至少保留一年數據的一般用途 v2 儲存器帳戶。 若要取得您預期記錄的數據量估計值,請使用 Azure 記憶體定價計算機。
具有 100,000 位使用者的稽核記錄:
| 類別 | 值 |
|---|---|
| 每天的事件 | 150 萬 |
| 每月估計的數據量 | 90 GB |
| 每月預估成本 (美元) | $1.93 |
| 每年預估成本 (美元) | $23.12 |
具有 1,000 位使用者的稽核記錄:
| 類別 | 值 |
|---|---|
| 每天的事件 | 15,000 |
| 每月估計的數據量 | 900 MB |
| 每月預估成本 (美元) | $0.02 |
| 每年預估成本 (美元) | $0.24 |
活動記錄的事件中樞訊息
事件通常會以五分鐘間隔批處理,並以單一訊息傳送,其中包含該時間範圍內的所有事件。 事件中樞中的訊息大小上限為 256 KB。 如果時間範圍內所有訊息的總大小超過該磁碟區,則會傳送多個訊息。
例如,對於超過100,000位使用者的大型租使用者,每秒通常會發生大約18個事件。 這個值相當於每隔五分鐘 5,400 個事件, (300 秒 x 18 個事件) 。 每個事件的稽核記錄大約為 2 KB。 此值等於 10.8 MB 的數據。 因此,43 則訊息會在該五分鐘間隔內傳送至事件中樞。
下表包含美國西部基本事件中樞的每月預估成本,視事件數據量而定。 若要取得您預期記錄的數據量估計,請使用事件中 樞定價計算機。
具有 100,000 位使用者的稽核記錄:
| 類別 | 值 |
|---|---|
| 每秒的事件數 | 18 |
| 每五分鐘間隔的事件數 | 5,400 |
| 每個間隔的磁碟區 | 10.8 MB |
| 每個間隔的訊息數 | 43 |
| 每個月訊息 | 371,520 |
| 每月預估成本 (美元) | $10.83 |
具有 1,000 位使用者的稽核記錄:
| 類別 | 值 |
|---|---|
| 每秒的事件數 | 0.1 |
| 每五分鐘間隔的事件數 | 52 |
| 每個間隔的磁碟區 | 104 KB |
| 每個間隔的訊息數 | 1 |
| 每個月訊息 | 8,640 |
| 每月預估成本 (美元) | $10.80 |
Log Analytics 成本考慮
若要檢閱與管理 Log Analytics 工作區相關的成本,請移至 在 Log Analytics 中控制數據量和保留期來管理成本。
常見問題集 (FAQ)
取得常見問題的解答,包括延遲時間、影響成本的方式、支援的 SIEM 工具等等。
包含哪些記錄?
Intune 稽核記錄和作業記錄可使用此功能進行路由傳送。
動作之後,記錄何時會顯示在 Azure 監視器服務中?
動作之後:
- Intune 稽核記錄和作業記錄會立即從 Intune 傳送至 Azure 監視器服務。
- Intune 裝置合規性組織記錄和 IntuneDevices 報告數據會每隔 24 小時從 Intune 傳送到 Azure 監視器服務一次。 因此,在 Azure 監視器服務中取得記錄最多可能需要 24 小時的時間。
從 Intune 傳送數據之後,通常會在 30 分鐘內顯示在 Azure 監視器服務中。
如果系統管理員變更診斷設定的保留期間,會發生什麼事?
新的保留原則會套用至變更之後所收集的記錄。 原則變更之前收集的記錄不受影響。
儲存我的數據需要多少費用?
記憶體成本取決於您的記錄大小和您選擇的保留期間。 如需取決於所產生記錄磁碟區的租用戶預估成本清單,請移至本文中 (活動記錄的記憶體大小) 。
將我的數據串流至 Azure 事件中樞 需要多少成本?
串流成本取決於您每分鐘收到的訊息數目。 如需如何根據訊息數目的計算成本和成本估計的詳細資訊,請移至本文中活動記錄 (的事件中樞 訊 息) 。
如何? 整合 Intune 稽核記錄與我的 SIEM 系統嗎?
使用 Azure 監視器搭配事件中樞將記錄串流至 SIEM 系統:
- 將記錄 Stream 至事件中樞。
- 使用已設定的事件中樞來設定 SIEM 工具。
目前支援哪些 SIEM 工具?
目前, Splunk、QRadar 和 Sumo Logic (會開啟新的網站) 支援 Azure 監視器。 如需連接器運作方式的詳細資訊,請移至 Stream Azure 監視數據至事件中樞,以供外部工具取用。
我可以在不使用外部 SIEM 工具的情況下,從 Azure 事件中樞 存取資料嗎?
是。 若要從自定義應用程式存取記錄,您可以使用 事件中樞 API。
儲存了哪些數據?
Intune 不會儲存透過管線傳送的任何數據。 Intune 會將數據路由至租用戶授權單位的 Azure 監視器管線。 如需詳細資訊,請移至 Azure 監視器概觀。