Envío de datos de registro de Intune a Azure Storage, Event Hubs o Log Analytics
Microsoft Intune incluye registros integrados que proporcionan información sobre el entorno:
- Los registros de auditoría muestran un registro de las actividades que generan un cambio en Intune, incluidas las acciones de creación, actualización (edición), eliminación, asignación y remotas.
- Los registros operativos muestran detalles sobre los usuarios y dispositivos que se inscriben correctamente (o no se pudieron inscribir) y los detalles de los dispositivos no conformes.
- Los registros organizativos de cumplimiento de dispositivos muestran un informe organizativo para el cumplimiento de dispositivos en Intune y detalles sobre los dispositivos no conformes.
- IntuneDevices muestra el inventario de dispositivos y la información de estado de los dispositivos de Intune inscritos y administrados.
Estos registros también se pueden enviar a los servicios de Azure Monitor, incluidas las cuentas de almacenamiento, Event Hubs y Log Analytics. En concreto, puede:
- Archive los registros de Intune en una cuenta de Azure Storage para conservar los datos o archivarlos durante un tiempo establecido.
- Transmita los registros de Intune a un Azure Event Hubs de análisis mediante herramientas conocidas de administración de eventos e información de seguridad (SIEM), como Splunk y QRadar.
- Integre los registros de Intune con sus propias soluciones de registro personalizadas transmitiéndolos a Event Hubs.
- Enviar registros de Intune a Log Analytics para habilitar las visualizaciones enriquecidas, la supervisión y las alertas de los datos conectados.
Estas características forman parte de la característica Configuración de diagnóstico en Intune.
En este artículo se muestra cómo usar la configuración de diagnóstico para enviar datos de registro a diferentes servicios, se proporcionan ejemplos & estimaciones de costos y se responden algunas preguntas comunes. Una vez que haya habilitado esta característica, los registros se enrutan al servicio Azure Monitor que elija.
Nota:
Estos registros usan esquemas que pueden cambiar. Para proporcionar comentarios, incluida la información de los registros, vaya a Comentarios para Intune.
Requisitos previos
Para usar esta característica, necesita:
- Una suscripción de Azure en la que pueda iniciar sesión. Si no tiene una suscripción de Azure, puede registrarse para obtener una evaluación gratuita.
- Un entorno de Microsoft Intune (inquilino)
- Un usuario que sea un administrador global o administrador de servicios de Intune para el inquilino de Intune.
- Para configurar la recopilación de registros desde Azure Storage, necesita el rol de Colaborador de Log Analytics en el área de trabajo de Log Analytics. Para obtener más información sobre los diferentes roles y lo que pueden hacer, vaya a Administración del acceso a los datos de registro y las áreas de trabajo en Azure Monitor.
Dependiendo de dónde desea enrutar los datos de registro de auditoría, necesita uno de los siguientes servicios:
- Una cuenta de almacenamiento de Azure con los permisos ListKeys . Se recomienda que use una cuenta de almacenamiento general y no una cuenta de almacenamiento de blobs. Para obtener información sobre los precios de almacenamiento, vaya a la calculadora de precios de Azure Storage.
- Un espacio de nombres Azure Event Hubs para integrarse con soluciones de asociados de terceros.
- Un área de trabajo de Azure Log Analytics para enviar registros a Log Analytics.
Envío de registros a Azure Monitor
Inicie sesión en el Centro de administración de Microsoft Intune.
Seleccione Informes>Configuración de diagnóstico. La primera vez que lo abra, actívelo. De lo contrario, agregue un valor de configuración.
Si no se muestra la suscripción de Azure, vaya a la esquina superior derecha y seleccione el directorio switch de la cuenta > que ha iniciado sesión. Es posible que tenga que escribir la cuenta de suscripción de Azure.
Escriba las propiedades siguientes:
Nombre: escriba un nombre para la configuración de diagnóstico. Esta configuración incluye todas las propiedades que especifique. Por ejemplo, escriba
Route audit logs to storage account.Archivar en una cuenta de almacenamiento: guarda los datos de registro en una cuenta de Azure Storage. Si desea guardar o archivar los datos, elija esta opción.
- Seleccione esta opción >Configurar.
- Elija una cuenta de almacenamiento existente en la lista >Aceptar.
Transmitir a un centro de eventos: transmite los registros a Azure Event Hubs. Si desea realizar análisis en los datos de registro mediante herramientas SIEM, como Splunk y QRadar, elija esta opción.
- Seleccione esta opción >Configurar.
- Elija un espacio de nombres y una directiva de Event Hubs existentes en la lista >Aceptar.
Enviar a Log Analytics: envía los datos a Azure Log Analytics. Si desea usar visualizaciones, supervisión y alertas para los registros, elija esta opción.
Seleccione esta opción >Configurar.
Cree una nueva área de trabajo y escriba los detalles de la misma. O bien, elija un área de trabajo existente en la lista >Aceptar.
El área de trabajo de Azure Log Analytics proporciona más detalles sobre esta configuración.
REGISTRO>AuditLogs: elija esta opción para enviar los registros de auditoría de Intune a la cuenta de almacenamiento, Event Hubs o Log Analytics. Los registros de auditoría muestran el historial de todas las tareas que genera un cambio en Intune, incluido quién lo hizo y cuándo. Para obtener más información de referencia, vaya a IntuneAuditLogs.
Si decide usar una cuenta de almacenamiento, especifique también cuántos días desea conservar los datos (retención). Para conservar los datos indefinidamente, establezca Retención (días) en
0(cero).REGISTRO>OperationalLogs: los registros operativos muestran el éxito o el error de los usuarios y dispositivos que se inscriben en Intune, y detalles sobre los dispositivos no conformes. Elija esta opción para enviar los registros de inscripción a la cuenta de almacenamiento, Event Hubs o Log Analytics. Para obtener más información de referencia, vaya a IntuneOperationalLogs.
Si decide usar una cuenta de almacenamiento, especifique también cuántos días desea conservar los datos (retención). Para conservar los datos indefinidamente, establezca Retención (días) en
0(cero).REGISTRO>DeviceComplianceOrg: los registros de la organización de cumplimiento de dispositivos muestran el informe organizativo de cumplimiento de dispositivos en Intune y los detalles de los dispositivos no conformes. Elija esta opción para enviar los registros de cumplimiento a la cuenta de almacenamiento, Event Hubs o Log Analytics. Para obtener más información de referencia, vaya a IntuneDeviceComplianceOrg.
Si decide usar una cuenta de almacenamiento, especifique también cuántos días desea conservar los datos (retención). Para conservar los datos indefinidamente, establezca Retención (días) en
0(cero).LOG>IntuneDevices: El registro de dispositivos de Intune muestra la información de estado e inventario de los dispositivos para Intune inscritos y administrados. Elija esta opción para enviar los registros intuneDevices a la cuenta de almacenamiento, Event Hubs o Log Analytics. Para obtener más información de referencia, vaya a IntuneDevices.
Si decide usar una cuenta de almacenamiento, especifique también cuántos días desea conservar los datos (retención). Para conservar los datos indefinidamente, establezca Retención (días) en
0(cero).
Cuando termine, la configuración tendrá un aspecto similar a la siguiente configuración:
Guarde los cambios mediante Guardar. La configuración se mostrará en la lista. Una vez creada la configuración, puede cambiarla seleccionando Editar configuración>Guardar.
Uso de registros de auditoría en Intune
También puede exportar los registros de auditoría que se usan en otras partes de Intune, como la inscripción, el cumplimiento, la configuración, los dispositivos, las aplicaciones cliente, etc.
Para obtener más información, vaya a Uso de registros de auditoría para realizar un seguimiento y supervisar eventos. Puede elegir dónde enviar los registros de auditoría, como se describe en Envío de registros a Azure Monitor (en este artículo).
Propiedades del registro de auditoría
En el registro de auditoría, puede encontrar las siguientes propiedades y sus valores específicos:
| Propiedad | Descripción de la propiedad | Valores |
|---|---|---|
| ActivityType | La acción que realiza el administrador. | Create, Delete, Patch, Action, SetReference, RemoveReference, Get, Search |
| ActorType | Persona que realiza la acción. | Unknown = 0, ItPro, IW, System, Partner, Application, GuestUser |
| Categoría | Panel donde se realizó la acción. | Other = 0, Enrollment = 1, Compliance = 2, DeviceConfiguration = 3, Device = 4, Application = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15 |
| ActivityResult | Si la acción se realiza correctamente o no | Success = 1 |
Consideraciones sobre costes
Si ya tiene una licencia de Microsoft Intune, necesita una suscripción de Azure para configurar la cuenta de almacenamiento y Event Hubs. La suscripción de Azure normalmente es gratuita. Sin embargo, paga por usar recursos de Azure, incluida la cuenta de almacenamiento para el archivo y Event Hubs para streaming. La cantidad de datos y los costos varían según el tamaño del inquilino.
Tamaño de almacenamiento para los registros de actividad
Cada evento del registro de auditoría usa 2 KB de almacenamiento de datos aproximadamente. Para un inquilino con 100 000 usuarios, puede tener aproximadamente 1,5 millones de eventos al día. Es posible que necesite aproximadamente 3 GB de almacenamiento de datos al día. Dado que las escrituras suelen producirse en lotes de cinco minutos, puede esperar aproximadamente 9000 operaciones de escritura al mes.
En las siguientes tablas se muestra una estimación de costos según el tamaño del inquilino. También incluye una cuenta de almacenamiento v2 de uso general en oeste de EE. UU. durante al menos un año de retención de datos. Para obtener una estimación para el volumen de datos que espera para sus registros, use la calculadora de precios de Azure Storage.
Registro de auditoría con 100 000 usuarios:
| Categoría | Valor |
|---|---|
| Eventos por día | 1,5 millones |
| Volumen estimado de datos al mes | 90 GB |
| Costo estimado al mes (USD) | 1,93 USD |
| Costo estimado al año (USD) | 23,12 USD |
Registro de auditoría con 1000 usuarios:
| Categoría | Valor |
|---|---|
| Eventos por día | 15 000 |
| Volumen estimado de datos al mes | 900 MB |
| Costo estimado al mes (USD) | 0,02 USD |
| Costo estimado al año (USD) | 0,24 USD |
Mensajes de Event Hubs para registros de actividad
Los eventos normalmente se realizan por lotes en intervalos de cinco minutos y se envían como un solo mensaje con todos los eventos dentro de ese período de tiempo. Un mensaje de Event Hubs tiene un tamaño máximo de 256 KB. Si el tamaño total de todos los mensajes dentro del período de tiempo superó ese volumen, se envían varios mensajes.
Por ejemplo, normalmente tienen lugar unos 18 eventos por segundo para un inquilino de gran tamaño de más de 100 000 usuarios. Este valor equivale a 5.400 eventos cada cinco minutos (300 segundos x 18 eventos). Los registros de auditoría tienen un tamaño aproximado de 2 KB por evento. Este valor equivale a 10,8 MB de datos. Por lo tanto, se envían 43 mensajes a Event Hubs en ese intervalo de cinco minutos.
La tabla siguiente contiene costos estimados al mes para un centro de eventos básico en oeste de EE. UU., en función del volumen de datos de eventos. Para obtener una estimación del volumen de datos que espera para sus registros, use la calculadora de precios de Event Hubs.
Registro de auditoría con 100 000 usuarios:
| Categoría | Valor |
|---|---|
| Eventos por segundo | 18 |
| Eventos por intervalo de cinco minutos | 5.400 |
| Volumen por intervalo | 10,8 MB |
| Mensajes por intervalo | 43 |
| Mensajes al mes | 371 520 |
| Costo estimado al mes (USD) | 10,83 USD |
Registro de auditoría con 1000 usuarios:
| Categoría | Valor |
|---|---|
| Eventos por segundo | 0,1 |
| Eventos por intervalo de cinco minutos | 52 |
| Volumen por intervalo | 104 KB |
| Mensajes por intervalo | 1 |
| Mensajes al mes | 8 640 |
| Costo estimado al mes (USD) | 10,80 USD |
Consideraciones sobre el costo de Log Analytics
Para revisar los costos relacionados con la administración del área de trabajo de Log Analytics, vaya a Administración de costos mediante el control del volumen de datos y la retención en Log Analytics.
Preguntas más frecuentes (P+F)
Obtenga respuestas a las preguntas más frecuentes, incluidos los tiempos de latencia, cómo se ven afectados los costos, las herramientas SIEM admitidas y mucho más.
¿Qué registros se incluyen?
Los registros de auditoría y los registros operativos de Intune están disponibles para el enrutamiento mediante esta característica.
Después de una acción, ¿cuándo se muestran los registros en los servicios de Azure Monitor?
Después de la acción:
- Los registros de auditoría y los registros operativos de Intune se envían inmediatamente desde Intune a los servicios de Azure Monitor.
- Los datos del informe Intune Device Compliance Organizational Logs e IntuneDevices se envían desde Intune a los servicios de Azure Monitor una vez cada 24 horas.
Una vez que los datos se envían desde Intune, normalmente se muestran en el servicio Azure Monitor en un plazo de 30 minutos.
¿Qué ocurre si un administrador cambia el período de retención de una configuración de diagnóstico?
La nueva directiva de retención se aplica a los registros recopilados después del cambio. Los registros recopilados antes del cambio de directiva no se ven afectados.
¿Cuánto cuesta almacenar mis datos?
Los costos de almacenamiento dependen del tamaño de los registros y del período de retención que elija. Para obtener una lista de los costos estimados de los inquilinos, que dependen del volumen de registro generado, vaya a Tamaño de almacenamiento para los registros de actividad (en este artículo).
¿Cuánto cuesta transmitir mis datos a Azure Event Hubs?
Los costos de transmisión dependen del número de mensajes que se reciben por minuto. Para obtener más información sobre cómo se calculan los costos y las estimaciones de costos en función del número de mensajes, vaya a Mensajes de Event Hubs para los registros de actividad (en este artículo).
¿Cómo integro los registros de auditoría de Intune con mi sistema SIEM?
Use Azure Monitor con Event Hubs para transmitir registros al sistema SIEM:
- Transmita los registros a Event Hubs.
- Configure la herramienta SIEM con event hubs configurados.
¿Qué herramientas SIEM se admiten actualmente?
Actualmente, Splunk, QRadar y Sumo Logic (abre un nuevo sitio web) admiten Azure Monitor. Para obtener más información sobre cómo funcionan los conectores, vaya a Transmisión de datos de supervisión de Azure a Event Hubs para su consumo mediante una herramienta externa.
¿Puedo acceder a los datos desde Azure Event Hubs sin usar una herramienta SIEM externa?
Sí. Para acceder a los registros desde su aplicación personalizada, puede usar la API de Event Hubs.
¿Dónde se almacenan los datos?
Intune no almacena los datos enviados a través de la canalización. Intune enruta los datos a la canalización de Azure Monitor, con la autorización del inquilino. Para obtener más información, vaya a Introducción a Azure Monitor.
Contenido relacionado
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de