Inviare i dati di log di Intune ad Archiviazione di Azure, Hub eventi o Log Analytics
Microsoft Intune include log predefiniti che forniscono informazioni sull'ambiente:
- Log di controllo mostra un record di attività che generano una modifica in Intune, tra cui la creazione, l'aggiornamento (modifica), l'eliminazione, l'assegnazione e le azioni remote.
- I log operativi mostrano i dettagli su utenti e dispositivi che hanno eseguito correttamente (o non sono riusciti) la registrazione e i dettagli sui dispositivi non conformi.
- I log dell'organizzazione di conformità dei dispositivi mostrano un report dell'organizzazione per la conformità dei dispositivi in Intune e i dettagli sui dispositivi non conformi.
- IntuneDispositivi mostrano l'inventario dei dispositivi e le informazioni sullo stato per i dispositivi registrati e gestiti di Intune.
Questi log possono anche essere inviati ai servizi di Monitoraggio di Azure, inclusi account di archiviazione, Hub eventi e Log Analytics. In particolare, è possibile:
- Archiviare i log di Intune in un account di archiviazione di Azure per conservare i dati o archiviarne per un determinato periodo di tempo.
- Trasmettere i log di Intune a un Hub eventi di Azure per l'analisi usando gli strumenti siem (Security Information and Event Management), ad esempio Splunk e QRadar.
- Integrare i log di Intune con le proprie soluzioni di log personalizzate eseguendone lo streaming in Hub eventi.
- Inviare i log di Intune a Log Analytics per abilitare visualizzazioni avanzate, monitoraggio e avvisi sui dati connessi.
Queste funzionalità fanno parte delle impostazioni di diagnostica in Intune.
Questo articolo illustra come usare le impostazioni di diagnostica per inviare dati di log a servizi diversi, fornisce esempi & stime dei costi e risponde ad alcune domande comuni. Dopo aver abilitato questa funzionalità, i log vengono indirizzati al servizio Monitoraggio di Azure scelto.
Nota
Questi log usano schemi che possono cambiare. Per fornire commenti e suggerimenti, incluse le informazioni nei log, passare a Feedback per Intune.
Prerequisiti
Per usare questa funzionalità, è necessario:
- Sottoscrizione di Azure a cui è possibile accedere. Se non si ha una sottoscrizione di Azure, è possibile iscriversi per una versione di valutazione gratuita.
- Ambiente Microsoft Intune (tenant)
- Utente amministratore globale o amministratore del servizio Intune per il tenant di Intune.
- Per configurare la raccolta di log da Archiviazione di Azure, è necessario il ruolo Collaboratore Log Analytics nell'area di lavoro Log Analytics. Per altre informazioni sui diversi ruoli e sulle operazioni che possono eseguire, vedere Gestire l'accesso ai dati di log e alle aree di lavoro in Monitoraggio di Azure.
A seconda della posizione in cui si desidera instradare i dati del log di controllo, è necessario uno dei servizi seguenti:
- Un account di archiviazione di Azure con le autorizzazioni ListKeys . È consigliabile usare un account di archiviazione generale e non un account di archiviazione BLOB. Per informazioni sui prezzi di archiviazione, passare al calcolatore dei prezzi di Archiviazione di Azure.
- Spazio dei nomi Hub eventi di Azure da integrare con soluzioni partner di terze parti.
- Un'area di lavoro di Azure Log Analytics per inviare i log a Log Analytics.
Inviare i log a Monitoraggio di Azure
Accedere all'interfaccia di amministrazione Microsoft Intune.
Selezionare Impostazionidi diagnosticareport>. La prima volta che lo apri, attivalo. In caso contrario, aggiungere un'impostazione.
Se la sottoscrizione di Azure non viene visualizzata, passare all'angolo in alto a destra e selezionare la directory Switch dell'account > connesso. Potrebbe essere necessario immettere l'account della sottoscrizione di Azure.
Immettere le seguenti proprietà:
Nome: immettere un nome per le impostazioni di diagnostica. Questa impostazione include tutte le proprietà immesse. Immettere ad esempio
Route audit logs to storage account.Archiviare in un account di archiviazione: salva i dati di log in un account di archiviazione di Azure. Se si desidera salvare o archiviare i dati, scegliere questa opzione.
- Selezionare questa opzione >Configura.
- Scegliere un account di archiviazione esistente dall'elenco >OK.
Flusso a un hub eventi: trasmette i log a Hub eventi di Azure. Se si desidera eseguire analisi sui dati di log usando gli strumenti SIEM, ad esempio Splunk e QRadar, scegliere questa opzione.
- Selezionare questa opzione >Configura.
- Scegliere uno spazio dei nomi e un criterio di Hub eventi esistente nell'elenco >OK.
Invia a Log Analytics: invia i dati ad Azure Log Analytics. Se si vogliono usare visualizzazioni, monitoraggio e avvisi per i log, scegliere questa opzione.
Selezionare questa opzione >Configura.
Creare una nuova area di lavoro e immettere i dettagli dell'area di lavoro. In alternativa, scegliere un'area di lavoro esistente dall'elenco >OK.
L'area di lavoro Di Azure Log Analytics fornisce altri dettagli su queste impostazioni.
REGISTRO>AuditLogs: scegliere questa opzione per inviare i log di controllo di Intune all'account di archiviazione, a Hub eventi o a Log Analytics. I log di controllo mostrano la cronologia di ogni attività che genera una modifica in Intune, inclusi chi l'ha eseguita e quando. Per altre informazioni di riferimento, vedere IntuneAuditLogs.
Se si sceglie di usare un account di archiviazione, immettere anche quanti giorni si desidera conservare i dati (conservazione). Per mantenere i dati per sempre, impostare Conservazione (giorni) su
0(zero).REGISTRO>OperationalLogs: i log operativi mostrano l'esito positivo o negativo di utenti e dispositivi registrati in Intune e i dettagli sui dispositivi non conformi. Scegliere questa opzione per inviare i log di registrazione all'account di archiviazione, all'hub eventi o a Log Analytics. Per altre informazioni di riferimento, vedere IntuneOperationalLogs.
Se si sceglie di usare un account di archiviazione, immettere anche quanti giorni si desidera conservare i dati (conservazione). Per mantenere i dati per sempre, impostare Conservazione (giorni) su
0(zero).REGISTRO>DeviceComplianceOrg: i log dell'organizzazione di conformità dei dispositivi mostrano il report dell'organizzazione per Conformità del dispositivo in Intune e i dettagli dei dispositivi non conformi. Scegliere questa opzione per inviare i log di conformità all'account di archiviazione, all'hub eventi o a Log Analytics. Per altre informazioni di riferimento, vedere IntuneDeviceComplianceOrg.
Se si sceglie di usare un account di archiviazione, immettere anche quanti giorni si desidera conservare i dati (conservazione). Per mantenere i dati per sempre, impostare Conservazione (giorni) su
0(zero).REGISTRO>IntuneDevices: il log del dispositivo di Intune mostra l'inventario dei dispositivi e le informazioni sullo stato per i dispositivi registrati e gestiti di Intune. Scegliere questa opzione per inviare i log di IntuneDevices all'account di archiviazione, a Hub eventi o a Log Analytics. Per altre informazioni di riferimento, vedere IntuneDevices.
Se si sceglie di usare un account di archiviazione, immettere anche quanti giorni si desidera conservare i dati (conservazione). Per mantenere i dati per sempre, impostare Conservazione (giorni) su
0(zero).
Al termine, le impostazioni sono simili alle impostazioni seguenti:
Salva le modifiche. L'impostazione viene visualizzata nell'elenco. Dopo aver creato le impostazioni, è possibile modificare le impostazioni selezionando Modifica impostazione>Salva.
Usare i log di controllo in Intune
È anche possibile esportare i log di controllo usati in altre parti di Intune, tra cui registrazione, conformità, configurazione, dispositivi, app client e altro ancora.
Per altre informazioni, vedere Usare i log di controllo per tenere traccia e monitorare gli eventi. È possibile scegliere dove inviare i log di controllo, come descritto in Inviare i log a Monitoraggio di Azure (in questo articolo).
Proprietà del log di controllo
Nel log di controllo sono disponibili le proprietà seguenti e i relativi valori specifici:
| Proprietà | Descrizione proprietà | Valori |
|---|---|---|
| ActivityType | Azione eseguita dall'amministratore. | Create, Delete, Patch, Action, SetReference, RemoveReference, Get, Search |
| ActorType | Persona che esegue l'azione. | Unknown = 0, ItPro, IW, System, Partner, Application, GuestUser |
| Categoria | Riquadro in cui è stata eseguita l'azione. | Other = 0, Enrollment = 1, Compliance = 2, DeviceConfiguration = 3, Device = 4, Application = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15 |
| ActivityResult | Indica se l'azione ha esito positivo o meno | Operazione riuscita = 1 |
Considerazioni di costo
Se si dispone già di una licenza di Microsoft Intune, è necessaria una sottoscrizione di Azure per configurare l'account di archiviazione e Hub eventi. La sottoscrizione di Azure è in genere gratuita. Tuttavia, si paga per usare le risorse di Azure, incluso l'account di archiviazione per l'archiviazione e Hub eventi per lo streaming. La quantità di dati e i costi variano a seconda delle dimensioni del tenant.
Dimensioni di archiviazione per i log attività
Ogni evento del log di controllo usa circa 2 KB di archiviazione dati. Per un tenant con 100.000 utenti, è possibile avere circa 1,5 milioni di eventi al giorno. Potrebbero essere necessari circa 3 GB di spazio di archiviazione dati al giorno. Poiché le scritture vengono in genere eseguite in batch di cinque minuti, è possibile prevedere circa 9.000 operazioni di scrittura al mese.
Le tabelle seguenti mostrano una stima dei costi a seconda delle dimensioni del tenant. Include anche un account di archiviazione per utilizzo generico v2 negli Stati Uniti occidentali per almeno un anno di conservazione dei dati. Per ottenere una stima del volume di dati previsto per i log, usare il calcolatore dei prezzi di Archiviazione di Azure.
Log di controllo con 100.000 utenti:
| Categoria | Valore |
|---|---|
| Eventi al giorno | 1,5 milioni |
| Volume stimato di dati al mese | 90 GB |
| Costo stimato al mese (USD) | $1,93 |
| Costo stimato per anno (USD) | $23.12 |
Log di controllo con 1.000 utenti:
| Categoria | Valore |
|---|---|
| Eventi al giorno | 15.000 |
| Volume stimato di dati al mese | 900 MB |
| Costo stimato al mese (USD) | $0,02 |
| Costo stimato per anno (USD) | $0,24 |
Messaggi di Hub eventi per i log attività
Gli eventi vengono in genere raggruppati in intervalli di cinque minuti e inviati come un singolo messaggio con tutti gli eventi entro tale intervallo di tempo. Un messaggio in Hub eventi ha una dimensione massima di 256 KB. Se le dimensioni totali di tutti i messaggi all'interno dell'intervallo di tempo superano tale volume, vengono inviati più messaggi.
Ad esempio, circa 18 eventi al secondo si verificano in genere per un tenant di grandi dimensioni con più di 100.000 utenti. Questo valore equivale a 5.400 eventi ogni cinque minuti (300 secondi x 18 eventi). I log di controllo sono di circa 2 KB per evento. Questo valore equivale a 10,8 MB di dati. Quindi, vengono inviati 43 messaggi a Hub eventi in quell'intervallo di cinque minuti.
La tabella seguente contiene i costi stimati al mese per un hub eventi di base negli Stati Uniti occidentali, a seconda del volume di dati degli eventi. Per ottenere una stima del volume di dati previsto per i log, usare il calcolatore prezzi di Hub eventi.
Log di controllo con 100.000 utenti:
| Categoria | Valore |
|---|---|
| Eventi al secondo | 18 |
| Eventi per intervallo di cinque minuti | 5,400 |
| Volume per intervallo | 10,8 MB |
| Messaggi per intervallo | 43 |
| Messaggi al mese | 371,520 |
| Costo stimato al mese (USD) | $10,83 |
Log di controllo con 1.000 utenti:
| Categoria | Valore |
|---|---|
| Eventi al secondo | 0.1 |
| Eventi per intervallo di cinque minuti | 52 |
| Volume per intervallo | 104 KB |
| Messaggi per intervallo | 1 |
| Messaggi al mese | 8,640 |
| Costo stimato al mese (USD) | $10,80 |
Considerazioni sui costi di Log Analytics
Per esaminare i costi correlati alla gestione dell'area di lavoro Log Analytics, passare a Gestire i costi controllando il volume e la conservazione dei dati in Log Analytics.
Domande frequenti (FAQ)
Ottenere risposte alle domande frequenti, inclusi i tempi di latenza, il modo in cui vengono interessati i costi, gli strumenti SIEM supportati e altro ancora.
Quali log sono inclusi?
I log di controllo e i log operativi di Intune sono disponibili per il routing usando questa funzionalità.
Dopo un'azione, quando vengono visualizzati i log nei servizi di Monitoraggio di Azure?
Dopo l'azione:
- I log di controllo e i log operativi di Intune vengono inviati immediatamente da Intune ai servizi di Monitoraggio di Azure.
- I log dell'organizzazione di conformità dei dispositivi di Intune e i dati del report in IntuneDevices vengono inviati da Intune ai servizi di Monitoraggio di Azure ogni 24 ore.
Una volta inviati da Intune, i dati vengono in genere visualizzati nel servizio Monitoraggio di Azure entro 30 minuti.
Cosa accade se un amministratore modifica il periodo di conservazione di un'impostazione di diagnostica?
I nuovi criteri di conservazione vengono applicati ai log raccolti dopo la modifica. I log raccolti prima della modifica dei criteri non sono interessati.
Quanto costa archiviare i dati?
I costi di archiviazione dipendono dalle dimensioni dei log e dal periodo di conservazione scelto. Per un elenco dei costi stimati per i tenant, che dipendono dal volume di log generato, passare a Dimensioni di archiviazione per i log attività (in questo articolo).
Quanto costa trasmettere i dati a Hub eventi di Azure?
I costi di streaming dipendono dal numero di messaggi ricevuti al minuto. Per informazioni dettagliate sul modo in cui vengono calcolati i costi e sulle stime dei costi in base al numero di messaggi, passare a Messaggi di Hub eventi per i log attività (in questo articolo).
Ricerca per categorie integrare i log di controllo di Intune con il sistema SIEM?
Usare Monitoraggio di Azure con Hub eventi per trasmettere i log al sistema SIEM:
- Trasmettere i log a Hub eventi.
- Configurare lo strumento SIEM con gli hub eventi configurati.
Quali strumenti SIEM sono attualmente supportati?
Attualmente , Splunk, QRadar e Sumo Logic (apre un nuovo sito Web) supportano Monitoraggio di Azure. Per altre informazioni sul funzionamento dei connettori, passare a Flusso di dati di monitoraggio di Azure in Hub eventi per l'utilizzo da parte di uno strumento esterno.
È possibile accedere ai dati da Hub eventi di Azure senza usare uno strumento SIEM esterno?
Sì. Per accedere ai log dall'applicazione personalizzata, è possibile usare l'API Hub eventi.
Quali dati vengono archiviati?
Intune non archivia i dati inviati tramite la pipeline. Intune instrada i dati alla pipeline di Monitoraggio di Azure, all'autorità del tenant. Per altre informazioni, vedere Panoramica di Monitoraggio di Azure.
Contenuto correlato
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per