Intune でストレージ、イベントハブ、または Log Analytics にログ データを送信する (プレビュー)Send log data to storage, event hubs, or log analytics in Intune (preview)

Microsoft Intune には、お客様の環境に関する情報を提供する組み込みのログがあります。Microsoft Intune includes built-in logs that provide information about your environment:

  • 監査ログには、作成、更新 (編集)、削除、割り当て、リモート アクションなど、Intune で変更を生成するアクティビティの記録が表示されます。Audit Logs shows a record of activities that generate a change in Intune, including create, update (edit), delete, assign, and remote actions.
  • 操作ログ (プレビュー) には、登録に成功した (または失敗した) ユーザーとデバイスの詳細、およびコンプライアンス非対応のデバイスの詳細が表示されます。Operational Logs (preview) show details on users and devices that successfully (or failed) to enroll, and details on non-compliant devices.
  • デバイス コンプライアンス組織ログ (プレビュー) には、Intune のデバイス コンプライアンスに関する組織レポート、およびコンプライアンス非準拠のデバイスの詳細が表示されます。Device Compliance Organizational Logs (preview) show an organizational report for device compliance in Intune, and details on non-compliant devices.

これらのログは、ストレージ アカウント、イベント ハブ、Log Analytics などの Azure Monitor サービスに送信することもできます。These logs can also be sent to Azure Monitor services, including storage accounts, event hubs, and log analytics. 具体的には次のことができます。Specifically, you can:

  • Intune ログを Azure ストレージ アカウントにアーカイブしてデータを保持するか、一定時間アーカイブする。Archive Intune logs to an Azure storage account to keep the data, or archive for a set time.
  • Intune ログを Azure イベント ハブにストリームし、Splunk や QRadar などの一般的なセキュリティ情報およびイベント管理 (SIEM) ツールを使用して分析する。Stream Intune logs to an Azure event hub for analytics using popular Security Information and Event Management (SIEM) tools, such as Splunk and QRadar.
  • Intune ログをイベント ハブにストリームして、独自のカスタム ログ ソリューションと統合する。Integrate Intune logs with your own custom log solutions by streaming them to an event hub.
  • Intune ログを Log Analytics に送信して、接続されているデータの高度な視覚化、監視、および警告を実現する。Send Intune logs to Log Analytics to enable rich visualizations, monitoring, and alerting on the connected data.

このような機能は、Intune の診断設定の一部です。These features are part of the Diagnostics Settings in Intune.

この記事では、 [診断設定] を使用してログ データをさまざまなサービスに送信する方法について説明し、例とコストの見積もりを示し、よく寄せられる質問に回答します。This article shows you how to use Diagnostics Settings to send log data to different services, gives examples and estimates of costs, and answers some common questions. この機能を有効にすると、選択した Azure Monitor サービスにログがルーティングされます。Once you enable this feature, your logs are routed to the Azure Monitor service you choose.

[前提条件]Prerequisites

この機能を使用するには、以下が必要です。To use this feature, you need:

  • Azure サブスクリプション:Azure サブスクリプションをお持ちでない場合は、無料試用版にサインアップすることができます。An Azure subscription: If you don't have an Azure subscription, you can sign up for a free trial.
  • Azure 内の Microsoft Intune 環境 (テナント)A Microsoft Intune environment (tenant) in Azure
  • Intune テナントの全体管理者または Intune サービス管理者であるユーザー。A user who's a Global Administrator or Intune Service Administrator for the Intune tenant.

監査ログ データをルーティングする場所によっては、次のいずれかのサービスが必要になります。Depending on where you want to route the audit log data, you need one of the following services:

ログを Azure Monitor に送信するSend logs to Azure monitor

  1. Microsoft Endpoint Manager 管理センターにサインインします。Sign in to the Microsoft Endpoint Manager admin center.

  2. [レポート] > [診断設定] を選択します。Select Reports > Diagnostics settings. 初めて開いたときに有効にします。The first time you open it, turn it on. それ以外の場合、設定を追加します。Otherwise, add a setting.

    Intune の [診断設定] を有効にして、Azure Monitor にログを送信するTurn on Diagnostics settings in Intune to send logs to Azure Monitor

  3. 次のプロパティを入力します。Enter the following properties:

    • 名前:診断設定の名前を入力します。Name: Enter a name for the diagnostic settings. この設定には、入力したすべてのプロパティが含まれます。This setting includes all the properties you enter. たとえば、「Route audit logs to storage account」と入力します。For example, enter Route audit logs to storage account.

    • [ストレージ アカウントへのアーカイブ] :ログ データを Azure ストレージ アカウントに保存します。Archive to a storage account: Saves the log data to an Azure storage account. データを保存またはアーカイブする場合は、このオプションを使用します。Use this option if you want to save or archive the data.

      1. このオプションを選択し、 [構成] を選択します。Select this option > Configure.
      2. 一覧から既存のストレージ アカウントを選択し、 [OK] を選択します。Choose an existing storage account from the list > OK.
    • [イベント ハブへのストリーム] :ログを Azure イベント ハブにストリームします。Stream to an event hub: Streams the logs to an Azure event hub. Splunk や QRadar などの SIEM ツールを使用してログ データを分析する場合は、このオプションを選択します。If you want analytics on your log data using SIEM tools, such as Splunk and QRadar, choose this option.

      1. このオプションを選択し、 [構成] を選択します。Select this option > Configure.
      2. 一覧から既存のイベント ハブ名前空間とポリシーを選択し、 [OK] を選択します。Choose an existing event hub namespace and policy from the list > OK.
    • [Log Analytics への送信] :Azure Log Analytics にデータを送信します。Send to Log Analytics: Sends the data to Azure log analytics. ログの視覚化、監視、アラートを使用する場合は、このオプションを選択します。If you want to use visualizations, monitoring and alerting for your logs, choose this option.

      1. このオプションを選択し、 [構成] を選択します。Select this option > Configure.

      2. 新しいワークスペースを作成し、ワークスペースの詳細を入力します。Create a new workspace, and enter the workspace details. または、一覧から既存のワークスペースを選択し、 [OK] を選択します。Or, choose an existing workspace from the list > OK.

        このような設定の詳細については、Azure Log Analytics ワークスペースに関するページを参照してください。Azure log analytics workspace provides more details on these settings.

    • [ログ] > [AuditLogs] :Intune 監査ログをストレージ アカウント、イベント ハブ、または Log Analytics に送信するには、このオプションを選択します。LOG > AuditLogs: Choose this option to send the Intune audit logs to your storage account, event hub, or log analytics. 監査ログには、Intune で変更を生成したすべてのタスクの履歴 (誰がいつ行ったのかなど) が表示されます。The audit logs show the history of every task that generates a change in Intune, including who did it and when.

      ストレージ アカウントの使用を選択した場合は、データを保持する日数 (リテンション期間) も入力します。If you choose to use a storage account, then also enter how many days you want to keep the data (retention). データを永続的に保持するには、 [リテンション期間 (日数)]0 (ゼロ) に設定します。To keep data forever, set Retention (days) to 0 (zero).

    • [ログ] > [OperationalLogs] :操作ログ (プレビュー) には、Intune に登録したユーザーとデバイスの成功または失敗と、コンプライアンス非対応のデバイスの詳細が表示されます。LOG > OperationalLogs: Operational logs (preview) show the success or failure of users and devices that enroll in Intune, as well as details on non-compliant devices. 登録ログをストレージ アカウント、イベント ハブ、または Log Analytics に送信するには、このオプションを選択します。Choose this option to send the enrollment logs to your storage account, event hub, or log analytics.

      ストレージ アカウントの使用を選択した場合は、データを保持する日数 (リテンション期間) も入力します。If you choose to use a storage account, then also enter how many days you want to keep the data (retention). データを永続的に保持するには、 [リテンション期間 (日数)]0 (ゼロ) に設定します。To keep data forever, set Retention (days) to 0 (zero).

      注意

      操作ログはプレビュー段階です。Operational logs are in preview. 操作ログに含まれる情報など、フィードバックを提供するには、UserVoice にアクセスしてください。To provide feedback, including information in the operational logs, go to UserVoice.

    • LOG > DeviceComplianceOrg:デバイス コンプライアンス組織ログ (プレビュー) には、Intune のデバイス コンプライアンスに関する組織レポート、およびコンプライアンス非準拠のデバイスの詳細が表示されます。LOG > DeviceComplianceOrg: Device compliance organizational logs (preview) show the organizational report for Device Compliance in Intune, and details of non-compliant devices. コンプライアンス ログをストレージ アカウント、イベント ハブ、または Log Analytics に送信するには、このオプションを選択します。Choose this option to send the compliance logs to your storage account, event hub, or log analytics.

      ストレージ アカウントの使用を選択した場合は、データを保持する日数 (リテンション期間) も入力します。If you choose to use a storage account, then also enter how many days you want to keep the data (retention). データを永続的に保持するには、 [リテンション期間 (日数)]0 (ゼロ) に設定します。To keep data forever, set Retention (days) to 0 (zero).

      注意

      デバイス コンプライアンス組織ログはプレビューの段階にあります。Device compliance organizational logs are in preview. レポートに含まれる情報など、フィードバックを提供するには、UserVoice にアクセスしてください。To provide feedback, including information in the report, go to UserVoice.

    完了すると、設定は次のようになります。When finished, your settings look similar to the following settings:

    Intune 監査ログが Azure ストレージ アカウントに送信されるサンプル画像Sample image that sends Intune audit logs to an Azure storage account

  4. 変更内容を保存します。Save your changes. 一覧に設定が表示されます。Your setting is shown in the list. 作成された後は、 [設定の編集] > [保存] を選択して設定を変更できます。Once it's created, you can change the settings by selecting Edit setting > Save.

Intune 全体で監査ログを使用するUse audit logs throughout Intune

登録、コンプライアンス、構成、デバイス、クライアント アプリなど、Intune の他の部分で監査ログをエクスポートすることもできます。You can also export the audit logs in other parts of Intune, including enrollment, compliance, configuration, devices, client apps, and more.

詳細については、監査ログを使用したイベントの追跡と監視に関するページを参照してください。For more information, see Use audit logs to track and monitor events. ログを Azure Monitor に送信する」 (この記事内) で説明されているように、監査ログの送信先を選択することもできます。You can choose where to send the audit logs, as described in send logs to Azure monitor (in this article).

監査ログのプロパティAudit log properties

監査ログでは、特定の値を持つプロパティを見つけることができます。In the audit log, you can find properties that have specific values. 次の表にこれらの詳細を示します。The following table provides these details.

プロパティProperty プロパティの説明Property description Values
ActivityTypeActivityType 管理者が実行するアクション。The action that the admin takes. Create、Delete、Patch、Action、SetReference、RemoveReference、Get、SearchCreate, Delete, Patch, Action, SetReference, RemoveReference, Get, Search
ActorTypeActorType アクションを実行しているユーザー。Person taking the action. Unknown = 0、ItPro、IW、System、Partner、Application、GuestUserUnknown = 0, ItPro, IW, System, Partner, Application, GuestUser
カテゴリCategory アクションが実行されたペイン。The pane in which the action took place. Other = 0、Enrollment = 1、Compliance = 2、DeviceConfiguration = 3、Device = 4、Application = 5、EBookManagement = 6、ConditionalAccess= 7、OnPremiseAccess= 8、Role = 9、SoftwareUpdates =10、DeviceSetupConfiguration = 11、DeviceIntent = 12、DeviceIntentSetting = 13、DeviceSecurity = 14、GroupPolicyAnalytics = 15Other = 0, Enrollment = 1, Compliance = 2, DeviceConfiguration = 3, Device = 4, Application = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15
ActivityResultActivityResult アクションが成功したかどうか。Whether the action has been successful or not. Success = 1Success = 1

コストの考慮事項Cost considerations

Microsoft Intune ライセンスを既にお持ちの場合は、ストレージ アカウントとイベント ハブを設定するために Azure サブスクリプションが必要です。If you already have a Microsoft Intune license, you need an Azure subscription to set up the storage account and event hub. 通常、Azure サブスクリプションは無料です。The Azure subscription is typically free. ただし、アーカイブ用のストレージ アカウントやストリーム用のイベント ハブなど、Azure のリソース使用には料金がかかります。But, you do pay to use Azure resources, including the storage account for archival and the event hub for streaming. データやコストの合計は、テナントの規模によって変わります。The amount of data and the costs vary depending on the tenant size.

アクティビティ ログのストレージ サイズStorage size for activity logs

各監査ログ イベントでは、データ ストレージに約 2 KB が使用されます。Every audit log event uses about 2 KB of data storage. ユーザー数が 100,000 のテナントの場合、1 日に約 150 万個のイベントが発生する可能性があります。For a tenant with 100,000 users, you may have about 1.5 million events per day. 1 日に約 3 GB のデータ ストレージが必要になる可能性があります。You may need about 3 GB of data storage per day. 通常、書き込みは 5 分単位のバッチで行われるため、1 か月あたり約 9,000 個の書き込み操作が予想されます。Because writes typically happen in five-minute batches, you can expect approximately 9,000 write operations per month.

次の表は、テナントの規模に応じたコスト見積もりを示しています。The following tables show a cost estimate depending on the size of the tenant. また、少なくとも 1 年間のデータ保持のために、米国西部の汎用 v2 ストレージ アカウントも含まれています。It also includes a general-purpose v2 storage account in West US for at least one year of data retention. ログについて予想されるデータ量の見積もりを取得するには、Azure Storage 料金計算ツールを使用します。To get an estimate for the data volume that you expect for your logs, use the Azure storage pricing calculator.

100,000 ユーザーの監査ログAudit log with 100,000 users

カテゴリCategory Value
1 日あたりのイベントEvents per day 150 万1.5 million
1 か月あたりの推定データ量Estimated volume of data per month 90 GB90 GB
1 か月あたりの推定コスト (USD)Estimated cost per month (USD) 1.93 ドル$1.93
1 年あたりの推定コスト (USD)Estimated cost per year (USD) 23.12 ドル$23.12

1,000 ユーザーの監査ログAudit log with 1,000 users

カテゴリCategory Value
1 日あたりのイベントEvents per day 15,00015,000
1 か月あたりの推定データ量Estimated volume of data per month 900 MB900 MB
1 か月あたりの推定コスト (USD)Estimated cost per month (USD) 0.02 ドル$0.02
1 年あたりの推定コスト (USD)Estimated cost per year (USD) 0.24 ドル$0.24

アクティビティ ログのイベント ハブのメッセージEvent hub messages for activity logs

通常、イベントは 5 分間隔でバッチ処理され、その時間枠内のすべてのイベントを含む単一のメッセージとして送信されます。Events are typically batched in five-minute intervals, and sent as a single message with all the events within that timeframe. イベント ハブ内のメッセージの最大サイズは 256 KB です。A message in the event hub has a maximum size of 256 KB. 時間枠内のすべてのメッセージの合計サイズがその量を超えると、複数のメッセージが送信されます。If the total size of all the messages within the timeframe exceed that volume, then multiple messages are sent.

たとえば、ユーザーが 100,000 人を超える大規模なテナントの場合、通常、1 秒間に約 18 個のイベントが発生します。For example, about 18 events per second typically happen for a large tenant of more than 100,000 users. これは、5 分ごとに 5,400 イベント (300 秒 x 18 イベント) に相当します。This equates to 5,400 events every five minutes (300 seconds x 18 events). 監査ログはイベントごとに約 2 KB です。Audit logs are about 2 KB per event. これは 10.8 MB のデータに相当します。This equates to 10.8 MB of data. そのため、この 5 分間隔で 43 個のメッセージがイベント ハブに送信されます。So, 43 messages are sent to the event hub in that five-minute interval.

次の表は、イベント データの量に基づく、米国西部の基本的なイベント ハブの 1 か月のコストの見積もりを示します。The following table contains estimated costs per month for a basic event hub in West US, depending on the volume of event data. ログについて予想されるデータ量の見積もりを取得するには、イベント ハブ料金計算ツールを使用します。To get an estimate of the data volume that you expect for your logs, use the Event Hubs pricing calculator.

100,000 ユーザーの監査ログAudit log with 100,000 users

カテゴリCategory Value
1 秒あたりのイベント数Events per second 1818
5 分間隔あたりのイベント数Events per five-minute interval 5,4005,400
間隔あたりの量Volume per interval 10.8 MB10.8 MB
間隔あたりのメッセージ数Messages per interval 4343
1 か月あたりのメッセージ数Messages per month 371,520371,520
1 か月あたりの推定コスト (USD)Estimated cost per month (USD) 10.83 ドル$10.83

1,000 ユーザーの監査ログAudit log with 1,000 users

カテゴリCategory Value
1 秒あたりのイベント数Events per second 0.10.1
5 分間隔あたりのイベント数Events per five-minute interval 5252
間隔あたりの量Volume per interval 104 KB104 KB
間隔あたりのメッセージ数Messages per interval 11
1 か月あたりのメッセージ数Messages per month 8,6408,640
1 か月あたりの推定コスト (USD)Estimated cost per month (USD) 10.80 ドル$10.80

Log Analytics のコストに関する考慮事項Log Analytics cost considerations

Log Analytics ワークスペースの管理に関連するコストをレビューするには、「Log Analytics でデータ ボリュームと保有期間を制御してコストを管理する」を参照してください。To review costs related to managing the Log Analytics workspace, see Manage cost by controlling data volume and retention in Log Analytics.

よく寄せられる質問Frequently asked questions

ここでは、よく寄せられる質問に対して回答を示し、Azure Monitor での Intune ログに関する既知の問題について説明します。Get answers to frequently asked questions, and read about any known issues with Intune logs in Azure Monitor.

どのログが含まれていますか。Which logs are included?

監査ログと操作 (プレビュー) ログは、いずれもこの機能を使用したルーティングのために使用できます。Audit logs and operational (preview) logs are both available for routing using this feature.

アクションの後、対応するログがイベント ハブに表示されるのはいつですか。After an action, when do the corresponding logs show up in the event hub?

通常、ログはアクションが実行されてから数分以内にイベント ハブに表示されます。The logs typically show up in your event hub within several minutes after the action is performed. 詳細については、Azure Event Hubs の概要に関するページを参照してください。What is Azure Event Hubs? provides more information.

アクションの後、対応するログがストレージ アカウントに表示されるのはいつですか。After an action, when do the corresponding logs show up in the storage account?

Azure ストレージ アカウントの場合、待ち時間はアクションの実行後 5 分から 15 分です。For Azure storage accounts, the latency is anywhere from 5 to 15 minutes after the action runs.

管理者が診断設定の保持期間を変更するとどうなりますか。What happens if an Administrator changes the retention period of a diagnostic setting?

新しいアイテム保持ポリシーは、変更後に収集されたログに適用されます。The new retention policy is applied to logs collected after the change. ポリシーの変更前に収集されたログは影響を受けません。Logs collected before the policy change are unaffected.

データの保存にかかるコストはどのくらいですか。How much does it cost to store my data?

ストレージ コストは、ログのサイズと選択した保持期間によって変わります。The storage costs depend on the size of your logs and the retention period you choose. 生成されるログの量に応じたテナントの推定コストの一覧については、「アクティビティ ログのストレージ サイズ」(この記事) を参照してください。For a list of the estimated costs for tenants, which depend on the log volume generated, see the Storage size for activity logs (in this article).

データをイベント ハブにストリームするためにかかるコストはどのくらいですか。How much does it cost to stream my data to an event hub?

ストリーミングの料金は、1 分あたりに受信するメッセージの数によって異なります。The streaming costs depend on the number of messages you receive per minute. メッセージ数に基づくコストの計算方法とコスト見積もりの詳細については、「アクティビティ ログのイベント ハブ メッセージ」(この記事) を参照してください。For details on how costs are calculated and cost estimates based on the number of messages, see Event hub messages for activity logs (in this article).

Intune の監査ログを SIEM システムと統合するにはどうすればよいですか。How do I integrate Intune audit logs with my SIEM system?

Azure Monitor と Event Hubs を使用して、ログを SIEM システムにストリーム配信する。Use Azure Monitor with Event Hubs to stream logs to your SIEM system. まず、ログをイベント ハブにストリームします。First, stream the logs to an event hub. 次に、構成したイベント ハブを使用して SIEM ツールを設定します。Then, set up your SIEM tool with the configured event hub.

現在サポートされている SIEM ツールは何ですか。What SIEM tools are currently supported?

現在、Azure Monitor は、Splunk、QRadar、および Sumo Logic でサポートされています (新しい Web サイトが開きます)。Currently, Azure Monitor is supported by Splunk, QRadar, and Sumo Logic (opens a new website). コネクタのしくみの詳細については、「外部ツールで使用する Azure 監視データのイベント ハブへのストリーミング」を参照してください。For more information about how the connectors work, see Stream Azure monitoring data to an event hub for consumption by an external tool.

外部の SIEM ツールを使用せずにイベント ハブのデータにアクセスできますか。Can I access the data from an event hub without using an external SIEM tool?

はい。Yes. カスタム アプリケーションからログにアクセスするには、Event Hubs API を使用します。To access the logs from your custom application, you can use the Event Hubs API.

どのデータが保存されますか。What data is stored?

Intune では、パイプラインを介して送信されたデータは保存されません。Intune doesn't store any data sent through the pipeline. Intune では、テナントの権限でデータが Azure Monitor パイプラインにルーティングされます。Intune routes data to the Azure Monitor pipeline, at the authority of the tenant. 詳細については、「Azure Monitor の概要」を参照してください。For more information, see Azure Monitor overview.

次のステップNext steps