Intune-logboekgegevens verzenden naar Azure Storage, Event Hubs of Log Analytics
Microsoft Intune bevat ingebouwde logboeken met informatie over uw omgeving:
- Auditlogboeken toont een record van activiteiten die een wijziging in Intune genereren, waaronder acties maken, bijwerken (bewerken), verwijderen, toewijzen en externe acties.
- Operationele logboeken bevatten details over gebruikers en apparaten die met succes (of niet) zijn ingeschreven, en details over niet-compatibele apparaten.
- Organisatielogboeken voor apparaatcompatibiliteit bevatten een organisatierapport voor apparaatcompatibiliteit in Intune en details over niet-compatibele apparaten.
- IntuneApparaten tonen apparaatinventaris en statusinformatie voor door Intune ingeschreven en beheerde apparaten.
Deze logboeken kunnen ook worden verzonden naar Azure Monitor-services, waaronder opslagaccounts, Event Hubs en Log Analytics. U kunt met name het volgende doen:
- Archiveer Intune-logboeken naar een Azure Storage-account om de gegevens te bewaren of archiveren gedurende een bepaalde tijd.
- Stream Intune-logboeken naar een Azure Event Hubs voor analyse met behulp van populaire SIEM-hulpprogramma's (Security Information and Event Management), zoals Splunk en QRadar.
- Integreer Intune-logboeken met uw eigen aangepaste logboekoplossingen door ze te streamen naar Event Hubs.
- Intune-logboeken verzenden naar Log Analytics om uitgebreide visualisaties, bewaking en waarschuwingen voor de verbonden gegevens mogelijk te maken.
Deze functies maken deel uit van de diagnostische instellingen in Intune.
In dit artikel leest u hoe u diagnostische instellingen gebruikt om logboekgegevens naar verschillende services te verzenden, geeft voorbeelden & kostenramingen en beantwoordt enkele veelgestelde vragen. Zodra u deze functie hebt ingeschakeld, worden uw logboeken doorgestuurd naar de Azure Monitor-service die u kiest.
Opmerking
Deze logboeken maken gebruik van schema's die kunnen worden gewijzigd. Als u feedback wilt geven, inclusief informatie in de logboeken, gaat u naar Feedback voor Intune.
Vereisten
Als u deze functie wilt gebruiken, hebt u het volgende nodig:
- Een Azure-abonnement waarbij u zich kunt aanmelden. Als u geen Azure-abonnement hebt, kunt u zich registreren voor een gratis proefversie.
- Een Microsoft Intune-omgeving (tenant)
- Een gebruiker die een globale beheerder of Intune-servicebeheerder is voor de Intune-tenant.
- Als u de logboekverzameling vanuit Azure Storage wilt configureren, hebt u de rol Log Analytics-inzender nodig in de Log Analytics-werkruimte. Ga naar Toegang tot logboekgegevens en werkruimten beheren in Azure Monitor voor meer informatie over de verschillende rollen en wat ze kunnen doen.
Afhankelijk van waar u de auditlogboekgegevens wilt routeren, hebt u een van de volgende services nodig:
- Een Azure-opslagaccount met de ListKeys-machtigingen . U wordt aangeraden een algemeen opslagaccount te gebruiken en niet een blob-opslagaccount. Ga naar de Azure Storage-prijscalculator voor informatie over opslagprijzen.
- Een Azure Event Hubs naamruimte om te integreren met oplossingen van derden.
- Een Azure Log Analytics-werkruimte voor het verzenden van logboeken naar Log Analytics.
Logboeken verzenden naar Azure Monitor
Meld u aan bij het Microsoft Intune-beheercentrum.
Selecteer Diagnostische instellingen voor rapporten>. De eerste keer dat u het opent, schakelt u deze in. Anders voegt u een instelling toe.
Als uw Azure-abonnement niet wordt weergegeven, gaat u naar de rechterbovenhoek en selecteert u de map Schakelen tussen aangemelde accounts>. Mogelijk moet u het Azure-abonnementsaccount invoeren.
Geef de volgende eigenschappen op:
Naam: voer een naam in voor de diagnostische instellingen. Deze instelling bevat alle eigenschappen die u invoert. Voer bijvoorbeeld in
Route audit logs to storage account.Archiveren naar een opslagaccount: slaat de logboekgegevens op in een Azure Storage-account. Als u de gegevens wilt opslaan of archiveren, kiest u deze optie.
- Selecteer deze optie >Configureren.
- Kies een bestaand opslagaccount in de lijst >OK.
Streamen naar een Event Hub: streamt de logboeken naar Azure Event Hubs. Als u analyse van uw logboekgegevens wilt met behulp van SIEM-hulpprogramma's, zoals Splunk en QRadar, kiest u deze optie.
- Selecteer deze optie >Configureren.
- Kies een bestaande Event Hubs-naamruimte en -beleid in de lijst >OK.
Verzenden naar Log Analytics: verzendt de gegevens naar Azure Log Analytics. Als u visualisaties, bewaking en waarschuwingen voor uw logboeken wilt gebruiken, kiest u deze optie.
Selecteer deze optie >Configureren.
Maak een nieuwe werkruimte en voer de details van de werkruimte in. Of kies een bestaande werkruimte in de lijst >OK.
De Azure Log Analytics-werkruimte biedt meer informatie over deze instellingen.
LOG>AuditLogs: kies deze optie om de Intune-auditlogboeken te verzenden naar uw opslagaccount, Event Hubs of Log Analytics. In de auditlogboeken wordt de geschiedenis weergegeven van elke taak die een wijziging in Intune genereert, inclusief wie dit heeft gedaan en wanneer. Ga naar IntuneAuditLogs voor meer informatie.
Als u ervoor kiest om een opslagaccount te gebruiken, voert u ook in hoeveel dagen u de gegevens wilt bewaren (retentie). Als u gegevens voor altijd wilt bewaren, stelt u Retentie (dagen) in op
0(nul).LOG>OperationalLogs: operationele logboeken tonen het succes of de fout van gebruikers en apparaten die zijn ingeschreven bij Intune, en details over niet-compatibele apparaten. Kies deze optie om de inschrijvingslogboeken te verzenden naar uw opslagaccount, Event Hubs of Log Analytics. Ga naar IntuneOperationalLogs voor meer informatie.
Als u ervoor kiest om een opslagaccount te gebruiken, voert u ook in hoeveel dagen u de gegevens wilt bewaren (retentie). Als u gegevens voor altijd wilt bewaren, stelt u Retentie (dagen) in op
0(nul).LOG>DeviceComplianceOrg: organisatielogboeken voor apparaatcompatibiliteit bevatten het organisatierapport voor Apparaatcompatibiliteit in Intune en details van niet-compatibele apparaten. Kies deze optie om de nalevingslogboeken te verzenden naar uw opslagaccount, Event Hubs of Log Analytics. Ga naar IntuneApparaatComplianceOrg voor meer informatie.
Als u ervoor kiest om een opslagaccount te gebruiken, voert u ook in hoeveel dagen u de gegevens wilt bewaren (retentie). Als u gegevens voor altijd wilt bewaren, stelt u Retentie (dagen) in op
0(nul).LOG>IntuneApparaten: in het Intune-apparaatlogboek worden de apparaatinventarisatie en statusgegevens voor door Intune ingeschreven en beheerde apparaten weergegeven. Kies deze optie om de IntuneApparaten-logboeken te verzenden naar uw opslagaccount, Event Hubs of Log Analytics. Ga naar IntuneApparaten voor meer informatie.
Als u ervoor kiest om een opslagaccount te gebruiken, voert u ook in hoeveel dagen u de gegevens wilt bewaren (retentie). Als u gegevens voor altijd wilt bewaren, stelt u Retentie (dagen) in op
0(nul).
Wanneer u klaar bent, zien uw instellingen er ongeveer uit als de volgende instellingen:
Sla uw wijzigingen op. Uw instelling wordt weergegeven in de lijst. Zodra de instellingen zijn gemaakt, kunt u de instellingen wijzigen door De instelling>Opslaan bewerken te selecteren.
Auditlogboeken in Intune gebruiken
U kunt ook de auditlogboeken exporteren die worden gebruikt in andere onderdelen van Intune, waaronder inschrijving, naleving, configuratie, apparaten, client-apps en meer.
Ga voor meer informatie naar Auditlogboeken gebruiken om gebeurtenissen bij te houden en te bewaken. U kunt kiezen waar u de auditlogboeken wilt verzenden, zoals beschreven in Logboeken verzenden naar Azure Monitor (in dit artikel).
Eigenschappen van auditlogboek
In het auditlogboek vindt u de volgende eigenschappen en de bijbehorende specifieke waarden:
| Eigenschap | Beschrijving van eigenschap | Waarden |
|---|---|---|
| ActivityType | De actie die de beheerder onderneemt. | Maken, Verwijderen, Patch, Actie, InstellenVerwijzing, RemoveReference, Ophalen, Zoeken |
| ActorType | Persoon die de actie onderneemt. | Onbekend = 0, ItPro, IW, Systeem, Partner, Toepassing, Gastgebruiker |
| Categorie | Het deelvenster waarin de actie heeft plaatsgevonden. | Overige = 0, Inschrijving = 1, Compliance = 2, DeviceConfiguration = 3, Device = 4, Application = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15 |
| ActivityResult | Of de actie is geslaagd of niet | Geslaagd = 1 |
Kostenoverwegingen
Als u al een Microsoft Intune-licentie hebt, hebt u een Azure-abonnement nodig om het opslagaccount en Event Hubs in te stellen. Het Azure-abonnement is doorgaans gratis. Maar u betaalt wel voor het gebruik van Azure-resources, waaronder het opslagaccount voor archivering en Event Hubs voor streaming. De hoeveelheid gegevens en de kosten variëren, afhankelijk van de grootte van de tenant.
Opslaggrootte voor activiteitenlogboeken
Elke auditlogboekgebeurtenis gebruikt ongeveer 2 kB aan gegevensopslag. Voor een tenant met 100.000 gebruikers kunt u ongeveer 1,5 miljoen gebeurtenissen per dag hebben. Mogelijk hebt u ongeveer 3 GB aan gegevensopslag per dag nodig. Omdat schrijfbewerkingen doorgaans plaatsvinden in batches van vijf minuten, kunt u ongeveer 9000 schrijfbewerkingen per maand verwachten.
In de volgende tabellen wordt een kostenraming weergegeven, afhankelijk van de grootte van de tenant. Het bevat ook een v2-opslagaccount voor algemeen gebruik in VS - west voor ten minste één jaar gegevensretentie. Gebruik de prijscalculator voor Azure Storage om een schatting te krijgen van het gegevensvolume dat u voor uw logboeken verwacht.
Auditlogboek met 100.000 gebruikers:
| Categorie | Waarde |
|---|---|
| Gebeurtenissen per dag | 1,5 miljoen |
| Geschatte hoeveelheid gegevens per maand | 90 GB |
| Geschatte kosten per maand (USD) | $1,93 |
| Geschatte kosten per jaar (USD) | $ 23,12 |
Auditlogboek met 1000 gebruikers:
| Categorie | Waarde |
|---|---|
| Gebeurtenissen per dag | 15.000 |
| Geschatte hoeveelheid gegevens per maand | 900 MB |
| Geschatte kosten per maand (USD) | $0,02 |
| Geschatte kosten per jaar (USD) | $0,24 |
Event Hubs-berichten voor activiteitenlogboeken
Gebeurtenissen worden doorgaans batchgewijs in intervallen van vijf minuten uitgevoerd en verzonden als één bericht met alle gebeurtenissen binnen dat tijdsbestek. Een bericht in Event Hubs heeft een maximale grootte van 256 kB. Als de totale grootte van alle berichten binnen het tijdsbestek dat volume overschrijdt, worden meerdere berichten verzonden.
Ongeveer 18 gebeurtenissen per seconde vinden bijvoorbeeld plaats voor een grote tenant van meer dan 100.000 gebruikers. Deze waarde is gelijk aan 5400 gebeurtenissen per vijf minuten (300 seconden x 18 gebeurtenissen). Auditlogboeken zijn ongeveer 2 kB per gebeurtenis. Deze waarde is gelijk aan 10,8 MB aan gegevens. Er worden dus 43 berichten verzonden naar Event Hubs in dat interval van vijf minuten.
De volgende tabel bevat geschatte kosten per maand voor een eenvoudige Event Hubs in VS - west, afhankelijk van de hoeveelheid gebeurtenisgegevens. Gebruik de Event Hubs-prijscalculator om een schatting te krijgen van het gegevensvolume dat u voor uw logboeken verwacht.
Auditlogboek met 100.000 gebruikers:
| Categorie | Waarde |
|---|---|
| Gebeurtenissen per seconde | 18 |
| Gebeurtenissen per interval van vijf minuten | 5,400 |
| Volume per interval | 10,8 MB |
| Berichten per interval | 43 |
| Berichten per maand | 371,520 |
| Geschatte kosten per maand (USD) | $10,83 |
Auditlogboek met 1000 gebruikers:
| Categorie | Waarde |
|---|---|
| Gebeurtenissen per seconde | 0.1 |
| Gebeurtenissen per interval van vijf minuten | 52 |
| Volume per interval | 104 kB |
| Berichten per interval | 1 |
| Berichten per maand | 8,640 |
| Geschatte kosten per maand (USD) | $10,80 |
Kostenoverwegingen voor Log Analytics
Als u de kosten voor het beheren van de Log Analytics-werkruimte wilt bekijken, gaat u naar Kosten beheren door het gegevensvolume en de retentie te beheren in Log Analytics.
Veelgestelde vragen
Krijg antwoorden op veelgestelde vragen, waaronder latentietijden, hoe kosten worden beïnvloed, ondersteunde SIEM-hulpprogramma's en meer.
Welke logboeken zijn inbegrepen?
De Intune-auditlogboeken en operationele logboeken zijn beschikbaar voor routering met behulp van deze functie.
Wanneer worden de logboeken na een actie weergegeven in de Azure Monitor-services?
Na de actie:
- De Intune-auditlogboeken en operationele logboeken worden onmiddellijk vanuit Intune verzonden naar Azure Monitor-services.
- De rapportgegevens van de intune-apparaatcompatibiliteitslogboeken en IntuneApparaten worden elke 24 uur van Intune naar Azure Monitor-services verzonden.
Zodra de gegevens zijn verzonden vanuit Intune, worden deze doorgaans binnen 30 minuten weergegeven in de Azure Monitor-service.
Wat gebeurt er als een beheerder de bewaarperiode van een diagnostische instelling wijzigt?
Het nieuwe bewaarbeleid wordt toegepast op logboeken die na de wijziging zijn verzameld. Logboeken die vóór de beleidswijziging zijn verzameld, worden niet beïnvloed.
Hoeveel kost het om mijn gegevens op te slaan?
De opslagkosten zijn afhankelijk van de grootte van uw logboeken en de bewaarperiode die u kiest. Voor een lijst met de geschatte kosten voor tenants, die afhankelijk zijn van het gegenereerde logboekvolume, gaat u naar Opslaggrootte voor activiteitenlogboeken (in dit artikel).
Hoeveel kost het om mijn gegevens naar Azure Event Hubs te streamen?
De streamingkosten zijn afhankelijk van het aantal berichten dat u per minuut ontvangt. Ga naar Event Hubs-berichten voor activiteitenlogboeken ( in dit artikel) voor meer informatie over hoe kosten worden berekend en kostenramingen op basis van het aantal berichten.
Hoe kan ik Intune-auditlogboeken integreren met mijn SIEM-systeem?
Gebruik Azure Monitor met Event Hubs om logboeken naar uw SIEM-systeem te streamen:
- Stream de logboeken naar Event Hubs.
- Stel uw SIEM-hulpprogramma in met de geconfigureerde Event Hubs.
Welke SIEM-hulpprogramma's worden momenteel ondersteund?
Momenteel ondersteunen Splunk, QRadar en Sumo Logic (opent een nieuwe website) Azure Monitor. Ga naar Azure-bewakingsgegevens streamen naar Event Hubs voor verbruik door een extern hulpprogramma voor meer informatie over hoe de connectors werken.
Heb ik toegang tot de gegevens vanuit Azure Event Hubs zonder een extern SIEM-hulpprogramma te gebruiken?
Ja. Voor toegang tot de logboeken vanuit uw aangepaste toepassing kunt u de Event Hubs-API gebruiken.
Welke gegevens worden opgeslagen?
Intune slaat geen gegevens op die via de pijplijn worden verzonden. Intune stuurt gegevens naar de Azure Monitor-pijplijn, op basis van de instantie van de tenant. Ga naar Overzicht van Azure Monitor voor meer informatie.
Verwante onderwerpen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor