Enviar dados de log do Intune para o Armazenamento do Azure, Hubs de Eventos ou Log Analytics
O Microsoft Intune inclui logs internos que fornecem informações sobre o ambiente:
- Logs de Auditoria mostra um registro de atividades que geram uma alteração no Intune, incluindo ações de criar, atualizar (editar), excluir, atribuir e remotas.
- Os logs operacionais mostram detalhes sobre usuários e dispositivos que foram registrados com êxito (ou falha) e detalhes sobre dispositivos não compatíveis.
- Os logs organizacionais de conformidade do dispositivo mostram um relatório organizacional para conformidade do dispositivo no Intune e detalhes sobre dispositivos não compatíveis.
- IntuneDevices mostrar informações de inventário e status do dispositivo para dispositivos registrados e gerenciados do Intune.
Esses logs também podem ser enviados para serviços do Azure Monitor, incluindo contas de armazenamento, Hubs de Eventos e Log Analytics. Especificamente, você pode:
- Arquive os logs do Intune em uma conta de Armazenamento do Azure para manter os dados ou arquivar por um tempo definido.
- Transmita logs do Intune para um Hubs de Eventos do Azure para análise usando ferramentas populares de SIEM (Gerenciamento de Eventos e Informações de Segurança), como Splunk e QRadar.
- Integre os logs do Intune com suas próprias soluções de log personalizadas transmitindo-os para Hubs de Eventos.
- Envie logs do Intune para o Log Analytics para ativar visualizações, monitoramento e alertas avançados sobre os dados conectados.
Esses recursos fazem parte das Configurações de Diagnóstico no Intune.
Este artigo mostra como usar configurações de diagnóstico para enviar dados de log para diferentes serviços, fornece exemplos & estimativas de custo e responde a algumas perguntas comuns. Depois de habilitar esse recurso, os logs serão encaminhados para o serviço do Azure Monitor escolhido.
Observação
Esses logs usam esquemas que podem ser alterados. Para fornecer comentários, incluindo informações nos logs, acesse Comentários do Intune.
Pré-requisitos
Para usar esse recurso, você precisa de:
- Uma assinatura do Azure com a qual você possa entrar. Se você não tiver uma assinatura do Azure, você pode se inscrever para uma avaliação gratuita.
- Um ambiente Microsoft Intune (locatário)
- Um usuário que seja Administrador Global ou Administrador de Serviços do Intune no locatário do Intune.
- Para configurar a coleção de logs do Armazenamento do Microsoft Azure, você precisa da função Colaborador de Análise de Registros no Espaço de Trabalho do Log Analytics. Para obter mais informações sobre as diferentes funções e o que elas podem fazer, acesse Gerenciar acesso a dados de log e workspaces no Azure Monitor.
Dependendo de onde você deseja rotear os dados de log de auditoria, serão necessários um dos serviços a seguir:
- Uma conta de armazenamento do Azure com as permissões ListKeys . É recomendável que você use uma conta de armazenamento geral e não uma conta de armazenamento de blobs. Para obter informações sobre preços de armazenamento, acesse a calculadora de preços do Armazenamento do Azure.
- Um namespace Hubs de Eventos do Azure para integrar com soluções de parceiros de terceiros.
- Um workspace do Azure Log Analytics para enviar logs para o Log Analytics.
Enviar logs ao Azure Monitor
Selecione Relatórios>Configurações de diagnóstico. Na primeira vez que o abrir, ative-o. Caso contrário, adicione uma configuração.
Se sua assinatura do Azure não for mostrada, vá para o canto superior direito, selecione o diretório Comutador de conta > conectado. Talvez seja necessário inserir a conta de assinatura do Azure.
Insira as seguintes propriedades:
Nome: insira um nome para as configurações de diagnóstico. Essa configuração inclui todas as propriedades que você inserir. Por exemplo, digite
Route audit logs to storage account.Arquivo em uma conta de armazenamento: salva os dados de log em uma conta de Armazenamento do Azure. Se você quiser salvar ou arquivar os dados, escolha essa opção.
- Selecione esta opção >Configurar.
- Escolha uma conta de armazenamento existente na lista >OK.
Transmitir para um hub de eventos: transmite os logs para Hubs de Eventos do Azure. Se você quiser análise em seus dados de log usando ferramentas SIEM, como Splunk e QRadar, escolha essa opção.
- Selecione esta opção >Configurar.
- Escolha um namespace e uma política de Hubs de Eventos existentes na lista >OK.
Enviar para o Log Analytics: envia os dados para o Azure Log Analytics. Se você quiser usar visualizações, monitoramento e alertas para seus logs, escolha essa opção.
Selecione esta opção >Configurar.
Crie um novo workspace e insira os detalhes do workspace. Ou escolha um workspace existente na lista >OK.
O workspace do Azure Log Analytics fornece mais detalhes sobre essas configurações.
LOG>AuditLogs: escolha essa opção para enviar os logs de auditoria do Intune para sua conta de armazenamento, Hubs de Eventos ou Log Analytics. Os logs de auditoria mostram o histórico de todas as tarefas que gera uma alteração no Intune, incluindo quem realizou a tarefa e quando. Para obter mais informações de referência, acesse IntuneAuditLogs.
Se você optar por usar uma conta de armazenamento, insira também quantos dias deseja manter os dados (retenção). Para manter os dados permanentemente, defina a Retenção (dias) como
0(zero).LOG>OperationalLogs: os logs operacionais mostram o sucesso ou a falha de usuários e dispositivos que se registram no Intune e detalhes sobre dispositivos não compatíveis. Escolha essa opção para enviar os logs de registro para sua conta de armazenamento, Hubs de Eventos ou Log Analytics. Para obter mais informações de referência, acesse IntuneOperationalLogs.
Se você optar por usar uma conta de armazenamento, insira também quantos dias deseja manter os dados (retenção). Para manter os dados permanentemente, defina a Retenção (dias) como
0(zero).LOG>DeviceComplianceOrg: os logs organizacionais de conformidade do dispositivo mostram o relatório organizacional para conformidade do dispositivo no Intune e os detalhes de dispositivos não compatíveis. Escolha essa opção para enviar os logs de conformidade para sua conta de armazenamento, Hubs de Eventos ou Log Analytics. Para obter mais informações de referência, acesse IntuneDeviceComplianceOrg.
Se você optar por usar uma conta de armazenamento, insira também quantos dias deseja manter os dados (retenção). Para manter os dados permanentemente, defina a Retenção (dias) como
0(zero).LOG>IntuneDevices: o log de Dispositivos do Intune mostra informações de inventário e status do dispositivo para dispositivos registrados e gerenciados pelo Intune. Escolha essa opção para enviar os logs do IntuneDevices para sua conta de armazenamento, Hubs de Eventos ou Log Analytics. Para obter mais informações de referência, acesse IntuneDevices.
Se você optar por usar uma conta de armazenamento, insira também quantos dias deseja manter os dados (retenção). Para manter os dados permanentemente, defina a Retenção (dias) como
0(zero).
Quando terminar, suas configurações serão semelhantes às seguintes configurações:
Salve suas alterações. A configuração é mostrada na lista. Depois que as configurações forem criadas, você poderá alterar as configurações selecionando Editar configuração>Salvar.
Usar logs de auditoria em todo o Intune
Você também pode exportar os logs de auditoria usados em outras partes do Intune, incluindo registro, conformidade, configuração, dispositivos, aplicativos cliente e muito mais.
Para obter mais informações, acesse Usar logs de auditoria para acompanhar e monitorar eventos. É possível escolher para onde enviar os logs de auditoria, conforme descrito em enviar logs para o Azure Monitor (neste artigo).
Propriedades do log de auditoria
No log de auditoria, você pode encontrar as seguintes propriedades e seus valores específicos:
| Propriedade | Descrição da propriedade | Values |
|---|---|---|
| ActivityType | A ação tomada pelo administrador. | Create, Delete, Patch, Action, SetReference, RemoveReference, Get, Search |
| ActorType | Pessoa que está realizando a ação. | Unknown = 0, ItPro, IW, System, Partner, Application, GuestUser |
| Categoria | O painel em que a ação ocorreu. | Outros = 0, Registro = 1, Conformidade = 2, DeviceConfiguration = 3, Dispositivo = 4, Application = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15 |
| ActivityResult | Se a ação foi bem-sucedida ou não | Success = 1 |
Considerações de custos
Se você já tiver uma licença Microsoft Intune, precisará de uma assinatura do Azure para configurar a conta de armazenamento e os Hubs de Eventos. Geralmente, a assinatura do Azure é gratuita. Mas, você paga para usar recursos do Azure, incluindo a conta de armazenamento para arquivamento e Hubs de Eventos para streaming. A quantidade de dados e os custos variam dependendo do tamanho do locatário.
Tamanho do armazenamento para logs de atividade
Cada evento de log de auditoria usa cerca de 2 KB de armazenamento de dados. Para um locatário com 100.000 usuários, você pode ter cerca de 1,5 milhão de eventos por dia. Talvez seja necessário cerca de 3 GB de armazenamento de dados por dia. Como as gravações normalmente acontecem em lotes de cinco minutos, você pode esperar aproximadamente 9.000 operações de gravação por mês.
As tabelas a seguir mostram uma previsão de custo, dependendo do tamanho do locatário. Ele também inclui uma conta de armazenamento v2 de uso geral no oeste dos EUA para pelo menos um ano de retenção de dados. Para obter uma previsão do volume de dados que você espera para seus logs, use a Calculadora de preços de armazenamento do Azure.
Log de auditoria com 100.000 usuários:
| Categoria | Valor |
|---|---|
| Eventos por dia | 1,5 milhão |
| Volume estimado de dados por mês | 90 GB |
| Custo previsto por mês (USD) | US$ 1,93 |
| Custo previsto por ano (USD) | US$ 23,12 |
Log de auditoria com 1.000 usuários:
| Categoria | Valor |
|---|---|
| Eventos por dia | 15.000 |
| Volume estimado de dados por mês | 900 MB |
| Custo previsto por mês (USD) | US$ 0,02 |
| Custo previsto por ano (USD) | US$ 0,24 |
Mensagens dos Hubs de Eventos para logs de atividades
Os eventos são normalmente agrupados em intervalos de cinco minutos e enviados como uma única mensagem com todos os eventos desse período. Uma mensagem em Hubs de Eventos tem um tamanho máximo de 256 KB. Se o tamanho total de todas as mensagens no período de tempo exceder esse volume, várias mensagens serão enviadas.
Por exemplo, cerca de 18 eventos por segundo geralmente ocorrem em um locatário de grande porte com mais de 100.000 usuários. Esse valor equivale a 5.400 eventos a cada cinco minutos (300 segundos x 18 eventos). Os logs de auditoria têm cerca de 2 KB por evento. Esse valor equivale a 10,8 MB de dados. Portanto, 43 mensagens são enviadas aos Hubs de Eventos nesse intervalo de cinco minutos.
A tabela a seguir contém custos estimados por mês para um hub de eventos básico no oeste dos EUA, dependendo do volume de dados de eventos. Para obter uma previsão do volume de dados que você espera para seus logs, use a Calculadora de preços dos Hubs de Eventos.
Log de auditoria com 100.000 usuários:
| Categoria | Valor |
|---|---|
| Eventos por segundo | 18 |
| Eventos por intervalo de cinco minutos | 5.400 |
| Volume por intervalo | 10,8 MB |
| Mensagens por intervalo | 43 |
| Mensagens por mês | 371.520 |
| Custo previsto por mês (USD) | US$ 10,83 |
Log de auditoria com 1.000 usuários:
| Categoria | Valor |
|---|---|
| Eventos por segundo | 0,1 |
| Eventos por intervalo de cinco minutos | 52 |
| Volume por intervalo | 104 KB |
| Mensagens por intervalo | 1 |
| Mensagens por mês | 8.640 |
| Custo previsto por mês (USD) | US$ 10,80 |
Considerações de custo do Log Analytics
Para examinar os custos relacionados ao gerenciamento do workspace do Log Analytics, acesse Gerenciar custo controlando o volume e a retenção de dados no Log Analytics.
Perguntas frequentes (FAQ)
Obtenha respostas para perguntas frequentes, incluindo tempos de latência, como os custos são afetados, ferramentas SIEM com suporte e muito mais.
Quais logs são incluídos?
Os logs de Auditoria do Intune e os logs operacionais estão disponíveis para roteamento usando esse recurso.
Após uma ação, quando os logs aparecem nos serviços do Azure Monitor?
Após a ação:
- Os logs de auditoria e logs operacionais do Intune são enviados imediatamente do Intune para os serviços do Azure Monitor.
- Os dados do relatório Logs Organizacionais de Conformidade de Dispositivo doIntune e do IntuneDevices são enviados do Intune para os serviços do Azure Monitor uma vez a cada 24 horas.
Depois que os dados são enviados do Intune, eles normalmente são exibidos no serviço do Azure Monitor dentro de 30 minutos.
O que acontecerá se um administrador alterar o período de retenção de uma configuração de diagnóstico?
A nova política de retenção será aplicada aos logs coletados após a alteração. Os logs coletados antes da alteração da política não serão afetados.
Quanto custa armazenar meus dados?
Os custos de armazenamento dependem do tamanho dos logs e do período de retenção que você escolher. Para obter uma lista dos custos estimados para locatários, que dependem do volume de log gerado, acesse o tamanho do armazenamento para logs de atividades (neste artigo).
Quanto custa transmitir meus dados para Hubs de Eventos do Azure?
Os custos de streaming dependem do número de mensagens recebidas por minuto. Para obter detalhes sobre como os custos são calculados e as estimativas de custo com base no número de mensagens, acesse mensagens dos Hubs de Eventos para logs de atividades (neste artigo).
Como faço para integrar os logs de auditoria do Intune com meu sistema SIEM?
Use o Azure Monitor com Hubs de Eventos para transmitir logs para o sistema SIEM:
- Transmita os logs para Hubs de Eventos.
- Configure sua ferramenta SIEM com os Hubs de Eventos configurados.
Atualmente, quais ferramentas SIEM têm suporte?
Atualmente, Splunk, QRadar e Sumo Logic (abre um novo site) dão suporte ao Azure Monitor. Para obter mais informações sobre como os conectores funcionam, acesse Transmitir dados de monitoramento do Azure para Hubs de Eventos para consumo por uma ferramenta externa.
Posso acessar os dados de Hubs de Eventos do Azure sem usar uma ferramenta SIEM externa?
Sim. Para acessar os logs a partir de um aplicativo personalizado, você pode usar a API dos Hubs de Eventos.
Quais dados são armazenados?
O Intune não armazena todos os dados enviados pelo pipeline. O Intune roteia os dados para o pipeline do Azure Monitor, na autoridade do locatário. Para obter mais informações, acesse Visão geral do Azure Monitor.
Conteúdo relacionado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de