Envie dados de registo para armazenamento, centros de eventos ou analíticos de registo no Intune
Microsoft Intune inclui registos incorporados que fornecem informações sobre o seu ambiente:
- Os Registos de Auditoria mostram um registo de atividades que geram uma mudança no Intune, incluindo criar, atualizar (editar), eliminar, atribuir e ações remotas.
- Os Registos Operacionais mostram detalhes sobre utilizadores e dispositivos que conseguiram (ou falharam) em inscrever-se e detalhes em dispositivos não conformes.
- Os Registos Organizacionais de Conformidade do Dispositivo mostram um relatório organizacional para a conformidade do dispositivo no Intune e detalhes sobre dispositivos não conformes.
Estes registos também podem ser enviados para os serviços do Azure Monitor, incluindo contas de armazenamento, centros de eventos e análise de registos. Mais concretamente, pode:
- Archive Intune regista-se numa conta de armazenamento Azure para manter os dados ou arquivar por um tempo definido.
- Stream Intune registra para um centro de eventos Azure para análise usando ferramentas populares de Informação de Segurança e Gestão de Eventos (SIEM), tais como Splunk e QRadar.
- Integre os registos Intune com as suas próprias soluções de log personalizadas, transmitindo-os para um centro de eventos.
- Envie registos Intune para Log Analytics para permitir visualizações ricas, monitorização e alerta sobre os dados conectados.
Estas funcionalidades fazem parte do Definições de Diagnóstico em Intune.
Este artigo mostra-lhe como usar o Diagnóstico Definições enviar dados de registo para diferentes serviços, dá exemplos e estimativas de custos, e responde a algumas questões comuns. Assim que ativar esta função, os seus registos são encaminhados para o serviço Azure Monitor que escolher.
Nota
Estes registos usam esquemas que podem ser alterados. Para fornecer feedback, incluindo informações nos registos, aceda ao UserVoice.
Pré-requisitos
Para utilizar esta funcionalidade, precisa de:
- Uma subscrição do Azure a que pode iniciar seduca. Se não tiver uma subscrição do Azure, pode inscrever-se para obter uma avaliação gratuita.
- Um ambiente Microsoft Intune (inquilino) em Azure
- Um utilizador que seja administrador global ou administrador de serviço intune para o inquilino Intune.
Dependendo de onde pretende encaminhar os dados do registo de auditoria, precisa de um dos seguintes serviços:
- Uma conta de armazenamento Azure com permissões ListKeys. Recomendamos que utilize uma conta de armazenamento geral e não uma conta de armazenamento de bolhas. Para obter informações sobre os preços de armazenamento, veja a Calculadora de preços do Armazenamento do Azure.
- Um espaço de nomes Azure hubs para integrar-se com soluções de terceiros.
- Um espaço de trabalho de analítica de registo Azure para enviar registos para Log Analytics.
Enviar registos para o monitor Azure
Inicie sessão no centro de administração do Microsoft Endpoint Manager.
Selecione > As definições de Diagnóstico de Relatórios. A primeira vez que a abrires, liga-a. Caso contrário, adicione uma regulação.
Se a sua subscrição Azure não for mostrada, vá para o canto superior direito, selecione o diretório de conta assinado > Switch. Poderá ter de introduzir a conta de subscrição do Azure.
Introduza as seguintes propriedades:
Nome: Introduza um nome para as definições de diagnóstico. Esta definição inclui todas as propriedades que inseriu. Por exemplo, introduza
Route audit logs to storage account.Arquivar para uma conta de armazenamento: Guarde os dados de registo para uma conta de armazenamento Azure. Utilize esta opção se pretender guardar ou arquivar os dados.
- Selecione esta opção > Configurar.
- Escolha uma conta de armazenamento existente na lista > OK.
Transmita para um centro de eventos: Fluxos os troncos para um centro de eventos Azure. Se pretender analítica nos seus dados de registo utilizando ferramentas SIEM, como Splunk e QRadar, escolha esta opção.
- Selecione esta opção > Configurar.
- Escolha um espaço de nome de centro de eventos existente e política da lista > OK.
Enviar para Registar Analytics: Envia os dados para a Azure log analytics. Se pretender utilizar visualizações, monitorização e alerta para os seus registos, escolha esta opção.
Selecione esta opção > Configurar.
Crie um novo espaço de trabalho e insira os detalhes do espaço de trabalho. Ou, escolha um espaço de trabalho existente da lista > OK.
O espaço de trabalho de analítica de log azure fornece mais detalhes sobre estas definições.
LOG > AuditLogs: Escolha esta opção para enviar os registos de auditoria do Intune para a sua conta de armazenamento, centro de eventos ou análise de registo. Os registos de auditoria mostram o histórico de cada tarefa que gera uma mudança no Intune, incluindo quem o fez e quando.
Se optar por utilizar uma conta de armazenamento, insira também quantos dias pretende manter os dados (retenção). Para manter os dados para sempre, deslote a Retenção (dias) para
0(zero).LOG > Serviços operacionais: Os registos operacionais mostram o sucesso ou falha dos utilizadores e dispositivos que se matriculam no Intune, bem como detalhes em dispositivos não conformes. Escolha esta opção para enviar os registos de inscrição para a sua conta de armazenamento, centro de eventos ou análise de registo.
Se optar por utilizar uma conta de armazenamento, insira também quantos dias pretende manter os dados (retenção). Para manter os dados para sempre, deslote a Retenção (dias) para
0(zero).LOG > DeviceComplianceOrg: Os registos organizacionais de conformidade do dispositivo mostram o relatório organizacional de Conformidade do Dispositivo em Intune e detalhes de dispositivos não conformes. Escolha esta opção para enviar os registos de conformidade para a sua conta de armazenamento, centro de eventos ou análise de registo.
Se optar por utilizar uma conta de armazenamento, insira também quantos dias pretende manter os dados (retenção). Para manter os dados para sempre, deslote a Retenção (dias) para
0(zero).
Quando terminadas, as suas definições são semelhantes às seguintes definições:
Guarde as suas alterações. A sua definição é mostrada na lista. Uma vez criado, pode alterar as definições selecionando a definição de > Edição Guardar.
Utilize registos de auditoria em todo o Intune
Também pode exportar os registos de auditoria noutras partes do Intune, incluindo inscrição, conformidade, configuração, dispositivos, aplicações de clientes e muito mais.
Para obter mais informações, consulte registos de auditoria para monitorizar e monitorizar eventos. Pode escolher para onde enviar os registos de auditoria, conforme descrito no envio de registos para o monitor Azure (neste artigo).
Propriedades de registo de auditoria
No registo de auditoria, pode encontrar propriedades com valores específicos. A tabela seguinte fornece estes detalhes.
| Propriedade | Descrição da propriedade | Valores |
|---|---|---|
| Dispositivo de atividade | A ação que o administrador toma. | Criar, Eliminar, Corrigir, Ação, SetReference, RemoverReferência, Obter, Pesquisar |
| ActorType | Pessoa a tomar a ação. | Desconhecido = 0, ItPro, IW, System, Partner, Application, GuestUser |
| Categoria | O painel em que a ação teve lugar. | Outros = 0, Inscrição = 1, Conformidade = 2, Configuração do Dispositivo = 3, Dispositivo = 4, Aplicação = 5, EBookManagement = 6, CondicionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15 |
| AtividadeResult | Se a ação foi bem sucedida ou não. | Sucesso = 1 |
Considerações de custos
Se já tem uma licença de Microsoft Intune, precisa de uma subscrição do Azure para configurar a conta de armazenamento e o centro de eventos. A subscrição do Azure é normalmente gratuita. Mas, você paga para usar recursos Azure, incluindo a conta de armazenamento para arquivo e o centro de eventos para streaming. A quantidade de dados e os custos variam consoante o tamanho do inquilino.
Tamanho de armazenamento para registos de atividades
Cada evento de registo de auditoria consome cerca de 2 KB de armazenamento de dados. Para um inquilino com 100.000 utilizadores, você pode ter cerca de 1,5 milhões de eventos por dia. Pode necessitar de cerca de 3 GB de armazenamento de dados por dia. Como as gravações costumam acontecer em lotes de cinco minutos, pode esperar aproximadamente 9.000 operações de escrita por mês.
As tabelas a seguir mostram uma estimativa de custos dependendo do tamanho do inquilino. Inclui também uma conta de armazenamento v2 de uso geral nos EUA ocidentais durante pelo menos um ano de conservação de dados. Para obter uma estimativa do volume de dados que espera para os seus registos, utilize a calculadora de preços de armazenamento Azure.
Registo de auditoria com 100.000 utilizadores
| Categoria | Valor |
|---|---|
| Eventos por dia | 1,5 milhões |
| Volume estimado de dados por mês | 90 GB |
| Custo estimado por mês (USD) | $1,93 |
| Custo estimado por ano (USD) | $23,12 |
Registo de auditoria com 1.000 utilizadores
| Categoria | Valor |
|---|---|
| Eventos por dia | 15 000 |
| Volume estimado de dados por mês | 900 MB |
| Custo estimado por mês (USD) | $0,02 |
| Custo estimado por ano (USD) | $0,24 |
Mensagens do hub de eventos para os registos de atividades
Os eventos são normalmente lotados em intervalos de cinco minutos, e enviados como uma única mensagem com todos os eventos dentro desse prazo. Uma mensagem no centro de eventos tem um tamanho máximo de 256 KB. Se o tamanho total de todas as mensagens dentro do prazo exceder esse volume, então são enviadas várias mensagens.
Por exemplo, cerca de 18 eventos por segundo normalmente acontecem para um grande inquilino de mais de 100.000 utilizadores. Isto equivale a 5.400 eventos a cada cinco minutos (300 segundos x 18 eventos). Os registos de auditoria são de cerca de 2 KB por evento. Isto equivale a 10,8 MB de dados. Então, 43 mensagens são enviadas para o centro de eventos naquele intervalo de cinco minutos.
A tabela seguinte contém os custos estimados por mês para um hub de eventos básico nos E.U.A. Oeste, consoante o volume de dados de eventos. Para obter uma estimativa do volume de dados que espera para os seus registos, utilize a calculadora de preçosdo Event Hubs .
Registo de auditoria com 100.000 utilizadores
| Categoria | Valor |
|---|---|
| Eventos por segundo | 18 |
| Eventos por intervalo de cinco minutos | 5400 |
| Volume por intervalo | 10,8 MB |
| Mensagens por intervalo | 43 |
| Mensagens por mês | 371 520 |
| Custo estimado por mês (USD) | $10,83 |
Registo de auditoria com 1.000 utilizadores
| Categoria | Valor |
|---|---|
| Eventos por segundo | 0.1 |
| Eventos por intervalo de cinco minutos | 52 |
| Volume por intervalo | 104 KB |
| Mensagens por intervalo | 1 |
| Mensagens por mês | 8640 |
| Custo estimado por mês (USD) | 10,80 $ |
Log Analytics considerações de custos
Para rever os custos relacionados com a gestão do espaço de trabalho Log Analytics, consulte Gerir o custo controlando o volume de dados e a retenção em Log Analytics.
Perguntas mais frequentes
Obtenha respostas para perguntas frequentes e leia sobre quaisquer problemas conhecidos com registos Intune no Azure Monitor.
Que registos estão incluídos?
Os registos de auditoria e os registos operacionais estão disponíveis para encaminhamento utilizando esta funcionalidade.
Após uma ação, quando é que os registos correspondentes aparecem no centro de eventos?
Os registos normalmente aparecem no seu centro de eventos dentro de alguns minutos após a ação ser executada. O que é Azure Event Hubs? fornece mais informações.
Após uma ação, quando é que os registos correspondentes aparecem na conta de armazenamento?
Para as contas de armazenamento Azure, a latência está em qualquer lugar de 5 a 15 minutos após a ação.
O que acontece se um administrador alterar o período de retenção de uma definição de diagnóstico?
A nova política de retenção é aplicada aos registos recolhidos após a alteração. Os registos recolhidos antes da mudança de política não são afetados.
Quanto custa armazenar os meus dados?
Os custos de armazenamento dependem do tamanho dos seus registos e do período de retenção que escolher. Para obter uma lista dos custos estimados para os inquilinos, que dependem do volume de registo gerado, consulte o tamanho Armazenamento para registos de atividade (neste artigo).
Quanto custa transmitir os meus dados para um centro de eventos?
Os custos de streaming dependem do número de mensagens que recebe por minuto. Para obter mais informações sobre como os custos são calculados e estimativas de custos com base no número de mensagens, consulte as mensagens do centro de eventos para registos de atividade (neste artigo).
Como integro os registos de auditoria da Intune com o meu sistema SIEM?
Utilize o Azure Monitor com os Hubs de Eventos para transmitir os registos para o seu sistema SIEM. Primeiro, transmita os registos para um centro de eventos. Em seguida, crie a sua ferramenta SIEM com o centro de eventos configurado.
Quais as ferramentas SIEM que são atualmente suportadas?
Atualmente, o Azure Monitor é suportado pela Splunk,QRadar e Sumo Logic (abre um novo website). Para obter mais informações sobre como funcionam os conectores, veja Stream Azure monitoring data to an event hub for consumption by an external tool (Transmitir em fluxo dados de monitorização do Azure para um hub de eventos, para consumo por uma ferramenta externa).
Posso aceder aos dados a partir de um centro de eventos sem utilizar uma ferramenta SIEM externa?
Sim. Pode utilizar a API dos Hub de Eventos para aceder aos registos da sua aplicação personalizada.
Que dados são armazenados?
A Intune não armazena nenhum dado enviado através do oleoduto. Intune encaminha dados para o oleoduto Azure Monitor, na autoridade do inquilino. Para mais informações, consulte a visão geral do Azure Monitor.