Använd granskningsloggar för att spåra och övervaka händelser i Microsoft Intune

  • Artikel
  • 2 minuter för att läsa

Granskningsloggar innehåller en post med aktiviteter som genererar en ändring i Microsoft Intune. Åtgärder för att skapa, uppdatera (redigera), ta bort och tilldela samt fjärråtgärder skapar granskningshändelser som administratörer kan granska för de flesta Intune-arbetsbelastningar. Som standard är granskning aktiverat för alla kunder. Den kan inte inaktiveras.

Anteckning

Granskningshändelser började registreras i lanseringen från december 2017. Tidigare händelser är inte tillgängliga.

Vem som kan komma åt data?

Användare med följande behörigheter kan gå igenom granskningsloggar:

  • Global administratör
  • Intune Service-administratör
  • Administratörer som har tilldelats en Intune-roll med läsbehörighet för - granskningsdata

Granskningsloggar för arbetsbelastningar för Intune

Du kan gå igenom granskningsloggar i övervakningsgruppen för varje arbetsbelastning i Intune:

  1. Logga in till administrationscentret för Microsoft Endpoint Manager.
  2. Välj Klientadministration > Granskningsloggar.
  3. Om du vill filtrera resultaten väljer du Filtrera och förfinar resultaten med hjälp av följande alternativ.
    • Kategori: till exempel Efterlevnad, Enhet och Roll.
    • Aktivitet: alternativen som anges här begränsas av det alternativ som väljs under Kategori.
    • Datumintervall: Du kan välja loggar för föregående månad, vecka eller dag.
  4. Välj Använd.
  5. Välj ett objekt i listan för att se aktivitetsinformationen.

Dirigera loggar till Azure Monitor

Granskningsloggar och arbetsloggar kan även dirigeras till Azure Monitor. I Klientorganisationsadministration > Granskningsloggar väljer du Exportera:

Exportera loggdata till Azure Monitor genom att välja Exportera datainställningar Microsoft Intune Endpoint Manager administrationscentret.

Anteckning

  • Mer information om den här funktionen och om du vill granska kraven för att använda den finns i skicka loggdata till lagring, händelsehubbb eller log analytics.

  • Initierad av (aktör) innehåller information om vem som körde uppgiften och var den kördes.

    Om du till exempel kör aktiviteten i Intune i Azure Portal visar programmet alltid Microsoft Intune portaltillägget , och program-ID:t använder alltid samma GUID.

  • Avsnittet Mål anger flera mål och de egenskaper som har ändrats.

Använd Graph API för att hämta granskningshändelser

Mer information om hur du använder Graph API för att hämta upp till ett års granskningshändelser finns i Lista över auditEvents.

Nästa steg

Skicka data till lagring, händelsehubbar eller logganalys.

Granska klientappens skyddsloggar.