Skicka Intune-loggdata till Azure Storage, Event Hubs eller Log Analytics
Microsoft Intune innehåller inbyggda loggar som ger information om din miljö:
- Granskningsloggar visar en post med aktiviteter som genererar en ändring i Intune, inklusive åtgärder för att skapa, uppdatera (redigera), ta bort, tilldela och fjärråtgärder.
- Driftloggar visar information om användare och enheter som har registrerats (eller misslyckats) och information om inkompatibla enheter.
- Organisationsloggar för enhetsefterlevnad visar en organisationsrapport för enhetsefterlevnad i Intune och information om inkompatibla enheter.
- IntuneEnheter visar information om enhetsinventering och status för Intune-registrerade och hanterade enheter.
Dessa loggar kan också skickas till Azure Monitor-tjänster, inklusive lagringskonton, Event Hubs och Log Analytics. Mer specifikt kan du:
- Arkivera Intune-loggar till ett Azure Storage-konto för att behålla data eller arkivera under en viss tid.
- Strömma Intune-loggar till en Azure Event Hubs för analys med hjälp av populära SIEM-verktyg (Security Information and Event Management), till exempel Splunk och QRadar.
- Integrera Intune-loggar med dina egna anpassade logglösningar genom att strömma dem till Event Hubs.
- Skicka Intune-loggar till Log Analytics för att aktivera omfattande visualiseringar, övervakning och aviseringar för anslutna data.
De här funktionerna är en del av diagnostikinställningarna i Intune.
Den här artikeln visar hur du använder diagnostikinställningar för att skicka loggdata till olika tjänster, ger exempel & kostnadsuppskattningar och besvarar några vanliga frågor. När du aktiverar den här funktionen dirigeras loggarna till den Azure Monitor-tjänst som du väljer.
Obs!
De här loggarna använder scheman som kan ändras. Om du vill ge feedback, inklusive information i loggarna, går du till Feedback för Intune.
Förutsättningar
Om du vill använda den här funktionen behöver du:
- En Azure-prenumeration som du kan logga in på. Om du inte har en Azure-prenumeration kan du registrera dig för en kostnadsfri utvärderingsversion.
- En Microsoft Intune miljö (klientorganisation)
- En användare som är global administratör eller Intune-tjänstadministratör för Intune-klientorganisationen.
- För att konfigurera loggsamlingen från Azure Storage behöver du rollen Log Analytics-deltagare i Log Analytics-arbetsytan. Mer information om de olika rollerna och vad de kan göra finns i Hantera åtkomst till loggdata och arbetsytor i Azure Monitor.
Beroende på var du vill dirigera granskningsloggdata behöver du någon av följande tjänster:
- Ett Azure Storage-konto med ListKeys-behörigheter . Vi rekommenderar att du använder ett allmänt lagringskonto och inte ett bloblagringskonto. Information om lagringspriser finns i priskalkylatorn för Azure Storage.
- Ett Azure Event Hubs namnområde som ska integreras med partnerlösningar från tredje part.
- En Azure Log Analytics-arbetsyta för att skicka loggar till Log Analytics.
Skicka loggar till Azure Monitor
Logga in på Microsoft Intune administrationscenter.
VäljDiagnostikinställningar för rapporter>. Första gången du öppnar den aktiverar du den. Annars lägger du till en inställning.
Om din Azure-prenumeration inte visas går du till det övre högra hörnet och väljer den inloggade kontobyteskatalogen>. Du kan behöva ange Azure-prenumerationskontot.
Ange följande egenskaper:
Namn: Ange ett namn för diagnostikinställningarna. Den här inställningen innehåller alla egenskaper som du anger. Ange till exempel
Route audit logs to storage account.Arkivera till ett lagringskonto: Sparar loggdata till ett Azure Storage-konto. Om du vill spara eller arkivera data väljer du det här alternativet.
- Välj det här alternativet >Konfigurera.
- Välj ett befintligt lagringskonto i listan >OK.
Strömma till en händelsehubb: Strömmar loggarna till Azure Event Hubs. Om du vill ha analys på dina loggdata med SIEM-verktyg, till exempel Splunk och QRadar, väljer du det här alternativet.
- Välj det här alternativet >Konfigurera.
- Välj ett befintligt Event Hubs-namnområde och en princip i listan >OK.
Skicka till Log Analytics: Skickar data till Azure Log Analytics. Om du vill använda visualiseringar, övervakning och aviseringar för dina loggar väljer du det här alternativet.
Välj det här alternativet >Konfigurera.
Skapa en ny arbetsyta och ange information om arbetsytan. Eller välj en befintlig arbetsyta i listan >OK.
Azure Log Analytics-arbetsytan innehåller mer information om de här inställningarna.
LOGGA IN>AuditLogs: Välj det här alternativet för att skicka Intune-granskningsloggarna till ditt lagringskonto, Event Hubs eller Log Analytics. Granskningsloggarna visar historiken för varje uppgift som genererar en ändring i Intune, inklusive vem som gjorde det och när. Mer referensinformation finns i IntuneAuditLogs.
Om du väljer att använda ett lagringskonto anger du också hur många dagar du vill behålla data (kvarhållning). Om du vill behålla data för alltid anger du Kvarhållning (dagar) till
0(noll).LOGGA IN>OperationalLogs: Driftloggar visar framgång eller fel för användare och enheter som registreras i Intune och information om inkompatibla enheter. Välj det här alternativet för att skicka registreringsloggarna till ditt lagringskonto, Event Hubs eller Log Analytics. Mer referensinformation finns i IntuneOperationalLogs.
Om du väljer att använda ett lagringskonto anger du också hur många dagar du vill behålla data (kvarhållning). Om du vill behålla data för alltid anger du Kvarhållning (dagar) till
0(noll).LOGGA IN>DeviceComplianceOrg: Organisationsloggar för enhetsefterlevnad visar organisationsrapporten för Enhetsefterlevnad i Intune och information om inkompatibla enheter. Välj det här alternativet för att skicka efterlevnadsloggarna till ditt lagringskonto, Event Hubs eller Log Analytics. Mer referensinformation finns i IntuneEnhetComplianceOrg.
Om du väljer att använda ett lagringskonto anger du också hur många dagar du vill behålla data (kvarhållning). Om du vill behålla data för alltid anger du Kvarhållning (dagar) till
0(noll).LOGGA IN>IntuneEnheter: Intune-enhetsloggen visar information om enhetsinventering och status för Intune-registrerade och hanterade enheter. Välj det här alternativet om du vill skicka IntuneEnhetsloggar till ditt lagringskonto, Event Hubs eller Log Analytics. Mer referensinformation finns i IntuneEnheter.
Om du väljer att använda ett lagringskonto anger du också hur många dagar du vill behålla data (kvarhållning). Om du vill behålla data för alltid anger du Kvarhållning (dagar) till
0(noll).
När du är klar ser inställningarna ut ungefär som följande inställningar:
Spara ändringarna. Inställningen visas i listan. När inställningarna har skapats kan du ändra inställningarna genom att välja Redigera inställning>Spara.
Använda granskningsloggar i hela Intune
Du kan också exportera de granskningsloggar som används i andra delar av Intune, inklusive registrering, efterlevnad, konfiguration, enheter, klientappar med mera.
Mer information finns i Använda granskningsloggar för att spåra och övervaka händelser. Du kan välja var granskningsloggarna ska skickas enligt beskrivningen i skicka loggar till Azure Monitor (i den här artikeln).
Egenskaper för granskningslogg
I granskningsloggen hittar du följande egenskaper och deras specifika värden:
| Egenskap | Egenskapsbeskrivning | Värden |
|---|---|---|
| ActivityType | Den åtgärd som administratören vidtar. | Skapa, ta bort, korrigera, åtgärd, setreference, removereference, hämta, söka |
| ActorType | Person som vidtar åtgärden. | Unknown = 0, ItPro, IW, System, Partner, Application, GuestUser |
| Kategori | Fönstret där åtgärden ägde rum. | Övrigt = 0, Registrering = 1, Efterlevnad = 2, DeviceConfiguration = 3, Device = 4, Application = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15 |
| ActivityResult | Om åtgärden lyckas eller inte | Lyckades = 1 |
Kostnadsöverväganden
Om du redan har en Microsoft Intune licens behöver du en Azure-prenumeration för att konfigurera lagringskontot och Event Hubs. Azure-prenumerationen är vanligtvis kostnadsfri. Men du betalar för att använda Azure-resurser, inklusive lagringskontot för arkivering och Event Hubs för strömning. Mängden data och kostnaderna varierar beroende på klientorganisationens storlek.
Lagringsstorlek för aktivitetsloggar
Varje granskningslogghändelse använder cirka 2 KB datalagring. För en klientorganisation med 100 000 användare kan du ha cirka 1,5 miljoner händelser per dag. Du kan behöva cirka 3 GB datalagring per dag. Eftersom skrivningar vanligtvis sker i femminutersbatch kan du förvänta dig cirka 9 000 skrivåtgärder per månad.
Följande tabeller visar en kostnadsuppskattning beroende på klientorganisationens storlek. Det innehåller också ett v2-lagringskonto för generell användning i USA, västra för minst ett års datakvarhållning. Om du vill få en uppskattning för den datavolym som du förväntar dig för dina loggar använder du priskalkylatorn för Azure Storage.
Granskningslogg med 100 000 användare:
| Kategori | Värde |
|---|---|
| Händelser per dag | 1,5 miljoner |
| Uppskattad datavolym per månad | 90 GB |
| Uppskattad kostnad per månad (USD) | 1,93 USD |
| Uppskattad kostnad per år (USD) | 23,12 USD |
Granskningslogg med 1 000 användare:
| Kategori | Värde |
|---|---|
| Händelser per dag | 15 000 |
| Uppskattad datavolym per månad | 900 MB |
| Uppskattad kostnad per månad (USD) | 0,02 USD |
| Uppskattad kostnad per år (USD) | 0,24 USD |
Event Hubs-meddelanden för aktivitetsloggar
Händelser batchas vanligtvis i femminutersintervall och skickas som ett enda meddelande med alla händelser inom den tidsramen. Ett meddelande i Event Hubs har en maximal storlek på 256 KB. Om den totala storleken på alla meddelanden inom tidsramen överskrider den volymen skickas flera meddelanden.
Till exempel inträffar cirka 18 händelser per sekund vanligtvis för en stor klientorganisation med fler än 100 000 användare. Det här värdet motsvarar 5 400 händelser var femte minut (300 sekunder x 18 händelser). Granskningsloggarna är cirka 2 KB per händelse. Det här värdet motsvarar 10,8 MB data. Därför skickas 43 meddelanden till Event Hubs i det femminutersintervallet.
Följande tabell innehåller uppskattade kostnader per månad för en grundläggande händelsehubb i USA, västra, beroende på mängden händelsedata. Om du vill få en uppskattning av den datavolym som du förväntar dig för dina loggar använder du priskalkylatorn för Event Hubs.
Granskningslogg med 100 000 användare:
| Kategori | Värde |
|---|---|
| Händelser per sekund | 18 |
| Händelser per femminutersintervall | 5,400 |
| Volym per intervall | 10,8 MB |
| Meddelanden per intervall | 43 |
| Meddelanden per månad | 371,520 |
| Uppskattad kostnad per månad (USD) | 10,83 USD |
Granskningslogg med 1 000 användare:
| Kategori | Värde |
|---|---|
| Händelser per sekund | 0.1 |
| Händelser per femminutersintervall | 52 |
| Volym per intervall | 104 KB |
| Meddelanden per intervall | 1 |
| Meddelanden per månad | 8,640 |
| Uppskattad kostnad per månad (USD) | 10,80 USD |
Kostnadsöverväganden för Log Analytics
Om du vill granska kostnader för att hantera Log Analytics-arbetsytan går du till Hantera kostnader genom att kontrollera datavolym och kvarhållning i Log Analytics.
Vanliga frågor (FAQ)
Få svar på vanliga frågor, inklusive svarstider, hur kostnader påverkas, SIEM-verktyg som stöds med mera.
Vilka loggar ingår?
Intune-granskningsloggar och driftloggar är tillgängliga för routning med den här funktionen.
När visas loggarna i Azure Monitor-tjänsterna efter en åtgärd?
Efter åtgärden:
- Intune-granskningsloggar och driftloggar skickas omedelbart från Intune till Azure Monitor-tjänster.
- Organisationsloggar för Intune-enhetsefterlevnad och IntuneEnhetsrapportdata skickas från Intune till Azure Monitor-tjänster en gång var 24:e timme.
När data har skickats från Intune visas de vanligtvis i Azure Monitor-tjänsten inom 30 minuter.
Vad händer om en administratör ändrar kvarhållningsperioden för en diagnostikinställning?
Den nya kvarhållningsprincipen tillämpas på loggar som samlas in efter ändringen. Loggar som samlas in innan principändringen påverkas inte.
Hur mycket kostar det att lagra mina data?
Lagringskostnaderna beror på storleken på dina loggar och den kvarhållningsperiod du väljer. En lista över de uppskattade kostnaderna för klienter, som är beroende av den genererade loggvolymen, finns i Lagringsstorlek för aktivitetsloggar (i den här artikeln).
Hur mycket kostar det att strömma mina data till Azure Event Hubs?
Strömningskostnaderna beror på antalet meddelanden som du får per minut. Mer information om hur kostnader beräknas och kostnadsuppskattningar baserat på antalet meddelanden finns i Event Hubs-meddelanden för aktivitetsloggar (i den här artikeln).
Hur gör jag för att integrera Intune-granskningsloggar med mitt SIEM-system?
Använd Azure Monitor med Event Hubs för att strömma loggar till DITT SIEM-system:
- Strömma loggarna till Event Hubs.
- Konfigurera SIEM-verktyget med de konfigurerade händelsehubbarna.
Vilka SIEM-verktyg stöds för närvarande?
För närvarande stöder Splunk, QRadar och Sumo Logic (öppnar en ny webbplats) Azure Monitor. Mer information om hur anslutningsapparna fungerar finns i Strömma Azure-övervakningsdata till Event Hubs för förbrukning av ett externt verktyg.
Kan jag komma åt data från Azure Event Hubs utan att använda ett externt SIEM-verktyg?
Ja. Om du vill komma åt loggarna från ditt anpassade program kan du använda Event Hubs-API:et.
Vilka data lagras?
Intune lagrar inga data som skickas via pipelinen. Intune dirigerar data till Azure Monitor-pipelinen på klientorganisationens utfärdare. Mer information finns i Översikt över Azure Monitor.
Relaterat innehåll
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för