將 Intune 記錄數據傳送至 Azure 記憶體、事件中樞或 Log Analytics
Microsoft Intune 包含提供環境相關信息的內建記錄:
- 稽核記錄 會顯示在 Intune 中產生變更的活動記錄,包括建立、更新 (編輯) 、刪除、指派和遠端動作。
- 操作記錄會 顯示成功 (或) 註冊失敗之使用者和裝置的詳細數據,以及不符合規範裝置的詳細數據。
- 裝置合規性組織記錄會 顯示 Intune 中裝置合規性的組織報告,以及不相容裝置的詳細數據。
- IntuneDevices 會顯示已註冊 Intune 和受控裝置的裝置清查和狀態資訊。
這些記錄也可以傳送至 Azure 監視器服務,包括記憶體帳戶、事件中樞和 Log Analytics。 具體而言,您可以:
- 將 Intune 記錄封存至 Azure 記憶體帳戶以保留數據,或封存一段時間。
- 使用熱門的安全性資訊和事件管理 (SIEM) 工具,例如 Splunk 和 QRadar,將 Intune 記錄串流至 Azure 事件中樞 以進行分析。
- 將 Intune 記錄串流至事件中樞,以整合 Intune 記錄與您自己的自定義記錄解決方案。
- 將 Intune 記錄傳送至 Log Analytics,以啟用連線數據的豐富視覺效果、監視和警示。
這些功能是 Intune 中 診斷設定的 一部分。
本文說明如何使用 診斷設定 將記錄數據傳送至不同的服務、提供範例 & 成本預估,並回答一些常見問題。 啟用此功能之後,您的記錄會路由傳送至您選擇的 Azure 監視器服務。
注意事項
這些記錄會使用可變更的架構。 若要提供意見反應,包括記錄中的資訊,請移至 Intune 的意見反應。
必要條件
若要使用此功能,您需要:
- 您可以登入的 Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以 註冊免費試用。
- 租使用者) (Microsoft Intune 環境
- 身為 Intune 租使用者之 全域管理員 或 Intune 服務管理員 的使用者。
- 若要從 Azure 記憶體設定記錄收集,您需要 Log Analytics 工作區中的 Log Analytics 參與者 角色。 如需不同角色及其功能的詳細資訊,請移至 管理 Azure 監視器中記錄數據和工作區的存取權。
視您要路由稽核記錄數據的位置而定,您需要下列其中一項服務:
- 具有 ListKeys 許可權的 Azure 記憶體帳戶。 建議您使用一般記憶體帳戶,而不是 Blob 記憶體帳戶。 如需記憶體定價資訊,請移至 Azure 記憶體定價計算機。
- 要與第三方合作夥伴解決方案整合的 Azure 事件中樞 命名空間。
- 將記錄傳送至 Log Analytics 的 Azure Log Analytics 工作 區。
將記錄傳送至 Azure 監視器
選取 [報告>診斷設定]。 第一次開啟它時,請將它開啟。 否則,請新增設定。
如果未顯示您的 Azure 訂用帳戶,請移至右上角,選取已登入的帳戶 >切換目錄。 您可能必須輸入 Azure 訂用帳戶。
輸入下列內容:
名稱:輸入診斷設定的名稱。 此設定包含您輸入的所有屬性。 例如,輸入
Route audit logs to storage account
。封存至記憶體帳戶:將記錄數據儲存至 Azure 記憶體帳戶。 如果您想要儲存或封存資料,請選擇此選項。
- 選取此選項 [ >設定]。
- 從 [確定] 列表>中選擇現有的記憶體帳戶。
串流至事件中樞:將記錄串流至 Azure 事件中樞。 如果您想要使用 Splunk 和 QRadar 等 SIEM 工具來分析記錄數據,請選擇此選項。
- 選取此選項 [ >設定]。
- 從 [確定] 列表>中選擇現有的事件中樞命名空間和原則。
傳送至 Log Analytics:將數據傳送至 Azure Log Analytics。 如果您想要使用記錄的視覺效果、監視和警示,請選擇此選項。
選取此選項 [ >設定]。
建立新的工作區,並輸入工作區詳細數據。 或者,從 [確定] 列表>中選擇現有的工作區。
Azure Log Analytics 工作區 提供這些設定的詳細數據。
日誌>AuditLogs:選擇此選項可將 Intune 稽核記錄 傳送至您的記憶體帳戶、事件中樞或 Log Analytics。 稽核記錄會顯示在 Intune 中產生變更之每個工作的歷程記錄,包括執行該作業的人員和執行時機。 如需詳細參考資訊,請移至 IntuneAuditLogs。
如果您選擇使用記憶體帳戶,請同時輸入要保留資料 (保留) 的天數。 若要永久保留數據,請將 保留 (天) 設定為
0
(零) 。日誌>OperationalLogs:作業記錄會顯示在 Intune 中註冊的使用者和裝置成功或失敗,以及不相容裝置的詳細數據。 選擇此選項可將註冊記錄傳送至您的記憶體帳戶、事件中樞或 Log Analytics。 如需詳細參考資訊,請移至 IntuneOperationalLogs。
如果您選擇使用記憶體帳戶,請同時輸入要保留資料 (保留) 的天數。 若要永久保留數據,請將 保留 (天) 設定為
0
(零) 。日誌>DeviceComplianceOrg:裝置合規性組織記錄會顯示 Intune 中裝置合規性的組織報告,以及不符合規範裝置的詳細數據。 選擇此選項可將合規性記錄傳送至您的記憶體帳戶、事件中樞或 Log Analytics。 如需詳細參考資訊,請移至 IntuneDeviceComplianceOrg。
如果您選擇使用記憶體帳戶,請同時輸入要保留資料 (保留) 的天數。 若要永久保留數據,請將 保留 (天) 設定為
0
(零) 。日誌>IntuneDevices:Intune 裝置記錄會顯示 Intune 已註冊和受管理裝置的裝置清查和狀態資訊。 選擇此選項可將 IntuneDevices 記錄傳送至您的記憶體帳戶、事件中樞或 Log Analytics。 如需詳細參考資訊,請移至 IntuneDevices。
如果您選擇使用記憶體帳戶,請同時輸入要保留資料 (保留) 的天數。 若要永久保留數據,請將 保留 (天) 設定為
0
(零) 。
完成時,您的設定看起來類似下列設定:
儲存 您的變更。 您的設定會顯示在清單中。 建立設定之後,您可以選取 [編輯] 設定> [儲存] 來變更設定。
在整個 Intune 中使用稽核記錄
您也可以匯出用於 Intune 其他部分的稽核記錄,包括註冊、合規性、設定、裝置、用戶端應用程式等等。
如需詳細資訊,請移至 使用稽核記錄來追蹤和監視事件。 您可以選擇稽核記錄的傳送位置,如本文) 將 記錄傳送至 Azure 監視器 (中所述。
稽核記錄屬性
在稽核記錄中,您可以找到下列屬性及其特定值:
Property | 屬性描述 | 值 |
---|---|---|
ActivityType | 系統管理員所採取的動作。 | Create、Delete、Patch、Action、SetReference、RemoveReference、Get、Search |
ActorType | 採取動作的人員。 | 未知 = 0、ItPro、IW、System、Partner、Application、GuestUser |
類別 | 動作執行所在的窗格。 | 其他 = 0,註冊 = 1,合規性 = 2,DeviceConfiguration = 3, Device = 4, Application = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15 |
ActivityResult | 動作是否成功 | 成功 = 1 |
成本考慮
如果您已經有 Microsoft Intune 授權,則需要 Azure 訂用帳戶來設定記憶體帳戶和事件中樞。 Azure 訂用帳戶通常是免費的。 但是,您必須支付使用 Azure 資源的費用,包括用於封存的記憶體帳戶,以及用於串流處理的事件中樞。 數據量和成本會根據租使用者大小而有所不同。
活動記錄的記憶體大小
每個稽核記錄事件都會使用大約 2 KB 的數據記憶體。 對於具有 100,000 位使用者的租使用者,您每天可以有大約 150 萬個事件。 您每天可能需要大約 3 GB 的數據記憶體。 由於寫入通常會以五分鐘的批次進行,因此您預期每個月大約會有9,000個寫入作業。
下表顯示成本預估,視租使用者的大小而定。 它也包含美國西部至少保留一年數據的一般用途 v2 儲存器帳戶。 若要取得您預期記錄的數據量估計值,請使用 Azure 記憶體定價計算機。
具有 100,000 位使用者的稽核記錄:
類別 | 值 |
---|---|
每天的事件 | 150 萬 |
每月估計的數據量 | 90 GB |
每月預估成本 (美元) | $1.93 |
每年預估成本 (美元) | $23.12 |
具有 1,000 位使用者的稽核記錄:
類別 | 值 |
---|---|
每天的事件 | 15,000 |
每月估計的數據量 | 900 MB |
每月預估成本 (美元) | $0.02 |
每年預估成本 (美元) | $0.24 |
活動記錄的事件中樞訊息
事件通常會以五分鐘間隔批處理,並以單一訊息傳送,其中包含該時間範圍內的所有事件。 事件中樞中的訊息大小上限為 256 KB。 如果時間範圍內所有訊息的總大小超過該磁碟區,則會傳送多個訊息。
例如,對於超過100,000位使用者的大型租使用者,每秒通常會發生大約18個事件。 這個值相當於每隔五分鐘 5,400 個事件, (300 秒 x 18 個事件) 。 每個事件的稽核記錄大約為 2 KB。 此值等於 10.8 MB 的數據。 因此,43 則訊息會在該五分鐘間隔內傳送至事件中樞。
下表包含美國西部基本事件中樞的每月預估成本,視事件數據量而定。 若要取得您預期記錄的數據量估計,請使用事件中 樞定價計算機。
具有 100,000 位使用者的稽核記錄:
類別 | 值 |
---|---|
每秒的事件數 | 18 |
每五分鐘間隔的事件數 | 5,400 |
每個間隔的磁碟區 | 10.8 MB |
每個間隔的訊息數 | 43 |
每個月訊息 | 371,520 |
每月預估成本 (美元) | $10.83 |
具有 1,000 位使用者的稽核記錄:
類別 | 值 |
---|---|
每秒的事件數 | 0.1 |
每五分鐘間隔的事件數 | 52 |
每個間隔的磁碟區 | 104 KB |
每個間隔的訊息數 | 1 |
每個月訊息 | 8,640 |
每月預估成本 (美元) | $10.80 |
Log Analytics 成本考慮
若要檢閱與管理 Log Analytics 工作區相關的成本,請移至 在 Log Analytics 中控制數據量和保留期來管理成本。
常見問題集 (FAQ)
取得常見問題的解答,包括延遲時間、影響成本的方式、支援的 SIEM 工具等等。
包含哪些記錄?
Intune 稽核記錄 和 作業記錄 可使用這項功能進行路由傳送。
動作之後,記錄何時會顯示在 Azure 監視器服務中?
動作之後:
- Intune 稽核記錄 和 作業記錄會 立即從 Intune 傳送至 Azure 監視器服務。
- Intune 裝置合規性組織記錄 和 Intune 裝置 報告數據會每隔 24 小時從 Intune 傳送一次至 Azure 監視器服務。
從 Intune 傳送數據之後,通常會在 30 分鐘內顯示在 Azure 監視器服務中。
如果系統管理員變更診斷設定的保留期間,會發生什麼事?
新的保留原則會套用至變更之後所收集的記錄。 原則變更之前收集的記錄不受影響。
儲存我的數據需要多少費用?
記憶體成本取決於您的記錄大小和您選擇的保留期間。 如需取決於所產生記錄磁碟區的租用戶預估成本清單,請移至本文中 (活動記錄的記憶體大小) 。
將我的數據串流至 Azure 事件中樞 需要多少成本?
串流成本取決於您每分鐘收到的訊息數目。 如需如何根據訊息數目的計算成本和成本估計的詳細資訊,請移至本文中活動記錄 (的事件中樞 訊 息) 。
如何? 整合 Intune 稽核記錄與我的 SIEM 系統嗎?
使用 Azure 監視器搭配事件中樞將記錄串流至 SIEM 系統:
- 將記錄串流至事件中樞。
- 使用已設定的事件中樞來設定 SIEM 工具。
目前支援哪些 SIEM 工具?
目前, Splunk、QRadar 和 Sumo Logic (會開啟新的網站) 支援 Azure 監視器。 如需連接器運作方式的詳細資訊,請移至將 Azure 監視數據串流至事件中樞,以供外部工具取用。
我可以在不使用外部 SIEM 工具的情況下,從 Azure 事件中樞 存取資料嗎?
是的。 若要從自定義應用程式存取記錄,您可以使用 事件中樞 API。
儲存了哪些數據?
Intune 不會儲存透過管線傳送的任何數據。 Intune 會將數據路由至租用戶授權單位的 Azure 監視器管線。 如需詳細資訊,請移至 Azure 監視器概觀。
相關內容
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應