Odesílání dat protokolu Intune do služby Azure Storage, Event Hubs nebo Log Analytics
Microsoft Intune obsahuje integrované protokoly, které poskytují informace o vašem prostředí:
- Protokoly auditu zobrazují záznamy aktivit, které generují změnu v Intune, včetně akcí vytvoření, aktualizace (úpravy), odstranění, přiřazení a vzdálených akcí.
- Provozní protokoly zobrazují podrobnosti o uživatelích a zařízeních, které se úspěšně (nebo nepodařilo) zaregistrovat, a podrobnosti o zařízeních nedodržující předpisy.
- Organizační protokoly dodržování předpisů zařízením zobrazují sestavu organizace pro dodržování předpisů zařízením v Intune a podrobnosti o zařízeních, která nedodržují předpisy.
- Zařízení Intune Zobrazují informace o inventáři a stavu zařízení pro Intune zaregistrovaná a spravovaná zařízení.
Tyto protokoly je také možné odesílat do služeb Azure Monitor, včetně účtů úložiště, event hubs a Log Analytics. Konkrétně můžete:
- Archivujte Intune protokoly do účtu služby Azure Storage, aby se data zachovala, nebo archivujte po stanovenou dobu.
- Stream Intune protokoly do Azure Event Hubs pro analýzu pomocí oblíbených nástrojů pro správu událostí a informací o zabezpečení (SIEM), jako jsou Splunk a QRadar.
- Integrujte Intune protokoly s vlastními řešeními protokolů streamováním do služby Event Hubs.
- Odešlete Intune protokoly do Log Analytics, abyste umožnili bohaté vizualizace, monitorování a upozorňování na připojená data.
Tyto funkce jsou součástí nastavení diagnostiky v Intune.
Tento článek popisuje, jak pomocí nastavení diagnostiky odesílat data protokolu do různých služeb, uvádí příklady & odhady nákladů a odpovídá na některé běžné otázky. Po povolení této funkce se vaše protokoly směrují do služby Azure Monitor, kterou zvolíte.
Poznámka
Tyto protokoly používají schémata, která se můžou změnit. Pokud chcete poskytnout zpětnou vazbu, včetně informací v protokolech, přejděte na Zpětnou vazbu pro Intune.
Požadavky
K použití této funkce potřebujete:
- Předplatné Azure, ke kterému se můžete přihlásit. Pokud nemáte předplatné Azure, můžete si zaregistrovat bezplatnou zkušební verzi.
- Prostředí Microsoft Intune (tenant)
- Uživatel, který má roli správce Intune služeb Microsoft Entra pro tenanta Intune. Informace o této roli najdete v tématu Microsoft Entra předdefinovaných rolí – Intune správce.
- Ke konfiguraci shromažďování protokolů ze služby Azure Storage potřebujete roli Přispěvatel Log Analytics v pracovním prostoru služby Log Analytics. Další informace o různých rolích a o tom, co můžou dělat, najdete v tématu Správa přístupu k datům protokolů a pracovním prostorům ve službě Azure Monitor.
V závislosti na tom, kam chcete směrovat data protokolu auditu, potřebujete jednu z následujících služeb:
- Účet úložiště Azure s oprávněními ListKeys Doporučujeme používat obecný účet úložiště, a ne účet úložiště objektů blob. Informace o cenách úložiště najdete v cenové kalkulačce služby Azure Storage.
- Obor názvů Azure Event Hubs pro integraci s partnerskými řešeními třetích stran.
- Pracovní prostor Služby Azure Log Analytics pro odesílání protokolů do Log Analytics
Odesílání protokolů do Azure Monitoru
Přihlaste se k Centru pro správu Microsoft 365.
Vyberte Nastavení diagnostiky sestav>. Při prvním otevření ho zapněte. V opačném případě přidejte nastavení.
Pokud se vaše předplatné Azure nezobrazuje, přejděte do pravého horního rohu a vyberte adresář switch přihlášeného účtu>. Možná budete muset zadat účet předplatného Azure.
Zadejte tyto vlastnosti:
Název: Zadejte název nastavení diagnostiky. Toto nastavení zahrnuje všechny vlastnosti, které zadáte. Zadejte
Route audit logs to storage accountnapříklad .Archivace do účtu úložiště: Uloží data protokolu do účtu služby Azure Storage. Pokud chcete data uložit nebo archivovat, zvolte tuto možnost.
- Vyberte tuto možnost >Konfigurovat.
- V seznamu >OK vyberte existující účet úložiště.
Stream do centra událostí: Streamuje protokoly do Azure Event Hubs. Pokud chcete data protokolů analyzovat pomocí nástrojů SIEM, jako jsou Splunk a QRadar, zvolte tuto možnost.
- Vyberte tuto možnost >Konfigurovat.
- V seznamu >OK zvolte existující obor názvů a zásadu služby Event Hubs.
Odeslat do Log Analytics: Odešle data do Azure Log Analytics. Pokud chcete pro své protokoly používat vizualizace, monitorování a upozorňování, zvolte tuto možnost.
Vyberte tuto možnost >Konfigurovat.
Vytvořte nový pracovní prostor a zadejte podrobnosti o pracovním prostoru. Nebo zvolte existující pracovní prostor ze seznamu >OK.
Další podrobnosti o těchto nastaveních najdete v pracovním prostoru služby Azure Log Analytics.
KLÁDA>AuditLogs: Tuto možnost vyberte, pokud chcete odesílat protokoly auditu Intune do vašeho účtu úložiště, služby Event Hubs nebo Log Analytics. Protokoly auditu zobrazují historii všech úloh, které generují změnu v Intune, včetně toho, kdo a kdy to udělal. Další referenční informace najdete v tématu IntuneAuditLogs.
Pokud se rozhodnete použít účet úložiště, zadejte také, kolik dní chcete data uchovávat (uchovávání). Pokud chcete data uchovávat navždy, nastavte Možnost Uchování (dny) na
0(nula).KLÁDA>OperationalLogs: Provozní protokoly zobrazují úspěch nebo selhání uživatelů a zařízení, která se registruje do Intune, a podrobnosti o zařízeních nesplňujících předpisy. Tuto možnost zvolte, pokud chcete protokoly registrace odeslat do účtu úložiště, služby Event Hubs nebo Log Analytics. Další referenční informace najdete v tématu IntuneOperationalLogs.
Pokud se rozhodnete použít účet úložiště, zadejte také, kolik dní chcete data uchovávat (uchovávání). Pokud chcete data uchovávat navždy, nastavte Možnost Uchování (dny) na
0(nula).KLÁDA>DeviceComplianceOrg: V protokolech organizace dodržování předpisů zařízením se zobrazuje sestava dodržování předpisů zařízením v Intune a podrobnosti o zařízeních, která nedodržují předpisy. Tuto možnost vyberte, pokud chcete odesílat protokoly dodržování předpisů do účtu úložiště, služby Event Hubs nebo Log Analytics. Další referenční informace najdete v tématu IntuneDeviceComplianceOrg.
Pokud se rozhodnete použít účet úložiště, zadejte také, kolik dní chcete data uchovávat (uchovávání). Pokud chcete data uchovávat navždy, nastavte Možnost Uchování (dny) na
0(nula).KLÁDA>IntuneDevices: Protokol zařízení Intune zobrazuje informace o inventáři a stavu zařízení pro Intune zaregistrovaná a spravovaná zařízení. Tuto možnost zvolte, pokud chcete odesílat protokoly IntuneDevices do vašeho účtu úložiště, služby Event Hubs nebo Log Analytics. Další referenční informace najdete v tématu IntuneZasídky.
Pokud se rozhodnete použít účet úložiště, zadejte také, kolik dní chcete data uchovávat (uchovávání). Pokud chcete data uchovávat navždy, nastavte Možnost Uchování (dny) na
0(nula).
Po dokončení budou vaše nastavení vypadat podobně jako následující nastavení:
Uložte provedené změny. Vaše nastavení se zobrazí v seznamu. Po vytvoření nastavení můžete nastavení změnit tak, že vyberete Upravit nastavení>Uložit.
Použití protokolů auditu v celém Intune
Můžete také exportovat protokoly auditu používané v jiných částech Intune, včetně registrace, dodržování předpisů, konfigurace, zařízení, klientských aplikací a dalších.
Další informace najdete v tématu Použití protokolů auditu ke sledování a monitorování událostí. Můžete zvolit, kam se mají protokoly auditu odesílat, jak je popsáno v tématu Odesílání protokolů do služby Azure Monitor (v tomto článku).
Vlastnosti protokolu auditu
V protokolu auditování najdete následující vlastnosti a jejich konkrétní hodnoty:
| Vlastnost | Popis vlastnosti | Hodnoty |
|---|---|---|
| Typ aktivity | Akce, kterou správce provede. | Vytvoření, odstranění, oprava, akce, nastaveníference, odebráníference, získání, hledání |
| ActorType | Osoba, která akci provede. | Unknown = 0, ItPro, IW, System, Partner, Application, GuestUser |
| Kategorie | Podokno, ve kterém se akce proběhla. | Jiné = 0, Registrace = 1, Dodržování předpisů = 2, Konfigurace zařízení = 3, Zařízení = 4, Aplikace = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Role = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15, AssignmentFilter = 16, RemoteHelp = 17, OrganizationalMessage = 18, EndpointPrivilegeMgmt = 19, DeviceInventory = 20 |
| Hodnota ActivityResult | Zda je akce úspěšná nebo ne | Úspěch = 1 |
Důležité informace o nákladech
Pokud už máte licenci Microsoft Intune, budete k nastavení účtu úložiště a služby Event Hubs potřebovat předplatné Azure. Předplatné Azure je obvykle bezplatné. Platíte ale za používání prostředků Azure, včetně účtu úložiště pro archivaci a služby Event Hubs pro streamování. Množství dat a náklady se liší v závislosti na velikosti tenanta.
Velikost úložiště pro protokoly aktivit
Každá událost protokolu auditu využívá přibližně 2 kB úložiště dat. V případě tenanta s 100 000 uživateli můžete mít přibližně 1,5 milionu událostí za den. Možná budete potřebovat přibližně 3 GB úložiště dat za den. Vzhledem k tomu, že zápisy obvykle probíhají v pětiminutových dávkách, můžete očekávat přibližně 9 000 operací zápisu za měsíc.
Následující tabulky ukazují odhad nákladů v závislosti na velikosti tenanta. Zahrnuje také účet úložiště pro obecné účely v2 v oblasti USA – západ po dobu nejméně jednoho roku uchovávání dat. Pokud chcete získat odhad objemu dat, který očekáváte pro své protokoly, použijte cenovou kalkulačku úložiště Azure.
Protokol auditu s 100 000 uživateli:
| Kategorie | Hodnota |
|---|---|
| Události za den | 1,5 milionu |
| Odhadovaný objem dat za měsíc | 90 GB |
| Odhadované náklady na měsíc (USD) | 1,93 Kč |
| Odhadované náklady na rok (USD) | 23,12 Kč |
Protokol auditu s 1 000 uživateli:
| Kategorie | Hodnota |
|---|---|
| Události za den | 15,000 |
| Odhadovaný objem dat za měsíc | 900 MB |
| Odhadované náklady na měsíc (USD) | 0,02 Kč |
| Odhadované náklady na rok (USD) | 0,24 Kč |
Zprávy služby Event Hubs pro protokoly aktivit
Události se obvykle dávkují v pětiminutových intervalech a odesílají se jako jedna zpráva se všemi událostmi v daném časovém rámci. Zpráva ve službě Event Hubs má maximální velikost 256 kB. Pokud celková velikost všech zpráv v daném časovém rámci překročí tento svazek, odešle se více zpráv.
Například u velkého tenanta s více než 100 000 uživateli obvykle dochází k přibližně 18 událostem za sekundu. Tato hodnota odpovídá 5 400 událostem každých pět minut (300 sekund x 18 událostí). Protokoly auditu mají přibližně 2 kB na událost. Tato hodnota odpovídá 10,8 MB dat. Do služby Event Hubs se tedy v pětiminutových intervalech odešle 43 zpráv.
Následující tabulka obsahuje odhadované měsíční náklady na základní službu Event Hubs v oblasti USA – západ v závislosti na objemu dat událostí. Pokud chcete získat odhad objemu dat, který očekáváte pro své protokoly, použijte cenovou kalkulačku služby Event Hubs.
Protokol auditu s 100 000 uživateli:
| Kategorie | Hodnota |
|---|---|
| Události za sekundu | 18 |
| Události za pětiminutový interval | 5,400 |
| Svazek na interval | 10,8 MB |
| Zprávy za interval | 43 |
| Zprávy za měsíc | 371,520 |
| Odhadované náklady na měsíc (USD) | 10,83 Kč |
Protokol auditu s 1 000 uživateli:
| Kategorie | Hodnota |
|---|---|
| Události za sekundu | 0.1 |
| Události za pětiminutový interval | 52 |
| Svazek na interval | 104 kB |
| Zprávy za interval | 1 |
| Zprávy za měsíc | 8,640 |
| Odhadované náklady na měsíc (USD) | 10,80 Kč |
Důležité informace o nákladech na Log Analytics
Pokud chcete zkontrolovat náklady související se správou pracovního prostoru služby Log Analytics, přejděte do části Správa nákladů pomocí řízení objemu a uchovávání dat v Log Analytics.
Nejčastější dotazy
Získejte odpovědi na nejčastější dotazy, včetně doby latence, způsobu ovlivnění nákladů, podporovaných nástrojů SIEM a dalších.
Které protokoly jsou zahrnuté?
Pro směrování pomocí této funkce jsou k dispozici protokoly auditu Intune a provozní protokoly.
Kdy se po akci protokoly zobrazí ve službách Azure Monitoru?
Po akci:
- Protokoly auditu Intune a provozní protokoly se odesílají okamžitě z Intune do služeb Azure Monitoru.
- Data sestavy Intune Organizační protokoly dodržování předpisů zařízením a IntuneDevices se odesílají z Intune do služeb Azure Monitoru každých 24 hodin. Získání protokolů ve službách Azure Monitoru proto může trvat až 24 hodin.
Jakmile se data odešlou z Intune, obvykle se ve službě Azure Monitor zobrazí do 30 minut.
Co se stane, když správce změní dobu uchovávání nastavení diagnostiky?
Nové zásady uchovávání informací se použijí na protokoly shromážděné po změně. Protokoly shromážděné před změnou zásad nejsou ovlivněné.
Kolik stojí ukládání dat?
Náklady na úložiště závisí na velikosti protokolů a zvolené době uchovávání. Seznam odhadovaných nákladů na tenanty, které závisí na vygenerovaném svazku protokolů, najdete v tématu Velikost úložiště pro protokoly aktivit (v tomto článku).
Kolik stojí streamování dat do Azure Event Hubs?
Náklady na streamování závisí na počtu zpráv, které dostanete za minutu. Podrobnosti o výpočtu nákladů a odhadech nákladů na základě počtu zpráv najdete v tématu Zprávy služby Event Hubs pro protokoly aktivit (v tomto článku).
Návody integrovat protokoly auditu Intune se systémem SIEM?
Pomocí služby Azure Monitor se službou Event Hubs můžete streamovat protokoly do systému SIEM:
- Stream protokoly do služby Event Hubs.
- Nastavte si nástroj SIEM s nakonfigurovanou službou Event Hubs.
Jaké nástroje SIEM jsou aktuálně podporované?
V současné době nástroje Splunk, QRadar a Sumo Logic (otevře nový web) podporují Službu Azure Monitor. Další informace o tom, jak konektory fungují, najdete v tématu Stream monitorování dat Azure do služby Event Hubs, kde je může používat externí nástroj.
Můžu k datům přistupovat z Azure Event Hubs bez použití externího nástroje SIEM?
Ano. Pro přístup k protokolům z vlastní aplikace můžete použít rozhraní API služby Event Hubs.
Jaká data se ukládají?
Intune neukládá žádná data odeslaná prostřednictvím kanálu. Intune směruje data do kanálu služby Azure Monitor v autoritě tenanta. Další informace najdete v tématu Přehled služby Azure Monitor.