使用审核日志跟踪和监视 Microsoft Intune 中的事件

在 Microsoft Intune 中，有一些审核日志包含生成更改的活动记录。 例如，创建、更新 (编辑) 、删除、分配和远程操作都会创建审核事件。

管理员可以查看审核日志，以跟踪和监视大多数 Intune 工作负载的事件。 已为所有客户启用审核。 该功能无法禁用。

谁可以访问数据？

拥有以下权限的用户可以查看审核日志：

• Intune 管理员Microsoft Entra 角色
• 分配给具有 审核数据 - 读取 权限的 Intune 角色的管理员。 有关具有此权限的内置 Intune 角色的列表，请转到 Microsoft Intune 的内置角色权限。

查看审核日志

可以在监视组中查看每个 Intune 工作负荷的审核日志，例如合规性或条件访问。

1. 登录到 Microsoft Intune 管理中心。

2. 选择 “租户管理>审核日志”。

3. 将显示日志列表。 从列表中选择一个日志以查看活动详细信息。

4. 如果存在许多日志，可以：

   1. 选择“ 日期 ”并输入开始日期和结束日期。 此日期范围可以显示上一个月、一周或一天的日志。

      

   2. 选择 “添加筛选器>类别”。 从列表中选择一个类别，例如“符合性”、“设备”或“角色”。 然后，选择“ 应用”。

   3. 选择 “添加筛选器>活动”。 可用选项取决于所选的 类别 。 然后，选择“ 应用”。

      例如，如果选择“ 符合性” 类别， 活动 筛选器选项如下图所示：

      

有关审核日志的信息，请转到：

• Intune 中的数据存储和处理
• 在整个 Intune 中使用审核日志
• 在 Intune 中审核、导出或删除个人数据

将日志路由到 Azure Monitor

审核日志和操作日志也可以路由到 Azure Monitor。 在 Intune 管理中心，选择“ 租户管理>审核日志>导出”：

导出时， .csv 文件会在本地创建并保存，可能位于 中 C:\Users\UserName\AppData\Local\Temp\MicrosoftEdgeDownloads\GUID。

查看 .csv 文件时：

• 由 (执行组件启动) 包括有关任务运行者及其运行位置的信息。

  例如，如果在 Azure 门户中的 Intune 中运行活动，则 应用程序 将始终列出 Microsoft Intune 门户扩展，并且 应用程序 ID 始终使用相同的 GUID。

• “ 目标 () ”部分列出了多个目标和已更改的属性。

有关此功能的详细信息（包括先决条件），请转到 将日志数据发送到存储、事件中心或日志分析。

使用图形 API 检索审核事件

还可以使用图形 API 获取一年的审核事件。 有关详细信息，请转到 列出 auditEvents。

相关文章

• 将日志数据发送到存储、事件中心或日志分析
• 查看客户端应用保护日志