将Intune日志数据发送到 Azure 存储、事件中心或 Log Analytics
Microsoft Intune 包含可提供环境信息的内置日志:
- 审核日志 显示了在 Intune 中生成更改的活动记录,包括创建、更新(编辑)、删除、分配和远程操作。
- 操作日志 显示成功 (或失败) 注册的用户和设备的详细信息,以及不合规设备的详细信息。
- 设备符合性组织日志显示Intune中设备符合性的组织报告,以及有关不合规设备的详细信息。
- IntuneDevices 显示 Intune 注册和托管设备的设备清单和状态信息。
还可以将这些日志发送到 Azure Monitor 服务,包括存储帐户、事件中心和 Log Analytics。 具体而言,你可以:
- 存档Intune日志到 Azure 存储帐户以保留数据,或存档一段时间。
- 使用常用的安全信息和事件管理 (SIEM) 工具(如 Splunk 和 QRadar)将日志Stream Intune到Azure 事件中心进行分析。
- 通过将Intune日志流式传输到事件中心,将日志与你自己的自定义日志解决方案集成。
- 将 Intune 日志发送到 Log Analytics,对已连接数据启用丰富的可视化效果、监视和警报。
这些功能是 Intune中“诊断设置”的一部分。
本文介绍如何使用 诊断设置 将日志数据发送到不同的服务,提供 & 成本估算的示例,并回答一些常见问题。 启用此功能后,日志将路由到所选的 Azure Monitor 服务。
注意
这些日志使用可以更改的架构。 若要提供反馈(包括日志中的信息),请转到Intune反馈。
先决条件
要使用此功能,你需要:
- 可以登录的 Azure 订阅。 如果没有 Azure 订阅,可以 注册免费试用版。
- 租户) (Microsoft Intune环境
- 具有Intune租户Microsoft Entra Intune服务管理员角色的用户。 有关此角色的信息,请转到Microsoft Entra内置角色 - Intune管理员。
- 若要从 Azure 储存配置日志收集,则需要在 Log Analytics 工作区中的 Log Analytics 参与者 角色。 有关不同角色及其可执行的操作的详细信息,请转到 管理对 Azure Monitor 中日志数据和工作区的访问权限。
需要以下服务之一(具体视要将审核日志数据路由到哪里而异):
- 具有 ListKeys 权限的Azure 存储帐户。 建议使用常规存储帐户,而不是 blob 存储帐户。 有关存储定价信息,请转到 Azure 存储定价计算器。
- 与第三方合作伙伴解决方案集成的Azure 事件中心命名空间。
- 用于将日志发送到 Log Analytics 的 Azure Log Analytics 工作区 。
将日志发送到 Azure Monitor
选择“报表”>“诊断设置”。 第一次打开它时,需要启用它。 否则,请添加设置。
如果未显示 Azure 订阅,请转到右上角,选择登录帐户 >切换目录。 你可能需要输入 Azure 订阅帐户。
输入以下属性:
名称:输入诊断设置的名称。 此设置包括你输入的所有属性。 例如,输入
Route audit logs to storage account。存档到存储帐户:将日志数据保存到 Azure 存储帐户。 如果要保存或存档数据,请选择此选项。
- 选择此选项 >“配置”。
- 从“确定”列表中选择>现有存储帐户。
Stream事件中心:将日志流式传输到Azure 事件中心。 如果要使用 SIEM 工具(如 Splunk 和 QRadar)分析日志数据,请选择此选项。
- 选择此选项 >“配置”。
- 从“确定”列表中选择>现有的事件中心命名空间和策略。
发送到 Log Analytics:将数据发送到 Azure Log Analytics。 如果要对日志使用可视化效果、监视和警报,请选择此选项。
选择此选项 >“配置”。
新建工作区,并输入工作区详细信息。 或者,从“确定”列表中选择>现有工作区。
Azure Log Analytics 工作区 提供了有关这些设置的更多详细信息。
日志>AuditLogs:选择此选项可将Intune审核日志发送到存储帐户、事件中心或 Log Analytics。 审核日志显示每个在 Intune 中生成更改的任务的历史记录,包括任务执行者和执行时间。 有关详细参考信息,请转到 IntuneAuditLogs。
如果选择使用存储帐户,还要输入所需的数据保留天数(保留期)。 要永久保留数据,请将“保留期(天数)”设置为“
0”(零)。日志>OperationalLogs:操作日志显示注册Intune的用户和设备的成功或失败,以及不合规设备的详细信息。 选择此选项可将注册日志发送到存储帐户、事件中心或 Log Analytics。 有关详细参考信息,请转到 IntuneOperationalLogs。
如果选择使用存储帐户,还要输入所需的数据保留天数(保留期)。 要永久保留数据,请将“保留期(天数)”设置为“
0”(零)。日志>DeviceComplianceOrg:设备符合性组织日志显示Intune中的设备符合性组织报告,以及不合规设备的详细信息。 选择此选项可将符合性日志发送到存储帐户、事件中心或 Log Analytics。 有关详细参考信息,请转到 IntuneDeviceComplianceOrg。
如果选择使用存储帐户,还要输入所需的数据保留天数(保留期)。 要永久保留数据,请将“保留期(天数)”设置为“
0”(零)。日志 >IntuneDevices:Intune 设备日志显示 Intune 已注册和托管设备的设备清单和状态信息。 选择此选项可将 IntuneDevices 日志发送到存储帐户、事件中心或 Log Analytics。 有关详细参考信息,请转到 IntuneDevices。
如果选择使用存储帐户,还要输入所需的数据保留天数(保留期)。 要永久保留数据,请将“保留期(天数)”设置为“
0”(零)。
完成后,设置外观如下所示:
单击“保存”以保存更改。 此时,设置显示在列表中。 创建设置后,可以通过选择“编辑”设置“”保存“来更改设置>。
在整个 Intune 中使用审核日志
还可以导出Intune的其他部分使用的审核日志,包括注册、符合性、配置、设备、客户端应用等。
有关详细信息,请转到 使用审核日志跟踪和监视事件。 可选择将审核日志发送到的位置,如 将日志发送到 Azure monitor(本文)中所述。
审核日志属性
在审核日志中,可以找到以下属性及其特定值:
| 属性 | 属性描述 | 值 |
|---|---|---|
| ActivityType | 管理员采取的操作。 | Create、Delete、Patch、Action、SetReference、RemoveReference、Get、Search |
| ActorType | 执行操作的人员。 | Unknown = 0、ItPro、IW、System、Partner、Application、GuestUser |
| 类别 | 发生操作的窗格。 | Other = 0,Enrollment = 1,Compliance = 2,DeviceConfiguration = 3,Device = 4,Application = 5,EBookManagement = 6,ConditionalAccess= 7,OnPremiseAccess= 8,Role = 9, SoftwareUpdates =10,DeviceSetupConfiguration = 11,DeviceIntent = 12,DeviceIntentSetting = 13,DeviceSecurity = 14,GroupPolicyAnalytics = 15,AssignmentFilter = 16,RemoteHelp = 17,OrganizationalMessage = 18,EndpointPrivilegeMgmt = 19,DeviceInventory = 20 |
| ActivityResult | 操作是否成功 | Success = 1 |
成本因素
如果已有Microsoft Intune许可证,则需要 Azure 订阅来设置存储帐户和事件中心。 Azure 订阅通常是免费的。 但是,你需要付费才能使用 Azure 资源,包括用于存档的存储帐户和用于流式传输的事件中心。 数据量和成本因租户规模大小而异。
活动日志的存储大小
每个审核日志事件占用大约 2KB 的数据存储。 对于拥有 100,000 个用户的租户,每天可以有大约 150 万个事件。 每天可能需要大约 3 GB 的数据存储。 由于写入通常以 5 分钟的批处理进行,因此每月大约可以执行 9,000 次写入操作。
下表显示了因租户规模大小而异的成本估算。 它还包括美国西部的常规用途 v2 存储帐户,用于至少保留一年的数据。 若要估算预期的日志数据量,请使用 Azure 存储定价计算器。
包含 100,000 个用户的审核日志:
| 类别 | 值 |
|---|---|
| 每天事件数 | 150 万 |
| 估计的每月数据量 | 90GB |
| 估计的每月成本(美元) | $1.93 |
| 估计的每年成本(美元) | $23.12 |
包含 1,000 个用户的审核日志:
| 类别 | 值 |
|---|---|
| 每天事件数 | 15,000 |
| 估计的每月数据量 | 900 MB |
| 估计的每月成本(美元) | $0.02 |
| 估计的每年成本(美元) | $0.24 |
活动日志的事件中心消息
事件通常每五分钟批量处理一次,并作为这个时间范围内所有事件的一条消息发送。 事件中心的消息最大大小为 256 KB。 如果时间范围内所有消息的总大小超过此值,则会发送多条消息。
例如,对于超过 100,000 个用户的大租户,每秒通常发生大约 18 个事件。 此值相当于每 5 分钟 5,400 个事件 (300 秒 x 18 个事件) 。 每个事件的审核日志大约为 2KB。 此值相当于 10.8 MB 的数据。 因此,在 5 分钟的间隔内,将有 43 条消息发送到事件中心。
下表包含美国西部基本事件中心的每月估计成本,具体取决于事件数据量。 若要估算预期的日志数据量,请使用事件中心定价计算器。
包含 100,000 个用户的审核日志:
| 类别 | 值 |
|---|---|
| 每秒事件数 | 18 |
| 每五分钟发生的事件数 | 5,400 |
| 每个间隔的数据量 | 10.8MB |
| 每个间隔内的消息数 | 43 |
| 每月的消息数 | 371,520 |
| 估计的每月成本(美元) | $10.83 |
包含 1,000 个用户的审核日志:
| 类别 | 值 |
|---|---|
| 每秒事件数 | 0.1 |
| 每五分钟间隔发生的事件数 | 52 |
| 每个时间间隔内的数据量 | 104KB |
| 每个时间间隔内的消息数 | 1 |
| 每月的消息数 | 8,640 |
| 估计的每月成本(美元) | $10.80 |
Log Analytics 成本考虑因素
若要查看与管理 Log Analytics 工作区相关的成本,请转到 通过控制 Log Analytics 中的数据量和保留期来管理成本。
常见问题 (FAQ)
获取常见问题解答,包括延迟时间、成本影响方式、支持的 SIEM 工具等。
包含哪些日志?
Intune审核日志和操作日志可用于使用此功能进行路由。
操作后,日志何时显示在 Azure Monitor 服务中?
操作后:
- Intune审核日志和操作日志会立即从 Intune 发送到 Azure Monitor 服务。
- Intune设备合规性组织日志和 IntuneDevices 报告数据每 24 小时从 Intune 发送到 Azure Monitor 服务一次。 因此,最长可能需要 24 小时才能获取 Azure Monitor 服务中的日志。
从 Intune 发送数据后,通常会在 30 分钟内显示在 Azure Monitor 服务中。
如果管理员更改诊断设置的保留期,会发生什么情况?
新的保留策略应用于在更改后收集的日志。 在策略更改前收集的日志不受影响。
存储数据的成本是多少?
存储成本具体视日志大小和选择的保留期而定。 有关租户的估计成本列表(取决于生成的日志量),请转到本文 () 的活动日志的存储大小 。
将数据流式传输到Azure 事件中心的费用是多少?
流式传输成本具体视每分钟收到的消息数而定。 有关如何计算成本和基于消息数的成本估算的详细信息,请转到活动 日志的事件中心消息 (本文) 。
如何将 Intune 审核日志与我的 SIEM 系统集成?
将 Azure Monitor 与事件中心配合使用,将日志流式传输到 SIEM 系统:
- Stream日志到事件中心。
- 使用配置的事件中心设置 SIEM 工具。
目前支持哪些 SIEM 工具?
目前, Splunk、QRadar 和 Sumo Logic (会打开一个新网站,) 支持 Azure Monitor。 有关连接器工作原理的详细信息,请转到将 Azure 监视数据Stream事件中心供外部工具使用。
是否可以在不使用外部 SIEM 工具的情况下从 Azure 事件中心 访问数据?
是的。 若要从自定义应用访问这些日志,可使用事件中心 API。
存储什么数据?
Intune 不存储通过管道发送的任何数据。 Intune 将数据路由到租户授权的 Azure Monitor 管道。 有关详细信息,请转到 Azure Monitor 概述。