Intune günlük verilerini Azure Depolama, Event Hubs veya Log Analytics'e gönderme
Microsoft Intune ortamınız hakkında bilgi sağlayan yerleşik günlükler içerir:
- Denetim Günlükleri oluşturma, güncelleştirme (düzenleme), silme, atama ve uzak eylemler gibi Intune değişiklik oluşturan etkinliklerin kaydını gösterir.
- İşlem Günlükleri , başarıyla kaydedilen (veya başarısız olan) kullanıcılar ve cihazlarla ilgili ayrıntıları ve uyumsuz cihazlardaki ayrıntıları gösterir.
- Cihaz Uyumluluğu Kuruluş Günlükleri, Intune cihaz uyumluluğu için bir kuruluş raporu ve uyumsuz cihazlardaki ayrıntıları gösterir.
- IntuneCihazlar, kayıtlı ve yönetilen Intune cihazlar için cihaz envanteri ve durum bilgilerini gösterir.
Bu günlükler depolama hesapları, Event Hubs ve Log Analytics gibi Azure İzleyici hizmetlerine de gönderilebilir. Özellikle şunları yapabilirsiniz:
- Verileri tutmak için azure depolama hesabına Intune günlükleri arşivleyin veya belirli bir süre için arşivleyin.
- Splunk ve QRadar gibi popüler Güvenlik Bilgileri ve Olay Yönetimi (SIEM) araçlarını kullanarak analiz için bir Azure Event Hubs günlüğe Stream Intune.
- Intune günlükleri Event Hubs'a akışla aktararak kendi özel günlük çözümlerinizle tümleştirin.
- Bağlı verilerde zengin görselleştirmeler, izleme ve uyarı sağlamak için Log Analytics'e Intune günlükleri gönderin.
Bu özellikler Intune'deki Tanılama Ayarları'nın bir parçasıdır.
Bu makalede, günlük verilerini farklı hizmetlere göndermek için Tanılama Ayarları'nın nasıl kullanılacağı, maliyet tahminleri & örnekler ve bazı yaygın soruların yanıtlarının nasıl kullanılacağı gösterilmektedir. Bu özelliği etkinleştirdikten sonra günlükleriniz seçtiğiniz Azure İzleyici hizmetine yönlendirilir.
Not
Bu günlükler değişebilen şemalar kullanır. Günlüklerdeki bilgiler de dahil olmak üzere geri bildirim sağlamak için Intune için geri bildirim bölümüne gidin.
Önkoşullar
Bu özelliği kullanmak için şunları yapmanız gerekir:
- Oturum açabileceğiniz bir Azure aboneliği. Azure aboneliğiniz yoksa ücretsiz deneme için kaydolabilirsiniz.
- Microsoft Intune ortamı (kiracı)
- Intune kiracısı için Intune Hizmet Yöneticisi Microsoft Entra rolüne sahip bir kullanıcı. Bu rol hakkında bilgi için Microsoft Entra yerleşik roller - Intune Yönetici bölümüne gidin.
- Azure Depolama'dan günlük koleksiyonunu yapılandırmak için Log Analytics Çalışma Alanı'nda Log Analytics Katkıda Bulunanı rolüne sahip olmanız gerekir. Farklı roller ve yapabilecekleri hakkında daha fazla bilgi için Azure İzleyici'de günlük verilerine ve çalışma alanlarına erişimi yönetme bölümüne gidin.
Denetim günlüğü verilerini yönlendirmek istediğiniz yere bağlı olarak, aşağıdaki hizmetlerden birine ihtiyacınız vardır:
- ListKeys izinlerine sahip bir Azure depolama hesabı. Blob depolama hesabı değil genel bir depolama hesabı kullanmanızı öneririz. Depolama fiyatlandırma bilgileri için Azure Depolama fiyatlandırma hesaplayıcısına gidin.
- Üçüncü taraf iş ortağı çözümleriyle tümleştirmek için bir Azure Event Hubs ad alanı.
- Günlükleri Log Analytics'e göndermek için bir Azure Log Analytics çalışma alanı.
Günlükleri Azure izleyicisine gönderme
Microsoft Intune yönetim merkezinde oturum açın.
Raporlar>Tanılama ayarları'nı seçin. İlk kez açtığınızda açın. Aksi takdirde, bir ayar ekleyin.
Azure aboneliğiniz gösterilmiyorsa sağ üst köşeye gidin ve oturum açmış hesap >Anahtarı dizinini seçin. Azure abonelik hesabını girmeniz gerekebilir.
Aşağıdaki özellikleri girin:
Ad: Tanılama ayarları için bir ad girin. Bu ayar, girdiğiniz tüm özellikleri içerir. Örneğin, girin
Route audit logs to storage account.Depolama hesabında arşivle: Günlük verilerini bir Azure Depolama hesabına kaydeder. Verileri kaydetmek veya arşivlemeyi istiyorsanız bu seçeneği belirleyin.
- Yapılandır'ı> seçin.
- Tamam listesinden > var olan bir depolama hesabını seçin.
Bir olay hub'ına Stream: Günlüklerin akışını Azure Event Hubs. Splunk ve QRadar gibi SIEM araçlarını kullanarak günlük verilerinizde analiz yapmak istiyorsanız bu seçeneği belirleyin.
- Yapılandır'ı> seçin.
- Tamam listesinden > mevcut bir Event Hubs ad alanını ve ilkesini seçin.
Log Analytics'e Gönder: Verileri Azure Log Analytics'e gönderir. Günlükleriniz için görselleştirmeler, izleme ve uyarı kullanmak istiyorsanız bu seçeneği belirleyin.
Yapılandır'ı> seçin.
Yeni bir çalışma alanı oluşturun ve çalışma alanı ayrıntılarını girin. İsterseniz, Tamam listesinden > var olan bir çalışma alanını da seçebilirsiniz.
Azure Log Analytics çalışma alanı bu ayarlarla ilgili daha fazla ayrıntı sağlar.
KÜTÜK>AuditLogs: Intune denetim günlüklerini depolama hesabınıza, Event Hubs'a veya Log Analytics'e göndermek için bu seçeneği belirleyin. Denetim günlükleri, kimin ne zaman yaptığı da dahil olmak üzere Intune değişiklik oluşturan her görevin geçmişini gösterir. Daha fazla başvuru bilgisi için IntuneAuditLogs'a gidin.
Bir depolama hesabı kullanmayı seçerseniz, verileri kaç gün tutmak istediğinizi de (bekletme) girin. Verileri sonsuza kadar tutmak için Bekletme (gün) değerini (sıfır)
0olarak ayarlayın.KÜTÜK>OperationalLogs: İşlem günlükleri, Intune kaydolan kullanıcı ve cihazların başarısını veya başarısızlığını ve uyumsuz cihazlardaki ayrıntıları gösterir. Kayıt günlüklerini depolama hesabınıza, Event Hubs'a veya Log Analytics'e göndermek için bu seçeneği belirleyin. Daha fazla başvuru bilgisi için IntuneOperationalLogs'a gidin.
Bir depolama hesabı kullanmayı seçerseniz, verileri kaç gün tutmak istediğinizi de (bekletme) girin. Verileri sonsuza kadar tutmak için Bekletme (gün) değerini (sıfır)
0olarak ayarlayın.KÜTÜK>DeviceComplianceOrg: Cihaz uyumluluğu kuruluş günlükleri, Intune Cihaz Uyumluluğu için kuruluş raporunu ve uyumsuz cihazların ayrıntılarını gösterir. Uyumluluk günlüklerini depolama hesabınıza, Event Hubs'a veya Log Analytics'e göndermek için bu seçeneği belirleyin. Daha fazla başvuru bilgisi için IntuneDeviceComplianceOrg'a gidin.
Bir depolama hesabı kullanmayı seçerseniz, verileri kaç gün tutmak istediğinizi de (bekletme) girin. Verileri sonsuza kadar tutmak için Bekletme (gün) değerini (sıfır)
0olarak ayarlayın.KÜTÜK>IntuneCihazlar: Intune Cihaz günlüğü, kayıtlı ve yönetilen Intune cihazlar için cihaz envanteri ve durum bilgilerini gösterir. IntuneDevices günlüklerini depolama hesabınıza, Event Hubs'a veya Log Analytics'e göndermek için bu seçeneği belirleyin. Daha fazla başvuru bilgisi için IntuneCihazlar'a gidin.
Bir depolama hesabı kullanmayı seçerseniz, verileri kaç gün tutmak istediğinizi de (bekletme) girin. Verileri sonsuza kadar tutmak için Bekletme (gün) değerini (sıfır)
0olarak ayarlayın.
İşiniz bittiğinde, ayarlarınız aşağıdaki ayarlara benzer görünür:
Yaptığınız değişiklikleri kaydedin. Ayarınız listede gösterilir. Ayarlar oluşturulduktan sonra Düzenle ayarını>Kaydet'i seçerek ayarları değiştirebilirsiniz.
Intune boyunca denetim günlüklerini kullanma
Kayıt, uyumluluk, yapılandırma, cihazlar, istemci uygulamaları ve daha fazlası dahil olmak üzere Intune diğer bölümlerinde kullanılan denetim günlüklerini de dışarı aktarabilirsiniz.
Daha fazla bilgi için Olayları izlemek ve izlemek için denetim günlüklerini kullanma bölümüne gidin. Azure İzleyici'ye günlük gönderme (bu makalede) bölümünde açıklandığı gibi denetim günlüklerinin nereye gönderileceğini seçebilirsiniz.
Denetim günlüğü özellikleri
Denetim günlüğünde aşağıdaki özellikleri ve bunların belirli değerlerini bulabilirsiniz:
| Mülk | Özellik açıklaması | Değerler |
|---|---|---|
| ActivityType | Yöneticinin gerçekleştirilen eylem. | Oluşturma, Silme, Düzeltme Eki, Eylem, SetReference, RemoveReference, Get, Search |
| ActorType | Eyleme geçen kişi. | Bilinmiyor = 0, ItPro, IW, Sistem, İş Ortağı, Uygulama, GuestUser |
| Kategori | Eylemin gerçekleştiği bölme. | Diğer = 0, Kayıt = 1, Uyumluluk = 2, DeviceConfiguration = 3, Cihaz = 4, Uygulama = 5, EBookManagement = 6, ConditionalAccess= 7, OnPremiseAccess= 8, Rol = 9, SoftwareUpdates =10, DeviceSetupConfiguration = 11, DeviceIntent = 12, DeviceIntentSetting = 13, DeviceSecurity = 14, GroupPolicyAnalytics = 15, AssignmentFilter = 16, RemoteHelp = 17, OrganizationalMessage = 18, EndpointPrivilegeMgmt = 19, DeviceInventory = 20 |
| ActivityResult | Eylemin başarılı olup olmadığı | Başarı = 1 |
Maliyetle ilgili dikkat edilmesi gerekenler
Zaten bir Microsoft Intune lisansınız varsa depolama hesabını ve Event Hubs'ı ayarlamak için bir Azure aboneliğine ihtiyacınız vardır. Azure aboneliği genellikle ücretsizdir. Ancak arşivleme için depolama hesabı ve akış için Event Hubs dahil olmak üzere Azure kaynaklarını kullanmak için ödeme yaparsınız. Veri miktarı ve maliyetler kiracı boyutuna bağlı olarak değişir.
Etkinlik günlükleri için depolama boyutu
Her denetim günlüğü olayı yaklaşık 2 KB veri depolama alanı kullanır. 100.000 kullanıcısı olan bir kiracı için günde yaklaşık 1,5 milyon etkinliğiniz olabilir. Günde yaklaşık 3 GB veri depolama alanına ihtiyacınız olabilir. Yazma işlemleri genellikle beş dakikalık toplu işlemlerle gerçekleştiğinden, ayda yaklaşık 9.000 yazma işlemi bekleyebilirsiniz.
Aşağıdaki tablolarda, kiracının boyutuna bağlı olarak bir maliyet tahmini gösterilir. Ayrıca en az bir yıllık veri saklama için Batı ABD'de genel amaçlı v2 depolama hesabı içerir. Günlükleriniz için beklediğiniz veri hacmine ilişkin bir tahmin almak için Azure depolama fiyatlandırma hesaplayıcısını kullanın.
100.000 kullanıcılı denetim günlüğü:
| Kategori | Değer |
|---|---|
| Günlük etkinlikler | 1,5 milyon |
| Aylık tahmini veri hacmi | 90 GB |
| Aylık tahmini maliyet (USD) | 1,93 ABD doları |
| Yıllık tahmini maliyet (USD) | 23,12 USD |
1.000 kullanıcılı denetim günlüğü:
| Kategori | Değer |
|---|---|
| Günlük etkinlikler | 15,000 |
| Aylık tahmini veri hacmi | 900 MB |
| Aylık tahmini maliyet (USD) | 0,02 USD |
| Yıllık tahmini maliyet (USD) | 0,24 ABD doları |
Etkinlik günlükleri için Event Hubs iletileri
Olaylar genellikle beş dakikalık aralıklarla toplu olarak oluşturulur ve bu zaman çerçevesindeki tüm olaylarla birlikte tek bir ileti olarak gönderilir. Event Hubs'taki bir iletinin boyutu en fazla 256 KB'tır. Zaman çerçevesi içindeki tüm iletilerin toplam boyutu bu birimi aşarsa, birden çok ileti gönderilir.
Örneğin, 100.000'den fazla kullanıcıdan oluşan büyük bir kiracı için saniyede yaklaşık 18 olay gerçekleşir. Bu değer her beş dakikada bir 5.400 olaya eşittir (300 saniye x 18 olay). Denetim günlükleri olay başına yaklaşık 2 KB'tır. Bu değer 10,8 MB veriye eşittir. Bu nedenle, bu beş dakikalık aralıkta Event Hubs'a 43 ileti gönderilir.
Aşağıdaki tabloda, olay verilerinin hacmine bağlı olarak Batı ABD'deki temel bir Event Hubs için aylık tahmini maliyetler yer almaktadır. Günlükleriniz için beklediğiniz veri hacminin tahminini almak için Event Hubs fiyatlandırma hesaplayıcısını kullanın.
100.000 kullanıcılı denetim günlüğü:
| Kategori | Değer |
|---|---|
| Saniye başına olay sayısı | 18 |
| Beş dakikalık aralık başına olaylar | 5,400 |
| Aralık başına birim | 10,8 MB |
| Aralık başına ileti sayısı | 43 |
| Aylık ileti sayısı | 371,520 |
| Aylık tahmini maliyet (USD) | 10,83 ABD doları |
1.000 kullanıcılı denetim günlüğü:
| Kategori | Değer |
|---|---|
| Saniye başına olay sayısı | 0.1 |
| Beş dakikalık aralık başına olaylar | 52 |
| Aralık başına birim | 104 KB |
| Aralık başına ileti sayısı | 1 |
| Aylık ileti sayısı | 8,640 |
| Aylık tahmini maliyet (USD) | 10,80 ABD doları |
Log Analytics maliyetle ilgili dikkat edilmesi gerekenler
Log Analytics çalışma alanını yönetmeyle ilgili maliyetleri gözden geçirmek için Log Analytics'te veri hacmini ve saklamayı denetleyerek maliyeti yönetme bölümüne gidin.
Sık sorulan sorular (SSS)
Gecikme süreleri, maliyetlerin nasıl etkilendiği, desteklenen SIEM araçları ve daha fazlası gibi sık sorulan soruların yanıtlarını alın.
Hangi günlükler dahildir?
Intune Denetim günlükleri ve İşlem günlükleri bu özelliği kullanarak yönlendirmek için kullanılabilir.
Bir eylemden sonra günlükler Azure İzleyici hizmetlerinde ne zaman görünür?
Eylemden sonra:
- Intune Denetim Günlükleri ve İşlem Günlükleri, Intune'dan Azure İzleyici hizmetlerine hemen gönderilir.
- Intune Cihaz Uyumluluğu Kuruluş Günlükleri ve IntuneDevices rapor verileri, Intune'dan Azure İzleyici hizmetlerine 24 saatte bir gönderilir. Bu nedenle, Azure İzleyici hizmetlerindeki günlüklerin alınması 24 saat kadar sürebilir.
Veriler Intune gönderildikten sonra genellikle 30 dakika içinde Azure İzleyici hizmetinde gösterilir.
Bir yönetici tanılama ayarının saklama süresini değiştirirse ne olur?
Yeni bekletme ilkesi, değişiklik sonrasında toplanan günlüklere uygulanır. İlke değişikliğinden önce toplanan günlükler etkilenmez.
Verilerimi depolamak ne kadara mal olur?
Depolama maliyetleri günlüklerinizin boyutuna ve seçtiğiniz saklama süresine bağlıdır. Oluşturulan günlük birimine bağlı olarak kiracıların tahmini maliyetlerinin listesi için Etkinlik günlükleri için depolama boyutu bölümüne gidin (bu makalede).
Verilerimi Azure Event Hubs akışı yapmak ne kadara mal olur?
Akış maliyetleri, dakika başına aldığınız ileti sayısına bağlıdır. Maliyetlerin hesaplanma şekli ve ileti sayısına göre maliyet tahminleri hakkında ayrıntılı bilgi için etkinlik günlükleri için Event Hubs iletileri'ne gidin (bu makalede).
Intune denetim günlüklerini SIEM sistemimle tümleştirmek Nasıl yaparım??
Günlükleri SIEM sisteminize akışla göndermek için Event Hubs ile Azure İzleyici'yi kullanın:
- Günlükleri Event Hubs'a Stream.
- Yapılandırılmış Event Hubs ile SIEM aracınızı ayarlayın.
Şu anda hangi SIEM araçları desteklenmektedir?
Şu anda Splunk, QRadar ve Sumo Logic (yeni bir web sitesi açar) Azure İzleyici'yi destekler. Bağlayıcıların nasıl çalıştığı hakkında daha fazla bilgi için Azure izleme verilerini dış bir araç tarafından kullanılmak üzere Event Hubs'a Stream bölümüne gidin.
Dış SIEM aracı kullanmadan Azure Event Hubs verilere erişebilir miyim?
Evet. Özel uygulamanızdan günlüklere erişmek için Event Hubs API'sini kullanabilirsiniz.
Hangi veriler depolanır?
Intune işlem hattı üzerinden gönderilen verileri depolamaz. Intune, kiracının yetkilisinde verileri Azure İzleyici işlem hattına yönlendirir. Daha fazla bilgi için Bkz. Azure İzleyici'ye genel bakış.