감사 로그를 사용하여 Microsoft Intune에서 이벤트 추적 및 모니터링

Microsoft Intune에는 변경을 생성하는 활동 레코드를 포함하는 감사 로그가 있습니다. 예를 들어 만들기, 업데이트(편집), 삭제, 할당 및 원격 작업은 모두 감사 이벤트를 만듭니다.

관리자는 감사 로그를 검토하여 대부분의 Intune 워크로드에 대한 이벤트를 추적하고 모니터링할 수 있습니다. 감사는 모든 고객에 대해 사용하도록 설정됩니다. 사용하지 않도록 설정할 수 없습니다.

누가 데이터에 액세스할 수 있나요?

다음 권한을 가진 사용자는 감사 로그를 검토할 수 있습니다.

• Intune 관리자 Microsoft Entra 역할
• 감사 데이터 - 읽기 권한이 있는 Intune 역할에 할당된 관리자. 이 권한이 있는 기본 제공 Intune 역할 목록은 Microsoft Intune에 대한 기본 제공 역할 권한으로 이동합니다.

감사 로그 보기

준수 또는 조건부 액세스와 같은 각 Intune 워크로드에 대한 모니터링 그룹의 감사 로그를 검토할 수 있습니다.

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 테넌트 관리>감사 로그를 선택합니다.

3. 로그 목록이 표시됩니다. 목록에서 로그를 선택하여 활동 세부 정보를 확인합니다.

4. 로그가 많은 경우 다음을 수행할 수 있습니다.

   1. 날짜를 선택하고 시작 및 종료 날짜를 입력합니다. 이 날짜 범위는 이전 달, 주 또는 일의 로그를 표시할 수 있습니다.

      

   2. 필터 범주 추가를>선택합니다. 목록에서 준수, 디바이스 또는 역할과 같은 범주를 선택합니다. 그런 다음 적용을 선택합니다.

   3. 필터 작업 추가를>선택합니다. 사용 가능한 옵션은 선택한 범주 에 따라 달라집니다. 그런 다음 적용을 선택합니다.

      예를 들어 준수 범주를 선택하는 경우 활동 필터 옵션은 다음 이미지와 유사합니다.

      

감사 로그에 대한 관련 정보는 다음을 참조하세요.

• Intune에서의 데이터 저장소 및 처리
• Intune 전체에서 감사 로그 사용
• Intune에서 개인 데이터 감사, 내보내기 또는 삭제

Azure Monitor로 로그 라우팅

감사 로그 및 운영 로그를 Azure Monitor로 라우팅할 수도 있습니다. Intune 관리 센터에서 테넌트 관리>감사 로그 내보내기를 선택합니다.>

내보낼 .csv 때 파일이 만들어지고 로컬로 저장됩니다(아마도 에 있을 수 있음) C:\Users\UserName\AppData\Local\Temp\MicrosoftEdgeDownloads\GUID.

파일을 보는 경우 .csv :

• (행위자)가 시작한 작업에는 작업을 실행한 사용자와 실행한 위치에 대한 정보가 포함됩니다.

  예를 들어 Azure Portal의 Intune에서 작업을 실행하는 경우 애플리케이션 은 항상 Microsoft Intune 포털 확장을 나열하고 애플리케이션 ID 는 항상 동일한 GUID를 사용합니다.

• 대상 섹션에는 여러 대상과 변경된 속성이 나열됩니다.

필수 구성 요소를 포함하여 이 기능에 대한 자세한 내용은 스토리지, 이벤트 허브 또는 로그 분석으로 로그 데이터 보내기를 참조하세요.

Graph API를 사용하여 감사 이벤트 검색

Graph API를 사용하여 1년간의 감사 이벤트를 가져올 수도 있습니다. 자세한 내용은 auditEvents 나열을 참조하세요.

관련 문서

• 스토리지, 이벤트 허브 또는 로그 분석에 로그 데이터 보내기
• 클라이언트 앱 보호 로그 검토