Когда я с кем-то обсуждаю плюсы и минусы Intune по сравнению с SCCM, я всегда упоминаю один важный для меня момент. Логи.
Если вы используете on-prem решение, как правило в случае проблем и поломок, вы можете по цепочке разматывать логи в поисках проблемы. Это очень удобно.
К сожалению, в облачных продуктах с этим есть определенные проблемы.
Если вы только начали пользоваться Intune, то вот какие логи у вас есть из коробки:
– Device action – показывает пользовательскую активность на устройстве. Это может быть wipe/retire.
– Audit logs – показывает админскую активность.
– Enrollment failures – как следует из названия, показывает ошибки возникающие при добавлении устройства в Intune.
Сразу же вы сталкиваетесь с одной проблемой. Логи доступны для вас только на портале portal.azure.com. И хоть их и можно выгрузить, это достаточно неудобно.
Какие же есть варианты?
Powershell samples
И тут нам на помощь приходит старый добрый Powershell/ps/пошик. Так как Intune не имеет своего нативного модуля (да, я знаю что теперь модуль есть, но работает он пока крайне странно), добрые люди сделали коллекцию скриптов, которые за вас обращаются к Graph API, а вы просто можете привычно пользоваться командами.
Скрипты можно найти вот тут – https://github.com/microsoftgraph/powershell-intune-samples
Крайне советую посмотреть что там есть вообще.
Нас сейчас интересует секция “Auditing” – https://github.com/microsoftgraph/powershell-intune-samples
Скрипт отсюда позволит вам работать со следующими категориями событий.
Intune Audit Categories:
1. Other
2. Enrollment
3. Compliance
4. DeviceConfiguration
5. Device
6. Application
7. EBookManagement
8. ConditionalAccess
9. OnPremiseAccess
10. Role
11. SoftwareUpdates
12. DeviceSetupConfiguration
А дальше вы уже можете сохранять\выгружать\искать как вам угодно.
Graph API
Если вам уже приелся powershell и хочется пользоваться что то модное и молодежное, то вы можете получать события напрямую через Graph API.
В случае с API вам нужно будет выполнять http запросы к определенным точкам. Для примера попробуем получить те же Audit events.
Воспользуемся Graph API Explorer для теста – https://developer.microsoft.com/en-us/graph/graph-explorer
Так как нам нужны Audit Event, нужно найти как обратиться за этими логами.
https://docs.microsoft.com/en-us/graph/api/intune-auditing-auditevent-list?view=graph-rest-beta
Там вы найдете информацию по тому как обращаться за данными, каков ожидаемый ответ и какие разрешения нужны.
В Graph Explorer мы увидим примерно такой ответ.
Нам выдается json c нужными данными, который уже можно обрабатывать и с ним работать. Возможностей для применения очень много, так как вы можете это встраивать в свои приложения или даже в SharePoint формы.
Power BI
Не могу не написать про PowerBI, так как в Intune Datawarehouse есть логи по ошибкам добавления устройства в Intune.
Для этого существует группа таблиц enrollmentActivities
Azure Log Analytics
Не очень давно в Intune добавили функцию выгрузки логов в Azure Log Analytics.
Auditlogs – показывает действия админов.
OperationalLogs – показывает события присоединения и проверки соответствия (compliance).
После этой интеграции вы сможете использовать Log Analytics для работы с логами, построения отчетов, настройка оповещений об определенных событиях и т.д. Инструмент крайне мощный и полезный.
Представим, что у меня есть цель наблюдать за активностью админов, так как есть много людей с разным уровнем доступа.
В Log Analytics все работает через язык запросов KQL – Kusto Query Language.
Запрос для моего случая будет примерно такой:
IntuneAuditLogs | summarize count() by OperationName, Identity, bin(TimeGenerated, 3h) | render barchart
И на выходе я получу график:
И тут сразу понятно, что вчера происходил какой то аномальный скачек в активности и нужно будет разобраться подробнее. В данном случае это было запланированное изменение, но всегда нужно присматривать.
Прям в этом же окне можно создавать оповещение по критериям (высылать оповещение, если количество действий администраторов превысило среднее за х дней).
Если вам интересно узнать больше о KQL, то на pluralsight есть бесплатный курс.
Alex Vanyurikhin 