Intune и логи

Когда я с кем-то обсуждаю плюсы и минусы Intune по сравнению с SCCM, я всегда упоминаю один важный для меня момент. Логи.
Если вы используете on-prem решение, как правило в случае проблем и поломок, вы можете по цепочке разматывать логи в поисках проблемы. Это очень удобно.

К сожалению, в облачных продуктах с этим есть определенные проблемы.

Если вы только начали пользоваться Intune, то вот какие логи у вас есть из коробки:
– Device action – показывает пользовательскую активность на устройстве. Это может быть wipe/retire.
– Audit logs – показывает админскую активность.
– Enrollment failures – как следует из названия, показывает ошибки возникающие при добавлении устройства в Intune.

Сразу же вы сталкиваетесь с одной проблемой. Логи доступны для вас только на портале portal.azure.com. И хоть их и можно выгрузить, это достаточно неудобно.

Какие же есть варианты?

Powershell samples

И тут нам на помощь приходит старый добрый Powershell/ps/пошик. Так как Intune не имеет своего нативного модуля (да, я знаю что теперь модуль есть, но работает он пока крайне странно), добрые люди сделали коллекцию скриптов, которые за вас обращаются к Graph API, а вы просто можете привычно пользоваться командами.
Скрипты можно найти вот тут – https://github.com/microsoftgraph/powershell-intune-samples
Крайне советую посмотреть что там есть вообще.

Нас сейчас интересует секция “Auditing” – https://github.com/microsoftgraph/powershell-intune-samples
Скрипт отсюда позволит вам работать со следующими категориями событий.

Intune Audit Categories:
1. Other
2. Enrollment
3. Compliance
4. DeviceConfiguration
5. Device
6. Application
7. EBookManagement
8. ConditionalAccess
9. OnPremiseAccess
10. Role
11. SoftwareUpdates
12. DeviceSetupConfiguration

А дальше вы уже можете сохранять\выгружать\искать как вам угодно.

Graph API

Если вам уже приелся powershell и хочется пользоваться что то модное и молодежное, то вы можете получать события напрямую через Graph API.

В случае с API вам нужно будет выполнять http запросы к определенным точкам. Для примера попробуем получить те же Audit events.
Воспользуемся Graph API Explorer для теста – https://developer.microsoft.com/en-us/graph/graph-explorer

Так как нам нужны Audit Event, нужно найти как обратиться за этими логами.
https://docs.microsoft.com/en-us/graph/api/intune-auditing-auditevent-list?view=graph-rest-beta
Там вы найдете информацию по тому как обращаться за данными, каков ожидаемый ответ и какие разрешения нужны.
В Graph Explorer мы увидим примерно такой ответ.

Нам выдается json c нужными данными, который уже можно обрабатывать и с ним работать. Возможностей для применения очень много, так как вы можете это встраивать в свои приложения или даже в SharePoint формы.

Power BI

Не могу не написать про PowerBI, так как в Intune Datawarehouse есть логи по ошибкам добавления устройства в Intune.
Для этого существует группа таблиц enrollmentActivities

Azure Log Analytics

Не очень давно в Intune добавили функцию выгрузки логов в Azure Log Analytics.

Auditlogs – показывает действия админов.
OperationalLogs – показывает события присоединения и проверки соответствия (compliance).

После этой интеграции вы сможете использовать Log Analytics для работы с логами, построения отчетов, настройка оповещений об определенных событиях и т.д. Инструмент крайне мощный и полезный.

Представим, что у меня есть цель наблюдать за активностью админов, так как есть много людей с разным уровнем доступа.

В Log Analytics все работает через язык запросов KQL – Kusto Query Language.
Запрос для моего случая будет примерно такой:

IntuneAuditLogs
| summarize count() by OperationName, Identity, bin(TimeGenerated, 3h)
| render barchart 

И на выходе я получу график:

И тут сразу понятно, что вчера происходил какой то аномальный скачек в активности и нужно будет разобраться подробнее. В данном случае это было запланированное изменение, но всегда нужно присматривать.
Прям в этом же окне можно создавать оповещение по критериям (высылать оповещение, если количество действий администраторов превысило среднее за х дней).
Если вам интересно узнать больше о KQL, то на pluralsight есть бесплатный курс.