# Microsoft Intune 로그(베타)
## 개요
{% hint style="info" %}
Microsoft Intune 로그 수집은 Panther 버전 1.114부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 리포트와 기능 요청은 Panther 지원팀에 공유해 주세요.
{% endhint %}
Panther는 Azure Event Hub를 통해 Microsoft Intune 로그 수집을 지원합니다 [데이터 전송](https://docs.panther.com/data-onboarding/data-transports).
## Microsoft Intune 로그를 Panther에 온보딩하는 방법
먼저 Panther에서 Azure Event Hub 소스를 생성한 다음 Azure를 구성하여 해당 위치로 로그를 내보냅니다.
### 사전 요구 사항
Microsoft Intune 로그를 Panther에 온보딩하기 전에 다음을 확인하세요:
* Azure 구독이 있으며 사용자가 다음 권한을 가지고 있습니다 [소유자](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles/privileged#owner) 이전에 생성한 Snowflake 사용자 이름, 예를 들면 [기여자](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles/privileged#contributor) 역할을 가져야 합니다.
* 이미 생성된 [Event Hubs 네임스페이스](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-features#namespace) 및 Event Hub(다음에 명시된 대로) [Event Hub 소스 전제조건](https://docs.panther.com/ko/data-transports/azure/event-hub#prerequisites)).
### 1단계: Panther에서 새 Microsoft Intune 소스 생성
1. Panther 콘솔의 왼쪽 탐색 창에서 **구성** > **로그 소스**.
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기**.
3. “Microsoft Intune”을 검색한 다음 해당 타일을 클릭하세요.
4. 슬라이드 아웃 패널에서 클릭하세요 **설정 시작**.
5. Panther의 지침에 따라 다음을 구성하세요 [Azure Event Hub](https://docs.panther.com/ko/data-onboarding/data-transports/azure/event-hub).
### 2단계: Intune 로그를 Event Hub로 내보내기
Microsoft Intune 로그를 Event Hub로 내보내려면 아래 지침을 따르세요.
{% hint style="info" %}
추가 지원이 필요하면 Microsoft 문서를 참조하세요 [Intune 로그 데이터를 Azure Storage, Event Hubs 또는 Log Analytics로 보내기](https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/review-logs-using-azure-monitor) 문서.
{% endhint %}
1. Azure 포털에서 의 Intune 관리 센터로 이동하세요.
2. 탐색 표시줄에서 **진단 설정**.
3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **+ 진단 설정 추가**.
4. 필드를 채우십시오:
1. 일반 구성 **진단 설정 이름** 필드에 설명적인 이름을 입력하세요.
2. 에서 **대상 세부정보**, 위에서 생성한 **이벤트 허브로 스트리밍** 체크박스를 선택하세요.
3. 일반 구성 **이벤트 허브** 필드에서 온보딩한 Event Hub 네임스페이스와 Event Hub를 선택하세요 [1단계](#step-1-create-the-microsoft-intune-source-in-panther).
4. 에서 **로그**Panther에 수집하려는 모든 로그 유형을 선택하세요.
5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **"Resource": "\"**.
## 지원되는 로그 유형
### MicrosoftIntune.AuditLogs
```yaml
스키마: MicrosoftIntune.AuditLogs
설명: 사용자 및 시스템 활동을 캡처하는 Microsoft Intune의 Intune 감사 로그 이벤트
참조 URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intuneauditlogs
필드:
- name: Tenant
type: string
설명: 조직의 테넌트 ID
- name: _TimeReceivedBySvc
type: timestamp
timeFormats:
- rfc3339
설명: 로그가 서비스에 수신된 시간
- name: category
required: true
type: string
설명: 감사 로그 이벤트의 카테고리
검증:
allow: ['AuditLogs']
- name: correlationId
type: string
설명: 여러 작업을 연관시키는 데 사용되는 고유 식별자
- name: identity
type: string
지표:
- 이메일
설명: 작업을 수행한 사용자 또는 서비스의 식별
- name: operationName
type: string
설명: 수행된 작업의 이름
- name: tenantId
type: string
설명: 이벤트가 발생한 테넌트 ID
- 이름: time
required: true
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 작업이 발생한 시간
- name: resultType
type: string
설명: 작업의 결과 유형(예: Success, Failure)
- name: resultDescription
type: string
설명: 작업 실패 시 결과 또는 오류에 대한 설명
- name: properties
type: object
설명: 감사 이벤트에 대한 추가 메타데이터
필드:
- name: ActivityDate
type: timestamp
timeFormats:
- '%m/%d/%Y %I:%M:%S %p'
설명: 활동이 발생한 날짜 및 시간
- name: ActivityResultStatus
type: bigint
설명: 활동 결과의 상태 코드
- name: ActivityType
type: bigint
설명: 수행된 활동의 유형
- 이름: Actor
type: object
설명: 동작을 시작한 행위자에 관한 정보
필드:
- 이름: Application
type: string
설명: 행위자의 애플리케이션 ID
- name: ApplicationName
type: string
설명: 사용된 애플리케이션의 이름
- 이름: ObjectId
type: string
설명: 행위자의 객체 ID
- name: UPN
type: string
지표:
- 이메일
설명: 행위자의 사용자 주체 이름(UPN)
- name: ActorType
type: bigint
설명: 행위자 유형(사용자, 앱 등)
- name: IsDelegatedAdmin
유형: boolean
설명: 행위자가 위임된 관리자 여부
- name: PartnerTenantId
type: string
설명: 해당되는 경우 파트너 테넌트 ID
- name: UserPermissions
type: array
설명: 행위자가 가진 권한 목록
element:
type: string
- name: AdditionalDetails
type: string
설명: 동작에 대한 추가 메타데이터
- name: AuditEventId
type: string
설명: 감사 이벤트의 고유 식별자
- name: Category
type: bigint
설명: 감사 이벤트의 카테고리 코드
- name: TargetDisplayNames
type: array
설명: 동작으로 영향을 받은 대상의 표시 이름
element:
type: string
- name: TargetObjectIds
type: array
설명: 동작으로 영향을 받은 대상의 객체 ID
element:
type: string
- name: Targets
type: array
설명: 영향을 받은 대상 및 수정된 속성
element:
type: object
필드:
- name: Name
type: string
설명: 영향을 받은 대상의 이름
- 이름: ModifiedProperties
type: array
설명: 수정된 속성들
element:
type: object
필드:
- name: Name
type: string
설명: 수정된 속성의 이름
- name: Old
type: string
설명: 수정 전의 이전 값
- name: New
type: string
설명: 수정 후의 새 값
- name: records
type: array
설명: 추가 세부정보를 제공하는 중첩된 레코드
element:
type: object
필드:
- name: category
type: string
설명: 중첩 이벤트의 카테고리
- name: correlationId
type: string
설명: 중첩 이벤트의 상관 ID
- name: identity
type: string
지표:
- 이메일
설명: 중첩 이벤트에 관련된 식별
- name: operationName
type: string
설명: 중첩 이벤트에서 수행된 작업
- name: properties
type: object
설명: 중첩 이벤트에 대한 추가 데이터
필드:
- name: ActivityDate
type: timestamp
timeFormats:
- rfc3339
설명: 활동이 발생한 시각
- name: ActivityResultStatus
type: bigint
설명: 결과 상태 코드
- name: ActivityType
type: bigint
설명: 활동의 유형
- 이름: Actor
type: object
설명: 행위자 정보
필드:
- 이름: Application
type: string
설명: 행위자 애플리케이션 ID
- name: ApplicationName
type: string
설명: 행위자 애플리케이션 이름
- 이름: ObjectId
type: string
설명: 행위자 객체 ID
- name: UPN
type: string
지표:
- 이메일
설명: 행위자 UPN
- name: ActorType
type: bigint
설명: 행위자의 유형
- name: IsDelegatedAdmin
유형: boolean
설명: 행위자가 위임된 관리자 여부
- name: PartnerTenantId
type: string
설명: 파트너 테넌트 ID
- name: UserPermissions
type: array
설명: 행위자의 권한
element:
type: string
- name: AdditionalDetails
type: string
설명: 추가 컨텍스트
- name: AuditEventId
type: string
설명: 감사 이벤트 ID
- name: Category
type: bigint
설명: 숫자형 카테고리 코드
- name: TargetDisplayNames
type: array
설명: 영향을 받은 대상의 이름들
element:
type: string
- name: TargetObjectIds
type: array
설명: 영향을 받은 대상의 ID들
element:
type: string
- name: Targets
type: array
설명: 대상에 대한 상세 정보
element:
type: object
필드:
- name: Name
type: string
설명: 대상 이름
- 이름: ModifiedProperties
type: array
설명: 수정된 속성들
element:
type: object
필드:
- name: Name
type: string
- name: Old
type: string
- name: New
type: string
```
### MicrosoftIntune.Devices
```yaml
스키마: MicrosoftIntune.Devices
설명: Intune에 등록되고 관리되는 장치의 장치 인벤토리 및 상태 정보
참조 URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intunedevices
필드:
- name: Tenant
type: string
설명: 조직의 테넌트 ID
- name: _TimeReceivedBySvc
type: timestamp
timeFormats:
- rfc3339
설명: 이벤트가 서비스에 수신된 시간
- name: category
required: true
type: string
설명: 장치 이벤트의 카테고리
검증:
allow: ['Devices']
- name: operationName
type: string
설명: 장치 이벤트와 관련된 작업 이름
- name: tenantId
type: string
설명: 장치 이벤트가 발생한 테넌트 ID
- 이름: time
required: true
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 장치 이벤트가 발생한 시간
- name: resultType
type: string
설명: 장치 작업의 결과(예: Success, Failure)
- name: properties
type: object
설명: 장치 이벤트에 대한 추가 메타데이터 및 컨텍스트
필드:
- name: Stats
type: object
설명: 장치 쿼리에 대한 집계 통계
필드:
- name: RecordCount
type: bigint
설명: 이벤트에서 반환된 레코드 수
- name: GraphDeviceIsManaged
유형: boolean
설명: 장치가 Microsoft Graph를 통해 관리되는지 여부
- name: AADTenantId
type: string
설명: Azure Active Directory 테넌트 ID
- name: AndroidPatchLevel
type: string
설명: 장치의 Android 패치 레벨
- name: CategoryName
type: string
설명: 장치에 할당된 카테고리 이름
- name: CompliantState
type: string
설명: 장치의 규정 준수 상태
- 이름: CreatedDate
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
설명: 장치 항목이 생성된 날짜 및 시간
- 이름: DeviceId
type: string
설명: 장치의 고유 식별자
- name: DeviceName
type: string
설명: 장치 이름
- name: DeviceRegistrationState
type: string
설명: 장치의 등록 상태
- name: DeviceState
type: string
설명: 장치 상태
- name: EasID
type: string
설명: 장치의 Exchange ActiveSync ID
- name: EncryptionStatusString
type: string
설명: 장치의 암호화 상태
- name: IMEI
type: string
설명: 장치의 국제 모바일 장비 식별 번호(IMEI)
- name: InGracePeriodUntil
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
설명: 규정 준수를 위한 유예 기간 종료 시간
- name: JailBroken
type: string
설명: 장치가 탈옥되었는지 여부
- name: JoinType
type: string
설명: 장치의 조인 유형(예: Azure AD joined)
- name: LastContact
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
설명: 장치가 Intune에 마지막으로 연락한 시간
- name: MEID
type: string
설명: 장치의 모바일 장비 식별자(MEID)
- name: ManagedBy
type: string
설명: 장치의 관리 권한
- name: ManagedDeviceName
type: string
설명: 관리되는 장치의 이름
- name: Manufacturer
type: string
설명: 장치 제조업체
- name: Model
type: string
설명: 장치 모델
- name: OS
type: string
설명: 장치의 운영 체제
- name: OSVersion
type: string
설명: 장치의 운영 체제 버전
- name: Ownership
type: string
설명: 장치의 소유 유형(예: 회사, 개인)
- name: PhoneNumber
type: string
설명: 장치와 관련된 전화번호
- name: PrimaryUser
type: string
설명: 장치의 주요 사용자
- name: ReferenceId
type: string
설명: 장치의 참조 ID
- name: SerialNumber
type: string
설명: 장치의 일련 번호
- name: SkuFamily
type: string
설명: 장치의 SKU 패밀리
- name: StorageFree
type: bigint
설명: 장치의 사용 가능한 저장 공간(바이트)
- name: StorageTotal
type: bigint
설명: 장치의 전체 저장 용량(바이트)
- name: SubscriberCarrierNetwork
type: string
설명: 장치의 가입자 통신사 네트워크
- name: SupervisedStatusString
type: string
설명: 장치의 관리형 상태
- name: UPN
type: string
지표:
- 이메일
설명: 할당된 사용자의 사용자 주체 이름(UPN)
- name: UserEmail
type: string
지표:
- 이메일
설명: 할당된 사용자의 이메일 주소
- name: UserName
type: string
지표:
- username
설명: 할당된 사용자의 이름
- name: WifiMacAddress
type: string
지표:
- mac
설명: 장치의 Wi-Fi MAC 주소
- name: BatchId
type: string
설명: 이 장치 레코드가 속한 배치의 식별자
- name: IntuneAccountId
type: string
설명: Intune에서 사용하는 내부 계정 ID
```
### MicrosoftIntune.DeviceComplianceOrg
```yaml
스키마: MicrosoftIntune.DeviceComplianceOrg
설명: Microsoft Intune의 조직 수준 장치 규정 준수 이벤트
참조 URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intunedevicecomplianceorg
필드:
- name: Tenant
type: string
설명: 조직의 테넌트 ID
- name: _TimeReceivedBySvc
type: timestamp
timeFormats:
- rfc3339
설명: 이벤트가 서비스에 수신된 시간
- name: category
required: true
type: string
설명: 장치 규정 준수 이벤트의 카테고리
검증:
allow: ['DeviceComplianceOrg']
- name: operationName
type: string
설명: 규정 준수 이벤트와 관련된 작업 이름
- name: tenantId
type: string
설명: 규정 준수 이벤트가 발생한 테넌트 ID
- 이름: time
required: true
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 규정 준수 이벤트가 발생한 시간
- name: resultType
type: string
설명: 규정 준수 작업의 결과(예: Success, Failure)
- name: properties
type: object
설명: 규정 준수 이벤트에 대한 추가 메타데이터 및 컨텍스트
필드:
- name: Stats
type: object
설명: 규정 준수 쿼리에 대한 집계 통계
필드:
- name: RecordCount
type: bigint
설명: 이벤트에서 반환된 레코드 수
- name: AADTenantId
type: string
설명: Azure AD 테넌트 ID
- name: BatchId
type: string
설명: 이 장치 규정 준수 결과가 속한 배치를 나타내는 ID
- name: ComplianceState
type: string
설명: 장치의 규정 준수 상태
- name: ComplianceState_loc
type: string
설명: 규정 준수 상태의 지역화된 설명
- name: DeviceHealthThreatLevel
type: bigint
설명: 장치가 보고한 위협 수준
- name: DeviceHealthThreatLevel_loc
type: string
설명: 장치 위협 수준의 지역화된 설명
- 이름: DeviceId
type: string
설명: 장치의 고유 식별자
- name: DeviceName
type: string
설명: 장치 이름
- name: DeviceType
type: bigint
설명: 장치 유형(예: 데스크톱, 모바일)
- name: IMEI
type: string
설명: 해당되는 경우 장치의 IMEI
- name: InGracePeriodUntil
# 타임스탬프로 실제로 파싱할 수 없음. 예: 9999-12-31 23:59:59.0000000 (끝에 7개의 0이 있음)
type: string
설명: 규정 준수를 위한 유예 기간 종료를 나타내는 타임스탬프
- name: LastContact
# 타임스탬프로 실제로 파싱할 수 없음. 예: 2025-05-07 22:27:19.0000000 (끝에 7개의 0이 있음)
type: string
설명: 장치가 Intune에 마지막으로 연락한 시간
- name: ManagementAgents
type: bigint
설명: 장치를 관리하는 데 사용되는 에이전트 유형
- name: ManagementAgents_loc
type: string
설명: 지역화된 관리 에이전트 이름
- name: OS
type: string
설명: 운영 체제 이름(예: Windows, iOS)
- name: OSDescription
type: string
설명: 운영 체제에 대한 친숙한 설명
- name: OSVersion
type: string
설명: 운영 체제 버전
- name: OS_loc
type: string
설명: 운영 체제의 지역화된 이름
- name: OwnerType
type: bigint
설명: 장치의 소유 분류(예: 회사, 개인)
- name: OwnerType_loc
type: string
설명: 소유 유형의 지역화된 설명
- name: RetireAfterDatetime
type: timestamp
timeFormats:
- rfc3339
설명: 장치가 폐기될 예정인 시간
- name: SerialNumber
type: string
설명: 장치의 일련 번호
- name: UPN
type: string
지표:
- 이메일
설명: 할당된 사용자의 사용자 주체 이름(UPN)
- name: UserEmail
type: string
지표:
- 이메일
설명: 할당된 사용자의 이메일 주소
- 이름: UserId
type: string
설명: 할당된 사용자의 식별자
- name: UserName
type: string
지표:
- username
설명: 할당된 사용자의 이름
- name: IntuneAccountId
type: string
설명: Intune에서 사용하는 내부 계정 ID
```
### MicrosoftIntune.OperationalLogs
```yaml
스키마: MicrosoftIntune.OperationalLogs
설명: 프로비저닝, 등록 및 ESP 이벤트를 캡처하는 Intune 운영 로그
참조 URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intuneoperationallogs
필드:
- name: Tenant
type: string
설명: 조직의 테넌트 ID
- name: _TimeReceivedBySvc
type: timestamp
timeFormats:
- rfc3339
설명: 로그가 서비스에 수신된 시간
- name: category
required: true
type: string
설명: 운영 로그 이벤트의 카테고리
검증:
allow: ['OperationalLogs']
- name: operationName
type: string
설명: 로그와 관련된 작업 이름
- name: tenantId
type: string
설명: 이벤트가 발생한 테넌트 ID
- 이름: time
required: true
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 작업이 발생한 시간
- name: resultType
type: string
설명: 작업의 결과(예: Success, Failure)
- name: properties
type: object
설명: 운영 이벤트에 대한 추가 메타데이터 및 컨텍스트
필드:
- name: ESPPolicyId
type: string
- name: ESPPolicyName
type: string
- name: IsDeviceEspEnabled
유형: boolean
- name: ZtdDeviceRegisteredTime
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%dT%H:%M:%S.%N'
- name: DeviceEspEndTime
type: timestamp
timeFormats:
- rfc3339
- name: SlaEventEndTime
type: timestamp
timeFormats:
- rfc3339
- name: ZtdDeviceSerialNumber
type: string
- name: DeviceEspStartTime
type: timestamp
timeFormats:
- rfc3339
- name: SlaEventStartTime
type: timestamp
timeFormats:
- rfc3339
- name: EnrollmentEndTime
type: timestamp
timeFormats:
- rfc3339
- name: EnrollmentStartTime
type: timestamp
timeFormats:
- rfc3339
- name: TimeDiff
유형: int
- name: Status
type: string
- name: DidUserReachDesktop
유형: boolean
- name: IsUserEspEnabled
유형: boolean
- name: Stage
type: string
- name: TimeoutInMinutes
유형: int
- name: AadDeviceId
type: string
- name: DeviceEspStatus
type: bigint
- 이름: DeviceId
type: string
- name: EnrollmentTypeMessage
type: string
- name: EspStatus
type: bigint
- name: EventId
type: string
- name: IsAutopilot
유형: boolean
- name: IsDuringEsp
type: bigint
- 이름: Scope
type: string
- name: StartTime
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%dT%H:%M:%S'
- name: Timestamp
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%dT%H:%M:%S'
- name: UserEspStatus
type: bigint
- 이름: UserId
type: string
- name: Version
type: string
- name: EnrollmentTimeUTC
type: timestamp
timeFormats:
- rfc3339
- name: FailureCategory
type: string
- name: FailureReason
type: string
- name: MessageId
type: string
- name: Os
type: string
- 이름: OsVersion
type: string
- name: EnrollmentType
type: string
- name: AlertDisplayName
type: string
- name: AlertType
type: string
- name: Description
type: string
- name: DeviceDnsDomain
type: string
- name: DeviceHostName
type: string
- name: DeviceName
type: string
- name: DeviceNetBiosName
type: string
- name: DeviceOperatingSystem
type: string
- name: StartTimeUtc
type: timestamp
timeFormats:
- rfc3339
- name: UPNSuffix
type: string
- name: UserDisplayName
type: string
- name: UserName
type: string
지표:
- username
- name: AADTenantId
type: string
- name: IntuneAccountId
type: string
- name: IntuneDeviceId
type: string
- name: IntuneUserId
type: string
- name: OperationalLogCategory
type: string
- name: ScaleUnit
type: string
- name: ScenarioName
type: string
```
### MicrosoftIntune.Windows365AuditLogs
```yaml
스키마: MicrosoftIntune.Windows365AuditLogs
설명: Microsoft Intune의 Windows 365 활동에 대한 감사 로그
참조 URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/windows365auditlogs
필드:
- name: Tenant
type: string
설명: 조직의 테넌트 ID
- name: _TimeReceivedBySvc
type: timestamp
timeFormats:
- rfc3339
설명: 로그가 서비스에 수신된 시간
- name: category
required: true
type: string
설명: 운영 로그 이벤트의 카테고리
검증:
allow: ['Windows365AuditLogs']
- name: operationName
type: string
설명: 로그와 관련된 작업 이름
- name: tenantId
type: string
설명: 이벤트가 발생한 테넌트 ID
- 이름: time
required: true
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 작업이 발생한 시간
- name: resultType
type: string
설명: 작업의 결과(예: Success, Failure)
- name: properties
type: object
설명: 운영 이벤트에 대한 추가 메타데이터 및 컨텍스트
필드:
- name: ActivityId
type: string
설명: 작업의 활동 ID
- 이름: ApplicationId
type: string
설명: 작업의 호출자 애플리케이션 ID
- name: ApplicationName
type: string
설명: 작업의 애플리케이션 이름
- name: _BilledSize
type: float
설명: 레코드 크기(바이트)
- name: BuildVersion
type: string
설명: 작업의 빌드 버전
- name: CallerExtendedProperties
type: string
설명: 호출자의 확장 속성
- name: ComponentName
type: string
설명: 작업의 구성 요소 이름
- name: _IsBillable
type: string
설명: 이 데이터의 수집이 과금 대상인지 여부
- name: OperationName
type: string
설명: 작업의 이름
- name: OtherAuditEventProperties
type: string
설명: 상관 ID 및 카테고리를 포함한 추가 감사 이벤트 세부정보
- name: OtherIdentityProperties
type: string
설명: 권한, 표시 이름 및 범위 태그와 같은 식별 관련 세부정보
- name: Pid
type: string
설명: 작업의 PID
- name: RelatedActivityId
type: string
설명: 관련 활동 ID
- name: ResourceExtendedProperties
type: string
설명: 작업에 대한 확장된 리소스 세부정보
- name: _ResourceId
type: string
설명: 로그와 연결된 리소스 ID
- name: Result
type: string
설명: 작업의 결과
- name: ScenarioId
type: string
설명: 로그와 연결된 시나리오 ID
- name: ScenarioInstanceId
type: string
설명: 작업의 시나리오 인스턴스 ID
- name: ServiceName
type: string
설명: 로그를 생성한 서비스 이름
- name: SessionId
type: string
설명: 작업과 연결된 세션 ID
- name: SourceSystem
type: string
설명: 이벤트를 수집한 에이전트 유형(예: Azure, OpsManager)
- name: _SubscriptionId
type: string
설명: 레코드의 구독 ID
- name: TenantId
type: string
설명: Log Analytics 작업영역 ID(테넌트)
- name: Tid
type: string
설명: 이벤트의 테넌트 ID
- name: TimeGenerated
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 보고서가 생성된 시간(UTC)
- name: Type
type: string
설명: 이벤트의 테이블 이름(항상 Windows365AuditLogs)
- 이름: UserId
type: string
설명: 이벤트와 연결된 사용자의 ID
- name: UserPrincipalName
type: string
지표:
- 이메일
설명: 이벤트와 연결된 사용자의 UPN
```