Microsoft Intune 로그(베타)

Microsoft Intune 로그를 Panther 콘솔에 연결하기

개요

Microsoft Intune 로그 수집은 Panther 버전 1.114부터 오픈 베타로 제공되며 모든 고객이 사용할 수 있습니다. 버그 보고 및 기능 요청은 Panther 지원팀과 공유해 주세요.

Panther는 Azure Event Hub를 통해 Microsoft Intune 로그 수집을 지원합니다 데이터 전송.

Microsoft Intune 로그를 Panther에 온보딩하는 방법

먼저 Panther에서 Azure Event Hub 소스를 생성한 다음 Azure를 구성하여 해당 위치로 로그를 내보냅니다.

전제 조건

Microsoft Intune 로그를 Panther에 온보딩하기 전에 다음을 확인하세요:

Azure 구독이 있고 사용자에게 다음 권한이 있습니다 소유자 로그/리소스 유형별로 규칙을 폴더로 그룹화하는 것을 권장합니다(예: 기여자 역할. 
이미 생성된 것이 있습니다 Event Hubs 네임스페이스 및 Event Hub(다음에 지정된 대로) Event Hub 소스 전제 조건).

1단계: Panther에서 새 Microsoft Intune 소스 생성

Panther 콘솔의 왼쪽 탐색 바에서 구성 > 로그 소스.
를 클릭하세요 새로 만들기(Create New).
“Microsoft Intune”을 검색한 후 해당 타일을 클릭합니다.
슬라이드아웃 패널에서 클릭합니다 설정 시작.
Azure Event Hub를 구성하기 위한 Panther의 지침을 따르세요 Azure Event Hub.

2단계: Intune 로그를 Event Hub로 내보내기

Microsoft Intune 로그를 Event Hub로 내보내려면 아래 지침을 따르세요.

추가 지원이 필요하면 Microsoft 문서를 참조하세요 Intune 로그 데이터를 Azure Storage, Event Hubs 또는 Log Analytics로 전송 문서.

Azure 포털에서 https://intune.microsoft.com/ 의 Intune 관리 센터로 이동합니다.
탐색 모음에서 클릭합니다 진단 설정.
를 클릭하세요 + 진단 설정 추가.
필드를 작성하세요:
1. 에서 진단 설정 이름 필드에 설명 이름을 입력하세요. 
2. 아래의 목적지 세부정보, 클릭합니다 이벤트 허브로 스트리밍 체크박스.
3. 에서 이벤트 허브 필드에서 1단계에서 온보딩한 Event Hub 네임스페이스와 Event Hub를 선택하세요. 1단계.
4. 아래의 로그에서 Panther로 수집하려는 모든 로그 유형을 선택하세요.
를 클릭하세요 우측 상단에서.

지원되는 로그 유형

MicrosoftIntune.AuditLogs

스키마: MicrosoftIntune.AuditLogs
설명: Microsoft Intune의 Intune 감사 로그 이벤트로 사용자 및 시스템 활동을 캡처합니다
참고URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intuneauditlogs
필드:
  - 이름: Tenant
    유형: 문자열
    설명: 조직의 테넌트 ID
  - 이름: _TimeReceivedBySvc
    유형: 타임스탬프
    시간 형식:
      - rfc3339
    설명: 로그가 서비스에 수신된 시간
  - 이름: category
    필수: 예
    유형: 문자열
    설명: 감사 로그 이벤트의 카테고리
    검증:
      허용: ['AuditLogs']
  - 이름: correlationId
    유형: 문자열
    설명: 여러 작업을 상호 연관시키는 데 사용되는 고유 식별자
  - 이름: identity
    유형: 문자열
    지표:
      - email
    설명: 작업을 수행한 사용자 또는 서비스의 신원
  - 이름: operationName
    유형: 문자열
    설명: 수행된 작업의 이름
  - 이름: tenantId
    유형: 문자열
    설명: 이벤트가 발생한 테넌트 ID
  - 이름: time
    필수: 예
    유형: 타임스탬프
    isEventTime: true
    시간 형식:
      - rfc3339
    설명: 작업이 발생한 시간
  - 이름: resultType
    유형: 문자열
    설명: 작업의 결과 유형(예: 성공, 실패)
  - 이름: resultDescription
    유형: 문자열
    설명: 작업이 실패한 경우 결과 또는 오류 설명
  - 이름: properties
    유형: 객체
    설명: 감사 이벤트에 대한 추가 메타데이터
    필드:
      - 이름: ActivityDate
        유형: 타임스탬프
        시간 형식:
          - '%m/%d/%Y %I:%M:%S %p'
        설명: 활동이 발생한 날짜 및 시간
      - 이름: ActivityResultStatus
        유형: 정수(빅인트)
        설명: 활동 결과의 상태 코드
      - 이름: ActivityType
        유형: 정수(빅인트)
        설명: 수행된 활동의 유형
      - 이름: Actor
        유형: 객체
        설명: 작업을 시작한 행위자에 대한 정보
        필드:
          - 이름: Application
            유형: 문자열
            설명: 행위자의 애플리케이션 ID
          - 이름: ApplicationName
            유형: 문자열
            설명: 사용된 애플리케이션 이름
          - 이름: ObjectId
            유형: 문자열
            설명: 행위자의 객체 ID
          - 이름: UPN
            유형: 문자열
            지표:
              - email
            설명: 행위자의 사용자 주체 이름(UPN)
          - 이름: ActorType
            유형: 정수(빅인트)
            설명: 행위자 유형(사용자, 앱 등)
          - 이름: IsDelegatedAdmin
            유형: boolean
            설명: 행위자가 위임된 관리자 여부
          - 이름: PartnerTenantId
            유형: 문자열
            설명: 해당되는 경우 파트너 테넌트 ID
          - 이름: UserPermissions
            유형: 배열
            설명: 행위자가 보유한 권한 목록
            요소:
              유형: 문자열
      - 이름: AdditionalDetails
        유형: 문자열
        설명: 작업에 대한 추가 메타데이터
      - 이름: AuditEventId
        유형: 문자열
        설명: 감사 이벤트의 고유 식별자
      - 이름: Category
        유형: 정수(빅인트)
        설명: 감사 이벤트의 카테고리 코드
      - 이름: TargetDisplayNames
        유형: 배열
        설명: 작업의 영향 대상 표시 이름
        요소:
          유형: 문자열
      - 이름: TargetObjectIds
        유형: 배열
        설명: 작업의 영향 대상 객체 ID
        요소:
          유형: 문자열
      - 이름: Targets
        유형: 배열
        설명: 영향을 받은 대상과 수정된 속성
        요소:
          유형: 객체
          필드:
            - 이름: Name
              유형: 문자열
              설명: 영향을 받은 대상의 이름
            - 이름: ModifiedProperties
              유형: 배열
              설명: 수정된 속성들
              요소:
                유형: 객체
                필드:
                  - 이름: Name
                    유형: 문자열
                    설명: 수정된 속성의 이름
                  - 이름: Old
                    유형: 문자열
                    설명: 수정 전의 이전 값
                  - 이름: New
                    유형: 문자열
                    설명: 수정 후의 새로운 값
  - 이름: records
    유형: 배열
    설명: 추가 세부정보를 제공하는 중첩 레코드
    요소:
      유형: 객체
      필드:
        - 이름: category
          유형: 문자열
          설명: 중첩 이벤트의 카테고리
        - 이름: correlationId
          유형: 문자열
          설명: 중첩 이벤트의 상관 ID
        - 이름: identity
          유형: 문자열
          지표:
            - email
          설명: 중첩 이벤트에 관련된 신원
        - 이름: operationName
          유형: 문자열
          설명: 중첩 이벤트에서 수행된 작업
        - 이름: properties
          유형: 객체
          설명: 중첩 이벤트에 대한 추가 데이터
          필드:
            - 이름: ActivityDate
              유형: 타임스탬프
              시간 형식:
                - rfc3339
              설명: 활동이 발생한 시각
            - 이름: ActivityResultStatus
              유형: 정수(빅인트)
              설명: 결과 상태 코드
            - 이름: ActivityType
              유형: 정수(빅인트)
              설명: 활동의 유형
            - 이름: Actor
              유형: 객체
              설명: 행위자 정보
              필드:
                - 이름: Application
                  유형: 문자열
                  설명: 행위자 애플리케이션 ID
                - 이름: ApplicationName
                  유형: 문자열
                  설명: 행위자 애플리케이션 이름
                - 이름: ObjectId
                  유형: 문자열
                  설명: 행위자 객체 ID
                - 이름: UPN
                  유형: 문자열
                  지표:
                    - email
                  설명: 행위자 UPN
                - 이름: ActorType
                  유형: 정수(빅인트)
                  설명: 행위자 유형
                - 이름: IsDelegatedAdmin
                  유형: boolean
                  설명: 행위자가 위임 관리자 여부
                - 이름: PartnerTenantId
                  유형: 문자열
                  설명: 파트너 테넌트 ID
                - 이름: UserPermissions
                  유형: 배열
                  설명: 행위자의 권한
                  요소:
                    유형: 문자열
            - 이름: AdditionalDetails
              유형: 문자열
              설명: 추가 컨텍스트
            - 이름: AuditEventId
              유형: 문자열
              설명: 감사 이벤트 ID
            - 이름: Category
              유형: 정수(빅인트)
              설명: 숫자형 카테고리 코드
            - 이름: TargetDisplayNames
              유형: 배열
              설명: 영향을 받은 대상의 이름들
              요소:
                유형: 문자열
            - 이름: TargetObjectIds
              유형: 배열
              설명: 영향을 받은 대상의 ID들
              요소:
                유형: 문자열
            - 이름: Targets
              유형: 배열
              설명: 대상에 대한 상세 정보
              요소:
                유형: 객체
                필드:
                  - 이름: Name
                    유형: 문자열
                    설명: 대상 이름
                  - 이름: ModifiedProperties
                    유형: 배열
                    설명: 수정된 속성들
                    요소:
                      유형: 객체
                      필드:
                        - 이름: Name
                          유형: 문자열
                        - 이름: Old
                          유형: 문자열
                        - 이름: New
                          유형: 문자열

MicrosoftIntune.Devices

스키마: MicrosoftIntune.Devices
설명: Intune에 등록되고 관리되는 장치의 장치 인벤토리 및 상태 정보
참고URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intunedevices
필드:
  - 이름: Tenant
    유형: 문자열
    설명: 조직의 테넌트 ID
  - 이름: _TimeReceivedBySvc
    유형: 타임스탬프
    시간 형식:
      - rfc3339
    설명: 이벤트가 서비스에 수신된 시간
  - 이름: category
    필수: 예
    유형: 문자열
    설명: 장치 이벤트의 카테고리
    검증:
      허용: ['Devices']
  - 이름: operationName
    유형: 문자열
    설명: 장치 이벤트와 관련된 작업의 이름
  - 이름: tenantId
    유형: 문자열
    설명: 장치 이벤트가 발생한 테넌트 ID
  - 이름: time
    필수: 예
    유형: 타임스탬프
    isEventTime: true
    시간 형식:
      - rfc3339
    설명: 장치 이벤트가 발생한 시간
  - 이름: resultType
    유형: 문자열
    설명: 장치 작업의 결과(예: 성공, 실패)
  - 이름: properties
    유형: 객체
    설명: 장치 이벤트에 대한 추가 메타데이터 및 컨텍스트
    필드:
      - 이름: Stats
        유형: 객체
        설명: 장치 쿼리에 대한 집계 통계
        필드:
          - 이름: RecordCount
            유형: 정수(빅인트)
            설명: 이벤트에서 반환된 레코드 수
      - 이름: GraphDeviceIsManaged
        유형: boolean
        설명: 장치가 Microsoft Graph를 통해 관리되는지 여부
      - 이름: AADTenantId
        유형: 문자열
        설명: Azure Active Directory 테넌트 ID
      - 이름: AndroidPatchLevel
        유형: 문자열
        설명: 장치의 Android 패치 레벨
      - 이름: CategoryName
        유형: 문자열
        설명: 장치에 할당된 카테고리 이름
      - 이름: CompliantState
        유형: 문자열
        설명: 장치의 준수 상태
      - 이름: CreatedDate
        유형: 타임스탬프
        시간 형식:
          - rfc3339
          - '%Y-%m-%d %H:%M:%S.%N'
        설명: 장치 항목이 생성된 날짜 및 시간
      - 이름: DeviceId
        유형: 문자열
        설명: 장치의 고유 식별자
      - 이름: DeviceName
        유형: 문자열
        설명: 장치 이름
      - 이름: DeviceRegistrationState
        유형: 문자열
        설명: 장치의 등록 상태
      - 이름: DeviceState
        유형: 문자열
        설명: 장치의 상태
      - 이름: EasID
        유형: 문자열
        설명: 장치의 Exchange ActiveSync ID
      - 이름: EncryptionStatusString
        유형: 문자열
        설명: 장치의 암호화 상태
      - 이름: IMEI
        유형: 문자열
        설명: 장치의 국제 모바일 장비 식별자(IMEI)
      - 이름: InGracePeriodUntil
        유형: 타임스탬프
        시간 형식:
          - rfc3339
          - '%Y-%m-%d %H:%M:%S.%N'
        설명: 준수 유예 기간 종료 시각
      - 이름: JailBroken
        유형: 문자열
        설명: 장치가 탈옥(루팅)되었는지 여부
      - 이름: JoinType
        유형: 문자열
        설명: 장치의 조인 유형(예: Azure AD 조인)
      - 이름: LastContact
        유형: 타임스탬프
        시간 형식:
          - rfc3339
          - '%Y-%m-%d %H:%M:%S.%N'
        설명: 장치가 마지막으로 Intune에 연락한 시간
      - 이름: MEID
        유형: 문자열
        설명: 장치의 모바일 장비 식별자(MEID)
      - 이름: ManagedBy
        유형: 문자열
        설명: 장치의 관리 주체
      - 이름: ManagedDeviceName
        유형: 문자열
        설명: 관리되는 장치 이름
      - 이름: Manufacturer
        유형: 문자열
        설명: 장치 제조업체
      - 이름: Model
        유형: 문자열
        설명: 장치 모델
      - 이름: OS
        유형: 문자열
        설명: 장치의 운영 체제
      - 이름: OSVersion
        유형: 문자열
        설명: 장치의 운영 체제 버전
      - 이름: Ownership
        유형: 문자열
        설명: 장치의 소유 유형(예: 회사, 개인)
      - 이름: PhoneNumber
        유형: 문자열
        설명: 장치에 연결된 전화번호
      - 이름: PrimaryUser
        유형: 문자열
        설명: 장치의 주요 사용자
      - 이름: ReferenceId
        유형: 문자열
        설명: 장치의 참조 ID
      - 이름: SerialNumber
        유형: 문자열
        설명: 장치의 일련 번호
      - 이름: SkuFamily
        유형: 문자열
        설명: 장치의 SKU 패밀리
      - 이름: StorageFree
        유형: 정수(빅인트)
        설명: 장치의 남은 저장 공간(바이트)
      - 이름: StorageTotal
        유형: 정수(빅인트)
        설명: 장치의 전체 저장 용량(바이트)
      - 이름: SubscriberCarrierNetwork
        유형: 문자열
        설명: 장치의 가입자 통신사 네트워크
      - 이름: SupervisedStatusString
        유형: 문자열
        설명: 장치의 감독(슈퍼바이즈드) 상태
      - 이름: UPN
        유형: 문자열
        지표:
          - email
        설명: 할당된 사용자의 사용자 주체 이름(UPN)
      - 이름: UserEmail
        유형: 문자열
        지표:
          - email
        설명: 할당된 사용자의 이메일 주소
      - 이름: UserName
        유형: 문자열
        지표:
          - username
        설명: 할당된 사용자의 이름
      - 이름: WifiMacAddress
        유형: 문자열
        지표:
          - mac
        설명: 장치의 Wi-Fi MAC 주소
      - 이름: BatchId
        유형: 문자열
        설명: 이 장치 레코드가 속한 배치 식별자
      - 이름: IntuneAccountId
        유형: 문자열
        설명: Intune에서 사용하는 내부 계정 ID

MicrosoftIntune.DeviceComplianceOrg

스키마: MicrosoftIntune.DeviceComplianceOrg
설명: Microsoft Intune의 조직 수준 장치 준수 이벤트
참고URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intunedevicecomplianceorg
필드:
  - 이름: Tenant
    유형: 문자열
    설명: 조직의 테넌트 ID
  - 이름: _TimeReceivedBySvc
    유형: 타임스탬프
    시간 형식:
      - rfc3339
    설명: 이벤트가 서비스에 수신된 시간
  - 이름: category
    필수: 예
    유형: 문자열
    설명: 장치 준수 이벤트의 카테고리
    검증:
      허용: ['DeviceComplianceOrg']
  - 이름: operationName
    유형: 문자열
    설명: 준수 이벤트와 관련된 작업의 이름
  - 이름: tenantId
    유형: 문자열
    설명: 준수 이벤트가 발생한 테넌트 ID
  - 이름: time
    필수: 예
    유형: 타임스탬프
    isEventTime: true
    시간 형식:
      - rfc3339
    설명: 준수 이벤트가 발생한 시간
  - 이름: resultType
    유형: 문자열
    설명: 준수 작업의 결과(예: 성공, 실패)
  - 이름: properties
    유형: 객체
    설명: 준수 이벤트에 대한 추가 메타데이터 및 컨텍스트
    필드:
      - 이름: Stats
        유형: 객체
        설명: 준수 쿼리에 대한 집계 통계
        필드:
          - 이름: RecordCount
            유형: 정수(빅인트)
            설명: 이벤트에서 반환된 레코드 수
      - 이름: AADTenantId
        유형: 문자열
        설명: Azure AD 테넌트 ID
      - 이름: BatchId
        유형: 문자열
        설명: 이 장치 준수 결과가 속한 배치를 나타내는 ID
      - 이름: ComplianceState
        유형: 문자열
        설명: 장치의 준수 상태
      - 이름: ComplianceState_loc
        유형: 문자열
        설명: 준수 상태의 지역화된 설명
      - 이름: DeviceHealthThreatLevel
        유형: 정수(빅인트)
        설명: 장치에서 보고된 위협 수준
      - 이름: DeviceHealthThreatLevel_loc
        유형: 문자열
        설명: 장치 위협 수준의 지역화된 설명
      - 이름: DeviceId
        유형: 문자열
        설명: 장치의 고유 식별자
      - 이름: DeviceName
        유형: 문자열
        설명: 장치 이름
      - 이름: DeviceType
        유형: 정수(빅인트)
        설명: 장치 유형(예: 데스크탑, 모바일)
      - 이름: IMEI
        유형: 문자열
        설명: 해당되는 경우 장치의 IMEI
      - 이름: InGracePeriodUntil
        # 실제로 타임스탬프로 파싱할 수 없습니다. 9999-12-31 23:59:59.0000000(끝에 7개의 0)이기 때문입니다
        유형: 문자열
        설명: 준수 유예 기간 종료를 나타내는 타임스탬프
      - 이름: LastContact
        # 실제로 타임스탬프로 파싱할 수 없습니다. 2025-05-07 22:27:19.0000000(끝에 7개의 0)이기 때문입니다
        유형: 문자열
        설명: 장치가 마지막으로 Intune에 연락한 시간
      - 이름: ManagementAgents
        유형: 정수(빅인트)
        설명: 장치를 관리하는 데 사용되는 에이전트 유형
      - 이름: ManagementAgents_loc
        유형: 문자열
        설명: 지역화된 관리 에이전트 이름
      - 이름: OS
        유형: 문자열
        설명: 운영 체제 이름(예: Windows, iOS)
      - 이름: OSDescription
        유형: 문자열
        설명: 운영 체제에 대한 친숙한 설명
      - 이름: OSVersion
        유형: 문자열
        설명: 운영 체제 버전
      - 이름: OS_loc
        유형: 문자열
        설명: 운영 체제 이름의 지역화된 버전
      - 이름: OwnerType
        유형: 정수(빅인트)
        설명: 장치의 소유 분류(예: 회사, 개인)
      - 이름: OwnerType_loc
        유형: 문자열
        설명: 소유 유형의 지역화된 설명
      - 이름: RetireAfterDatetime
        유형: 타임스탬프
        시간 형식:
          - rfc3339
        설명: 장치가 폐기될 예정인 시간
      - 이름: SerialNumber
        유형: 문자열
        설명: 장치의 일련 번호
      - 이름: UPN
        유형: 문자열
        지표:
          - email
        설명: 할당된 사용자의 사용자 주체 이름(UPN)
      - 이름: UserEmail
        유형: 문자열
        지표:
          - email
        설명: 할당된 사용자의 이메일 주소
      - 이름: UserId
        유형: 문자열
        설명: 할당된 사용자의 식별자
      - 이름: UserName
        유형: 문자열
        지표:
          - username
        설명: 할당된 사용자의 이름
      - 이름: IntuneAccountId
        유형: 문자열
        설명: Intune에서 사용하는 내부 계정 ID

MicrosoftIntune.OperationalLogs

스키마: MicrosoftIntune.OperationalLogs
설명: 프로비저닝, 등록 및 ESP 이벤트를 캡처하는 Intune 운영 로그
참고URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intuneoperationallogs
필드:
  - 이름: Tenant
    유형: 문자열
    설명: 조직의 테넌트 ID
  - 이름: _TimeReceivedBySvc
    유형: 타임스탬프
    시간 형식:
      - rfc3339
    설명: 로그가 서비스에 수신된 시간
  - 이름: category
    필수: 예
    유형: 문자열
    설명: 운영 로그 이벤트의 카테고리
    검증:
      허용: ['OperationalLogs']
  - 이름: operationName
    유형: 문자열
    설명: 로그와 관련된 작업의 이름
  - 이름: tenantId
    유형: 문자열
    설명: 이벤트가 발생한 테넌트 ID
  - 이름: time
    필수: 예
    유형: 타임스탬프
    isEventTime: true
    시간 형식:
      - rfc3339
    설명: 작업이 발생한 시간
  - 이름: resultType
    유형: 문자열
    설명: 작업의 결과(예: 성공, 실패)
  - 이름: properties
    유형: 객체
    설명: 운영 이벤트에 대한 추가 메타데이터 및 컨텍스트
    필드:
      - 이름: ESPPolicyId
        유형: 문자열
      - 이름: ESPPolicyName
        유형: 문자열
      - 이름: IsDeviceEspEnabled
        유형: boolean
      - 이름: ZtdDeviceRegisteredTime
        유형: 타임스탬프
        시간 형식:
          - rfc3339
          - '%Y-%m-%dT%H:%M:%S.%N'
      - 이름: DeviceEspEndTime
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - 이름: SlaEventEndTime
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - 이름: ZtdDeviceSerialNumber
        유형: 문자열
      - 이름: DeviceEspStartTime
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - 이름: SlaEventStartTime
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - 이름: EnrollmentEndTime
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - 이름: EnrollmentStartTime
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - 이름: TimeDiff
        유형: int
      - 이름: Status
        유형: 문자열
      - 이름: DidUserReachDesktop
        유형: boolean
      - 이름: IsUserEspEnabled
        유형: boolean
      - 이름: Stage
        유형: 문자열
      - 이름: TimeoutInMinutes
        유형: int
      - 이름: AadDeviceId
        유형: 문자열
      - 이름: DeviceEspStatus
        유형: 정수(빅인트)
      - 이름: DeviceId
        유형: 문자열
      - 이름: EnrollmentTypeMessage
        유형: 문자열
      - 이름: EspStatus
        유형: 정수(빅인트)
      - 이름: EventId
        유형: 문자열
      - 이름: IsAutopilot
        유형: boolean
      - 이름: IsDuringEsp
        유형: 정수(빅인트)
      - 이름: Scope
        유형: 문자열
      - 이름: StartTime
        유형: 타임스탬프
        시간 형식:
          - rfc3339
          - '%Y-%m-%dT%H:%M:%S'
      - 이름: Timestamp
        유형: 타임스탬프
        시간 형식:
          - rfc3339
          - '%Y-%m-%dT%H:%M:%S'
      - 이름: UserEspStatus
        유형: 정수(빅인트)
      - 이름: UserId
        유형: 문자열
      - 이름: Version
        유형: 문자열
      - 이름: EnrollmentTimeUTC
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - 이름: FailureCategory
        유형: 문자열
      - 이름: FailureReason
        유형: 문자열
      - 이름: MessageId
        유형: 문자열
      - 이름: Os
        유형: 문자열
      - 이름: OsVersion
        유형: 문자열
      - 이름: EnrollmentType
        유형: 문자열
      - 이름: AlertDisplayName
        유형: 문자열
      - 이름: AlertType
        유형: 문자열
      - 이름: Description
        유형: 문자열
      - 이름: DeviceDnsDomain
        유형: 문자열
      - 이름: DeviceHostName
        유형: 문자열
      - 이름: DeviceName
        유형: 문자열
      - 이름: DeviceNetBiosName
        유형: 문자열
      - 이름: DeviceOperatingSystem
        유형: 문자열
      - 이름: StartTimeUtc
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - 이름: UPNSuffix
        유형: 문자열
      - 이름: UserDisplayName
        유형: 문자열
      - 이름: UserName
        유형: 문자열
        지표:
          - username
      - 이름: AADTenantId
        유형: 문자열
      - 이름: IntuneAccountId
        유형: 문자열
      - 이름: IntuneDeviceId
        유형: 문자열
      - 이름: IntuneUserId
        유형: 문자열
      - 이름: OperationalLogCategory
        유형: 문자열
      - 이름: ScaleUnit
        유형: 문자열
      - 이름: ScenarioName
        유형: 문자열

MicrosoftIntune.Windows365AuditLogs

스키마: MicrosoftIntune.Windows365AuditLogs
설명: Microsoft Intune의 Windows 365 활동에 대한 감사 로그
참고URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/windows365auditlogs
필드:
  - 이름: Tenant
    유형: 문자열
    설명: 조직의 테넌트 ID
  - 이름: _TimeReceivedBySvc
    유형: 타임스탬프
    시간 형식:
      - rfc3339
    설명: 로그가 서비스에 수신된 시간
  - 이름: category
    필수: 예
    유형: 문자열
    설명: 운영 로그 이벤트의 카테고리
    검증:
      허용: ['Windows365AuditLogs']
  - 이름: operationName
    유형: 문자열
    설명: 로그와 관련된 작업의 이름
  - 이름: tenantId
    유형: 문자열
    설명: 이벤트가 발생한 테넌트 ID
  - 이름: time
    필수: 예
    유형: 타임스탬프
    isEventTime: true
    시간 형식:
      - rfc3339
    설명: 작업이 발생한 시간
  - 이름: resultType
    유형: 문자열
    설명: 작업의 결과(예: 성공, 실패)
  - 이름: properties
    유형: 객체
    설명: 운영 이벤트에 대한 추가 메타데이터 및 컨텍스트
    필드:
      - 이름: ActivityId
        유형: 문자열
        설명: 작업의 활동 ID
      - 이름: ApplicationId
        유형: 문자열
        설명: 작업의 호출자 애플리케이션 ID
      - 이름: ApplicationName
        유형: 문자열
        설명: 작업의 애플리케이션 이름
      - 이름: _BilledSize
        유형: float
        설명: 레코드 크기(바이트)
      - 이름: BuildVersion
        유형: 문자열
        설명: 작업의 빌드 버전
      - 이름: CallerExtendedProperties
        유형: 문자열
        설명: 호출자의 확장 속성
      - 이름: ComponentName
        유형: 문자열
        설명: 작업의 구성 요소 이름
      - 이름: _IsBillable
        유형: 문자열
        설명: 이 데이터의 수집이 과금 대상인지 여부를 나타냄
      - 이름: OperationName
        유형: 문자열
        설명: 작업의 이름
      - 이름: OtherAuditEventProperties
        유형: 문자열
        설명: 상관 ID 및 카테고리를 포함한 추가 감사 이벤트 세부정보
      - 이름: OtherIdentityProperties
        유형: 문자열
        설명: 권한, 표시 이름 및 범위 태그와 같은 신원 세부정보
      - 이름: Pid
        유형: 문자열
        설명: 작업의 PID
      - 이름: RelatedActivityId
        유형: 문자열
        설명: 관련 활동 ID
      - 이름: ResourceExtendedProperties
        유형: 문자열
        설명: 작업에 대한 확장된 리소스 세부정보
      - 이름: _ResourceId
        유형: 문자열
        설명: 로그와 연결된 리소스 ID
      - 이름: Result
        유형: 문자열
        설명: 작업의 결과
      - 이름: ScenarioId
        유형: 문자열
        설명: 로그와 연결된 시나리오 ID
      - 이름: ScenarioInstanceId
        유형: 문자열
        설명: 작업의 시나리오 인스턴스 ID
      - 이름: ServiceName
        유형: 문자열
        설명: 로그를 생성한 서비스의 이름
      - 이름: SessionId
        유형: 문자열
        설명: 작업과 연결된 세션 ID
      - 이름: SourceSystem
        유형: 문자열
        설명: 이벤트를 수집한 에이전트 유형(예: Azure, OpsManager)
      - 이름: _SubscriptionId
        유형: 문자열
        설명: 레코드의 구독 ID
      - 이름: TenantId
        유형: 문자열
        설명: 로그 분석 작업공간 ID(테넌트)
      - 이름: Tid
        유형: 문자열
        설명: 이벤트의 테넌트 ID
      - 이름: TimeGenerated
        유형: 타임스탬프
        isEventTime: true
        시간 형식:
          - rfc3339
        설명: 보고서가 생성된 시간(UTC)
      - 이름: Type
        유형: 문자열
        설명: 이벤트의 테이블 이름(항상 Windows365AuditLogs)
      - 이름: UserId
        유형: 문자열
        설명: 이벤트와 연관된 사용자의 ID
      - 이름: UserPrincipalName
        유형: 문자열
        지표:
          - email
        설명: 이벤트와 연관된 사용자의 UPN

PreviousMicrosoft Graph 로그 NextMongoDB Atlas 로그

Last updated 2 months ago

Was this helpful?

hashtag개요

hashtagMicrosoft Intune 로그를 Panther에 온보딩하는 방법

hashtag전제 조건

hashtag1단계: Panther에서 새 Microsoft Intune 소스 생성

hashtag2단계: Intune 로그를 Event Hub로 내보내기

hashtag지원되는 로그 유형

hashtagMicrosoftIntune.AuditLogs

hashtagMicrosoftIntune.Devices

hashtagMicrosoftIntune.DeviceComplianceOrg

hashtagMicrosoftIntune.OperationalLogs

hashtagMicrosoftIntune.Windows365AuditLogs

개요