> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/microsoft-intune.md).
# Microsoft Intune 로그 (Beta)
## 개요
{% hint style="info" %}
Microsoft Intune 로그 수집은 Panther 버전 1.114부터 공개 베타로 제공되며, 모든 고객이 이용할 수 있습니다. 버그 보고와 기능 요청은 Panther 지원팀과 공유해 주세요.
{% endhint %}
Panther는 Azure Event Hub를 통해 Microsoft Intune 로그 수집을 지원합니다 [데이터 전송](https://docs.panther.com/data-onboarding/data-transports).
## Microsoft Intune 로그를 Panther에 온보딩하는 방법
먼저 Panther에서 Azure Event Hub 소스를 만든 다음, Azure를 구성하여 해당 위치로 로그를 내보내도록 합니다.
### 사전 요구 사항
Microsoft Intune 로그를 Panther에 온보딩하기 전에 다음을 확인하세요:
* Azure 구독이 있고 사용자가 [소유자](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles/privileged#owner) 또는 [기여자](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles/privileged#contributor) 해당 역할을 보유해야 합니다.
* 이미 생성된 [Event Hubs 네임스페이스](https://learn.microsoft.com/en-us/azure/event-hubs/event-hubs-features#namespace) 와 Event Hub가 있어야 합니다(다음에 명시된 [Event Hub 소스 사전 요구 사항](/ko/data-onboarding/data-transports/azure/event-hub.md#prerequisites)).
### 1단계: Panther에서 새 Microsoft Intune 소스 만들기
1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**.
2. 다음을 클릭합니다: **새로 만들기**.
3. “Microsoft Intune”을 검색한 다음 해당 타일을 클릭합니다.
4. 슬라이드아웃 패널에서 다음을 클릭합니다 **설정 시작**.
5. 다음에 대한 구성을 위한 Panther의 지침을 따르세요. [Azure Event Hub](/ko/data-onboarding/data-transports/azure/event-hub.md).
### 2단계: Intune 로그를 Event Hub로 내보내기
Microsoft Intune 로그를 Event Hub로 내보내려면 아래 지침을 따르세요.
{% hint style="info" %}
추가 지원이 필요하면 Microsoft의 [Intune 로그 데이터를 Azure Storage, Event Hubs 또는 Log Analytics로 전송](https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/review-logs-using-azure-monitor) 문서.
{% endhint %}
1. Azure Portal에서 Intune 관리 센터로 이동합니다.
2. 탐색 모음에서 **진단 설정**.
3. 다음을 클릭합니다: **+ 진단 설정 추가**.
4. 다음 필드를 채우세요:
1. 다음의 **진단 설정 이름** 필드에 설명적인 이름을 입력하세요.
2. 다음에서 **대상 세부 정보**, 다음을 클릭합니다. **이벤트 허브로 스트리밍** 체크박스를 선택합니다.
3. 다음의 **이벤트 허브** 필드에서 Panther에 온보딩한 Event Hub 네임스페이스와 Event Hub를 선택합니다. [1단계](#step-1-create-the-microsoft-intune-source-in-panther).
4. 다음에서 **로그**Panther에서 수집할 모든 로그 유형을 선택합니다.
5. 다음을 클릭합니다: **저장**.
## 지원되는 로그 유형
### MicrosoftIntune.AuditLogs
```yaml
스키마: MicrosoftIntune.AuditLogs
설명: Microsoft Intune의 Intune 감사 로그 이벤트로, 사용자 및 시스템 활동을 캡처합니다
참조 URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intuneauditlogs
fields:
- 이름: Tenant
type: string
설명: 조직의 테넌트 ID
- 이름: _TimeReceivedBySvc
type: timestamp
timeFormats:
- rfc3339
설명: 서비스가 로그를 수신한 시간
- name: category
required: true
type: string
설명: 감사 로그 이벤트의 범주
검증:
허용: ['AuditLogs']
- 이름: correlationId
type: string
설명: 여러 작업을 연결하는 데 사용되는 고유 식별자
- 이름: identity
type: string
표시자:
- 이메일
설명: 작업을 수행한 사용자 또는 서비스의 식별자
- 이름: operationName
type: string
설명: 수행된 작업의 이름
- 이름: tenantId
type: string
설명: 이벤트가 발생한 테넌트 ID
- 이름: time
required: true
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 작업이 발생한 시간
- 이름: resultType
type: string
설명: 작업 결과의 유형(예: 성공, 실패)
- 이름: resultDescription
type: string
설명: 작업이 실패한 경우 결과 또는 오류에 대한 설명
- 이름: properties
type: object
설명: 감사 이벤트에 대한 추가 메타데이터
fields:
- 이름: ActivityDate
type: timestamp
timeFormats:
- '%m/%d/%Y %I:%M:%S %p'
설명: 활동이 발생한 날짜와 시간
- 이름: ActivityResultStatus
type: bigint
설명: 활동 결과의 상태 코드
- 이름: ActivityType
type: bigint
설명: 수행된 활동의 유형
- 이름: Actor
type: object
설명: 작업을 시작한 실행 주체에 대한 정보
fields:
- 이름: Application
type: string
설명: 실행 주체의 애플리케이션 ID
- 이름: ApplicationName
type: string
설명: 사용된 애플리케이션의 이름
- 이름: ObjectId
type: string
설명: 실행 주체의 개체 ID
- 이름: UPN
type: string
표시자:
- 이메일
설명: 실행 주체의 사용자 주체 이름
- 이름: ActorType
type: bigint
설명: 실행 주체 유형(사용자, 앱 등)
- 이름: IsDelegatedAdmin
유형: boolean
설명: 실행 주체가 위임 관리자인지 여부
- 이름: PartnerTenantId
type: string
설명: 해당하는 경우 파트너 테넌트 ID
- 이름: UserPermissions
type: array
설명: 실행 주체가 보유한 권한 목록
element:
type: string
- 이름: AdditionalDetails
type: string
설명: 작업에 대한 추가 메타데이터
- 이름: AuditEventId
type: string
description: 감사 이벤트의 고유 식별자
- 이름: Category
type: bigint
설명: 감사 이벤트의 범주 코드
- 이름: TargetDisplayNames
type: array
설명: 작업의 영향을 받은 대상의 표시 이름
element:
type: string
- 이름: TargetObjectIds
type: array
설명: 작업의 영향을 받은 대상의 개체 ID
element:
type: string
- 이름: Targets
type: array
설명: 영향을 받은 대상과 수정된 속성
element:
type: object
fields:
- name: Name
type: string
설명: 영향을 받은 대상의 이름
- 이름: ModifiedProperties
type: array
설명: 수정된 속성
element:
type: object
fields:
- name: Name
type: string
설명: 수정된 속성의 이름
- 이름: Old
type: string
설명: 수정 전의 이전 값
- 이름: New
type: string
설명: 수정 후의 새 값
- 이름: records
type: array
설명: 추가 세부 정보를 제공하는 중첩 레코드
element:
type: object
fields:
- name: category
type: string
설명: 중첩 이벤트의 범주
- 이름: correlationId
type: string
설명: 중첩 이벤트의 상관관계 ID
- 이름: identity
type: string
표시자:
- 이메일
설명: 중첩 이벤트와 관련된 식별 정보
- 이름: operationName
type: string
설명: 중첩 이벤트에서 수행된 작업
- 이름: properties
type: object
설명: 중첩 이벤트에 대한 추가 데이터
fields:
- 이름: ActivityDate
type: timestamp
timeFormats:
- rfc3339
설명: 활동이 발생한 시점
- 이름: ActivityResultStatus
type: bigint
설명: 결과 상태 코드
- 이름: ActivityType
type: bigint
설명: 활동 유형
- 이름: Actor
type: object
설명: 실행 주체 정보
fields:
- 이름: Application
type: string
설명: 실행 주체 애플리케이션 ID
- 이름: ApplicationName
type: string
설명: 실행 주체 애플리케이션 이름
- 이름: ObjectId
type: string
설명: 실행 주체 개체 ID
- 이름: UPN
type: string
표시자:
- 이메일
설명: 실행 주체 UPN
- 이름: ActorType
type: bigint
설명: 행위자 유형
- 이름: IsDelegatedAdmin
유형: boolean
설명: 실행 주체가 위임 관리자인지 여부
- 이름: PartnerTenantId
type: string
설명: 파트너 테넌트 ID
- 이름: UserPermissions
type: array
설명: 실행 주체의 권한
element:
type: string
- 이름: AdditionalDetails
type: string
설명: 추가 컨텍스트
- 이름: AuditEventId
type: string
설명: 감사 이벤트 ID
- 이름: Category
type: bigint
설명: 숫자 범주 코드
- 이름: TargetDisplayNames
type: array
설명: 영향을 받은 대상의 이름
element:
type: string
- 이름: TargetObjectIds
type: array
설명: 영향을 받은 대상의 ID
element:
type: string
- 이름: Targets
type: array
설명: 대상에 대한 자세한 정보
element:
type: object
fields:
- name: Name
type: string
설명: 대상 이름
- 이름: ModifiedProperties
type: array
설명: 수정된 속성
element:
type: object
fields:
- name: Name
type: string
- 이름: Old
type: string
- 이름: New
type: string
```
### MicrosoftIntune.Devices
```yaml
스키마: MicrosoftIntune.Devices
설명: Intune에 등록되고 관리되는 디바이스에 대한 디바이스 인벤토리 및 상태 정보
참조 URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intunedevices
fields:
- 이름: Tenant
type: string
설명: 조직의 테넌트 ID
- 이름: _TimeReceivedBySvc
type: timestamp
timeFormats:
- rfc3339
설명: 서비스가 이벤트를 수신한 시간
- name: category
required: true
type: string
설명: 디바이스 이벤트의 범주
검증:
허용: ['Devices']
- 이름: operationName
type: string
설명: 디바이스 이벤트와 연결된 작업 이름
- 이름: tenantId
type: string
설명: 디바이스 이벤트가 발생한 테넌트 ID
- 이름: time
required: true
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 디바이스 이벤트가 발생한 시간
- 이름: resultType
type: string
설명: 디바이스 작업의 결과(예: 성공, 실패)
- 이름: properties
type: object
설명: 디바이스 이벤트에 대한 추가 메타데이터 및 컨텍스트
fields:
- 이름: Stats
type: object
설명: 디바이스 쿼리에 대한 집계 통계
fields:
- 이름: RecordCount
type: bigint
설명: 이벤트에서 반환된 레코드 수
- 이름: GraphDeviceIsManaged
유형: boolean
설명: 디바이스가 Microsoft Graph를 통해 관리되는지 여부를 나타냄
- 이름: AADTenantId
type: string
설명: Azure Active Directory 테넌트 ID
- 이름: AndroidPatchLevel
type: string
설명: 디바이스의 Android 패치 수준
- 이름: CategoryName
type: string
설명: 디바이스에 할당된 범주 이름
- 이름: CompliantState
type: string
설명: 디바이스의 규정 준수 상태
- 이름: CreatedDate
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
설명: 디바이스 항목이 생성된 날짜와 시간
- 이름: DeviceId
type: string
설명: 디바이스의 고유 식별자
- 이름: DeviceName
type: string
설명: 디바이스 이름
- 이름: DeviceRegistrationState
type: string
설명: 디바이스의 등록 상태
- 이름: DeviceState
type: string
설명: 디바이스 상태
- 이름: EasID
type: string
설명: 디바이스의 Exchange ActiveSync ID
- 이름: EncryptionStatusString
type: string
설명: 디바이스의 암호화 상태
- 이름: IMEI
type: string
설명: 디바이스의 국제 모바일 장비 식별번호
- 이름: InGracePeriodUntil
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
설명: 규정 준수를 위한 유예 기간 종료 시간
- 이름: JailBroken
type: string
설명: 디바이스가 탈옥되었는지 여부를 나타냄
- 이름: JoinType
type: string
설명: 디바이스의 조인 유형(예: Azure AD 조인)
- 이름: LastContact
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
설명: 디바이스가 Intune과 마지막으로 통신한 시간
- 이름: MEID
type: string
설명: 디바이스의 모바일 장비 식별자
- 이름: ManagedBy
type: string
설명: 디바이스의 관리 주체
- 이름: ManagedDeviceName
type: string
설명: 디바이스의 관리 이름
- 이름: Manufacturer
type: string
설명: 디바이스 제조업체
- 이름: Model
type: string
설명: 디바이스 모델
- 이름: OS
type: string
설명: 디바이스의 운영 체제
- 이름: OSVersion
type: string
설명: 디바이스의 운영 체제 버전
- 이름: Ownership
type: string
설명: 디바이스의 소유 유형(예: 회사, 개인)
- 이름: PhoneNumber
type: string
설명: 디바이스와 연결된 전화번호
- 이름: PrimaryUser
type: string
설명: 디바이스의 기본 사용자
- 이름: ReferenceId
type: string
설명: 디바이스의 참조 ID
- 이름: SerialNumber
type: string
설명: 디바이스의 일련 번호
- 이름: SkuFamily
type: string
설명: 디바이스의 SKU 패밀리
- 이름: StorageFree
type: bigint
설명: 디바이스의 사용 가능한 저장 공간(바이트)
- 이름: StorageTotal
type: bigint
설명: 디바이스의 전체 저장 용량(바이트)
- 이름: SubscriberCarrierNetwork
type: string
설명: 디바이스의 가입자 이동통신망
- 이름: SupervisedStatusString
type: string
설명: 디바이스의 감독 상태
- 이름: UPN
type: string
표시자:
- 이메일
설명: 할당된 사용자의 사용자 주체 이름
- 이름: UserEmail
type: string
표시자:
- 이메일
설명: 할당된 사용자의 이메일 주소
- 이름: UserName
type: string
표시자:
- 사용자명
설명: 할당된 사용자의 이름
- 이름: WifiMacAddress
type: string
표시자:
- mac
설명: 디바이스의 Wi-Fi MAC 주소
- 이름: BatchId
type: string
설명: 이 디바이스 레코드가 속한 배치의 식별자
- 이름: IntuneAccountId
type: string
설명: Intune에서 사용하는 내부 계정 ID
```
### MicrosoftIntune.DeviceComplianceOrg
```yaml
스키마: MicrosoftIntune.DeviceComplianceOrg
설명: Microsoft Intune의 조직 수준 디바이스 규정 준수 이벤트
참조 URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intunedevicecomplianceorg
fields:
- 이름: Tenant
type: string
설명: 조직의 테넌트 ID
- 이름: _TimeReceivedBySvc
type: timestamp
timeFormats:
- rfc3339
설명: 서비스가 이벤트를 수신한 시간
- name: category
required: true
type: string
설명: 디바이스 규정 준수 이벤트의 범주
검증:
허용: ['DeviceComplianceOrg']
- 이름: operationName
type: string
설명: 규정 준수 이벤트와 연결된 작업 이름
- 이름: tenantId
type: string
설명: 규정 준수 이벤트가 발생한 테넌트 ID
- 이름: time
required: true
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 규정 준수 이벤트가 발생한 시간
- 이름: resultType
type: string
설명: 규정 준수 작업의 결과(예: 성공, 실패)
- 이름: properties
type: object
설명: 규정 준수 이벤트에 대한 추가 메타데이터 및 컨텍스트
fields:
- 이름: Stats
type: object
설명: 규정 준수 쿼리에 대한 집계 통계
fields:
- 이름: RecordCount
type: bigint
설명: 이벤트에서 반환된 레코드 수
- 이름: AADTenantId
type: string
설명: Azure AD 테넌트 ID
- 이름: BatchId
type: string
설명: 이 디바이스 규정 준수 결과가 속한 배치를 나타내는 ID
- 이름: ComplianceState
type: string
설명: 디바이스의 규정 준수 상태
- 이름: ComplianceState_loc
type: string
설명: 규정 준수 상태의 지역화된 설명
- 이름: DeviceHealthThreatLevel
type: bigint
설명: 디바이스가 보고한 위협 수준
- 이름: DeviceHealthThreatLevel_loc
type: string
설명: 디바이스 위협 수준의 지역화된 설명
- 이름: DeviceId
type: string
설명: 디바이스의 고유 식별자
- 이름: DeviceName
type: string
설명: 디바이스 이름
- 이름: DeviceType
type: bigint
설명: 디바이스 유형(예: 데스크톱, 모바일)
- 이름: IMEI
type: string
설명: 해당하는 경우 디바이스의 IMEI
- 이름: InGracePeriodUntil
# 실제로는 타임스탬프로 파싱할 수 없습니다. 9999-12-31 23:59:59.0000000처럼 보이기 때문입니다(끝에 0이 7개 있음)
type: string
설명: 규정 준수를 위한 유예 기간 종료를 나타내는 타임스탬프
- 이름: LastContact
# 실제로는 타임스탬프로 파싱할 수 없습니다. 2025-05-07 22:27:19.0000000처럼 보이기 때문입니다(끝에 0이 7개 있음)
type: string
설명: 디바이스가 Intune과 마지막으로 통신한 시간
- 이름: ManagementAgents
type: bigint
설명: 디바이스를 관리하는 데 사용된 에이전트 유형
- 이름: ManagementAgents_loc
type: string
설명: 지역화된 관리 에이전트 이름
- 이름: OS
type: string
설명: 운영 체제 이름(예: Windows, iOS)
- 이름: OSDescription
type: string
설명: OS에 대한 친숙한 설명
- 이름: OSVersion
type: string
설명: 운영 체제 버전
- 이름: OS_loc
type: string
설명: OS의 지역화된 이름
- 이름: OwnerType
type: bigint
설명: 디바이스의 소유 분류(예: 회사, 개인)
- 이름: OwnerType_loc
type: string
설명: 소유 유형의 지역화된 설명
- 이름: RetireAfterDatetime
type: timestamp
timeFormats:
- rfc3339
설명: 디바이스가 폐기될 예정인 시간
- 이름: SerialNumber
type: string
설명: 디바이스의 일련 번호
- 이름: UPN
type: string
표시자:
- 이메일
설명: 할당된 사용자의 사용자 주체 이름
- 이름: UserEmail
type: string
표시자:
- 이메일
설명: 할당된 사용자의 이메일 주소
- 이름: UserId
type: string
설명: 할당된 사용자의 식별자
- 이름: UserName
type: string
표시자:
- 사용자명
설명: 할당된 사용자의 이름
- 이름: IntuneAccountId
type: string
설명: Intune에서 사용하는 내부 계정 ID
```
### MicrosoftIntune.OperationalLogs
```yaml
스키마: MicrosoftIntune.OperationalLogs
설명: 프로비저닝, 등록 및 ESP 이벤트를 캡처하는 Intune 운영 로그
참조 URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intuneoperationallogs
fields:
- 이름: Tenant
type: string
설명: 조직의 테넌트 ID
- 이름: _TimeReceivedBySvc
type: timestamp
timeFormats:
- rfc3339
설명: 서비스가 로그를 수신한 시간
- name: category
required: true
type: string
설명: 운영 로그 이벤트의 범주
검증:
허용: ['OperationalLogs']
- 이름: operationName
type: string
설명: 로그와 연결된 작업 이름
- 이름: tenantId
type: string
설명: 이벤트가 발생한 테넌트 ID
- 이름: time
required: true
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 작업이 발생한 시간
- 이름: resultType
type: string
설명: 작업 결과(예: 성공, 실패)
- 이름: properties
type: object
설명: 운영 이벤트에 대한 추가 메타데이터 및 컨텍스트
fields:
- 이름: ESPPolicyId
type: string
- 이름: ESPPolicyName
type: string
- 이름: IsDeviceEspEnabled
유형: boolean
- 이름: ZtdDeviceRegisteredTime
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%dT%H:%M:%S.%N'
- 이름: DeviceEspEndTime
type: timestamp
timeFormats:
- rfc3339
- 이름: SlaEventEndTime
type: timestamp
timeFormats:
- rfc3339
- 이름: ZtdDeviceSerialNumber
type: string
- 이름: DeviceEspStartTime
type: timestamp
timeFormats:
- rfc3339
- 이름: SlaEventStartTime
type: timestamp
timeFormats:
- rfc3339
- 이름: EnrollmentEndTime
type: timestamp
timeFormats:
- rfc3339
- 이름: EnrollmentStartTime
type: timestamp
timeFormats:
- rfc3339
- 이름: TimeDiff
유형: int
- 이름: Status
type: string
- 이름: DidUserReachDesktop
유형: boolean
- 이름: IsUserEspEnabled
유형: boolean
- 이름: Stage
type: string
- 이름: TimeoutInMinutes
유형: int
- 이름: AadDeviceId
type: string
- 이름: DeviceEspStatus
type: bigint
- 이름: DeviceId
type: string
- 이름: EnrollmentTypeMessage
type: string
- 이름: EspStatus
type: bigint
- 이름: EventId
type: string
- 이름: IsAutopilot
유형: boolean
- 이름: IsDuringEsp
type: bigint
- 이름: Scope
type: string
- 이름: StartTime
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%dT%H:%M:%S'
- 이름: Timestamp
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%dT%H:%M:%S'
- 이름: UserEspStatus
type: bigint
- 이름: UserId
type: string
- name: Version
type: string
- 이름: EnrollmentTimeUTC
type: timestamp
timeFormats:
- rfc3339
- 이름: FailureCategory
type: string
- 이름: FailureReason
type: string
- 이름: MessageId
type: string
- 이름: Os
type: string
- 이름: OsVersion
type: string
- 이름: EnrollmentType
type: string
- 이름: AlertDisplayName
type: string
- 이름: AlertType
type: string
- name: Description
type: string
- 이름: DeviceDnsDomain
type: string
- 이름: DeviceHostName
type: string
- 이름: DeviceName
type: string
- 이름: DeviceNetBiosName
type: string
- 이름: DeviceOperatingSystem
type: string
- 이름: StartTimeUtc
type: timestamp
timeFormats:
- rfc3339
- 이름: UPNSuffix
type: string
- 이름: UserDisplayName
type: string
- 이름: UserName
type: string
표시자:
- 사용자명
- 이름: AADTenantId
type: string
- 이름: IntuneAccountId
type: string
- 이름: IntuneDeviceId
type: string
- 이름: IntuneUserId
type: string
- 이름: OperationalLogCategory
type: string
- 이름: ScaleUnit
type: string
- 이름: ScenarioName
type: string
```
### MicrosoftIntune.Windows365AuditLogs
```yaml
스키마: MicrosoftIntune.Windows365AuditLogs
설명: Microsoft Intune의 Windows 365 활동에 대한 감사 로그
참조 URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/windows365auditlogs
fields:
- 이름: Tenant
type: string
설명: 조직의 테넌트 ID
- 이름: _TimeReceivedBySvc
type: timestamp
timeFormats:
- rfc3339
설명: 서비스가 로그를 수신한 시간
- name: category
required: true
type: string
설명: 운영 로그 이벤트의 범주
검증:
허용: ['Windows365AuditLogs']
- 이름: operationName
type: string
설명: 로그와 연결된 작업 이름
- 이름: tenantId
type: string
설명: 이벤트가 발생한 테넌트 ID
- 이름: time
required: true
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 작업이 발생한 시간
- 이름: resultType
type: string
설명: 작업 결과(예: 성공, 실패)
- 이름: properties
type: object
설명: 운영 이벤트에 대한 추가 메타데이터 및 컨텍스트
fields:
- 이름: ActivityId
type: string
설명: 작업의 활동 ID
- 이름: ApplicationId
type: string
설명: 작업의 호출 애플리케이션 ID
- 이름: ApplicationName
type: string
설명: 작업의 애플리케이션 이름
- 이름: _BilledSize
type: float
설명: 바이트 단위의 레코드 크기
- 이름: BuildVersion
type: string
설명: 작업의 빌드 버전
- 이름: CallerExtendedProperties
type: string
설명: 호출자의 확장 속성
- 이름: ComponentName
type: string
설명: 작업의 구성 요소 이름
- 이름: _IsBillable
type: string
설명: 이 데이터의 수집이 청구 대상인지 여부를 나타냅니다
- 이름: OperationName
type: string
설명: 작업 이름
- 이름: OtherAuditEventProperties
type: string
설명: 상관 관계 ID 및 범주를 포함한 추가 감사 이벤트 세부 정보
- 이름: OtherIdentityProperties
type: string
설명: 권한, 표시 이름 및 범위 태그와 같은 ID 세부 정보
- 이름: Pid
type: string
설명: 작업의 PID
- 이름: RelatedActivityId
type: string
설명: 관련 활동 ID
- 이름: ResourceExtendedProperties
type: string
설명: 작업의 확장 리소스 세부 정보
- 이름: _ResourceId
type: string
설명: 로그와 연결된 리소스 ID
- 이름: Result
type: string
설명: 작업 결과
- 이름: ScenarioId
type: string
설명: 로그와 연결된 시나리오 ID
- 이름: ScenarioInstanceId
type: string
설명: 작업의 시나리오 인스턴스 ID
- 이름: ServiceName
type: string
설명: 로그를 생성한 서비스 이름
- 이름: SessionId
type: string
설명: 작업과 연결된 세션 ID
- 이름: SourceSystem
type: string
설명: 이벤트를 수집한 에이전트 유형(예: Azure, OpsManager)
- 이름: _SubscriptionId
type: string
설명: 레코드의 구독 ID
- 이름: TenantId
type: string
설명: Log Analytics 작업 영역 ID(테넌트)
- 이름: Tid
type: string
설명: 이벤트의 테넌트 ID
- 이름: TimeGenerated
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 보고서가 생성된 시간(UTC)
- 이름: Type
type: string
설명: 이벤트의 테이블 이름(항상 Windows365AuditLogs)
- 이름: UserId
type: string
설명: 이벤트와 연결된 사용자 ID
- 이름: UserPrincipalName
type: string
표시자:
- 이메일
설명: 이벤트와 연결된 사용자의 UPN
```
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/microsoft-intune.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.