스키마: MicrosoftIntune.AuditLogs
설명: 사용자 및 시스템 활동을 캡처하는 Microsoft Intune의 Intune 감사 로그 이벤트
참조 URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intuneauditlogs
필드:
- name: Tenant
type: string
설명: 조직의 테넌트 ID
- name: _TimeReceivedBySvc
type: timestamp
timeFormats:
- rfc3339
설명: 로그가 서비스에 수신된 시간
- name: category
required: true
type: string
설명: 감사 로그 이벤트의 카테고리
검증:
allow: ['AuditLogs']
- name: correlationId
type: string
설명: 여러 작업을 연관시키는 데 사용되는 고유 식별자
- name: identity
type: string
지표:
- 이메일
설명: 작업을 수행한 사용자 또는 서비스의 식별
- name: operationName
type: string
설명: 수행된 작업의 이름
- name: tenantId
type: string
설명: 이벤트가 발생한 테넌트 ID
- 이름: time
required: true
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 작업이 발생한 시간
- name: resultType
type: string
설명: 작업의 결과 유형(예: Success, Failure)
- name: resultDescription
type: string
설명: 작업 실패 시 결과 또는 오류에 대한 설명
- name: properties
type: object
설명: 감사 이벤트에 대한 추가 메타데이터
필드:
- name: ActivityDate
type: timestamp
timeFormats:
- '%m/%d/%Y %I:%M:%S %p'
설명: 활동이 발생한 날짜 및 시간
- name: ActivityResultStatus
type: bigint
설명: 활동 결과의 상태 코드
- name: ActivityType
type: bigint
설명: 수행된 활동의 유형
- 이름: Actor
type: object
설명: 동작을 시작한 행위자에 관한 정보
필드:
- 이름: Application
type: string
설명: 행위자의 애플리케이션 ID
- name: ApplicationName
type: string
설명: 사용된 애플리케이션의 이름
- 이름: ObjectId
type: string
설명: 행위자의 객체 ID
- name: UPN
type: string
지표:
- 이메일
설명: 행위자의 사용자 주체 이름(UPN)
- name: ActorType
type: bigint
설명: 행위자 유형(사용자, 앱 등)
- name: IsDelegatedAdmin
유형: boolean
설명: 행위자가 위임된 관리자 여부
- name: PartnerTenantId
type: string
설명: 해당되는 경우 파트너 테넌트 ID
- name: UserPermissions
type: array
설명: 행위자가 가진 권한 목록
element:
type: string
- name: AdditionalDetails
type: string
설명: 동작에 대한 추가 메타데이터
- name: AuditEventId
type: string
설명: 감사 이벤트의 고유 식별자
- name: Category
type: bigint
설명: 감사 이벤트의 카테고리 코드
- name: TargetDisplayNames
type: array
설명: 동작으로 영향을 받은 대상의 표시 이름
element:
type: string
- name: TargetObjectIds
type: array
설명: 동작으로 영향을 받은 대상의 객체 ID
element:
type: string
- name: Targets
type: array
설명: 영향을 받은 대상 및 수정된 속성
element:
type: object
필드:
- name: Name
type: string
설명: 영향을 받은 대상의 이름
- 이름: ModifiedProperties
type: array
설명: 수정된 속성들
element:
type: object
필드:
- name: Name
type: string
설명: 수정된 속성의 이름
- name: Old
type: string
설명: 수정 전의 이전 값
- name: New
type: string
설명: 수정 후의 새 값
- name: records
type: array
설명: 추가 세부정보를 제공하는 중첩된 레코드
element:
type: object
필드:
- name: category
type: string
설명: 중첩 이벤트의 카테고리
- name: correlationId
type: string
설명: 중첩 이벤트의 상관 ID
- name: identity
type: string
지표:
- 이메일
설명: 중첩 이벤트에 관련된 식별
- name: operationName
type: string
설명: 중첩 이벤트에서 수행된 작업
- name: properties
type: object
설명: 중첩 이벤트에 대한 추가 데이터
필드:
- name: ActivityDate
type: timestamp
timeFormats:
- rfc3339
설명: 활동이 발생한 시각
- name: ActivityResultStatus
type: bigint
설명: 결과 상태 코드
- name: ActivityType
type: bigint
설명: 활동의 유형
- 이름: Actor
type: object
설명: 행위자 정보
필드:
- 이름: Application
type: string
설명: 행위자 애플리케이션 ID
- name: ApplicationName
type: string
설명: 행위자 애플리케이션 이름
- 이름: ObjectId
type: string
설명: 행위자 객체 ID
- name: UPN
type: string
지표:
- 이메일
설명: 행위자 UPN
- name: ActorType
type: bigint
설명: 행위자의 유형
- name: IsDelegatedAdmin
유형: boolean
설명: 행위자가 위임된 관리자 여부
- name: PartnerTenantId
type: string
설명: 파트너 테넌트 ID
- name: UserPermissions
type: array
설명: 행위자의 권한
element:
type: string
- name: AdditionalDetails
type: string
설명: 추가 컨텍스트
- name: AuditEventId
type: string
설명: 감사 이벤트 ID
- name: Category
type: bigint
설명: 숫자형 카테고리 코드
- name: TargetDisplayNames
type: array
설명: 영향을 받은 대상의 이름들
element:
type: string
- name: TargetObjectIds
type: array
설명: 영향을 받은 대상의 ID들
element:
type: string
- name: Targets
type: array
설명: 대상에 대한 상세 정보
element:
type: object
필드:
- name: Name
type: string
설명: 대상 이름
- 이름: ModifiedProperties
type: array
설명: 수정된 속성들
element:
type: object
필드:
- name: Name
type: string
- name: Old
type: string
- name: New
type: string
스키마: MicrosoftIntune.Devices
설명: Intune에 등록되고 관리되는 장치의 장치 인벤토리 및 상태 정보
참조 URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intunedevices
필드:
- name: Tenant
type: string
설명: 조직의 테넌트 ID
- name: _TimeReceivedBySvc
type: timestamp
timeFormats:
- rfc3339
설명: 이벤트가 서비스에 수신된 시간
- name: category
required: true
type: string
설명: 장치 이벤트의 카테고리
검증:
allow: ['Devices']
- name: operationName
type: string
설명: 장치 이벤트와 관련된 작업 이름
- name: tenantId
type: string
설명: 장치 이벤트가 발생한 테넌트 ID
- 이름: time
required: true
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 장치 이벤트가 발생한 시간
- name: resultType
type: string
설명: 장치 작업의 결과(예: Success, Failure)
- name: properties
type: object
설명: 장치 이벤트에 대한 추가 메타데이터 및 컨텍스트
필드:
- name: Stats
type: object
설명: 장치 쿼리에 대한 집계 통계
필드:
- name: RecordCount
type: bigint
설명: 이벤트에서 반환된 레코드 수
- name: GraphDeviceIsManaged
유형: boolean
설명: 장치가 Microsoft Graph를 통해 관리되는지 여부
- name: AADTenantId
type: string
설명: Azure Active Directory 테넌트 ID
- name: AndroidPatchLevel
type: string
설명: 장치의 Android 패치 레벨
- name: CategoryName
type: string
설명: 장치에 할당된 카테고리 이름
- name: CompliantState
type: string
설명: 장치의 규정 준수 상태
- 이름: CreatedDate
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
설명: 장치 항목이 생성된 날짜 및 시간
- 이름: DeviceId
type: string
설명: 장치의 고유 식별자
- name: DeviceName
type: string
설명: 장치 이름
- name: DeviceRegistrationState
type: string
설명: 장치의 등록 상태
- name: DeviceState
type: string
설명: 장치 상태
- name: EasID
type: string
설명: 장치의 Exchange ActiveSync ID
- name: EncryptionStatusString
type: string
설명: 장치의 암호화 상태
- name: IMEI
type: string
설명: 장치의 국제 모바일 장비 식별 번호(IMEI)
- name: InGracePeriodUntil
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
설명: 규정 준수를 위한 유예 기간 종료 시간
- name: JailBroken
type: string
설명: 장치가 탈옥되었는지 여부
- name: JoinType
type: string
설명: 장치의 조인 유형(예: Azure AD joined)
- name: LastContact
type: timestamp
timeFormats:
- rfc3339
- '%Y-%m-%d %H:%M:%S.%N'
설명: 장치가 Intune에 마지막으로 연락한 시간
- name: MEID
type: string
설명: 장치의 모바일 장비 식별자(MEID)
- name: ManagedBy
type: string
설명: 장치의 관리 권한
- name: ManagedDeviceName
type: string
설명: 관리되는 장치의 이름
- name: Manufacturer
type: string
설명: 장치 제조업체
- name: Model
type: string
설명: 장치 모델
- name: OS
type: string
설명: 장치의 운영 체제
- name: OSVersion
type: string
설명: 장치의 운영 체제 버전
- name: Ownership
type: string
설명: 장치의 소유 유형(예: 회사, 개인)
- name: PhoneNumber
type: string
설명: 장치와 관련된 전화번호
- name: PrimaryUser
type: string
설명: 장치의 주요 사용자
- name: ReferenceId
type: string
설명: 장치의 참조 ID
- name: SerialNumber
type: string
설명: 장치의 일련 번호
- name: SkuFamily
type: string
설명: 장치의 SKU 패밀리
- name: StorageFree
type: bigint
설명: 장치의 사용 가능한 저장 공간(바이트)
- name: StorageTotal
type: bigint
설명: 장치의 전체 저장 용량(바이트)
- name: SubscriberCarrierNetwork
type: string
설명: 장치의 가입자 통신사 네트워크
- name: SupervisedStatusString
type: string
설명: 장치의 관리형 상태
- name: UPN
type: string
지표:
- 이메일
설명: 할당된 사용자의 사용자 주체 이름(UPN)
- name: UserEmail
type: string
지표:
- 이메일
설명: 할당된 사용자의 이메일 주소
- name: UserName
type: string
지표:
- username
설명: 할당된 사용자의 이름
- name: WifiMacAddress
type: string
지표:
- mac
설명: 장치의 Wi-Fi MAC 주소
- name: BatchId
type: string
설명: 이 장치 레코드가 속한 배치의 식별자
- name: IntuneAccountId
type: string
설명: Intune에서 사용하는 내부 계정 ID
스키마: MicrosoftIntune.DeviceComplianceOrg
설명: Microsoft Intune의 조직 수준 장치 규정 준수 이벤트
참조 URL: https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/intunedevicecomplianceorg
필드:
- name: Tenant
type: string
설명: 조직의 테넌트 ID
- name: _TimeReceivedBySvc
type: timestamp
timeFormats:
- rfc3339
설명: 이벤트가 서비스에 수신된 시간
- name: category
required: true
type: string
설명: 장치 규정 준수 이벤트의 카테고리
검증:
allow: ['DeviceComplianceOrg']
- name: operationName
type: string
설명: 규정 준수 이벤트와 관련된 작업 이름
- name: tenantId
type: string
설명: 규정 준수 이벤트가 발생한 테넌트 ID
- 이름: time
required: true
type: timestamp
isEventTime: true
timeFormats:
- rfc3339
설명: 규정 준수 이벤트가 발생한 시간
- name: resultType
type: string
설명: 규정 준수 작업의 결과(예: Success, Failure)
- name: properties
type: object
설명: 규정 준수 이벤트에 대한 추가 메타데이터 및 컨텍스트
필드:
- name: Stats
type: object
설명: 규정 준수 쿼리에 대한 집계 통계
필드:
- name: RecordCount
type: bigint
설명: 이벤트에서 반환된 레코드 수
- name: AADTenantId
type: string
설명: Azure AD 테넌트 ID
- name: BatchId
type: string
설명: 이 장치 규정 준수 결과가 속한 배치를 나타내는 ID
- name: ComplianceState
type: string
설명: 장치의 규정 준수 상태
- name: ComplianceState_loc
type: string
설명: 규정 준수 상태의 지역화된 설명
- name: DeviceHealthThreatLevel
type: bigint
설명: 장치가 보고한 위협 수준
- name: DeviceHealthThreatLevel_loc
type: string
설명: 장치 위협 수준의 지역화된 설명
- 이름: DeviceId
type: string
설명: 장치의 고유 식별자
- name: DeviceName
type: string
설명: 장치 이름
- name: DeviceType
type: bigint
설명: 장치 유형(예: 데스크톱, 모바일)
- name: IMEI
type: string
설명: 해당되는 경우 장치의 IMEI
- name: InGracePeriodUntil
# 타임스탬프로 실제로 파싱할 수 없음. 예: 9999-12-31 23:59:59.0000000 (끝에 7개의 0이 있음)
type: string
설명: 규정 준수를 위한 유예 기간 종료를 나타내는 타임스탬프
- name: LastContact
# 타임스탬프로 실제로 파싱할 수 없음. 예: 2025-05-07 22:27:19.0000000 (끝에 7개의 0이 있음)
type: string
설명: 장치가 Intune에 마지막으로 연락한 시간
- name: ManagementAgents
type: bigint
설명: 장치를 관리하는 데 사용되는 에이전트 유형
- name: ManagementAgents_loc
type: string
설명: 지역화된 관리 에이전트 이름
- name: OS
type: string
설명: 운영 체제 이름(예: Windows, iOS)
- name: OSDescription
type: string
설명: 운영 체제에 대한 친숙한 설명
- name: OSVersion
type: string
설명: 운영 체제 버전
- name: OS_loc
type: string
설명: 운영 체제의 지역화된 이름
- name: OwnerType
type: bigint
설명: 장치의 소유 분류(예: 회사, 개인)
- name: OwnerType_loc
type: string
설명: 소유 유형의 지역화된 설명
- name: RetireAfterDatetime
type: timestamp
timeFormats:
- rfc3339
설명: 장치가 폐기될 예정인 시간
- name: SerialNumber
type: string
설명: 장치의 일련 번호
- name: UPN
type: string
지표:
- 이메일
설명: 할당된 사용자의 사용자 주체 이름(UPN)
- name: UserEmail
type: string
지표:
- 이메일
설명: 할당된 사용자의 이메일 주소
- 이름: UserId
type: string
설명: 할당된 사용자의 식별자
- name: UserName
type: string
지표:
- username
설명: 할당된 사용자의 이름
- name: IntuneAccountId
type: string
설명: Intune에서 사용하는 내부 계정 ID
