Cet article est le 2nd d’une série sur Log Analytics. Nous verrons comment utiliser Intune et PowerShell pour importer vos propres données, informations, depuis vos postes, dans Log Analytics afin de créer des rapports customisés.
La série d’article
- Partie 1 : Création du workspace Log Analytics
- Partie 2 : Importation d’informations dans le workspace (vous êtes ici)
- Partie 3 : Création du workbook
- Partie 4 : Ajouter les données Intune dans un workspace Log Analytics
- Partie 5 : Utiliser l’API Log Analytics pour effectuer des requêtes KQL avec PowerShell
- Partie 6 : Créer votre lab à partir de fausses données
- Partie 7 : donner un meilleur look à vos workbook
Notre exemple:
Dans l’exemple suivant, nous souhaitons récupérer les informations suivantes depuis vos postes :
- Nom de la machine
- Utilisateur connecté
- Constructeur
- Modèle du poste
- Version de BIOS
- Taille totale du disque
- Espace libre du disque
- Espace libre en pourcentage
- Statut de Bitlocker
Log Analytics workspace
Informations nécessaires
Pour notre besoin, il faudra les informations suivantes :
- Workspace ID
- Primary key
- Nom du Custom Log à créer ou mettre à jour
Pour retrouver ces informations, allez d’abord dans Log Analytics Workspace puis dans votre workspace. Dans notre cas, celui que nous avons créé dans l’article précédent se nomme Metsys-Workspace :
Vous pouvez trouver le Workspace ID dans la partie Overview de votre workspace Log Analytics :
Pour récupérer la primary key allez dans Agents management, vous retrouverez également le workspace ID :
Il nous reste maintenant à créer un Custom Logs.
Custom logs, tables et fields ?
Pour faire simple un Custom Logs va contenir des informations spécifiques dans une table.
Nous allons créer ce Custom Logs puis y importer des informations en utilisant PowerShell et la partie Proactive Remediation de Intune. Les Custom Logs se trouvent dans la partie Settings :
Nous pouvons par exemple imaginer les Custom Logs ci-dessous :
- BIOS version report
- Local admin report
Dans notre exemple, notre Custom Logs se nommera : TestReport_CL :
Une fois que le Custom Log est créé, une Custom table sera disponible dans la partie Custom tables:
- Allez dans Workbooks
- Allez dans Custom logs
- Allez dans Custom tables
- Vous trouverez TestReport_CL
TestReport_CL contiendra les informations importées par le script de remédiation.
Chaque catégorie d’information est intégrée dans une colonne disponible dans la partie Custom Fields.
- Allez dans Custom fields
- Allez dans Table selection et choisissez votre table
- Toutes les colonnes seront listées :
Le script Proactive Remediation
Informations à fournir
Dans le script, nous aurons besoin des informations suivantes dans différentes variables :
- Workspace ID
- Primary key
- Nom du Custom Logs à créer ou mettre à jour
Le script de remédiation Intune fonctionnera de la manière suivante :
- Récupération des informations du poste
- Créer un tableau avec ces informations
- Conversion du tableau en JSON
- Créer un nouveau Custom Logs (si celui-ci n’existe pas) dans Log Analytics
- Importer les données du JSON dans notre Custom logs
Vous trouverez davantage d’informations ici.
Obtenir les scripts
Cliquez sur l’image suivante pour récupérer le script de remédiation : Detection_Script.ps1
Création du package de remédiation
- Allez dans Microsoft Endpoint manager admin center
- Allez dans Reports
- Allez dans Endpoint analytics
- Allez dans Proactive remediations
- Cliquez sur Create script package
- Saisissez un nom
- Cliquez sur Next
- Cliquez sur Detection script file
- Choisissez le script de détection approprié
- Cliquez sur Next
- Choisissez le groupe approprié
- Dans la partie Schedule, choisissez quand s’exécutera le package
- Cliquez sur Apply
- Cliquez sur Next
- Cliquez sur Create
- Une fois que le script s’exécutera sur les postes, les informations seront importées dans le Custom Logs
Et ensuite
Dans le prochain article nous verrons comment mettre en forme ces informations en créant un workbook afin de créer un rapport contenant des camemberts et tableaux.
