Intune登録デバイスのログ収集

皆さんこんにちは。国井です。
2021年6月10日に日経BPさんから書籍「ひと目でわかるIntune」が発売されますが、色々な事情で書籍の中に入れなかったトピックがあるので、今日はそれを紹介したいと思います。

Microsoft Intuneに登録されたデバイスからイベントビューア等のログを収集する方法についてです。

Windowsデバイスのトラブルシューティングを行うときって、イベントログを見たり
関連するログを見たりすると思うのですが、それってクライアントコンピューター上で操作しなければなりません。そこでIntuneではデバイスのイベントログを含む、様々なログ情報をまとめて収集できる方法を新しく提供しました。

Intuneでのログ収集設定

設定は簡単で、Microsoft Endpoint Manager管理センター画面から
デバイス > すべてのデバイスより特定のデバイスを選んで、[診断の収集]をクリックするだけ。

image

あとはしばらくするとデバイス画面の[ログ収集]メニューより収集したファイルをダウンロードできます。(上の画面と下の画面で、デバイス名が異なりますが気にしないでください)

image

収集したファイルの中身

ダウンロードしたファイルはZIPファイルで展開すると、1から50までの数字が書かれたフォルダーがいっぱいできあがります。そのフォルダーとは別にresults.xmlというファイルがあり、このファイルを開くとそれぞれのフォルダーの中に入っているコンテンツが確認できます。

results.xmlファイルを開き、タグの項目に上から番号を振ると、その番号の項目がフォルダー内に入っている内容になります。

image

例えばXMLファイルの一番上のタグにはHKLM\Software\Microsoft\IntuneManagementExtensionと書いてあります。
この項目は一番上の項目になりますので、番号は1となります。
それがわかったら、ZIPファイル内の1フォルダーを開きます。
すると、export.regというファイルが入っていることがわかります。
つまり、このファイルの内容はレジストリHKLM\Software\Microsoft\IntuneManagementExtensionの設定内容が入っていることになります。

image

こんな感じで50個のフォルダーにはXMLファイルに書かれた、様々な内容が保存されています。いくつか代表的なログとその使い方について見てみましょう。

フォルダー1 IntuneManagementExtension

IntuneでWindowsデバイスの管理を行う際、Intune Management Extensionエージェント経由での管理を行うケースがあります。このエージェントが正しく動作していなければPowerShellスクリプトを展開するなどの操作ができなくなるため、フォルダー1に保存されている.regファイルを参照し、Intune Management Extension関連のレジストリ設定が正しく構成されているか確認します。
ただし、現実にはレジストリのなかみを見て正しいか判断することは難しいので、正しく動作しているデバイスからもログを収集し、2つのレジストリ設定を比較することで問題となっている個所を突き止めていきます。

フォルダー4  LogonUI

Windowsデバイスに最後にサインインしたユーザーの情報が参照できます。イベントログから参照することも可能ですが、サインインユーザーの情報だけ参照したいということであれば、こちらのほうが便利でしょう。

フォルダー10 Uninstall

コントロールパネルに表示されるアンインストールするアプリの一覧情報が参照できます。
つまりデバイスにインストールされたアプリの一覧ってことです。
Intuneではソフトウェアインベントリの情報を収集してくれる機能がありますが、
すべての情報を集められるわけではないので、Uninstall情報を使って参照するとよいでしょう。

フォルダー13,14 certutil.exe

クライアントデバイス上でcertutil.exeコマンドを実行し、デバイス・ユーザーにインストールされた証明書の情報を参照できます。Intuneから配った証明書であれば、構成プロファイルのログから参照できますが、それ以外はこの方法を採らなければなりません。

フォルダー23 WLAN

デバイスが過去に接続したWi-Fi一覧を参照します。
これはWindowsデバイス上でnetsh.exe wlan show profilesコマンドを実行して得られた結果をもとにしています。

フォルダー39 IntuneManagementExtension\logs

前にも言ったようにIntune Management ExtensionエージェントはIntune経由でPowerShellスクリプトの実行を担当します。
エージェント経由で実行されたスクリプトがある場合、フォルダー39の中にあるIntuneManagementExtension.logファイルを参照すると確認できます。

フォルダー42 Battery

デバイスのバッテリー情報を参照できます。
バッテリーの充電がxx%という話だけでなく、フル充電でどのくらい充電されるか(Full Charge Capacity)を見ることでリチウムイオン電池の消耗具合を見たり、時間ごとのバッテリーのxx%という履歴情報を参照したりできます。

image

フォルダー46,47

MECMと共同管理を行っている場合、IntuneからMECMクライアントのログを収集できます。
遠隔からクライアントのログを収集すること自体はMECMの機能でも実現できますが、
Intuneからでも収集できますよ、というものです。

■ ■ ■

疲れてきたのでそろそろこの辺にしますが
ご覧のように色々な情報が収集できることがお分かりいただけると思います。
インベントリとして使うには使い勝手が悪いけど、トラブルシューティングにはとても有効な情報が得られますよね。