リモート ネットワークの正常性ログとは

ブランチ オフィスなどのリモート ネットワークのユーザーは、顧客のオンプレミス機器 (CPE) を使って、必要なオンライン リソースとサービスに接続されます。 ユーザーは、作業を実行できるように CPE が機能することを期待しています。 全員の接続を維持するには、IPSec トンネルと Border Gateway Protocol (BGP) ルート アドバタイズの正常性を確保する必要があります。 この実行時間の長いトンネルとルーティング情報は、リモート ネットワークの正常性の鍵となるものです。

この記事では、リモート ネットワーク正常性ログにアクセスして分析するためのいくつかの方法について説明します。

• Microsoft Entra 管理センターまたは Microsoft Graph API でログにアクセスする
• Log Analytics またはセキュリティ情報イベント管理 (SIEM) ツールにログをエクスポートする
• Microsoft Entra 用の Azure ブックを使ってログを分析する
• 長期保存用のログをダウンロードする

前提条件

Microsoft Entra 管理センターでリモート ネットワークの正常性ログを表示するには、次のものが必要です。

• 次のいずれかのロール: グローバル セキュア アクセス管理者またはセキュリティ管理者。
• この製品にはライセンスが必要です。 詳細については、「Global Secure Access とは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。
• Microsoft Graph API でのログへのアクセスと、Log Analytics および Azure ブックとの統合には、個別のロールが必要です。

ログを表示する

リモート ネットワークの正常性ログを表示するには、Microsoft Entra 管理センターまたは Microsoft Graph API のいずれかを使用できます。

Microsoft Entra 管理センター

Microsoft Entra 管理センターでリモート ネットワークの正常性ログを表示するには:

1. 少なくともグローバル セキュア アクセス管理者として、Microsoft Entra 管理センターにサインインします。

2. [グローバル セキュア アクセス]>[監視]>[リモート ネットワークの正常性ログ] に移動します。

   

Microsoft Graph API

Global Secure Access リモート ネットワークの正常性ログは、/beta エンドポイント上で Microsoft Graph を使用して表示および管理できます。

Microsoft Graph API でログにアクセスするには、次のいずれかのアクセス許可が必要です。

• Directory.ReadWrite.All
• NetworkAccess.Read.All
• NetworkAccess.ReadWrite.All
• NetworkAccess-Reports.Read.All

Microsoft Graph API でリモート ネットワークの正常性ログにアクセスするには:

1. グラフ エクスプローラーにサインインします
2. HTTP メソッドとして [GET] を選択します。
3. API バージョンとして [BETA] を選択します。
4. 次のクエリを実行します。

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

応答 (切り詰められています):

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

ログをエクスポートするように診断設定を構成する

ログと Log Analytics などの SIEM ツールの統合は、Microsoft Entra ID の診断設定を通じて構成します。 このプロセスについて詳しくは、記事「アクティビティ ログについて Microsoft Entra 診断設定を構成する」をご覧ください。

診断設定を構成するには、以下が必要です。

• セキュリティ管理者のアクセス権。
• Log Analytics ワークスペース。

診断設定を構成するための基本的な手順は次のとおりです。

1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

2. [Identity] (ID)>[監視と正常性]>[診断設定] の順に移動します。

3. 既存の診断設定がテーブルに表示されます。 [設定の編集] して既存の設定を変更するか、[診断設定の追加] を選択して新しい設定を追加します。

4. 名前を指定します。

5. 含める RemoteNetworkHealthLogs (およびその他のログ) を選びます。

   

6. ログの宛先を選択します。

7. 表示されるドロップダウン メニューからサブスクリプションと宛先を選択します。

8. 保存ボタンを選択します。

Note

送信先でログが表示され始めるまで、最大で 3 日かかる場合があります。

ログが Log Analytics にルーティングされたら、次の機能を利用できます。

• BGP トンネル エラーなどの通知を受け取るアラート ルールを作成します。
  • 詳しくは、アラート ルールの作成に関する記事をご覧ください。
• Microsoft Entra 用の Azure ブックを使ってデータを視覚化します (次のセクションで説明します)。
• セキュリティ分析と脅威インテリジェンスのため、ログと Microsoft Sentinel を統合します。
  • 詳しくは、「クイック スタート: Microsoft Sentinel をオンボードする」をご覧ください。

ブックを使用してログを分析する

Microsoft Entra 用の Azure ブックでは、データの視覚的な表現が提供されます。 Log Analytics ワークスペースと診断設定を構成してログと Log Analytics を統合したら、ブックを使い、これらの強力なツールを利用してデータを分析できます。

ブックに関する以下の役立つリソースを確認してください。

• Azure ブックを作成する
• ID ブックの使用方法
• ブック アラートを作成する

ログのダウンロード

グローバル セキュア アクセスと Microsoft Entra 監視と正常性の両方のすべてのログで、[ダウンロード] ボタンを使用できます。 ログは JSON または CSV ファイルとしてダウンロードできます。 詳細については、ログのダウンロード方法に関するページを参照してください。

ログの結果を絞り込むには、[フィルターを追加する] を選択します。 次の項目を使用してフィルター処理できます。

• 説明
• リモート ネットワーク ID
• 発信元 IP
• 宛先 IP
• アドバタイズされた BGP ルートの数

次の表では、リモート ネットワークの正常性ログの各フィールドについて説明します。

名前	説明
作成日時	元のイベントの生成時刻
送信元 IP アドレス	CPE の IP アドレス。 ソース IP/宛先 IP アドレスのペアは、IPsec トンネルごとに一意です。
送信先 IP アドレス	Microsoft Entra ゲートウェイの IP アドレス。 ソース IP/宛先 IP アドレスのペアは、IPsec トンネルごとに一意です。
状態	トンネルが接続されました: このイベントは、IPsec トンネルが正常に確立されると生成されます。 トンネルが切断されました: このイベントは、IPsec トンネルが切断されると生成されます。 BGP が接続されました: このイベントは、BGP 接続が正常に確立されると生成されます。 BGP が切断されました: このイベントは、BGP 接続がダウンすると生成されます。 リモート ネットワークが動作中: この定期的な統計情報は、すべてのアクティブなトンネルに対して 15 分ごとに生成されます。
説明	イベントの説明 (省略可能)。
アドバタイズされた BGP ルートの数	IPsec トンネル経由でアドバタイズされた BGP ルートの数 (省略可能)。 この値は、トンネル接続イベント、トンネル切断イベント、BGP 接続イベント、BGP 切断イベントの場合は 0 です。
送信バイト	過去 15 分間にトンネル経由でソースから宛先に送信されたバイト数 (省略可能)。 この値は、トンネル接続イベント、トンネル切断イベント、BGP 接続イベント、BGP 切断イベントの場合は 0 です。
受信バイト	過去 15 分間にトンネル経由でソースによって受信した宛先からのバイト数 (省略可能)。 この値は、トンネル接続イベント、トンネル切断イベント、BGP 接続イベント、BGP 切断イベントの場合は 0 です。
リモート ネットワーク ID	トンネルが関連付けられているリモート ネットワークの ID。

次のステップ

• エンリッチされた Microsoft 365 ログを有効にする
• グローバル セキュア アクセスのトラフィック ログを調べる (プレビュー)