次の方法で共有

グローバル セキュア アクセスのトラフィック ログ (プレビュー) を使用する方法

  • [アーティクル]

グローバル セキュア アクセスのトラフィックの監視は、テナントが正しく構成されていることを確かめ、ユーザーが可能な限り最高のエクスペリエンスを得られるようにするための、重要なアクティビティです。 グローバル セキュア アクセスのトラフィック ログ (プレビュー) では、誰がどのリソースにアクセスしているか、どこからアクセスしているか、どのようなアクションを実行したかについての、分析情報が提供されます。

この記事では、グローバル セキュア アクセスのトラフィック ログを使用する方法について説明します。

前提条件

トラフィック ログのしくみ

グローバル セキュア アクセスのログでは、ネットワーク トラフィックの詳細が提供されます。 それらの詳細およびそれを分析して環境を監視する方法を理解するには、ログの 3 つのレベルとそれらの相互関係を調べると役に立ちます。

Web サイトにアクセスするユーザーは 1 つの "セッション" を表し、そのセッション内には複数の "接続" が存在する場合があり、その接続内には複数の "トランザクション" が存在する可能性があります。

  • セッション: セッションは、ユーザーがアクセスする最初の URL によって識別されます。 さらにそのセッションから、複数の異なるサイトの複数の広告を含むニュース サイトなど、多くの接続が開かれる可能性があります。
  • 接続: 接続には、接続元と接続先の IP アドレス、接続元と接続先のポート、完全修飾ドメイン名 (FQDN) が含まれます。 接続コンポーネントは、この 5 つのタプルで構成されます。
  • トランザクション: トランザクションは要求と応答の一意のペアです。

各ログ インスタンス内の詳細では、接続 ID とトランザクション ID を確認できます。 フィルターを使うことで、1 つのセッションのすべての接続とトランザクションを確認できます。

トラフィック ログを表示する方法

  1. Microsoft Entra 管理センターレポート閲覧者以上でサインインしてください。
  2. [グローバル セキュア アクセス]>[監視]>[トラフィック ログ]

ページの上部には、すべてのトランザクションの概要と、トラフィックの種類ごとの詳細が表示されます。 各トラフィックの種類でログをフィルター処理するには、[Microsoft 365] または [プライベート アクセス] ボタンを選びます。

Note

現時点では、セッション ID 情報はログの詳細では使用できません。

ログの詳細を表示する

一覧から任意のログを選んで、詳細を表示します。 これらの詳細では、ログで特定の詳細をフィルター処理したり、シナリオのトラブルシューティングを行ったりするために使用できる、重要な情報が提供されます。 詳細を列として追加し、ログのフィルター処理に使用できます。

トラフィック ログのアクティビティの詳細のスクリーンショット。

フィルターと列のオプション

トラフィック ログは多くの詳細を提供できるため、最初は一部の列のみが表示されます。 列を選びすぎるとログが見づらくなるので、実行している分析またはトラブルシューティングのタスクに基づいて、列を有効または無効にします。 列とフィルターのオプションは、アクティビティの詳細の各項目と一致します。

表示される列を変更するには、ページの上部にある [列] を選びます。

トラフィック ログを特定の詳細にフィルター処理するには、[フィルターの追加] ボタンを選んでから、フィルター処理する詳細を入力します。

たとえば、特定の接続のすべてのログを調べる場合は、次のようにします。

  1. ログの詳細を選び、アクティビティの詳細から connectionId をコピーします。

  2. [フィルターの追加] を選んで、[接続 ID] を選びます。

  3. 表示されるフィールドに connectionId を貼り付けて、[適用] を選びます。

    トラフィック ログのフィルターのスクリーンショット。

トラブルシューティングのシナリオ

トラブルシューティングと分析には、次の詳細が役立つ場合があります。

  • 送受信されるトラフィックのサイズに関心がある場合は、[送信バイト] 列と [受信バイト] 列を有効にします。 ログのサイズでログを並べ替えるには、列のヘッダーを選びます。
  • 危険なユーザーのネットワーク アクティビティを確認する場合は、ユーザー プリンシパル名で結果をフィルター処理してから、アクセスしているサイトを確認できます。
  • ブロックまたは許可する Web サイトの種類へのトラフィックを検索するには、[Web カテゴリ] 列を有効にします。

ログの詳細では、ネットワーク トラフィックに関する重要な情報が提供されます。 次の一覧はすべての詳細を定義したものではありませんが、トラブルシューティングと分析には役立ちます。

  • トランザクション ID: 要求と応答のペアを表す一意の識別子。
  • 接続 ID: ログを開始した接続を表す一意の識別子。
  • デバイス カテゴリ: トランザクションが開始されたデバイスの種類。 クライアントまたはリモート ネットワーク
  • アクション: ネットワーク セッションで実行されたアクション。 許可または拒否

ログをエクスポートするように診断設定を構成する

グローバル セキュア アクセスのトラフィック ログ (プレビュー) は、詳細な分析とアラートのためにエンドポイントにエクスポートできます。 この統合は、Microsoft Entra の診断設定で構成します。

  1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [Identity] (ID)>[監視と正常性]>[診断設定] の順に移動します。

  3. [診断設定を追加する] を選びます。

  4. 診断設定に名前を付けます。

  5. [NetworkAccessTrafficLogs] を選択します。

  6. ログを送信する場所の [宛先の詳細] を選びます。 次の宛先のいずれかまたはすべてを選びます。 選択内容に応じて、追加のフィールドが表示されます。

    • [Log Analytics ワークスペースへの送信]: 表示されるメニューから適切な詳細を選びます。
    • [ストレージ アカウントへのアーカイブ]: ログ カテゴリの横に表示される [リテンション期間 (日数)] ボックスで、データを保持する日数 を指定します。 表示されるメニューから適切な詳細を選びます。
    • [イベント ハブへのストリーム]: 表示されるメニューから適切な詳細を選びます。
    • [Send to partner solution] (パートナー ソリューションへの送信): 表示されるメニューから適切な詳細を選びます。

次のステップ