Co to są dzienniki kondycji sieci zdalnej?

Sieci zdalne, takie jak oddział, polegają na sprzęcie lokalnym klienta (CPE), aby połączyć użytkowników w tych lokalizacjach z potrzebnymi zasobami i usługami online. Użytkownicy oczekują, że CPE będzie działać, aby móc wykonywać swoją pracę. Aby zapewnić łączność ze wszystkimi użytkownikami, należy upewnić się, że kondycja tunelu IPSec i anonsu trasy protokołu BGP (Border Gateway Protocol). Te długotrwałe informacje dotyczące tunelu i routingu są kluczami do kondycji sieci zdalnej.

W tym artykule opisano kilka metod uzyskiwania dostępu do dzienników kondycji sieci zdalnej i analizowania ich.

• Uzyskiwanie dostępu do dzienników w centrum administracyjnym firmy Microsoft Entra lub interfejsie API programu Microsoft Graph
• Eksportowanie dzienników do usługi Log Analytics lub narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM)
• Analizowanie dzienników przy użyciu skoroszytu platformy Azure dla firmy Microsoft Entra
• Pobieranie dzienników dla magazynu długoterminowego

Wymagania wstępne

Aby wyświetlić dzienniki kondycji sieci zdalnej w centrum administracyjnym firmy Microsoft Entra, potrzebne są następujące elementy:

• Jedną z następujących ról: Globalny administrator bezpiecznego dostępu lub Administrator zabezpieczeń.
• Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.
• Oddzielne role są wymagane do uzyskiwania dostępu do dzienników za pomocą interfejsu API programu Microsoft Graph i integracji z usługą Log Analytics i skoroszytami platformy Azure.

Wyświetlanie dzienników

Aby wyświetlić dzienniki kondycji sieci zdalnej, możesz użyć centrum administracyjnego firmy Microsoft Entra lub interfejsu API programu Microsoft Graph.

Centrum administracyjne firmy Microsoft Entra

Aby wyświetlić dzienniki kondycji sieci zdalnej w centrum administracyjnym firmy Microsoft Entra:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej globalny administrator bezpiecznego dostępu.

2. Przejdź do obszaru Globalne dzienniki kondycji sieci zdalnej monitora>dostępu>zdalnego.

   

Interfejs API programu Microsoft Graph

Globalne dzienniki kondycji sieci zdalnej bezpiecznego dostępu można wyświetlać i zarządzać przy użyciu programu Microsoft Graph w punkcie /beta końcowym.

Aby uzyskać dostęp do dzienników przy użyciu interfejsu API programu Microsoft Graph, musisz mieć jedno z następujących uprawnień:

• Directory.ReadWrite.All
• NetworkAccess.Read.All
• NetworkAccess.ReadWrite.All
• NetworkAccess-Reports.Read.All

Aby uzyskać dostęp do dzienników kondycji sieci zdalnej za pomocą interfejsu API programu Microsoft Graph:

1. Zaloguj się do Eksploratora programu Graph.
2. Wybierz pozycję GET jako metodę HTTP.
3. Wybierz pozycję BETA jako wersję interfejsu API.
4. Uruchom poniższe zapytanie:

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

Odpowiedź (obcięta):

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

Konfigurowanie ustawień diagnostycznych w celu eksportowania dzienników

Integrowanie dzienników za pomocą narzędzia SIEM, takiego jak Log Analytics, jest konfigurowane za pomocą ustawień diagnostycznych w identyfikatorze Entra firmy Microsoft. Ten proces został szczegółowo omówiony w artykule Konfigurowanie ustawień diagnostycznych usługi Microsoft Entra dla dzienników aktywności.

Aby skonfigurować ustawienia diagnostyczne, potrzebne są następujące elementy:

• Dostęp administratora zabezpieczeń.
• Obszar roboczy usługi Log Analytics.

Podstawowe kroki konfigurowania ustawień diagnostycznych są następujące:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź do pozycji Ustawienia>diagnostyczne monitorowania tożsamości i kondycji.>

3. Wszystkie istniejące ustawienia diagnostyczne są wyświetlane w tabeli. Wybierz pozycję Edytuj ustawienia , aby zmienić istniejące ustawienie, lub wybierz pozycję Dodaj ustawienie diagnostyczne, aby utworzyć nowe ustawienie.

4. Podaj nazwę.

5. RemoteNetworkHealthLogs Wybierz (i inne dzienniki), które chcesz uwzględnić.

   

6. Wybierz miejsca docelowe, do których chcesz wysłać dzienniki.

7. Wybierz subskrypcję i miejsce docelowe z wyświetlonych menu rozwijanych.

8. Wybierz przycisk zapisywania.

Uwaga

Uruchomienie dzienników w miejscu docelowym może potrwać do trzech dni.

Po przekierowaniu dzienników do usługi Log Analytics możesz skorzystać z następujących funkcji:

• Utwórz reguły alertów, aby otrzymywać powiadomienia dotyczące takich elementów jak niepowodzenie tunelu BGP.
  • Aby uzyskać więcej informacji, zobacz Tworzenie reguły alertu.
• Wizualizowanie danych za pomocą skoroszytu platformy Azure dla firmy Microsoft Entra (omówionego w następnej sekcji).
• Integrowanie dzienników z usługą Microsoft Sentinel na potrzeby analizy zabezpieczeń i analizy zagrożeń.
  • Aby uzyskać więcej informacji, postępuj zgodnie z przewodnikiem Szybki start dołączania usługi Microsoft Sentinel .

Analizowanie dzienników za pomocą skoroszytu

Skoroszyty platformy Azure dla firmy Microsoft Entra zapewniają wizualną reprezentację danych. Po skonfigurowaniu obszaru roboczego usługi Log Analytics i ustawień diagnostycznych w celu zintegrowania dzienników z usługą Log Analytics możesz użyć skoroszytu do analizowania danych za pomocą tych zaawansowanych narzędzi.

Zapoznaj się z tymi przydatnymi zasobami dla skoroszytów:

• Tworzenie skoroszytu platformy Azure
• Jak używać skoroszytów tożsamości
• Tworzenie alertu dotyczącego skoroszytu

Pobierz dzienniki

Przycisk Pobierz jest dostępny we wszystkich dziennikach, zarówno w ramach globalnego bezpiecznego dostępu, jak i monitorowania i kondycji firmy Microsoft. Dzienniki można pobrać jako plik JSON lub CSV. Aby uzyskać więcej informacji, zobacz Jak pobrać dzienniki.

Aby zawęzić wyniki dzienników, wybierz pozycję Dodaj filtr. Możesz filtrować według:

• opis
• Identyfikator sieci zdalnej
• Źródłowy adres IP
• Docelowy adres IP
• Liczba anonsowanych tras protokołu BGP

W poniższej tabeli opisano każde z pól w dziennikach kondycji sieci zdalnej.

Nazwa/nazwisko	opis
Utworzono datę i godzinę	Czas generowania oryginalnego zdarzenia
Źródłowy adres IP	Adres IP CPE. Para źródłowych adresów IP/docelowych adresów IP jest unikatowa dla każdego tunelu IPsec.
Docelowy adres IP	Adres IP bramy firmy Microsoft Entra. Para źródłowych adresów IP/docelowych adresów IP jest unikatowa dla każdego tunelu IPsec.
Stan	Połączony tunel: to zdarzenie jest generowane po pomyślnym ustanowieniu tunelu IPsec. Rozłączony tunel: to zdarzenie jest generowane po rozłączeniu tunelu IPsec. Połączono protokół BGP: to zdarzenie jest generowane po pomyślnym ustanowieniu łączności BGP. Odłączony protokół BGP: to zdarzenie jest generowane, gdy łączność BGP ulegnie awarii. Sieć zdalna żyje: ta okresowa statystyka jest generowana co 15 minut dla wszystkich aktywnych tuneli.
opis	Opcjonalny opis zdarzenia.
Liczba anonsowanych tras protokołu BGP	Opcjonalna liczba tras protokołu BGP anonsowanych przez tunel IPsec. Ta wartość to 0 dla zdarzeń połączonych z tunelem, rozłączonych tunelów, połączonych protokołu BGP i rozłączonych protokołu BGP.
Wysłane bajty	Opcjonalna liczba bajtów wysłanych ze źródła do miejsca docelowego przez tunel w ciągu ostatnich 15 minut. Ta wartość to 0 dla zdarzeń połączonych z tunelem, rozłączonych tunelów, połączonych protokołu BGP i rozłączonych protokołu BGP.
Odebrane bajty	Opcjonalna liczba bajtów odebranych przez źródło z miejsca docelowego przez tunel w ciągu ostatnich 15 minut. Ta wartość to 0 dla zdarzeń połączonych z tunelem, rozłączonych tunelów, połączonych protokołu BGP i rozłączonych protokołu BGP.
Identyfikator sieci zdalnej	Identyfikator sieci zdalnej, z z która jest skojarzona tunel.

Następne kroki

• Włączanie wzbogaconych dzienników platformy Microsoft 365
• Eksplorowanie dzienników ruchu globalnego bezpiecznego dostępu (wersja zapoznawcza)