Что такое журналы работоспособности удаленной сети?

Удаленные сети, такие как филиал, полагаются на клиентское локальное оборудование (CPE) для подключения пользователей в этих расположениях к интернет-ресурсам и службам, которые им нужны. Пользователи ожидают, что CPE будет функционировать, чтобы они могли выполнять свою работу. Чтобы обеспечить подключение всех пользователей, необходимо обеспечить работоспособность туннеля IPSec и объявления маршрута протокола BGP. Это длительный туннель и сведения о маршрутизации являются ключами к работоспособности удаленной сети.

В этой статье описывается несколько методов доступа и анализа журналов работоспособности удаленной сети.

• Доступ к журналам в Центре администрирования Microsoft Entra или API Microsoft Graph
• Экспорт журналов в Log Analytics или средство управления сведениями и событиями безопасности (SIEM)
• Анализ журналов с помощью книги Azure для Microsoft Entra
• Скачивание журналов для долгосрочного хранения

Необходимые компоненты

Чтобы просмотреть журналы работоспособности удаленной сети в Центре администрирования Microsoft Entra, вам потребуется:

• Одна из следующих ролей: глобальный администратор безопасного доступа или администратор безопасности.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
• Отдельные роли необходимы для доступа к журналам с помощью API Microsoft Graph и интеграции с Log Analytics и книг Azure.

Просмотр журналов

Чтобы просмотреть журналы работоспособности удаленной сети, можно использовать центр администрирования Microsoft Entra или API Microsoft Graph.

Центр администрирования Microsoft Entra

Чтобы просмотреть журналы работоспособности удаленной сети в Центре администрирования Microsoft Entra, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум глобальный администратор безопасного доступа.

2. Перейдите к журналам работоспособности удаленной сети глобального монитора>безопасного доступа.>

   

API Microsoft Graph

Журналы работоспособности удаленной сети глобального безопасного доступа можно просматривать и управлять ими с помощью Microsoft Graph в конечной точке /beta .

Для доступа к журналам с помощью API Microsoft Graph требуется одно из следующих разрешений:

• Directory.ReadWrite.All
• NetworkAccess.Read.All
• NetworkAccess.ReadWrite.All
• NetworkAccess-Reports.Read.All

Чтобы получить доступ к журналам работоспособности удаленной сети с помощью API Microsoft Graph, выполните следующие действия.

1. Войдите в обозреватель Graph.
2. Выберите GET в качестве метода HTTP.
3. Выберите бета-версию API.
4. Выполните приведенный ниже запрос:

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

Ответ (усеченный):

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

Настройка параметров диагностики для экспорта журналов

Интеграция журналов с средством SIEM, например Log Analytics, настраивается с помощью параметров диагностики в идентификаторе Microsoft Entra. Этот процесс подробно описан в статье "Настройка параметров диагностики Microsoft Entra" для журналов действий.

Чтобы настроить параметры диагностики, вам потребуется:

• Доступ администратора безопасности.
• Рабочая область Log Analytics.

Ниже приведены основные шаги по настройке параметров диагностики.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

2. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>.

3. Все существующие параметры диагностики отображаются в таблице. Выберите параметры редактирования, чтобы изменить существующий параметр, или нажмите кнопку "Добавить параметр диагностики", чтобы создать новый параметр.

4. Введите имя.

5. Выберите нужные RemoteNetworkHealthLogs журналы (и другие журналы).

   

6. Выберите назначения, в которые нужно отправить журналы.

7. Выберите подписку и назначение из раскрывающихся меню.

8. Выберите кнопку Сохранить.

Примечание.

Для начала отображения журналов в целевом месте может потребоваться до трех дней.

После маршрутизации журналов в Log Analytics вы можете воспользоваться следующими функциями:

• Создайте правила генерации оповещений, чтобы получать уведомления о сбоях, таких как сбой туннеля BGP.
  • Дополнительные сведения см. в разделе "Создание правила генерации оповещений".
• Визуализировать данные с помощью книги Azure для Microsoft Entra (описано в следующем разделе).
• Интеграция журналов с Microsoft Sentinel для аналитики безопасности и аналитики угроз.
  • Дополнительные сведения см. в кратком руководстве по подключению Microsoft Sentinel .

Анализ журналов с помощью книги

Книги Azure для Microsoft Entra предоставляют визуальное представление данных. После настройки рабочей области Log Analytics и параметров диагностики для интеграции журналов с Log Analytics можно использовать книгу для анализа данных с помощью этих мощных средств.

Ознакомьтесь с этими полезными ресурсами для книг:

• Создание книги Azure
• Использование книг удостоверений
• Создание оповещения книги

Скачать журналы

Кнопка "Скачать" доступна во всех журналах как в глобальном безопасном доступе, так и в мониторинге и работоспособности Microsoft Entra. Журналы можно скачать в формате JSON или CSV-файла. Дополнительные сведения см. в разделе "Как скачать журналы".

Чтобы сузить результаты журналов, нажмите кнопку "Добавить фильтр". Вы можете выполнять фильтрацию по следующим параметрам:

• Description
• Идентификатор удаленной сети
• Исходный IP-адрес
• IP-адрес назначения
• Число объявленных маршрутов BGP

В следующей таблице описаны все поля в журналах работоспособности удаленной сети.

Имя	Описание
Время создания даты	Время создания исходного события
Исходный IP-адрес	IP-адрес CPE. Пара IP-адресов исходного IP-адреса и назначения уникальна для каждого туннеля IPsec.
IP-адрес назначения	IP-адрес шлюза Microsoft Entra. Пара IP-адресов исходного IP-адреса и назначения уникальна для каждого туннеля IPsec.
Состояние	Туннель подключен: это событие создается при успешном установке туннеля IPsec. Туннель отключен: это событие создается при отключении туннеля IPsec. Подключение BGP: это событие создается при успешном установке подключения BGP. BGP отключен: это событие создается при отключении подключения BGP. Удаленная сеть жива: эта периодическая статистика создается каждые 15 минут для всех активных туннелей.
Description	Необязательное описание события.
Число объявленных маршрутов BGP	Необязательное количество маршрутов BGP, объявленных через туннель IPsec. Это значение равно 0 для подключенных туннелей, отключенных туннелей, подключения BGP и отключенных событий BGP.
Отправленные байты	Необязательное количество байтов, отправленных из источника в место назначения через туннель за последние 15 минут. Это значение равно 0 для подключенных туннелей, отключенных туннелей, подключения BGP и отключенных событий BGP.
Полученные байты	Необязательное количество байтов, полученных источником из назначения через туннель за последние 15 минут. Это значение равно 0 для подключенных туннелей, отключенных туннелей, подключения BGP и отключенных событий BGP.
Идентификатор удаленной сети	Идентификатор удаленной сети, с которым связан туннель.

Следующие шаги

• Включение обогащенных журналов Microsoft 365
• Изучение журналов трафика глобального безопасного доступа (предварительная версия)