Использование журналов трафика глобального безопасного доступа (предварительная версия)

Мониторинг трафика для глобального безопасного доступа является важным действием для обеспечения правильной настройки вашего клиента и того, что ваши пользователи получают лучший интерфейс. Журналы трафика глобального безопасного доступа (предварительная версия) предоставляют сведения о том, кто обращается к ресурсам, откуда они обращаются, и какие действия произошли.

В этой статье описывается, как использовать журналы трафика для глобального безопасного доступа.

Необходимые компоненты

• Роль глобального администратора безопасного доступа в идентификаторе Microsoft Entra.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Как работают журналы трафика

Журналы глобального безопасного доступа предоставляют сведения о сетевом трафике. Чтобы лучше понять эти сведения и как можно проанализировать эти сведения для мониторинга среды, полезно ознакомиться с тремя уровнями журналов и их отношениями друг с другом.

Пользователь, обращаюющийся к веб-сайту, представляет один сеанс, и в этом сеансе может быть несколько подключений, и в этом соединении может быть несколько транзакций.

• Сеанс: сеанс определяется первым URL-адресом, к которым обращается пользователь. Затем этот сеанс может открыть множество подключений, например новостной сайт, содержащий несколько объявлений с нескольких разных сайтов.
• Подключение: подключение включает исходный и целевой IP-адрес, порт источника и назначения и полное доменное имя (FQDN). Компоненты подключения состоят из 5 кортежей.
• Транзакция: транзакция — это уникальная пара запросов и ответов.

В каждом экземпляре журнала можно просмотреть идентификатор подключения и идентификатор транзакции в подробных сведениях. С помощью фильтров можно просмотреть все подключения и транзакции для одного сеанса.

Просмотр журналов трафика

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
2. Журналы трафика глобального мониторинга>безопасного доступа>.

В верхней части страницы отображается сводка всех транзакций, а также разбивка по каждому типу трафика. Выберите кнопки доступа Microsoft 365 или Private, чтобы отфильтровать журналы по каждому типу трафика.

Примечание.

В настоящее время сведения об идентификаторе сеанса недоступны в сведениях журнала.

Просмотр сведений о журнале

Выберите любой журнал из списка, чтобы просмотреть сведения. Эти сведения предоставляют ценные сведения, которые можно использовать для фильтрации журналов для конкретных сведений или устранения неполадок в сценарии. Сведения можно добавить в качестве столбца и использовать для фильтрации журналов.

Параметры фильтра и столбца

Журналы трафика могут содержать множество сведений, поэтому для запуска отображаются только некоторые столбцы. Включите и отключите столбцы на основе выполняемых задач анализа или устранения неполадок, так как журналы могут быть трудными для просмотра с слишком большим количеством выбранных столбцов. Параметры столбца и фильтра соответствуют каждому элементу в сведениях о действии.

Выберите столбцы в верхней части страницы , чтобы изменить отображаемые столбцы.

Чтобы отфильтровать журналы трафика до определенной детали, нажмите кнопку "Добавить фильтр ", а затем введите сведения, которые нужно отфильтровать.

Например, если вы хотите просмотреть все журналы из определенного подключения:

1. Выберите сведения о журнале и скопируйте connectionId данные из сведений о действии.

2. Выберите "Добавить фильтр" и выберите "Идентификатор подключения".

3. В появившемся поле вставьте connectionId и нажмите кнопку "Применить".

   

Сценарии устранения неисправностей

Следующие сведения могут быть полезны для устранения неполадок и анализа.

• Если вы заинтересованы в размере отправленного и полученного трафика, включите столбцы "Отправленные байты " и "Полученные байты ". Выберите заголовок столбца, чтобы отсортировать журналы по размеру журналов.
• Если вы просматриваете сетевое действие для рискованного пользователя, вы можете отфильтровать результаты по имени участника-пользователя, а затем просмотреть сайты, к которым они обращаются.
• Чтобы найти трафик к типам веб-сайтов, которые требуется заблокировать или разрешить, включите столбец категории Веб.

Сведения о журнале содержат ценные сведения о сетевом трафике. Не все сведения определены в списке ниже, но следующие сведения полезны для устранения неполадок и анализа:

• Идентификатор транзакции: уникальный идентификатор, представляющий пару запросов и ответа.
• Идентификатор подключения: уникальный идентификатор, представляющий соединение, инициируемое журналом.
• Категория устройства: тип устройства, из которого инициируется транзакция. Клиент или удаленная сеть.
• Действие: действие, выполняемое в сетевом сеансе. Разрешено или запрещено.

Настройка параметров диагностики для экспорта журналов

Журналы трафика глобального безопасного доступа (предварительная версия) можно экспортировать в конечную точку для дальнейшего анализа и оповещения. Эта интеграция настроена в параметрах диагностики Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

2. Перейдите к параметрам диагностики мониторинга удостоверений и работоспособности>>.

3. Выберите " Добавить параметр диагностики".

4. Присвойте параметру диагностики имя.

5. Выберите NetworkAccessTrafficLogs.

6. Выберите сведения о назначении для отправки журналов. Выберите любое или все из следующих назначений. Отображаются дополнительные поля в зависимости от выбранного значения.

   • Отправка в рабочую область Log Analytics: выберите соответствующие сведения из отображаемых меню.
   • Архив в учетную запись хранения: укажите количество дней, которые вы хотите сохранить в полях "Дни хранения", которые отображаются рядом с категориями журналов. Выберите соответствующие сведения из отображаемых меню.
   • Потоковая передача в концентратор событий: выберите соответствующие сведения из отображаемых меню.
   • Отправить в партнерское решение: выберите соответствующие сведения из отображаемых меню.

Следующие шаги

• Сведения о панели мониторинга трафика
• Просмотр журналов аудита для глобального безопасного доступа
• Просмотр обогащенных журналов Microsoft 365