Использование журналов трафика глобального безопасного доступа (предварительная версия)

Мониторинг трафика для глобального безопасного доступа является важным действием для обеспечения правильной настройки вашего клиента и того, что ваши пользователи получают лучший интерфейс. Журналы трафика глобального безопасного доступа (предварительная версия) предоставляют сведения о том, кто обращается к ресурсам, откуда они обращаются, и какие действия произошли.

В этой статье описывается, как использовать журналы трафика для глобального безопасного доступа.

Предварительные условия

• Роль глобального администратора безопасного доступа в идентификаторе Microsoft Entra.
• Роль Global Secure Access Log Reader в Microsoft Entra ID.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Как работают журналы трафика

Журналы глобального безопасного доступа предоставляют сведения о сетевом трафике. Чтобы лучше понять эти сведения и как можно проанализировать эти сведения для мониторинга среды, полезно ознакомиться с тремя уровнями журналов и их отношениями друг с другом.

Пользователь, обращающийся к веб-сайту, представляет один сеанс, и в этом сеансе может быть несколько подключений, и в каждом из этих подключений может быть несколько транзакций.

• Сеанс: сеанс определяется первым URL-адресом, к которым обращается пользователь. Затем этот сеанс может открыть множество подключений, например новостной сайт, содержащий несколько объявлений с нескольких разных сайтов.
• Подключение: подключение включает исходный и целевой IP-адрес, порт источника и назначения и полное доменное имя (FQDN). Компоненты подключения состоят из 5 кортежей.
• Транзакция: транзакция — это уникальная пара запросов и ответов.

В каждом экземпляре журнала можно просмотреть идентификатор подключения и идентификатор транзакции в подробных сведениях. С помощью фильтров можно просмотреть все подключения и транзакции для одного сеанса.

Просмотр журналов трафика

1. Войдите в Центр администрирования Microsoft Entra как минимум как Пользователь с правами чтения отчетов.
2. Глобальный безопасный доступ>Мониторинг>Журналы трафика.

В верхней части страницы отображается сводка всех транзакций, а также разбивка по каждому типу трафика. Выберите кнопки доступа Microsoft 365 или Private, чтобы отфильтровать журналы по каждому типу трафика.

Примечание.

В настоящее время сведения об идентификаторе сеанса недоступны в сведениях журнала.

Просмотр сведений о журнале

Выберите любой журнал из списка, чтобы просмотреть сведения. Эти сведения предоставляют ценные сведения, которые можно использовать для фильтрации журналов для конкретных сведений или устранения неполадок в сценарии. Сведения можно добавить в качестве столбца и использовать для фильтрации журналов.

Параметры фильтра и столбца

Журналы трафика могут содержать множество сведений, поэтому для запуска отображаются только некоторые столбцы. Включите и отключите столбцы на основе выполняемых задач анализа или устранения неполадок, так как журналы могут быть трудными для просмотра с слишком большим количеством выбранных столбцов. Параметры столбца и фильтра соответствуют каждому элементу в сведениях о действии.

Выберите столбцы в верхней части страницы , чтобы изменить отображаемые столбцы.

Чтобы отфильтровать журналы трафика до определенной детали, нажмите кнопку "Добавить фильтр ", а затем введите сведения, которые нужно отфильтровать.

Например, если вы хотите просмотреть все журналы из определенного подключения:

1. Выберите сведения о журнале и скопируйте connectionId данные из подробностей действия.

2. Выберите "Добавить фильтр" и выберите "Идентификатор подключения".

3. В появившемся поле вставьте connectionId и нажмите кнопку "Применить".

   

Сценарии устранения неисправностей

Следующие сведения могут быть полезны для устранения неполадок и анализа.

• Если вы заинтересованы в размере отправленного и полученного трафика, включите столбцы "Отправленные байты " и "Полученные байты ". Выберите заголовок столбца, чтобы отсортировать лог-файлы по их размеру.
• Если вы просматриваете сетевое действие для рискованного пользователя, вы можете отфильтровать результаты по имени участника-пользователя, а затем просмотреть сайты, к которым они обращаются.
• Чтобы найти трафик на типы веб-сайтов, доступ к которым требуется заблокировать или разрешить, включите столбец категории веб-сайта .

Сведения о журнале содержат ценные сведения о сетевом трафике. Не все сведения определены в списке ниже, но следующие сведения полезны для устранения неполадок и анализа:

• Идентификатор транзакции: уникальный идентификатор, представляющий пару запросов и ответа.
• Идентификатор соединения: уникальный идентификатор, представляющий соединение, инициировавшее журнал.
• Категория устройства: тип устройства, из которого инициируется транзакция. Клиент или удаленная сеть.
• Действие: действие, выполняемое в сетевом сеансе. Разрешено или запрещено.

Настройка параметров диагностики для экспорта журналов

Журналы трафика глобального безопасного доступа (предварительная версия) можно экспортировать в конечную точку для дальнейшего анализа и оповещения. Эта интеграция настроена в параметрах диагностики Microsoft Entra.

1. Войдите в центр администрирования Microsoft Entra как минимум Администратор безопасности.

2. Перейдите к Удостоверение>Мониторинг и работоспособность>Параметры диагностики.

3. Выберите Добавить параметр диагностики.

4. Присвойте параметру диагностики имя.

5. Выберите NetworkAccessTrafficLogs.

6. Выберите детали назначения для места, куда вы хотите отправить журналы. Выберите любое или все из следующих направлений. Отображаются дополнительные поля в зависимости от выбранного значения.

   • Отправка в рабочую область Log Analytics: выберите соответствующие сведения из отображаемых меню.
   • Архив в учетную запись хранения: укажите количество дней, которые вы хотите сохранить в полях "Дни хранения", которые отображаются рядом с категориями журналов. Выберите соответствующие сведения из отображаемых меню.
   • Потоковая передача в концентратор событий: выберите соответствующие сведения из отображаемых меню.
   • Отправить в партнерское решение: выберите соответствующие сведения из отображаемых меню.

Следующие шаги

• Сведения о панели мониторинга трафика
• Просмотрите журналы аудита платформы Global Secure Access
• Просмотр обогащенных журналов Microsoft 365