什么是远程网络运行状况日志？

项目
07/12/2024

分支机构等远程网络依赖于使用客户本地设备 (CPE) 将这些位置的用户连接到他们所需的联机资源和服务。用户希望 CPE 正常运行，以便能够完成自己的工作。要使所有人保持连接，需要确保 IPSec 隧道和边界网关协议 (BGP) 路由播发正常运行。此长时间运行的隧道和路由信息是远程网络运行状况的关键所在。

本文介绍了访问和分析远程网络运行状况日志的几种方法。

使用 Microsoft Entra 管理中心或 Microsoft Graph API 访问日志
将日志导出到 Log Analytics 或安全信息和事件管理 (SIEM) 工具
使用 Microsoft Entra 的 Azure 工作簿来分析日志
下载日志以进行长期存储

先决条件

若要在 Microsoft Entra 管理中心中查看远程网络运行状况日志，需要：

以下角色之一：全球安全访问管理员或安全管理员。
产品需要经过许可。有关详细信息，请参阅什么是全球安全访问的许可部分。如果需要，可以购买许可证或获取试用许可证。
如需使用 Microsoft Graph API 访问日志并将其与 Log Analytics 和 Azure 工作簿集成，则需要单独的角色。

查看日志

若要查看远程网络运行状况日志，可以使用 Microsoft Entra 管理中心或 Microsoft Graph API。

Microsoft Entra 管理中心
Microsoft 图形 API

若要在 Microsoft Entra 管理中心查看远程网络运行状况日志，请执行以下操作：

至少以全球安全访问管理员的身份登录到 Microsoft Entra 管理中心。
浏览到“全球安全访问”>“监视”>“远程网络运行状况日志”。

可以在 /beta 终结点上使用 Microsoft Graph 查看和管理全局安全访问远程网络运行状况日志。

需要具有以下权限之一才能使用 Microsoft Graph API 访问日志：

Directory.ReadWrite.All
NetworkAccess.Read.All
NetworkAccess.ReadWrite.All
NetworkAccess-Reports.Read.All

若要使用 Microsoft Graph API 访问远程网络运行状况日志，请执行以下操作：

登录到图形资源管理器。
选择“GET”作为 HTTP 方法。
选择“BETA”作为 API 版本。
运行以下查询：

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

响应（已截断）：

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

配置诊断设置以导出日志

如需使用 SIEM 工具（如 Log Analytics）集成日志，则需通过 Microsoft Entra ID 中的诊断设置进行配置。为活动日志配置 Microsoft Entra 诊断设置一文中详细介绍了此过程。

配置诊断设置需要：

安全管理员访问权限。
Log Analytics 工作区。

配置诊断设置的基本步骤如下所示：

至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“监视和运行状况”>“诊断设置”。
所有现有诊断设置都显示在表中。请选择“编辑设置”以更改现有设置，或选择“添加诊断设置”以创建新设置。
提供一个名称。
选择要包含的 RemoteNetworkHealthLogs（以及任何其他日志）。
选择要将日志发送到的目标。
从显示的下拉菜单中选择订阅和目标。
选择保存按钮。

注意

最长可能需要三天时间，日志才会开始显示在目标中。

将日志路由到 Log Analytics 后，你可以利用以下功能：

创建警报规则以获取有关 BGP 隧道故障等情况的通知。
- 有关详细信息，请参阅创建警报规则。
使用 Microsoft Entra 的 Azure 工作簿直观显示数据（将在下一部分中介绍）。
将日志与 Microsoft Sentinel 集成，以提供安全分析和威胁情报。
- 有关详细信息，请参阅加入 Microsoft Sentinel 快速入门。

使用工作簿分析日志

Microsoft Entra 的 Azure 工作簿可提供数据的可视化表示形式。配置 Log Analytics 工作区和诊断设置以将日志与 Log Analytics 集成后，可以使用工作簿通过这些强大的工具来分析数据。

你可以查看以下有用的工作簿资源：

下载日志

无论是在全球安全访问中，还是在 Microsoft Entra 监视和运行状况中，所有日志上都提供有“下载”按钮。可以将日志下载为 JSON 或 CSV 文件。有关详细信息，请参阅如何下载日志。

若要缩小日志结果的范围，请选择“添加筛选器”。可根据以下项进行筛选：

说明
远程网络 ID
源 IP
目标 IP
BGP 路由播发计数

下表描述了远程网络运行状况日志中的每个字段。

名称	描述
创建日期和时间	原始事件生成时间
源 IP 地址	CPE 的 IP 地址。源 IP/目标 IP 地址对对于每个 IPsec 隧道是唯一的。
目标 IP 地址	Microsoft Entra 网关的 IP 地址。源 IP/目标 IP 地址对对于每个 IPsec 隧道是唯一的。
Status	隧道已连接：将在成功建立 IPsec 隧道时生成此事件。隧道已断开连接：将在断开 IPsec 隧道时生成此事件。 BGP 已连接：将在成功建立 BGP 连接时生成此事件。 BGP 已断开连接：将在 BGP 连接断开时生成此事件。远程网络处于活动状态：将每 15 分钟针对所有活动隧道生成一次该定期统计信息。
说明	事件的说明（可选）。
BDP 路由播发计数	通过 IPsec 隧道播发的 BGP 路由的计数（可选）。对于“隧道已连接”、“隧道已断开连接”、“BGP 已连接”和“BGP 已断开连接”事件，此值为 0。
发送的字节数	在过去 15 分钟从源发送到目标的字节数（可选）。对于“隧道已连接”、“隧道已断开连接”、“BGP 已连接”和“BGP 已断开连接”事件，此值为 0。
接收的字节数	在过去 15 分钟，源从目标接收的字节数（可选）。对于“隧道已连接”、“隧道已断开连接”、“BGP 已连接”和“BGP 已断开连接”事件，此值为 0。
远程网络 ID	与隧道关联的远程网络的 ID。

通过