如何使用全域安全存取流量記錄 （預覽）

監視全域安全存取的流量是確保租用戶正確設定的重要活動，而且您的用戶獲得最佳的體驗。 全域安全存取流量記錄 （預覽） 可讓您深入瞭解誰正在存取哪些資源、從何處存取資源，以及採取哪些動作。

本文說明如何針對全球安全存取使用流量記錄。

必要條件

• Microsoft Entra ID 中的全球安全存取管理員角色。
• 產品需要授權。 如需詳細資訊，請參閱什麼是全球安全存取的授權一節。 如有需要，您可以購買授權或取得試用版授權。

流量記錄的運作方式

全球安全存取記錄會提供網路流量的詳細資料。 若要進一步了解這些詳細資料，以及如何分析那些詳細資料來監視您的環境，查看三個層級的記錄以及其與彼此的關係會很有幫助。

存取網站的使用者代表一個「工作階段」，而在該工作階段內可能會有多個「連線」，而且在該連線內可能會有多個「交易」。

• 工作階段：工作階段是由使用者存取的第一個 URL 所識別。 然後，該工作階段可以開啟許多連線，例如包含來自數個不同網站之多個廣告的新聞網站。
• 連線：連線包括來源和目的地 IP、來源和目的地連接埠，以及完整網域名稱 (FQDN)。 連線元件是由 5 個元組所組成。
• 交易：交易是唯一的要求和回應組。

在每個記錄執行個體內，您可以在詳細資料中看到連線識別碼和交易識別碼。 透過使用篩選，您可以查看單一工作階段的所有連線和交易。

如何檢視流量記錄

1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
2. 全域安全存取>監視器>流量記錄。

頁面頂端會顯示所有交易的摘要，以及每種流量類型的明細。 選取 [Microsoft 365] 或 [私人存取] 按鈕，以將記錄篩選至每個流量類型。

注意

目前，記錄詳細資料中無法提供工作階段識別碼資訊。

檢視記錄詳細資料

從清單中選取任何記錄以檢視詳細資料。 這些詳細資料能提供寶貴的資訊，可用來篩選記錄以取得特定詳細資料，或針對案例進行疑難排解。 詳細資料可以新增為資料行，並用來篩選記錄。

篩選和資料行選項

流量記錄可以提供許多詳細資料，因此一開始只會顯示某些資料行。 請根據您正在執行的分析或疑難排解工作來啟用和停用資料行，因為在選取太多資料行的情況下，記錄可能會很難以檢視。 資料行和篩選選項會與 [活動詳細資料] 中的每個項目一致。

從頁面頂端選取 [資料行]，以變更顯示的資料行。

若要篩選流量記錄至特定詳細資料，請選取 [新增篩選] 按鈕，然後輸入您想要篩選的詳細資料。

例如，如果您想要查看來自特定連線的所有記錄：

1. 選取記錄詳細資料，然後從 [活動詳細資料] 複製 connectionId。

2. 選取 [新增篩選]，然後選擇 [連線識別碼]。

3. 在出現的欄位中，貼上 connectionId，然後選取 [套用]。

   

疑難排解案例

下列詳細資料可能有助於進行疑難排解和分析：

• 如果您對傳送和接收的流量大小感興趣，請啟用 [已傳送的位元組] 和 [已接收的位元組] 資料行。 選取資料行標頭，來依記錄的大小對記錄進行排序。
• 如果您要檢閱風險性使用者的網路活動，您可以依使用者主體名稱篩選結果，然後檢閱其正在存取的網站。
• 若要尋找您想要封鎖或允許的網站類型流量，請啟用 [Web 類別] 資料行。

記錄詳細資料會提供有關網路流量的重要資訊。 並非所有詳細資料都定義於下列清單中，但下列詳細資料對於疑難排解和分析非常有用：

• 交易識別碼：代表要求/回應組的唯一識別碼。
• 連線識別碼：代表起始記錄之連線的唯一識別碼。
• 裝置類別：從中起始交易的裝置類型。 可以是 [用戶端] 或 [遠端網路]。
• 動作：對網路工作階段所採取的動作。 可以是 [允許] 或 [拒絕]。

設定診斷設定以匯出記錄

您可以將全域安全存取流量記錄 （預覽） 匯出至端點，以進行進一步分析和警示。 此整合是在 Microsoft Entra 診斷設定中設定。

1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別] > [監視和健康情況] > [診斷設定]。

3. 選取 [新增診斷設定]。

4. 指定診斷設定的名稱。

5. 選取 NetworkAccessTrafficLogs。

6. 針對您想要傳送記錄的位置，選取 [目的地詳細資料]。 選擇下列任一或所有目的地。 視您的選取項目而定，會出現其他欄位。

   • 傳送至 Log Analytics 工作區：從出現的功能表中選取適當的詳細資料。
   • 封存至儲存體帳戶：在出現在記錄類別旁邊的 [保留天數] 方塊中輸入您想要保留資料的天數。 從出現的功能表中選取適當的詳細資料。
   • 串流至事件中樞：從出現的功能表中選取適當的詳細資料。
   • 傳送至合作夥伴解決方案：從出現的功能表中選取適當的詳細資料。

下一步

• 了解流量儀表板 (部分機器翻譯)
• 檢視全球安全存取的稽核記錄 (部分機器翻譯)
• 檢視擴充的 Microsoft 365 記錄 (部分機器翻譯)