Что такое журналы работоспособности удаленной сети?

Обзор

Удаленные сети, такие как филиал, полагаются на клиентское локальное оборудование (CPE) для подключения пользователей в этих расположениях к интернет-ресурсам и службам, которые им нужны. Пользователи ожидают, что CPE будет функционировать, чтобы они могли выполнять свою работу. Чтобы обеспечить подключение всех пользователей, необходимо обеспечить работоспособность туннеля IPSec и объявления маршрута протокола BGP. Этот долговременный туннель и информация о маршрутизации являются ключевыми для работоспособности вашей удаленной сети.

В этой статье описывается несколько методов доступа и анализа журналов работоспособности удаленной сети.

• Доступ к журналам в Центре администрирования Microsoft Entra или API Microsoft Graph
• Экспорт журналов в Log Analytics или средство управления сведениями и событиями безопасности (SIEM)
• Анализ журналов с помощью рабочей тетради Azure для Microsoft Entra
• Скачивание журналов для долгосрочного хранения

Предварительные условия

Чтобы просмотреть журналы работоспособности удаленной сети в Центре администрирования Microsoft Entra, вам потребуется:

• Одна из следующих ролей: глобальный администратор безопасного доступа или администратор безопасности.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
• Отдельные роли необходимы для доступа к журналам с помощью API Microsoft Graph и интеграции с Log Analytics и Azure Workbooks.

Просмотр журналов

Чтобы просмотреть журналы работоспособности удаленной сети, можно использовать центр администрирования Microsoft Entra или API Microsoft Graph.

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

Настройка параметров диагностики для экспорта журналов

Интеграция журналов с средством SIEM, например Log Analytics, настраивается с помощью параметров диагностики в идентификаторе Microsoft Entra. Этот процесс подробно описан в статье "Настройка параметров диагностики Microsoft Entra" для журналов действий.

Чтобы настроить параметры диагностики, вам потребуется:

• Доступ администратора безопасности.
• Рабочая область Log Analytics.

Ниже приведены основные шаги по настройке параметров диагностики.

1. Войдите в Центр администрирования Microsoft Entra по крайней мере как Администратор безопасности.

2. Перейдите к Entra ID>Мониторинг и работоспособность>Диагностические параметры.

3. Все существующие параметры диагностики отображаются в таблице. Выберите параметры редактирования, чтобы изменить существующий параметр, или нажмите кнопку "Добавить параметр диагностики", чтобы создать новый параметр.

4. Введите имя.

5. Выберите нужные RemoteNetworkHealthLogs журналы (и другие журналы).

   

6. Выберите назначения, в которые нужно отправить журналы.

7. Выберите подписку и назначение из раскрывающихся меню.

8. Выберите кнопку Сохранить.

После маршрутизации журналов в Log Analytics вы можете воспользоваться следующими функциями:

• Создайте правила генерации оповещений, чтобы получать уведомления о сбоях, таких как сбой туннеля BGP.
  • Дополнительные сведения см. в разделе "Создание правила генерации оповещений".
• Визуализировать данные с помощью книги Azure для Microsoft Entra (описано в следующем разделе).
• Интеграция журналов с Microsoft Sentinel для аналитики безопасности и аналитики угроз.
  • Дополнительные сведения см. в кратком руководстве по подключению Microsoft Sentinel .

Анализ журналов с помощью книги

Рабочие книги Azure для Microsoft Entra предоставляют визуализацию ваших данных. После того как вы настроите рабочую область Log Analytics и параметры диагностики для интеграции ваших журналов с Log Analytics, вы можете использовать Рабочую тетрадь для анализа данных с помощью этих мощных аналитических инструментов.

Ознакомьтесь с полезными ресурсами для рабочих тетрадей.

• Создание рабочей тетради Azure
• Как использовать рабочие материалы по управлению идентификацией
• Создание оповещения рабочей книги

Скачать журналы

Кнопка "Скачать" доступна во всех журналах как в глобальном безопасном доступе, так и в мониторинге и работоспособности Microsoft Entra. Журналы можно скачать в формате JSON или CSV-файла. Дополнительные сведения см. в разделе "Как скачать журналы".

Чтобы сузить результаты журналов, нажмите кнопку "Добавить фильтр". Вы можете выполнять фильтрацию по следующим параметрам:

• Описание
• Идентификатор удаленной сети
• Исходный IP-адрес
• IP-адрес назначения
• Число объявленных маршрутов BGP

В следующей таблице описаны все поля в журналах работоспособности удаленной сети.

Следующие шаги

• Включение обогащенных журналов Microsoft 365
• Изучение журналов трафика глобального безопасного доступа (предварительная версия)