通过

如何使用全球安全访问流量日志(预览版)

监视全球安全访问的流量是确保租户配置正确且用户尽可能获得最佳体验的重要活动。 通过全球安全访问流量日志(预览版),可以深入了解谁正在访问哪些资源、他们从何处访问资源以及采取了哪些操作。

本文介绍了如何使用全局安全访问的流量日志。

先决条件

流量日志的使用方式

全局安全访问的日志提供了网络流量的详细信息。 为了更好地理解这些详细信息,知道如何分析这些详细信息来监视环境,了解日志的三个级别以及彼此之间的关系会很有帮助。

访问网站的用户表示一个会话,在该 会话中可能有多个 连接,在该连接中可能有多个 事务

  • 会话:会话由用户访问的第一个 URL 标识。 然后,该会话可以打开许多连接,例如,包含来自多个不同网站的多个广告的新闻网站。
  • 连接:连接包括源和目标 IP、源和目标端口以及完全限定的域名(FQDN)。 连接组件由 5 个元组组成。
  • 事务:事务是唯一的请求和响应对。

在每个日志实例中,可在详细信息中看到连接 ID 和事务 ID。 使用筛选器可查看单个会话的所有连接和事务。

如何查看流量日志

  1. 至少以报表读取者身份登录到 Microsoft Entra 管理中心
  2. 全球安全访问监视器>流量日志>

页面顶部显示所有事务的摘要,以及每种类型流量的明细。 选择 Microsoft 365专用访问 按钮,将日志筛选到每个流量类型。

注意

此时,日志详细信息不提供会话 ID 信息。

查看日志详细信息

从列表中选择某个日志可查看详细信息。 这些详细信息提供了有价值的信息,可用于筛选日志,以获取特定详细信息,或者进行故障排除。 详细信息可添加为列,并用于筛选日志。

流量日志详细信息页的屏幕截图。

筛选器和列选项

流量日志可以提供许多详细信息,因而在开始时只有一些列是可见的。 根据正在执行的分析或故障排除任务启用和禁用列,因为如果选择的列过多,则很难查看日志。 列和筛选器选项与活动详细信息中的每个项保持一致。

从页面顶部选择“列”以更改显示的列。

若要将流量日志筛选为特定详细信息,请选择“添加筛选器”按钮,然后输入要筛选的详细信息。

例如,如果要查看某个特定连接的所有日志:

  1. 选择日志详细信息,并从活动详细信息中复制 connectionId

  2. 选择“添加筛选器”并选择“连接 ID”

  3. 在显示的字段中,粘贴 connectionId 并选择“应用”

    流量日志筛选器的屏幕截图。

连接日志

连接日志提供所有关联事务的摘要,包括总事务计数和阻止的事务,以便快速识别任何阻止的活动。

连接表示过去 24 小时内发生的多个事务,并共享相同的流关联 ID。 虽然事务日志提供有关单个事务的详细信息,但连接日志通过聚合多个事务提供更高级别的概述。 连接采用活动/关闭状态进行实时记录,为管理员提供接近实时的流量可视性。

我们目前正在“流量日志”面板中预览一个新选项卡,以便查看连接:

“流量日志”页上“新建连接”选项卡的屏幕截图。

通过选择“事务”选项卡来查看与每个连接关联的 事务

故障排除方案

以下详细信息可能有助于我们进行故障排除和分析:

  • 如果你对发送和接收的流量的大小感兴趣,请启用“发送的字节数”和“接收的字节数”列。 选择列标题可按日志大小对日志进行排序。
  • 如果要查看某个风险用户的网络活动,可以按用户主体名称筛选结果,然后查看他们正在访问的站点。
  • 若要查找要阻止或允许的网站类型的流量,请启用“Web 类别”列。

日志详细信息提供了有关网络流量的宝贵信息。 并非所有详细信息都在以下列表中定义,但以下详细信息对故障排除和分析非常有用:

  • 事务 ID:表示请求/响应对的唯一标识符。
  • 连接 ID:表示启动日志的连接的唯一标识符。
  • 设备类别:从中启动事务的设备类型。 客户端远程网络
  • 操作:对网络会话执行的操作。 允许拒绝

配置诊断设置以导出日志

可以将全球安全访问流量日志(预览版)导出到终结点,以便进一步分析和发出警报。 此集成是在 Microsoft Entra 的诊断设置中配置的。

  1. 以至少安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>监视和运行状况>诊断设置

  3. 选择“添加诊断设置”

  4. 为诊断设置提供一个名称。

  5. 选择 NetworkAccessTrafficLogs

  6. 选择您希望将日志发送到的目的地详细信息。 选择以下任意或所有目标。 视您的选择,其他字段将会显示。

    • 发送到 Log Analytics 工作区: 从显示的菜单中选择相应的详细信息。
    • 存档到存储帐户: 提供希望在日志类别旁边显示的 “保留天数 ”框中保留数据的天数。 从显示的菜单中选择相应的详细信息。
    • 流式传输到事件中心: 从显示的菜单中选择相应的详细信息。
    • 发送到合作伙伴解决方案: 从显示的菜单中选择相应的详细信息。

后续步骤