Vad är hälsotillståndsloggar för fjärrnätverk?
Fjärrnätverk, till exempel ett avdelningskontor, förlitar sig på kundens lokala utrustning (CPE) för att ansluta användare på dessa platser till de onlineresurser och tjänster de behöver. Användarna förväntar sig att CPE fungerar så att de kan utföra sitt arbete. För att hålla alla anslutna måste du säkerställa hälsotillståndet för IPSec-tunneln och BGP-vägannonsen (Border Gateway Protocol). Den här tidskrävande tunneln och routningsinformationen är nycklarna till fjärrnätverkets hälsotillstånd.
Den här artikeln beskriver flera metoder för att komma åt och analysera fjärrnätverkets hälsologgar.
- Åtkomstloggar i administrationscentret för Microsoft Entra eller Microsoft Graph API
- Exportera loggar till Log Analytics eller ett SIEM-verktyg (Security Information and Events Management)
- Analysera loggar med hjälp av en Azure-arbetsbok för Microsoft Entra
- Ladda ned loggar för långsiktig lagring
Förutsättningar
Om du vill visa hälsotillståndsloggarna för fjärrnätverket i administrationscentret för Microsoft Entra behöver du:
- En av följande roller: Global administratör för säker åtkomst eller säkerhetsadministratör.
- Produkten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.
- Separata roller krävs för åtkomst till loggarna med Microsoft Graph API och integrering med Log Analytics och Azure-arbetsböcker.
Visa loggarna
Om du vill visa hälsologgarna för fjärrnätverk kan du använda antingen administrationscentret för Microsoft Entra eller Microsoft Graph-API:et.
Så här visar du hälsologgar för fjärrnätverk i administrationscentret för Microsoft Entra:
Logga in på administrationscentret för Microsoft Entra som minst global administratör för säker åtkomst.
Bläddra till Globala hälsologgar för säker åtkomstövervakare>> för fjärrnätverk.
Konfigurera diagnostikinställningar för att exportera loggar
Integrering av loggar med ett SIEM-verktyg som Log Analytics konfigureras via diagnostikinställningar i Microsoft Entra-ID. Den här processen beskrivs i detalj i artikeln Konfigurera Microsoft Entra-diagnostikinställningar för aktivitetsloggar .
För att konfigurera diagnostikinställningar behöver du:
De grundläggande stegen för att konfigurera diagnostikinställningar är följande:
Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.
Bläddra till Inställningar för identitetsövervakning>och hälsodiagnostik.>
Alla befintliga diagnostikinställningar visas i tabellen. Välj redigera inställningar för att ändra en befintlig inställning eller välj Lägg till diagnostikinställning för att skapa en ny inställning.
Ange ett namn.
Välj de
RemoteNetworkHealthLogs(och andra loggar) som du vill inkludera.
Välj de mål som du vill skicka loggarna till.
Välj prenumerationen och målet i listrutorna som visas.
Klicka på knappen Spara.
Kommentar
Det kan ta upp till tre dagar innan loggarna börjar visas i målet.
När loggarna har dirigerats till Log Analytics kan du dra nytta av följande funktioner:
- Skapa aviseringsregler för att få meddelanden om saker som ett BGP-tunnelfel.
- Mer information finns i Skapa en aviseringsregel.
- Visualisera data med en Azure-arbetsbok för Microsoft Entra (beskrivs i nästa avsnitt).
- Integrera loggar med Microsoft Sentinel för säkerhetsanalys och hotinformation.
- Mer information finns i Introduktion till Microsoft Sentinel-snabbstart .
Analysera loggar med en arbetsbok
Azure-arbetsböcker för Microsoft Entra ger en visuell representation av dina data. När du har konfigurerat en Log Analytics-arbetsyta och diagnostikinställningar för att integrera dina loggar med Log Analytics kan du använda en arbetsbok för att analysera data via dessa kraftfulla verktyg.
Kolla in de här användbara resurserna för arbetsböcker:
Hämta loggar
En nedladdningsknapp är tillgänglig i alla loggar, både inom Global säker åtkomst och Microsoft Entra-övervakning och hälsa. Du kan ladda ned loggar som en JSON- eller CSV-fil. Mer information finns i Ladda ned loggar.
Om du vill begränsa resultatet av loggarna väljer du Lägg till filter. Du kan filtrera efter:
- beskrivning
- Fjärrnätverks-ID
- Käll-IP-adress
- Mål-IP-adress
- Annonserat antal BGP-vägar
I följande tabell beskrivs vart och ett av fälten i hälsologgarna för fjärrnätverk.
| Name | beskrivning |
|---|---|
| Skapad datumtid | Tidpunkt för den ursprungliga händelsegenereringen |
| Källans IP-adress | IP-adressen för CPE. Ip-adressparet för källans IP/mål är unikt för varje IPsec-tunnel. |
| Mål-IP-adress | IP-adressen för Microsoft Entra-gatewayen. Ip-adressparet för källans IP/mål är unikt för varje IPsec-tunnel. |
| Status | Tunnelansluten: Den här händelsen genereras när en IPsec-tunnel har upprättats. Tunnel frånkopplad: Den här händelsen genereras när en IPsec-tunnel kopplas från. BGP-ansluten: Den här händelsen genereras när en BGP-anslutning har upprättats. BGP frånkopplad: Den här händelsen genereras när en BGP-anslutning går ned. Fjärrnätverk vid liv: Den här periodiska statistiken genereras var 15:e minut för alla aktiva tunnlar. |
| beskrivning | Valfri beskrivning av händelsen. |
| Annonserat antal BGP-vägar | Valfritt antal BGP-vägar som annonseras över IPsec-tunneln. Det här värdet är 0 för tunnelanslutna, tunnel frånkopplade, BGP-anslutna och BGP-frånkopplade händelser. |
| Skickade byte | Valfritt antal byte som skickats från källa till mål via en tunnel under de senaste 15 minuterna. Det här värdet är 0 för tunnelanslutna, tunnel frånkopplade, BGP-anslutna och BGP-frånkopplade händelser. |
| Mottagna byte | Valfritt antal byte som tagits emot av källan från målet via en tunnel under de senaste 15 minuterna. Det här värdet är 0 för tunnelanslutna, tunnel frånkopplade, BGP-anslutna och BGP-frånkopplade händelser. |
| Fjärrnätverks-ID | ID för fjärrnätverket som tunneln är associerad med. |