如何使用 Global Secure Access（预览版）扩充的 Microsoft 365 日志

随着 Microsoft 365 流量流经 Microsoft Entra 专用 Internet 服务，你希望深入了解组织使用的 Microsoft 365 应用的性能、体验和可用性。 扩充的 Microsoft 365 日志可为你提供获取这些见解所需的信息。 可以将日志与第三方安全信息和事件管理 (SIEM) 工具集成以进行进一步分析。

本文介绍了日志中的信息以及如何导出日志。

先决条件

要使用扩充的日志，需要以下角色、配置和订阅：

角色和权限

• 需要“全局管理员”角色才能启用扩充的 Microsoft 365 日志。
• 预览版需要 Microsoft Entra ID P1 许可证。 如果需要，可以购买许可证或获取试用许可证。
• 若要使用 Microsoft 365 流量转发配置文件，建议使用 Microsoft 365 E3 许可证。

配置

• Microsoft 365 配置文件 - 确保 Microsoft 365 配置文件已启用。 需要 Microsoft Entra Internet 访问来捕获定向到 Microsoft 365 服务的流量，这是进行日志扩充的基础。
• Microsoft 365 Common 和 Office Online 流量策略 - 进行日志扩充所需。 确保它已启用。
• 租户发送数据 - 确认转发配置文件中配置的流量已准确地通过隧道传输至 Global Secure Access 服务。
• 诊断设置配置 - 设置 Microsoft Entra 诊断设置以将日志传送到指定终结点，例如 Log Analytics 工作区。 每个终结点的要求各不相同。有关这些要求，请参阅本文的“配置诊断设置”部分。

订阅

• Microsoft Entra ID P1 许可证 - 预览访问所需。 可以根据需要选择购买或获取试用版许可证。
• Microsoft 365 E3 许可证 - 使用 Microsoft 365 流量转发配置文件时建议使用此许可证。

在配置诊断设置之前，必须为要路由日志的位置配置终结点。 每个终结点的要求各不相同，有关这些要求，请参阅配置诊断设置部分。

日志提供的内容

扩充的 Microsoft 365 日志可提供有关 Microsoft 365 工作负载的信息，因此你可以查看与 Microsoft 365 应用相关的网络诊断数据、性能数据和安全事件。 例如，如果阻止了组织中某个用户对 Microsoft 365 的访问，则需要了解用户设备连接到网络的方式。

这些日志提供：

• 降低延迟
• 添加到原始日志的其他信息
• 准确的 IP 地址

这些日志是 Microsoft 365 审核日志中提供的一部分日志。 日志包含其他信息，包括设备 ID、操作系统和原始 IP 地址。 扩充的 SharePoint 日志会提供有关已下载、上传、删除、修改或回收的文件的信息。 已删除或回收的列表项也包含在扩充日志中。

如何查看日志

查看扩充的 Microsoft 365 日志是一个两步过程。 首先，需要从 Global Secure Access 启用日志扩充。 其次，需要配置 Microsoft Entra 诊断设置，以将日志路由到终结点，例如 Log Analytics 工作区。

注意

目前，只有 SharePoint Online 日志可用于日志扩充。

启用日志扩充

要启用扩充的 Microsoft 365 日志，请执行以下操作：

1. 以全局管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“Global Secure Access (预览版)”>“全局设置”>“日志记录”。

3. 选择要启用的 Microsoft 365 日志类型。

4. 选择“保存”。

   

扩充的日志最多需要 72 小时才能与服务完全集成。

配置诊断设置

要查看扩充的 Microsoft 365 日志，必须将日志导出或流式传输到终结点，例如 Log Analytics 工作区或 SIEM 工具。 必须先配置终结点，然后才能配置诊断设置。

配置终结点

• 要将日志与 Log Analytics 集成，需要 Log Analytics 工作区。

  • 创建 Log Analytics 工作区。
  • 将日志与 Log Analytics 集成

• 要将日志流式传输到 SIEM 工具，需要创建 Azure 事件中心和事件中心命名空间。

  • 设置事件中心命名空间和事件中心。
  • 将日志流式传输到事件中心

• 要将日志存档到存储帐户，需要一个对其具有 ListKeys 权限的 Azure 存储帐户。

  • 创建 Azure 存储帐户。
  • 将日志存档到存储帐户

将日志发送到终结点

创建终结点后，可以配置诊断设置。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“监视和运行状况”>“诊断设置”。

3. 选择“添加诊断设置”。

4. 为诊断设置指定名称。

5. 选择EnrichedOffice365AuditLogs。

6. 选择要将日志发送到的位置的“目标详细信息”。 选择以下任意或所有目标。 将显示更多字段，具体取决于所选内容。

   • 发送到 Log Analytics 工作区：从显示的菜单中选择相应的详细信息。
   • 存档到存储帐户：在日志类别旁显示的“保留天数”框中提供要保留数据的天数。 从显示的菜单中选择相应的详细信息。
   • 流式传输到事件中心：从显示的菜单中选择相应的详细信息。
   • 发送到合作伙伴解决方案：从显示的菜单中选择相应的详细信息。

以下示例可将扩充的日志发送到 Log Analytics 工作区，这需要从所显示的菜单中选择“订阅”和“Log Analytics 工作区”。

使用条款

使用 Microsoft Entra Private Access 和 Microsoft Entra Internet Access 预览版体验和功能时，需受到所享受的服务相应的预览版联机服务条款和条件协议的约束。 预览版可能减少或遵循不同的安全性、合规性和隐私承诺，详见联机服务的通用许可条款和 Microsoft 产品和服务数据保护附录(“DPA”)，以及随预览版一起提供的任何其他通知。

后续步骤

• 浏览 Global Secure Access 日志和监视选项
• 了解 Global Secure Access 审核日志
• 扩充 Microsoft 365 审核日志