什麼是遠端網路健康情況記錄?
遠端網路,例如分公司,依賴客戶單位設備(CPE)將這些位置中的用戶連線到他們需要的在線資源和服務。 用戶預期 CPE 能夠運作,以便執行其工作。 若要讓所有人保持連線,您必須確保IPSec通道和邊界閘道通訊協定 (BGP) 路由公告的健康情況。 這個長時間執行的通道和路由資訊是遠端網路健康情況的密鑰。
本文說明存取和分析遠端網路健康情況記錄的數種方法。
- 存取 Microsoft Entra 系統管理中心或 Microsoft Graph API 中的記錄
- 將記錄匯出至 Log Analytics 或安全性資訊和事件管理 (SIEM) 工具
- 使用 Azure Workbook for Microsoft Entra 分析記錄
- 下載長期記憶體的記錄
必要條件
若要在 Microsoft Entra 系統管理中心檢視遠端網路健康情況記錄,您需要:
- 下列其中一個角色: 全域安全存取管理員或 安全性系統管理員。
- 產品需要授權。 如需詳細資訊,請參閱什麼是全域安全存取的授權一節。 如有需要,您可以購買授權或取得試用版授權。
- 若要使用 Microsoft Graph API 存取記錄,以及與 Log Analytics 和 Azure 活頁簿整合,則需要個別角色。
檢視記錄檔
若要檢視 遠端網路健康情況記錄,您可以使用 Microsoft Entra 系統管理中心或 Microsoft Graph API。
若要在 entra 系統管理中心Microsoft檢視遠端網路健康情況記錄:
以至少全域安全存取系統管理員身分登入 Microsoft Entra 系統管理中心。
流覽至 [全域安全存取>監視器>遠端網路健康情況記錄]。
設定診斷設定以匯出記錄
將記錄與 Log Analytics 之類的 SIEM 工具整合,是透過 Microsoft Entra ID 中的診斷設定來設定。 此程序詳述於 設定活動記錄 的Microsoft Entra 診斷設定一文中。
若要設定診斷設定,您需要:
- 安全性系統管理員 存取權。
- Log Analytics 工作區。
設定診斷設定的基本步驟如下:
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [監視和健康情況] > [診斷設定]。
任何現有的診斷設定都會出現在資料表中。 選取 [編輯設定] 來變更現有的設定,或選取 [新增診斷設定] 來建立新的設定。
提供名稱。
選取您想要包含的
RemoteNetworkHealthLogs
(和任何其他記錄檔)。選取記錄的傳送目的地。
從顯示的下拉功能表中選取訂用帳戶和目的地。
選取儲存按鈕。
注意
最多可能需要三天的時間,記錄才會開始出現在目的地中。
將記錄路由傳送至 Log Analytics 之後,您就可以利用下列功能:
- 建立警示規則,以取得 BGP 通道失敗等專案的通知。
- 如需詳細資訊,請參閱 建立警示規則。
- 使用適用於 Microsoft Entra 的 Azure 活頁簿將數據可視化(在下一節中涵蓋)。
- 將記錄與 Microsoft Sentinel 整合,以取得安全性分析和威脅情報。
- 如需詳細資訊,請遵循 上線Microsoft Sentinel 快速入門。
使用活頁簿分析記錄
Microsoft Entra 的 Azure 活頁簿提供數據的視覺表示法。 設定 Log Analytics 工作區和診斷設定以整合記錄與 Log Analytics 之後,您可以使用活頁簿透過這些功能強大的工具來分析數據。
檢視活頁簿的這些實用資源:
下載紀錄
[下載] 按鈕可在全域安全存取和Microsoft Entra Monitoring and health 內的所有記錄上取得。 您可以將記錄下載為 JSON 或 CSV 檔案。 如需詳細資訊,請參閱 如何下載記錄。
若要縮小記錄的結果範圍,請選取 [ 新增篩選]。 您可以依下列條件進行篩選:
- 描述
- 遠端網路識別碼
- 來源 IP
- 目的地 IP
- BGP 路由公告計數
下表描述遠端網路健康情況記錄中的每個欄位。
名稱 | 描述 |
---|---|
建立日期時間 | 原始事件產生的時間 |
來源IP位址 | CPE 的IP位址。 每個 IPsec 通道的來源 IP/目的地 IP 位址組都是唯一的。 |
目的地IP位址 | Microsoft Entra 閘道的IP位址。 每個 IPsec 通道的來源 IP/目的地 IP 位址組都是唯一的。 |
狀態 | 已連線的通道: 成功建立 IPsec 通道時,會產生此事件。 通道已中斷連線: 當 IPsec 通道中斷連線時,就會產生此事件。 BGP 已連線: 成功建立 BGP 連線時,會產生此事件。 BGP 已中斷連線: 當 BGP 連線中斷時,就會產生此事件。 遠端網路運作: 所有使用中信道每隔 15 分鐘就會產生此定期統計數據。 |
描述 | 事件的選擇性描述。 |
BGP 路由公告計數 | 透過 IPsec 通道公告的選擇性 BGP 路由計數。 這個值是 0,適用於已連線的通道、已中斷通道、已連線 BGP 和 BGP 中斷連線的事件。 |
已傳送的位元組 | 在過去15分鐘內,從來源傳送到目的地的選擇性位元組數目。 這個值是 0,適用於已連線的通道、已中斷通道、已連線 BGP 和 BGP 中斷連線的事件。 |
接收的位元組 | 在過去15分鐘內,來源從目的地透過通道接收的選擇性位元元組數目。 這個值是 0,適用於已連線的通道、已中斷通道、已連線 BGP 和 BGP 中斷連線的事件。 |
遠端網路識別碼 | 通道所關聯的遠端網路標識碼。 |