Freigeben über

Verwenden der Datenverkehrsprotokolle vom globalen sicheren Zugriff (Vorschau)

Übersicht

Die Überwachung des Datenverkehrs für Global Secure Access ist eine wichtige Aufgabe, um sicherzustellen, dass Ihr Mandant ordnungsgemäß konfiguriert ist und dass Ihre Benutzer das bestmögliche Benutzererlebnis haben. Die Datenverkehrsprotokolle vom globalen sicheren Zugriff bieten eine Übersicht darüber, wer auf welche Ressourcen zugreift, von wo aus der Zugriff erfolgt und welche Aktionen ausgeführt wurden.

In diesem Artikel wird beschrieben, wie Sie die Datenverkehrsprotokolle für den globalen sicheren Zugriff verwenden.

Voraussetzungen

  • Eine Rolle "Globaler Administrator für sicheren Zugriff " in der Microsoft Entra-ID.
  • Eine Rolle des globalen sicheren Zugriffsprotokolllesers in Microsoft Entra ID.
  • Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt "Lizenzierung" des globalen sicheren Zugriffs. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.

Funktionsweise der Datenverkehrsprotokolle

Die Protokolle für globalen sicheren Zugriff enthalten Details zu Ihrer Netzwerkauslastung. Um diese Details besser zu verstehen und um zu sehen, wie Sie diese Details analysieren können, um Ihre Umgebung zu überwachen, ist es hilfreich, sich die drei Ebenen der Protokolle und ihre Beziehung zueinander betrachten.

Ein Benutzer, der auf eine Website zugreift, stellt eine Sitzung dar, und innerhalb dieser Sitzung kann es mehrere Verbindungen geben, und innerhalb dieser Verbindung kann es mehrere Transaktionen geben.

  • Sitzung: Eine Sitzung wird durch die erste URL identifiziert, auf die ein Benutzer zugreift. Diese Sitzung könnte dann viele Verbindungen herstellen, z. B. eine Nachrichtenwebsite, die mehrere Anzeigen von mehreren verschiedenen Websites enthält.
  • Verbindung: Eine Verbindung umfasst die Quell- und Ziel-IP, den Quell- und Zielport sowie den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN). Die Verbindungskomponenten umfassen die 5 Tupel.
  • Transaktion: Eine Transaktion ist ein eindeutiges Anforderungs- und Antwortpaar.

In jeder Protokollinstanz können Sie die Verbindungs-ID und Transaktions-ID in den Details sehen. Mithilfe der Filter können Sie sich alle Verbindungen und Transaktionen für eine einzelne Sitzung ansehen.

Einsehen der Datenverkehrsprotokolle

  1. Melden Sie sich mindestens als Berichtsleser beim Microsoft Entra Admin Center an.
  2. Globaler sicherer Zugriff>Monitor>Datenverkehrsprotokolle.

Oben auf der Seite finden Sie eine Zusammenfassung aller Transaktionen sowie eine Aufschlüsselung für jede Art von Datenverkehr. Wählen Sie die Microsoft 365 - oder private Zugriffsschaltflächen aus, um die Protokolle nach jedem Datenverkehrstyp zu filtern.

Hinweis

Derzeit sind die Sitzungs-ID-Informationen in den Protokolldetails nicht verfügbar.

Anzeigen der Protokolldetails

Wählen Sie ein beliebiges Protokoll aus der Liste, um die Details zu sehen. Diese Details liefern wertvolle Informationen, die zum Filtern der Protokolle nach bestimmten Details oder zur Fehlersuche in einem Szenario verwendet werden können. Die Details können als Spalte hinzugefügt und zum Filtern der Protokolle verwendet werden.

Screenshot der Seite

Filter- und Spaltenoptionen

Die Datenverkehrsprotokolle können viele Details bereitstellen, sodass anfangs nur einige Spalten sichtbar sind. Aktivieren und deaktivieren Sie die Spalten basierend auf den von Ihnen ausgeführten Analyse- oder Problembehandlungsaufgaben, da die Protokolle möglicherweise schwer anzuzeigen sind, wenn zu viele Spalten ausgewählt werden. Die Spalten- und Filteroptionen sind auf die einzelnen Elemente in den Aktivitätsdetails ausgerichtet.

Wählen Sie "Spalten " oben auf der Seite aus, um die angezeigten Spalten zu ändern.

Um die Datenverkehrsprotokolle in ein bestimmtes Detail zu filtern, wählen Sie die Schaltfläche " Filter hinzufügen " aus, und geben Sie dann das Detail ein, nach dem Sie filtern möchten.

Beispiel: Wenn Sie alle Protokolle aus einer bestimmten Verbindung betrachten möchten:

  1. Wählen Sie das Protokolldetail aus, und kopieren Sie das connectionId aus den Aktivitätsdetails.

  2. Wählen Sie "Filter hinzufügen" und dann "Verbindungs-ID" aus.

  3. Fügen Sie im angezeigten Feld connectionId ein und wählen Sie Übernehmen aus.

    Screenshot, der den Protokollfilter für den Datenverkehr zeigt.

Anzeigen von Verbindungsprotokollen

Verbindungsprotokolle enthalten eine Zusammenfassung aller zugeordneten Transaktionen, einschließlich der Gesamtzahl der Transaktionen und blockierter Transaktionen, sodass alle blockierten Aktivitäten schnell identifiziert werden können.

Eine Verbindung stellt mehrere Transaktionen dar, die in den letzten 24 Stunden auftreten und dieselbe Flusskorrelations-ID gemeinsam nutzen. Während die Transaktionsprotokolle detaillierte Informationen zu einzelnen Transaktionen bereitstellen, bieten Verbindungsprotokolle eine übersicht über mehrere Transaktionen auf höherer Ebene. Verbindungen werden in Echtzeit mit dem Status "Aktiv/Geschlossen" protokolliert, sodass Administratoren nahezu in Echtzeit die Sichtbarkeit des Datenverkehrs erhalten.

Derzeit in der Vorschau verfügbar ist eine neue Registerkarte im Blatt "Datenverkehrsprotokolle", auf der Sie Verbindungen anzeigen können:

Screenshot der neuen Registerkarte

Transaktionen, die den einzelnen Verbindungen zugeordnet sind, werden angezeigt, indem sie die Registerkarte "Transaktionen " auswählen.

Problembehandlungsszenarien

Die folgenden Details können für die Problembehandlung und Analyse hilfreich sein:

  • Wenn Sie an der Größe des gesendeten und empfangenen Datenverkehrs interessiert sind, aktivieren Sie die Spalten "Gesendete Bytes " und "Empfangene Bytes" . Wählen Sie die Spaltenüberschrift aus, um die Protokolle nach ihrer Größe zu sortieren.
  • Wenn Sie die Netzwerkaktivität für einen riskanten Benutzer überprüfen, können Sie die Ergebnisse nach dem Benutzerprinzipalnamen filtern und dann die Websites überprüfen, auf die sie zugreifen.
  • Wenn Sie nach Datenverkehr zu den Arten von Websites suchen möchten, die Sie blockieren oder zulassen möchten, aktivieren Sie die Spalte "Webkategorie ".

Die Protokolldetails liefern wertvolle Informationen zu Ihrem Netzwerkdatenverkehr. Nicht alle Details sind in der nachstehenden Liste definiert, aber die folgenden Details sind nützlich für die Problembehandlung und Analyse:

  • Transaktions-ID: Eindeutiger Bezeichner, der das Anforderungs-/Antwortpaar darstellt.
  • Verbindungs-ID: Eindeutiger Bezeichner, der die Verbindung darstellt, die das Protokoll initiiert hat.
  • Gerätekategorie: Gerätetyp, von dem die Transaktion initiiert wurde. Client oder Remotenetzwerk.
  • Aktion: Die Aktion, die in der Netzwerksitzung ausgeführt wird. Entweder zulässig oder verweigert.

Konfigurieren von Diagnoseeinstellungen zum Generieren von Exportprotokollen

Sie können die Global Secure Access-Datenverkehrsprotokolle (Vorschau) zur weiteren Analyse und Alarmierung an einen Endpunkt exportieren. Diese Integration ist in den Microsoft Entra-Diagnoseeinstellungen konfiguriert.

  1. Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra IDÜberwachung & GesundheitDiagnostikeinstellungen.

  3. Wählen Sie " Diagnoseeinstellung hinzufügen" aus.

  4. Benennen Sie die Diagnoseeinstellung.

  5. Wählen Sie NetworkAccessTrafficLogs aus.

  6. Wählen Sie die Zieldetails aus, für die Sie die Protokolle senden möchten. Wählen Sie eines oder alle der folgenden Ziele. Je nach Wahl werden zusätzliche Felder angezeigt.

    • An Log Analytics-Arbeitsbereich senden: Wählen Sie die entsprechenden Details aus den angezeigten Menüs aus.
    • Archivieren in einem Speicherkonto: Geben Sie die Anzahl der Tage an, die Sie in den Feldern " Aufbewahrungstage " aufbewahren möchten, die neben den Protokollkategorien angezeigt werden. Wählen Sie in den eingeblendeten Menüs die entsprechenden Details aus.
    • Streamen auf einen Event Hub: Wählen Sie die entsprechenden Details aus den angezeigten Menüs aus.
    • An Partnerlösung senden: Wählen Sie die entsprechenden Details aus den angezeigten Menüs aus.

Nächste Schritte

  • Last updated on