Compartilhar via


Como usar os logs de tráfego do Acesso Global Seguro (versão prévia)

Monitorar o tráfego para o Acesso Seguro Global é uma atividade importante para garantir que seu locatário esteja configurado corretamente e que os usuários tenham a melhor experiência possível. Os logs de tráfego do Acesso Global Seguro (versão prévia) fornecem informações sobre quem está acessando quais recursos, de onde eles estão acessando e de qual ação ocorreu.

Este artigo descreve como usar os logs de tráfego para o Acesso Seguro Global.

Pré-requisitos

Como funcionam os logs de tráfego

Os logs de Acesso Seguro Global fornecem detalhes do tráfego de rede. Para entender melhor esses detalhes e como você pode analisá-los para monitorar seu ambiente, é útil examinar os três níveis dos logs e a correlação entre eles.

Um usuário acessando um site representa uma sessão, e dentro dessa sessão pode haver várias conexões, e dentro dessa conexão pode haver várias transações.

  • Sessão: uma sessão é identificada pela primeira URL que um usuário acessa. Essa sessão poderia então abrir muitas conexões, por exemplo, um site de notícias que contém vários anúncios de vários sites diferentes.
  • Conexão: uma conexão inclui o IP de origem e de destino, a porta de origem e de destino e o FQDN (nome de domínio totalmente qualificado). Os componentes de conexão compreendem a tupla 5.
  • Transação: uma transação é um par exclusivo de solicitação e resposta.

Dentro de cada instância de log, você pode ver o ID de conexão e o ID de transação nos detalhes. Usando os filtros, você pode examinar todas as conexões e transações de uma única sessão.

Como exibir os logs

  1. Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.
  2. Acesso Global Seguro>Monitor>Logs de tráfego.

A parte superior da página exibe um resumo de todas as transações, bem como um detalhamento para cada tipo de tráfego. Selecione os botões Microsoft 365 ou Acesso privado para filtrar os logs para cada tipo de tráfego.

Observação

No momento, as informações de ID da sessão não estão disponíveis nos detalhes do log.

Exibir os detalhes de log

Selecione um alerta na lista para exibir os detalhes. Esses detalhes fornecem informações valiosas que podem ser usadas para filtrar os logs para obter detalhes específicos ou para solucionar problemas de um cenário. Os detalhes podem ser adicionados como uma coluna e usados para filtrar os logs.

Captura de tela dos detalhes da atividade no log de tráfego.

Filtros de linha e de coluna.

Os logs de tráfego podem fornecer muitos detalhes, portanto, para iniciar apenas algumas colunas são visíveis. Habilite e desabilite as colunas com base nas tarefas de análise ou solução de problemas que você está executando, pois os logs podem ser difíceis de exibir com muitas colunas selecionadas. As opções de coluna e filtro se alinham com cada item nos detalhes da atividade.

Selecione Colunas na parte superior da página para alterar as colunas exibidas.

Para filtrar os logs de tráfego para um detalhe específico, selecione o botão Adicionar filtro e insira o detalhe pelo qual deseja filtrar.

Por exemplo, se você quiser examinar todos os logs de uma conexão específica:

  1. Selecione os detalhes do log e copie connectionId dos detalhes da atividade.

  2. Selecione Adicionar conexão e escolha SendGrid.

  3. No campo exibido, cole o connectionId e selecione Aplicar.

    Captura de tela do filtro do log de tráfego.

Cenários de solução de problemas

Os detalhes a seguir podem ser úteis para solução de problemas e análise:

  • Se você estiver interessado no tamanho do tráfego que está sendo enviado e recebido, habilite as colunas Bytes enviados e Bytes recebidos. Selecione o cabeçalho da coluna para classificar os logs pelo tamanho dos logs.
  • Se você estiver revisando a atividade de rede de um usuário arriscado, poderá filtrar os resultados por nome principal do usuário e, em seguida, revisar os sites que ele está acessando.
  • Para procurar tráfego para os tipos de sites que você deseja bloquear ou permitir, habilite a coluna categoria da Web.

Os detalhes do log fornecem informações valiosas sobre o tráfego de rede. Nem todos os detalhes são definidos na lista abaixo, mas os seguintes detalhes são úteis para solução de problemas e análise:

  • ID da transação: identificador exclusivo que representa o par solicitação/resposta.
  • ID de conexão: identificador exclusivo que representa a conexão que iniciou o log.
  • Categoria do dispositivo : Tipo de dispositivo de onde a transação foi iniciada. Cliente ou rede remota.
  • A ação realizada na sessão de rede. Permitido ou negado.

Definir as configurações de diagnóstico para gerar logs de auditoria

Você pode exportar os logs de tráfego do Acesso Global Seguro (versão prévia) para um ponto de extremidade para análise e alertas adicionais. Essa integração é configurada nas configurações de diagnóstico do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

  2. Navegue até Identidade>Monitoramento e integridade>Configurações de diagnóstico.

  3. Selecione Adicionar configuração de diagnóstico.

  4. Dê um nome à sua configuração de diagnóstico.

  5. Selecione NetworkAccessTrafficLogs.

  6. Selecione os Detalhes de destino para onde deseja enviar os logs. Escolha qualquer um ou todos os destinos a seguir. Campos adicionais são exibidos, dependendo da seleção.

    • Enviar para o workspace do Log Analytics: selecione os detalhes apropriados nos menus exibidos.
    • Arquivar em uma conta de armazenamento: forneça o número de dias que você deseja manter os dados nas caixas Dias de retenção que aparecem ao lado das categorias de log. Selecione os detalhes apropriados nos menus exibidos.
    • Transmitir para um hub de eventos: selecione os detalhes apropriados nos menus exibidos.
    • Enviar para a solução do parceiro: selecione os detalhes apropriados nos menus exibidos.

Próximas etapas