Como usar os logs de tráfego do Acesso Global Seguro (versão prévia)

2025-04-30

Monitorar o tráfego para o Acesso Seguro Global é uma atividade importante para garantir que seu locatário esteja configurado corretamente e que os usuários tenham a melhor experiência possível. Os logs de tráfego do Acesso Global Seguro (versão prévia) fornecem informações sobre quem está acessando quais recursos, de onde eles estão acessando e qual ação ocorreu.

Este artigo descreve como usar os logs de tráfego para o Acesso Seguro Global.

Pré-requisitos

Uma função de Administrador Global de Acesso Seguro no Microsoft Entra ID.
Uma função Global Secure Access Log Reader no Microsoft Entra ID.
O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento do What is Global Secure Access. Se necessário, você pode comprar licenças ou obter licenças de avaliação.

Como funcionam os logs de tráfego

Os logs de Acesso Seguro Global fornecem detalhes do tráfego de rede. Para entender melhor esses detalhes e como você pode analisá-los para monitorar seu ambiente, é útil examinar os três níveis dos logs e a correlação entre eles.

Um usuário que acessa um site representa uma sessão e, dentro dessa sessão, pode haver várias conexões e dentro dessa conexão pode haver várias transações.

Sessão: uma sessão é identificada pela primeira URL que um usuário acessa. Essa sessão poderia então abrir muitas conexões, por exemplo, um site de notícias que contém vários anúncios de vários sites diferentes.
Conexão: uma conexão inclui o IP de origem e destino, a porta de origem e de destino e o FQDN (nome de domínio totalmente qualificado). Os componentes de conexão compõem a tupla 5.
Transação: uma transação é um par de solicitação e resposta exclusivos.

Dentro de cada instância de log, você pode ver o ID de conexão e o ID de transação nos detalhes. Usando os filtros, você pode examinar todas as conexões e transações de uma única sessão.

Como visualizar os logs de tráfego

Entre no Centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
Acesso Seguro Global>Monitor>Logs de tráfego.

A parte superior da página exibe um resumo de todas as transações, bem como um detalhamento para cada tipo de tráfego. Selecione os botões microsoft 365 ou acesso privado para filtrar os logs para cada tipo de tráfego.

Observação

No momento, as informações de ID da sessão não estão disponíveis nos detalhes do log.

Exibir os detalhes de log

Selecione um log na lista para ver os detalhes. Esses detalhes fornecem informações valiosas que podem ser usadas para filtrar os logs para obter detalhes específicos ou para solucionar problemas de um cenário. Os detalhes podem ser adicionados como uma coluna e usados para filtrar os logs.

Captura de tela da página Detalhes do log de tráfego.

Opções de filtro e de coluna.

Os logs de tráfego podem fornecer muitos detalhes, portanto, no início, apenas algumas colunas são visíveis. Habilite e desabilite as colunas com base nas tarefas de análise ou solução de problemas que você está executando, pois os logs podem ser difíceis de exibir com muitas colunas selecionadas. As opções de coluna e filtro se alinham com cada item nos Detalhes da atividade.

Selecione Colunas na parte superior da página para alterar as colunas exibidas.

Para filtrar os logs de tráfego para um detalhe específico, selecione o botão Adicionar filtro e, em seguida, insira os detalhes pelos quais você deseja filtrar.

Por exemplo, se você quiser examinar todos os logs de uma conexão específica:

Selecione os detalhes do log e copie o connectionId dos Detalhes da atividade.
Selecione Adicionar filtro e escolha A ID da Conexão.
No campo que aparece, cole o connectionId e selecione Aplicar.

Logs de Conexão

Os logs de conexão fornecem um resumo de todas as transações associadas, incluindo a contagem total de transações e transações bloqueadas, permitindo a identificação rápida de qualquer atividade bloqueada.

Uma conexão representa várias transações ocorrendo nas últimas 24 horas e compartilhando a mesma ID de correlação de fluxo. Embora os logs de transações forneçam informações detalhadas sobre transações individuais, os logs de conexão oferecem uma visão geral de nível superior agregando várias transações. As conexões são registradas em tempo real com o status Ativo/Fechado, fornecendo aos administradores visibilidade de tráfego quase em tempo real.

Atualmente, estamos oferecendo uma versão prévia de uma nova guia no painel de Logs de tráfego para que você possa visualizar Conexões:

Captura de tela da nova guia Conexões na página Logs de tráfego.

As transações associadas a cada Conexão são exibidas selecionando a guia Transações .

Cenários de solução de problemas

Os detalhes a seguir podem ser úteis para solução de problemas e análise:

Se você estiver interessado no tamanho do tráfego que está sendo enviado e recebido, habilite as colunas Bytes Enviados e Bytes Recebidos . Selecione o cabeçalho da coluna para classificar os logs por tamanho.
Se você estiver revisando a atividade de rede de um usuário arriscado, poderá filtrar os resultados por nome principal do usuário e, em seguida, revisar os sites que ele está acessando.
Para procurar tráfego para os tipos de sites que você deseja bloquear ou permitir, habilite a coluna de categoria da Web .

Os detalhes do log fornecem informações valiosas sobre o tráfego de rede. Nem todos os detalhes são definidos na lista abaixo, mas os seguintes detalhes são úteis para solução de problemas e análise:

ID da transação: identificador exclusivo que representa o par de solicitação/resposta.
ID da conexão: identificador exclusivo que representa a conexão que iniciou o log.
Categoria do dispositivo: tipo de dispositivo de onde a transação foi iniciada. Cliente ourede remota.
Ação: a ação executada na sessão de rede. Permitido ou negado.

Definir configurações de diagnóstico para exportar logs

Você pode exportar os logs de tráfego do Acesso Global Seguro (versão prévia) para um ponto de extremidade para análise e alertas adicionais. Essa integração é configurada nas configurações de diagnóstico do Microsoft Entra.

Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
Navegue até Entra ID>Monitoramento & integridade>Configurações de diagnóstico.
Selecione Adicionar Configuração de Diagnóstico.
Dê um nome à sua configuração de diagnóstico.
Selecione NetworkAccessTrafficLogs.
Selecione os detalhes de destino para onde você deseja enviar os logs. Escolha qualquer um ou todos os destinos a seguir. Campos adicionais são exibidos, dependendo da seleção.
- Enviar para o espaço de trabalho do Log Analytics: selecione os detalhes apropriados nos menus que aparecem.
- Arquivar em uma conta de armazenamento: Forneça o número de dias que você deseja manter os dados nas caixas de dias de retenção que aparecem ao lado das categorias de log. Selecione os detalhes apropriados nos menus exibidos.
- Transmitir para um hub de eventos: Selecione os detalhes apropriados nos menus que aparecem.
- Enviar para a solução de parceiro: Selecione os detalhes apropriados nos menus que aparecem.