全球安全访问日志和监视

作为 IT 管理员,你需要监视流经网络的流量的性能、体验和可用性。 在全球安全访问日志中,你可以查看许多数据点以深入了解网络流量。 本文介绍可用的日志和仪表板以及一些常见监视方案。

仪表板

全局安全访问仪表板提供流经 Microsoft Entra 专用访问和 Microsoft Entra Internet 访问服务的流量(包括 Microsoft 流量和专用访问流量)的可视化效果。 仪表板提供与产品部署和见解相关的数据摘要。 在这些类别中,你可以查看过去 24 小时内出现的用户、设备和应用程序数量。 你还可以查看设备活动和跨租户访问。

有关详细信息,请参阅全局安全访问仪表板

审核日志(预览版)

在调查 Microsoft Entra 环境变化或排查其问题时,Microsoft Entra 审核日志是宝贵的信息来源。 与全局安全访问相关的更改会捕获到多个类别的审核日志中,例如筛选策略、转发配置文件、远程网络管理等。

有关详细信息,请参阅全球安全访问审核日志(预览版)

流量日志(预览版)

全局安全访问流量日志提供环境中发生的网络连接和事务的摘要。 这些日志会记录谁访问了从何处到何处的哪些流量,以及出现了什么结果。 流量日志提供环境中所有连接的快照,并将其分解为适用于流量转发配置文件的流量。 日志详细信息提供流量类型目标、源 IP 等。

有关详细信息,请参阅全球安全访问流量日志(预览版)

扩充 Office 365 日志(预览版)

扩充 Office 365 日志提供的信息可让你深入了解组织使用的 Microsoft 365 应用的性能、体验和可用性。 可以将日志与 Log Analytics 工作区或第三方 SIEM 工具集成以进行进一步分析。

客户可以使用现有的 Office 审核日志进行监视、检测、调查和分析。 我们了解这些日志的重要性,并与 Microsoft 365 合作以纳入 SharePoint 日志。 这些扩充日志包括客户端信息和原始公共 IP 详细信息等详细信息,可用于对安全方案进行故障排除。

有关详细信息,请参阅扩充 Office 365 日志

日志保留和存储

流量日志和远程网络运行状况日志:这些日志将在系统中保留 30 天。 此保留期使用户有充足的时间审查和分析最近的活动及网络运行状况。

审核日志:审核日志的保留期因 Microsoft Entra ID 许可证而异。 下表提供了明细:

报表类型 Microsoft Entra ID Free Microsoft Entra ID P1 Microsoft Entra ID P2
审核日志 七天 30 天 30 天

Office 日志:Office 日志的保留期较短,最长保留 24 小时。

导出日志并将其存储较长时间:客户可以通过诊断设置功能灵活导出这些日志。 导出日志能使记录的保留期超过默认的保留时间。 这对于合规性、审核和深入分析目的至关重要。

后续步骤