什么是远程网络运行状况日志？

分支机构等远程网络依赖于使用客户本地设备 (CPE) 将这些位置的用户连接到他们所需的联机资源和服务。用户希望 CPE 正常运行，以便能够完成自己的工作。要使所有人保持连接，需要确保 IPSec 隧道和边界网关协议 (BGP) 路由播发正常运行。此长时间运行的隧道和路由信息是远程网络运行状况的关键所在。

本文介绍了访问和分析远程网络运行状况日志的几种方法。

使用 Microsoft Entra 管理中心或 Microsoft Graph API 访问日志
将日志导出到 Log Analytics 或安全信息和事件管理 (SIEM) 工具
使用 Microsoft Entra 的 Azure 工作簿来分析日志
下载日志以进行长期存储

先决条件

若要在 Microsoft Entra 管理中心中查看远程网络运行状况日志，需要：

以下角色之一：全球安全访问管理员或安全管理员。
产品需要经过许可。有关详细信息，请参阅什么是全球安全访问的许可部分。如果需要，可以购买许可证或获取试用许可证。
如需使用 Microsoft Graph API 访问日志并将其与 Log Analytics 和 Azure 工作簿集成，则需要单独的角色。

查看日志

若要查看远程网络运行状况日志，可以使用 Microsoft Entra 管理中心或 Microsoft Graph API。

Microsoft Entra 管理中心
Microsoft 图形 API

若要在 Microsoft Entra 管理中心查看远程网络运行状况日志，请执行以下操作：

至少以全球安全访问管理员的身份登录到 Microsoft Entra 管理中心。
浏览到“全球安全访问”“监视”>“远程网络运行状况日志”>。

可以在 /beta 终结点上使用 Microsoft Graph 查看和管理全局安全访问远程网络运行状况日志。

需要具有以下权限之一才能使用 Microsoft Graph API 访问日志：

Directory.ReadWrite.All
NetworkAccess.Read.All
网络访问.读写.全部
网络访问-报告.读取.全部

若要使用 Microsoft Graph API 访问远程网络运行状况日志，请执行以下操作：

登录到图形资源管理器。
选择“GET”作为 HTTP 方法。
选择“BETA”作为 API 版本。
运行以下查询：

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

响应（已截断）：

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

配置诊断设置以导出日志

如需使用 SIEM 工具（如 Log Analytics）集成日志，则需通过 Microsoft Entra ID 中的诊断设置进行配置。为活动日志配置 Microsoft Entra 诊断设置一文中详细介绍了此过程。

要配置诊断设置，您需要：

安全管理员访问权限。
Log Analytics 工作区。

配置诊断设置的基本步骤如下所示：

至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>监控与健康>诊断设置。
所有现有诊断设置都显示在表中。请选择“编辑设置”以更改现有设置，或选择“添加诊断设置”以创建新设置。
提供一个名称。
选择要包含的 RemoteNetworkHealthLogs（以及任何其他日志）。
选择要将日志发送到的目标。
从显示的下拉菜单中选择订阅和目标。
选择保存按钮。

注意

最长可能需要三天时间，日志才会开始显示在目的地。

将日志路由到 Log Analytics 后，你可以利用以下功能：

创建警报规则以获取有关 BGP 隧道故障等情况的通知。
- 有关详细信息，请参阅创建警报规则。
使用 Microsoft Entra 的 Azure 工作簿直观显示数据（将在下一部分中介绍）。
将日志与 Microsoft Sentinel 集成，以提供安全分析和威胁情报。
- 有关详细信息，请参阅加入 Microsoft Sentinel 快速入门。

使用工作簿分析日志

Microsoft Entra 的 Azure 工作簿可提供数据的可视化表示形式。配置 Log Analytics 工作区和诊断设置以将日志与 Log Analytics 集成后，可以使用工作簿通过这些强大的工具来分析数据。

查看这些关于工作簿的有用资源：

下载日志

无论是在全球安全访问中，还是在 Microsoft Entra 监视和运行状况中，所有日志上都提供有“下载”按钮。可以将日志下载为 JSON 或 CSV 文件。有关详细信息，请参阅如何下载日志。

若要缩小日志结果的范围，请选择“添加筛选器”。可根据以下项进行筛选：

说明
远程网络 ID
源 IP
目标 IP
BGP 路由播发计数

下表描述了远程网络运行状况日志中的每个字段。

名称	说明
创建日期和时间	原始事件生成时间
源 IP 地址	CPE 的 IP 地址。每个 IPsec 隧道的源 IP/目标 IP 地址组合都是唯一的。
目标 IP 地址	Microsoft Entra 网关的 IP 地址。每个 IPsec 隧道的源 IP/目标 IP 地址组合都是唯一的。
状态	隧道已连接：将在成功建立 IPsec 隧道时生成此事件。隧道已断开连接：将在断开 IPsec 隧道时生成此事件。 BGP 已连接：将在成功建立 BGP 连接时生成此事件。 BGP 已断开连接：将在 BGP 连接断开时生成此事件。远程网络处于活动状态：将每 15 分钟针对所有活动隧道生成一次该定期统计信息。
说明	事件的说明（可选）。
BGP 路由播发计数	通过 IPsec 隧道播发的 BGP 路由的数量（可选）。对于“隧道已连接”、“隧道已断开连接”、“BGP 已连接”和“BGP 已断开连接”事件，此值为 0。
发送的字节数	在过去15分钟内，从源通过隧道发送到目标的字节数（可选）。对于“隧道已连接”、“隧道已断开连接”、“BGP 已连接”和“BGP 已断开连接”事件，此值为 0。
接收的字节数	在过去 15 分钟，源通过隧道从目标接收的字节数（可选）。对于“隧道已连接”、“隧道已断开连接”、“BGP 已连接”和“BGP 已断开连接”事件，此值为 0。
远程网络 ID	与隧道关联的远程网络的 ID。

后续步骤

反馈

此页面是否有帮助？

Last updated on 2025-04-30