مشاركة عبر

إدارة تحليلات نسبة استخدام الشبكة باستخدام نهج Azure

  • مقالة

يساعدك نهج Azure على فرض المعايير التنظيمية وتقييم التوافق على نطاق واسع. تتضمن حالات الاستخدام الشائعة لـ Azure Policy تطبيق التحكم لاتساق الموارد والتوافق التنظيمي والأمان والتكلفة والإدارة. لمعرفة المزيد حول نهج Azure، راجع ما هو نهج Azure؟ والبدء السريع: إنشاء تعيين نهج لتحديد الموارد غير المتوافقة.

في هذه المقالة، ستتعلم كيفية استخدام ثلاثة نهج مضمنة متاحة لتحليلات حركة مرور Azure Network Watcher لإدارة الإعداد الخاص بك.

تدقيق سجلات التدفق باستخدام نهج مضمن

يجب أن تحتوي سجلات تدفق Network Watcher على نهج تمكين تحليلات نسبة استخدام الشبكة يقوم بمراجعة جميع سجلات التدفق الموجودة عن طريق تدقيق كائنات Azure Resource Manager من النوع Microsoft.Network/networkWatchers/flowLogs والتحقق مما إذا تم تمكين تحليلات نسبة استخدام الشبكة عبر networkWatcherFlowAnalyticsConfiguration.enabled خاصية مورد سجلات التدفق. يقوم هذا النهج بعد ذلك بوضع علامة على مورد سجلات التدفق الذي تم تعيين الخاصية على false.

لتدقيق سجلات التدفق باستخدام النهج المضمن:

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. في مربع البحث أعلى المدخل، أدخل policy. حدد Policy من نتائج البحث.

    لقطة شاشة للبحث عن نهج في مدخل Microsoft Azure.

  3. حدد التعيينات، ثم حدد في تعيين النهج.

    لقطة شاشة لتحديد زر تعيين النهج في مدخل Microsoft Azure.

  4. حدد علامة الحذف ... بجوار Scope لاختيار اشتراك Azure الذي يحتوي على سجلات التدفق التي تريد أن يدققها النهج. يمكنك أيضا اختيار مجموعة الموارد التي تحتوي على سجلات التدفق. بعد إجراء التحديدات، حدد الزر تحديد .

    لقطة شاشة لتحديد نطاق النهج في مدخل Microsoft Azure.

  5. حدد علامة الحذف ... بجوار تعريف النهج لاختيار النهج المضمن الذي تريد تعيينه. أدخل تحليلات نسبة استخدام الشبكة في مربع البحث، وحدد عامل تصفية مضمن . من نتائج البحث، حدد Network Watcher flow logs should have traffic analytics enabled ثم حدد Add.

    لقطة شاشة لتحديد نهج التدقيق في مدخل Microsoft Azure.

  6. أدخل اسما في اسم الواجب واسمك في تعيين بواسطة. لا يتطلب هذا النهج أي معلمات.

  7. حدد "Review + create" ثم "Create".

    لقطة شاشة لعلامة التبويب Basics لتعيين نهج تدقيق في مدخل Microsoft Azure.

    إشعار

    لا يتطلب هذا النهج أي معلمات. كما أنه لا يحتوي على أي تعريفات دور لذلك لا تحتاج إلى إنشاء تعيينات دور للهوية المدارة في علامة التبويب المعالجة .

  8. حدد الامتثال . ابحث عن اسم واجبك ثم حدده.

    لقطة شاشة لصفحة التوافق تعرض نهج التدقيق في مدخل Microsoft Azure.

  9. يسرد توافق الموارد جميع سجلات التدفق غير المتوافقة.

    لقطة شاشة تعرض تفاصيل نهج التدقيق في مدخل Microsoft Azure.

نشر وتكوين تحليلات نسبة استخدام الشبكة باستخدام نهج deployIfNotExists

هناك نهجان deployIfNotExists متاحان لتكوين سجلات تدفق NSG:

  • تكوين مجموعات أمان الشبكة لاستخدام مساحة عمل معينة وحساب تخزين ونهج استبقاء سجل التدفق لتحليلات نسبة استخدام الشبكة: يحدد هذا النهج مجموعة أمان الشبكة التي لم يتم تمكين تحليلات نسبة استخدام الشبكة. بالنسبة لمجموعة أمان الشبكة المعلمة، إما أن مورد سجلات تدفق NSG المقابل غير موجود أو مورد سجلات تدفق NSG موجود ولكن لم يتم تمكين تحليلات نسبة استخدام الشبكة عليه. يمكنك إنشاء مهمة معالجة إذا كنت تريد أن يؤثر النهج على الموارد الموجودة.

    يمكن تعيين الإصلاح أثناء تعيين النهج أو بعد تعيين النهج وتقييمها. تتيح المعالجة تحليلات نسبة استخدام الشبكة على جميع الموارد المعلمة مع المعلمات المتوفرة. إذا كانت مجموعة أمان الشبكة تحتوي بالفعل على سجلات تدفق ممكنة في معرف تخزين معين ولكن لم يتم تمكين تحليلات نسبة استخدام الشبكة، فإن المعالجة تمكن تحليلات نسبة استخدام الشبكة على مجموعة أمان الشبكة هذه باستخدام المعلمات المتوفرة. إذا كان معرف التخزين المتوفر في المعلمات مختلفا عن الذي تم تمكينه لسجلات التدفق، استبدال هذا الأخير بمعرف التخزين المتوفر في مهمة المعالجة. إذا كنت لا تريد الكتابة فوقها، فاستخدم تكوين مجموعات أمان الشبكة لتمكين نهج تحليلات نسبة استخدام الشبكة.

  • تكوين مجموعات أمان الشبكة لتمكين تحليلات نسبة استخدام الشبكة: يشبه هذا النهج النهج السابق باستثناء أنه في أثناء المعالجة، لا يقوم بالكتابة فوق إعدادات سجلات التدفق على مجموعات أمان الشبكة المعلمة التي تم تمكين سجلات التدفق عليها ولكن تحليلات نسبة استخدام الشبكة معطلة مع المعلمة المتوفرة في تعيين النهج.

إشعار

Network Watcher هي خدمة إقليمية لذلك سيتم تطبيق نهجي deployIfNotExists على مجموعات أمان الشبكة الموجودة في منطقة معينة. بالنسبة لمجموعات أمان الشبكة في منطقة مختلفة، قم بإنشاء تعيين نهج آخر في تلك المنطقة.

لتعيين أي من نهجي deployIfNotExists ، اتبع الخطوات التالية:

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. في مربع البحث أعلى المدخل، أدخل policy. حدد Policy من نتائج البحث.

    لقطة شاشة للبحث عن نهج في مدخل Microsoft Azure.

  3. حدد التعيينات، ثم حدد تعيين النهج.

    لقطة شاشة لتحديد زر تعيين النهج في مدخل Microsoft Azure.

  4. حدد علامة الحذف ... بجوار Scope لاختيار اشتراك Azure الذي يحتوي على سجلات التدفق التي تريد أن يدققها النهج. يمكنك أيضا اختيار مجموعة الموارد التي تحتوي على سجلات التدفق. بعد إجراء التحديدات، اختر الزر تحديد .

    لقطة شاشة لتحديد نطاق النهج في مدخل Microsoft Azure.

  5. حدد علامة الحذف ... بجوار تعريف النهج لاختيار النهج المضمن الذي تريد تعيينه. أدخل تحليلات نسبة استخدام الشبكة في مربع البحث، وحدد عامل التصفية المضمن . من نتائج البحث، حدد تكوين مجموعات أمان الشبكة لاستخدام مساحة عمل معينة وحساب تخزين ونهج استبقاء سجل التدفق لتحليلات نسبة استخدام الشبكة ثم حدد إضافة.

    لقطة شاشة لتحديد نهج deployIfNotExists في مدخل Microsoft Azure.

  6. أدخل اسما في اسم الواجب واسمك في تعيين بواسطة.

    لقطة شاشة لعلامة تبويب الأساسيات لتعيين نهج توزيع في مدخل Microsoft Azure.

  7. حدد الزر التالي مرتين، أو حدد علامة التبويب معلمات . بعد ذلك، أدخل القيم التالية أو حددها:

    الإعداد القيمة‬
    التأثير حدد DeployIfNotExists.
    منطقة مجموعة أمان الشبكة حدد منطقة مجموعة أمان الشبكة التي تستهدفها باستخدام النهج.
    معرف مورد التخزين أدخل معرف المورد الكامل لحساب التخزين. يجب أن يكون حساب التخزين في نفس المنطقة مثل مجموعة أمان الشبكة. تنسيق معرف مورد التخزين هو: /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    الفاصل الزمني لمعالجة تحليلات نسبة استخدام الشبكة بالدقائق حدد التردد الذي يتم فيه دفع السجلات المعالجة إلى مساحة العمل. القيم المتوفرة حاليا هي 10 و60 دقيقة. القيمة الافتراضية هي 60 دقيقة.
    معرف مورد مساحة العمل أدخل معرف المورد الكامل لمساحة العمل حيث يجب تمكين تحليلات نسبة استخدام الشبكة. تنسيق معرف مورد مساحة العمل هو: /subscriptions/<SubscriptionID>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.
    منطقة مساحة العمل حدد منطقة مساحة عمل تحليلات نسبة استخدام الشبكة.
    Workspace ID أدخل معرف مساحة عمل تحليلات نسبة استخدام الشبكة.
    مجموعة موارد Network Watcher حدد مجموعة الموارد الخاصة ب Network Watcher.
    اسم Network Watcher أدخل اسم Network Watcher.
    عدد الأيام للاحتفاظ بسجلات التدفق أدخل عدد الأيام التي تريد الاحتفاظ ببيانات سجلات التدفق لها في حساب التخزين. إذا كنت ترغب في الاحتفاظ بالبيانات إلى الأبد، أدخل 0.

    إشعار

    لا يجب أن تكون منطقة مساحة عمل تحليلات نسبة استخدام الشبكة هي نفسها منطقة مجموعة أمان الشبكة المستهدفة.

    لقطة شاشة لعلامة تبويب المعلمات لتعيين نهج توزيع في مدخل Microsoft Azure.

  8. حدد علامة التبويب Next أو Remediation . أدخل القيم التالية أو حددها:

    الإعداد القيمة‬
    إنشاء مهمة معالجة حدد المربع إذا كنت تريد أن يؤثر النهج على الموارد الموجودة.
    إنشاء هوية مدارة حدد المربع.
    نوع الهوية المدارة حدد نوع الهوية المدارة التي تريد استخدامها.
    موقع الهوية المعين من قبل النظام حدد منطقة الهوية المعينة للنظام.
    النطاق حدد نطاق الهوية المعينة من قبل المستخدم.
    الهويات المعينة للمستخدم الحالي حدد الهوية المعينة من قبل المستخدم.

    إشعار

    تحتاج إلى إذن المساهم أو المالك لاستخدام هذا النهج.

    لقطة شاشة لعلامة تبويب المعالجة لتعيين نهج توزيع في مدخل Microsoft Azure.

  9. حدد "Review + create" ثم "Create".

  10. حدد الامتثال . ابحث عن اسم واجبك ثم حدده.

    لقطة شاشة لصفحة التوافق تعرض نهج التوزيع في مدخل Microsoft Azure.

  11. حدد Resource compliance للحصول على قائمة بجميع سجلات التدفق غير المتوافقة.

    لقطة شاشة تعرض تفاصيل نهج التوزيع في مدخل Microsoft Azure.

استكشاف الأخطاء وإصلاحها

فشل مهمة المعالجة مع PolicyAuthorizationFailed رمز الخطأ: مثال على خطأ نموذج هوية مورد تعيين /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ النهج ليس لديها الأذونات اللازمة لإنشاء النشر.

في مثل هذا السيناريو، يجب منح الهوية المدارة حق الوصول يدويا. انتقل إلى مجموعة الاشتراك/الموارد المناسبة (التي تحتوي على الموارد المتوفرة في معلمات النهج) وامنح المساهم حق الوصول إلى الهوية المدارة التي تم إنشاؤها بواسطة النهج.

المحتوى ذو الصلة