Zásady a iniciativy zásad poskytují jednoduchou metodu, jak povolit protokolování ve velkém prostřednictvím nastavení diagnostiky pro Azure Monitor. Pomocí iniciativy zásad můžete zapnout protokolování auditu pro všechny podporované prostředky v prostředí Azure.
Povolte protokoly prostředků ke sledování aktivit a událostí, ke kterým dochází na vašich prostředcích, a poskytne vám přehled o všech změnách, ke kterým dojde.
Přiřaďte zásady pro povolení protokolů prostředků a jejich odesílání do cílů podle vašich potřeb. Odesílat protokoly do center událostí pro systémy SIEM třetích stran, které umožňují nepřetržité operace zabezpečení. Odesílat protokoly do účtů úložiště za účelem dlouhodobějšího ukládání nebo splnění dodržování právních předpisů.
Existuje sada předdefinovaných zásad a iniciativ, které směrují protokoly prostředků do pracovních prostorů služby Log Analytics, služby Event Hubs a účtů úložiště. Zásady umožňují protokolování auditu a odesílají protokoly patřící do skupiny kategorií protokolů auditu do centra událostí, pracovního prostoru služby Log Analytics nebo účtu úložiště. Zásada effect je DeployIfNotExists, která nasadí zásadu jako výchozí, pokud nejsou definovaná jiná nastavení.
Nasaďte zásady.
Nasazení zásad a iniciativ pomocí portálu, rozhraní příkazového řádku, PowerShellu nebo šablon Azure Resource Management
Pokud chcete použít zásadu pomocí PowerShellu, použijte následující příkazy:
Nastavte své prostředí.
Vyberte předplatné a nastavte skupinu prostředků.
Select-AzSubscription <subscriptionID>
$rg = Get-AzResourceGroup -Name <resource groups name>
Získejte definici zásady a nakonfigurujte parametry zásad. V následujícím příkladu přiřadíme zásadu pro odesílání protokolů keyVault do pracovního prostoru služby Log Analytics.
Zásada se v nastavení diagnostiky prostředků zobrazí přibližně po 30 minutách.
Úkoly pro nápravu
Zásady se použijí na nové prostředky při jejich vytváření. Pokud chcete použít zásadu pro existující prostředky, vytvořte úlohu nápravy. Úlohy nápravy přivádějí prostředky do souladu se zásadami.
Úlohy nápravy fungují pro konkrétní zásady. Pro iniciativy, které obsahují více zásad, vytvořte úlohu nápravy pro každou zásadu v iniciativě, kde máte prostředky, které chcete uvést do dodržování předpisů.
Úlohy nápravy můžete definovat při prvním přiřazení zásady nebo v jakékoli fázi po přiřazení.
Pokud chcete vytvořit úlohu nápravy pro zásady během přiřazení zásad, vyberte kartu Náprava na stránce Přiřadit zásadu a zaškrtněte políčko Vytvořit úlohu nápravy .
Pokud chcete vytvořit úlohu nápravy po přiřazení zásady, vyberte přiřazenou zásadu ze seznamu na stránce Přiřazení zásad.
Vyberte Opravit.
Sledujte stav úlohy nápravy na kartě Úlohy nápravy na stránce Náprava zásad.
V rozevíracím seznamu Typ definice vyberte Iniciativa.
V rozevíracím seznamu Kategorie vyberte Monitorování.
Do pole Hledat zadejte audit.
Vyberte Možnost Povolit protokolování prostředků skupiny auditování pro podporované prostředky pro iniciativu Log Analytics .
Na následující stránce vyberte Přiřadit
Na kartě Základy na stránce Přiřadit iniciativu vyberte obor , na který má iniciativa platit.
Do pole Název přiřazení zadejte název.
Vyberte kartu Parametry .
Parametry obsahují parametry definované v zásadách. V tomto případě musíme vybrat pracovní prostor služby Log Analytics, do kterého chceme protokoly odeslat. Další informace o jednotlivých parametrech jednotlivých zásad najdete v tématu Parametry specifické pro zásady.
Vyberte pracovní prostor služby Log Analytics , do které chcete odesílat protokoly auditu.
Vyberte Zkontrolovat a vytvořit a pak Vytvořit
Pokud chcete ověřit, že vaše přiřazení zásad nebo iniciativ funguje, vytvořte prostředek v oboru předplatného nebo skupiny prostředků, který jste definovali v přiřazení zásad.
Po 10 minutách vyberte stránku Nastavení diagnostiky pro váš prostředek.
Nastavení diagnostiky se zobrazí v seznamu s výchozím názvem setByPolicy-LogAnalytics a názvem pracovního prostoru, který jste nakonfigurovali v zásadách.
Změňte výchozí název na kartě Parametry na stránce Přiřadit iniciativu nebo zásadu zrušením zaškrtnutí políčka Zobrazovat pouze parametry, které vyžadují vstup nebo revizi .
Nastavení proměnných prostředí
# Set up your environment variables.
$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
Získejte definici iniciativy. V tomto příkladu použijeme iniciativu Povolit protokolování prostředků skupiny auditování kategorií pro podporované prostředky na Log Analytics, ID prostředku /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5.
Úlohy nápravy se vytvářejí pro jednotlivé zásady. Každý úkol je určený pro konkrétní definition-reference-idúkol zadaný v iniciativě jako policyDefinitionReferenceId. K vyhledání parametru definition-reference-id použijte následující příkaz:
az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
Pokud chcete vytvořit úlohu nápravy pro všechny zásady v iniciativě, použijte následující příklad:
for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g)
do
az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId;
done
Společné parametry
Následující tabulka popisuje společné parametry pro každou sadu zásad.
Parametr
Popis
Platné hodnoty
Výchozí
účinek
Povolení nebo zakázání spouštění zásad
DeployIfNotExists, AuditIfNotExists, Zakázáno
DeployIfNotExists
diagnosticSettingName
Název nastavení diagnostiky
setByPolicy-LogAnalytics
skupina kategorií
Skupina diagnostických kategorií
Žádný Auditu allLogs
Auditu
Parametry specifické pro zásady
Parametry zásad Log Analytics
Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií ke směrování protokolů do pracovního prostoru služby Log Analytics.
Parametr
Popis
Platné hodnoty
Výchozí
resourceLocationList
Seznam umístění prostředků pro odesílání protokolů do nedaleké služby Log Analytics. "*" vybere všechna umístění.
Podporovaná umístění
*
LogAnalytics
Pracovní prostor Log Analytics
Parametry zásad služby Event Hubs
Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií ke směrování protokolů do centra událostí.
Parametr
Popis
Platné hodnoty
Výchozí
resourceLocation
Umístění prostředku musí být stejné jako obor názvů centra událostí.
Podporovaná umístění
eventHubAuthorizationRuleId
ID autorizačního pravidla centra událostí Autorizační pravidlo je na úrovni oboru názvů centra událostí. Například /subscriptions/{ID předplatného}/resourceGroups/{skupina prostředků}/providers/Microsoft.EventHub/namespaces/{obor názvů centra událostí}/authorizationrules/{authorization rule}
eventHubName
Název centra událostí
Monitorování
Parametry zásad účtů úložiště
Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště.
Parametr
Popis
Platné hodnoty
Výchozí
resourceLocation
Umístění prostředku musí být ve stejném umístění jako účet úložiště.
Podporovaná umístění
storageAccount
ID prostředku účtu úložiště
Podporované prostředky
Integrované zásady protokolů auditu pro pracovní prostory služby Log Analytics, službu Event Hubs a účty úložiště existují pro následující prostředky: