Integrierte Richtlinien für Azure Monitor

Richtlinien und Richtlinieninitiativen bieten eine einfache Methode zum Aktivieren der Protokollierung im großen Stil über Diagnoseeinstellungen für Azure Monitor. Mithilfe einer Richtlinieninitiative können Sie die Überwachungsprotokollierung für alle unterstützten Ressourcen in Ihrer Azure-Umgebung aktivieren.

Aktivieren Sie Ressourcenprotokolle, um Aktivitäten und Ereignisse nachzuverfolgen, die auf Ihren Ressourcen stattfinden, und verschaffen Sie sich Sichtbarkeit und Einblicke in alle auftretenden Änderungen. Weisen Sie Richtlinien zu, um Ressourcenprotokolle zu aktivieren und sie gemäß Ihren Anforderungen an Ziele zu senden. Senden Sie Protokolle an Event Hubs für Drittanbieter-SIEM-Systeme, um kontinuierliche Sicherheitsvorgänge zu ermöglichen. Senden Sie Protokolle an Speicherkonten zur längerfristigen Speicherung oder zur Erfüllung gesetzlicher Vorschriften.

Es sind eine Reihe integrierter Richtlinien und Initiativen vorhanden, um Ressourcenprotokolle an Log Analytics-Arbeitsbereiche, Event Hubs und Speicherkonten weiterzuleiten. Die Richtlinien ermöglichen die Überwachungsprotokollierung und senden Protokolle, die zur Protokollkategoriengruppe Überwachung oder Alle Protokolle gehören, an einen Event Hub, einen Log Analytics-Arbeitsbereich oder ein Speicherkonto. Die effect der Richtlinien ist DeployIfNotExists, wodurch die Richtlinie als Standard bereitgestellt wird, wenn keine anderen Einstellungen definiert sind.

Bereitstellen von Richtlinien.

Stellen Sie die Richtlinien und Initiativen mithilfe des Portals, der CLI, PowerShell oder von Azure Resource Management-Vorlagen bereit

Azure portal

Die folgenden Schritte zeigen, wie Sie die Richtlinie anwenden, um Überwachungsprotokolle für Schlüsseltresore an einen Log Analytics-Arbeitsbereich zu senden.

1. Wählen Sie auf der Seite „Richtlinie“ die Option Definitionen aus.

2. Wählen Sie Ihren Bereich aus. Sie können eine Richtlinie auf das gesamte Abonnement, eine Ressourcengruppe oder eine einzelne Ressource anwenden.

3. Wählen Sie in der Dropdownliste Definitionstyp die Option Richtlinie aus.

4. Wählen Sie in der Dropdownliste „Kategorie“ die Option Überwachung aus

5. Geben Sie im Suchfeld den Wert keyvault ein.

6. Wählen Sie die Richtlinie Protokollierung nach Kategorie für Schlüsseltresore (microsoft.keyvault/vaults) zu Log Analytics aktivieren aus.

7. Wählen Sie auf der Seite „Richtliniendefinition“ die Option Zuweisen aus

8. Wählen Sie die Registerkarte Parameter aus.

9. Wählen Sie den Log Analytics-Arbeitsbereich aus, an den Sie die Überwachungsprotokolle senden wollen.

10. Wählen Sie die Registerkarte Wartung aus.

11. Wählen Sie auf der Registerkarte „Wartung“ die Schlüsseltresorrichtlinie aus der Dropdownliste Zu wartende Richtlinie aus.

12. Aktivieren Sie das Kontrollkästchen Erstellen einer verwalteten Identität.

13. Wählen Sie unter Typ der verwalteten Identität die Option Systemseitig zugewiesene verwaltete Identität aus.

14. Wählen Sie Überprüfen + erstellen und dann Erstellen aus.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Verwenden Sie die folgenden Befehle, um eine Richtlinie mithilfe der CLI anzuwenden:

1. Erstellen Sie eine Richtlinienzuweisung mithilfe von az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   So wenden Sie beispielsweise die Richtlinie an, um Überwachungsprotokolle an einen Log Analytics-Arbeitsbereich zu senden

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Weisen Sie der Identität, die für die Richtlinienzuweisung erstellt wurde, die erforderliche Rolle zu. Suchen Sie die Rolle in der Richtliniendefinition, indem Sie nach roleDefinitionIds suchen

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Weisen Sie die erforderliche Rolle mithilfe von az policy assignment identity assign zu:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Beispiel:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Lösen Sie einen Scan aus, um vorhandene Ressourcen mithilfe von az policy state trigger-scan zu suchen.

   az policy state trigger-scan --resource-group rg-001
   

4. Erstellen Sie mittels az policy remediation create eine Wartungsaufgabe, um die Richtlinie auf vorhandene Ressourcen anzuwenden.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   Beispiel:

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1
   

Weitere Informationen zur Richtlinienzuweisung mithilfe der CLI finden Sie unter Azure CLI-Referenz – az policy assignment

PowerShell

Verwenden Sie die folgenden Befehle, um eine Richtlinie mithilfe von PowerShell anzuwenden:

1. Einrichten Ihrer Umgebung. Wählen Sie Ihr Abonnement aus, und legen Sie Ihre Ressourcengruppe fest

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Rufen Sie die Richtliniendefinition ab, und konfigurieren Sie die Parameter für die Richtlinie. Im folgenden Beispiel weisen wir die Richtlinie zum Senden von Schlüsseltresorprotokollen an einen Log Analytics-Arbeitsbereich zu

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Zuweisen der Richtlinie

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Zuweisen der erforderlichen Rolle oder Rollen zur systemseitig zugewiesenen verwalteten Identität

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Überprüfen Sie auf Konformität, und erstellen Sie dann eine Wartungsaufgabe, um die Konformität für vorhandene Ressourcen zu erzwingen.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Kompatibilität prüfen

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant, ResourceID
   

Die Richtlinie ist in den Diagnoseeinstellungen der Ressourcen nach ca. 30 Minuten sichtbar.

Wartungstasks

Richtlinien werden auf neue Ressourcen angewendet, wenn sie erstellt werden. Um eine Richtlinie auf vorhandene Ressourcen anzuwenden, erstellen Sie eine Wartungsaufgabe. Wartungsaufgaben bringen Ressourcen in Konformität mit einer Richtlinie.

Wartungsaufgaben werden für bestimmte Richtlinien ausgeführt. Erstellen Sie für Initiativen, die mehrere Richtlinien enthalten, eine Wartungsaufgabe für jede Richtlinie in der Initiative, in der Sie über Ressourcen verfügen, die Sie in Konformität bringen möchten.

Definieren Sie Wartungsaufgaben, wenn Sie die Richtlinie zum ersten Mal zuweisen, oder in jeder Phase nach der Zuweisung.

Um während der Richtlinienzuweisung eine Wartungsaufgabe für Richtlinien zu erstellen, wählen Sie auf der Seite Richtlinie zuweisen die Registerkarte Wartung aus, und aktivieren Sie das Kontrollkästchen Wartungsaufgabe erstellen.

Um eine Wartungsaufgabe zu erstellen, nachdem die Richtlinie zugewiesen wurde, wählen Sie Ihre zugewiesene Richtlinie aus der Liste auf der Seite „Richtlinienzuweisungen“ aus.

Wählen Sie Wartung ausführen aus. Verfolgen Sie den Status Ihrer Wartungsaufgabe auf der Seite „Richtlinienwartung“ in der Registerkarte Wartungsaufgaben nach.

Weitere Informationen zu Wartungsaufgaben finden Sie unter Wartung nicht konformer Ressourcen

Zuweisen von Initiativen

Initiativen sind Sammlungen von Richtlinien. Es gibt zwei Initiativen für die Azure Monitor-Diagnoseeinstellungen:

1. Aktivieren der Ressourcenprotokollierung für die Kategoriengruppe audit

   • Aktivieren der Ressourcenprotokollierung für die Kategoriengruppe „Überwachung“ für unterstützte Ressourcen zu Event Hubs
   • Aktivieren der Ressourcenprotokollierung für die Kategoriengruppe „Überwachung“ für unterstützte Ressourcen zu Log Analytics
   • Aktivieren der Ressourcenprotokollierung für die Kategoriengruppe „Überwachung“ für unterstützte Ressourcen zum Speicher

2. Aktivieren der Ressourcenprotokollierung für die Kategoriengruppe allLogs

   • Aktivieren der Ressourcenprotokollierung für die Kategoriengruppe „allLogs“ für unterstützte Ressourcen zum Speicher
   • Aktivieren der Ressourcenprotokollierung für die Kategoriengruppe „allLogs“ für unterstützte Ressourcen zu Event Hubs
   • Aktivieren der Ressourcenprotokollierung für die Kategoriengruppe „allLogs“ für unterstützte Ressourcen zu Log Analytics

In diesem Beispiel weisen wir eine Initiative zum Senden von Überwachungsprotokollen an einen Log Analytics-Arbeitsbereich zu.

Azure portal

1. Wählen Sie auf der Richtlinienseite Definitionen Ihren Bereich aus.

2. Wählen Sie in der Dropdownliste Definitionstyp die Option Initiative aus.

3. Wählen Sie in der Dropdownliste Kategorie die Option Überwachung aus.

4. Geben Sie im Suchfeld den Wert Überwachung ein.

5. Wählen Sie die Initiative Aktivieren der Ressourcenprotokollierung für die Kategoriengruppe „Überwachung“ für unterstützte Ressourcen zu Log Analytics aus.

6. Wählen Sie auf der folgenden Seite Zuweisen

7. Wählen Sie auf der Registerkarte Grundlagen der Seite Initiative zuweisen einen Bereich aus, auf den die Initiative angewendet werden soll.

8. Geben Sie einen Namen in das Feld Zuordnungsname ein.

9. Wählen Sie die Registerkarte Parameter aus.

   Die Parameter enthalten die in der Richtlinie definierten Parameter. In diesem Fall müssen wir den Log Analytics-Arbeitsbereich auswählen, an den wir die Protokolle senden wollen. Weitere Informationen zu den einzelnen Parametern für jede Richtlinie finden Sie unter Richtlinienspezifische Parameter.

10. Wählen Sie den Log Analytics-Arbeitsbereich aus, an den Ihre Überwachungsprotokolle gesendet werden sollen.

11. Wählen Sie Überprüfen + erstellen und dannErstellen

Um zu überprüfen, ob Ihre Richtlinien- oder Initiativenzuweisung funktioniert, erstellen Sie eine Ressource im Abonnement- oder Ressourcengruppenbereich, den Sie in Ihrer Richtlinienzuweisung definiert haben.

Wählen Sie nach 10 Minuten die Seite Diagnoseeinstellungen für Ihre Ressource aus. Ihre Diagnoseeinstellung wird in der Liste mit dem Standardnamen setByPolicy-LogAnalytics und dem Arbeitsbereichsnamen angezeigt, den Sie in der Richtlinie konfiguriert haben.

Ändern Sie den Standardnamen auf der Registerkarte Parameter der Seite „Initiative oder Richtlinie“ zuweisen, indem Sie das Kontrollkästchen Nur Parameter anzeigen, die eine Eingabe benötigen oder überprüft werden müssen deaktivieren.

PowerShell

1. Festlegen Ihrer Umgebungsvariablen

   # Set up your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Rufen Sie die Initiativendefinition ab. In diesem Beispiel verwenden wir die Initiative Aktivieren der Ressourcenprotokollierung für die Kategoriengruppe „Überwachung“ für unterstützte Ressourcen zu ` Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Legen Sie einen Zuweisungsnamen fest, und konfigurieren Sie die Parameter. Für diese Initiative umfassen die Parameter die Log Analytics-Arbeitsbereichs-ID.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Zuweisen der Initiative mithilfe der Parameter

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Weisen Sie der vom System zugewiesenen verwalteten Identität die Rolle Contributor zu. Überprüfen Sie für andere Initiativen, welche Rollen erforderlich sind.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Scannen Sie auf Richtlinienkonformität. Es dauert einige Minuten, bis der Befehl Start-AzPolicyComplianceScan zurückgegeben wird

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Rufen Sie eine Liste der zu wartenden Ressourcen und die erforderlichen Parameter ab, indem Sie Get-AzPolicyState aufrufen

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Starten Sie für jeden Ressourcentyp mit nicht konformen Ressourcen eine Wartungsaufgabe.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Überprüfen Sie den Konformitätszustand, wenn die Wartungsaufgaben abgeschlossen sind.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID
   

Sie können ihre Richtlinienzuweisungsdetails mit dem folgenden Befehl abrufen:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

BEFEHLSZEILENSCHNITTSTELLE (CLI)

1. Melden Sie sich mithilfe des az login-Befehls bei Ihrem Azure-Konto an.

2. Wählen Sie mit dem az account set-Befehl das Abonnement aus, für das Sie die Richtlinieninitiative anwenden möchten.

3. Weisen Sie die Initiative mithilfe von az policy assignment create zu.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Beispiel:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Zuweisen der erforderlichen Rolle zur vom System verwalteten Identität

   Suchen Sie die Rollen, die in einer der Richtliniendefinitionen in der Initiative zugewiesen werden sollen, indem Sie die Definition nach roleDefinitionIds durchsuchen, beispielsweise:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Weisen Sie die erforderliche Rolle mithilfe von az policy assignment identity assign zu:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Beispiel:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Erstellen Sie Wartungsaufgaben für die Richtlinien in der Initiative.

   Wartungsaufgaben werden pro Richtlinie erstellt. Jede Aufgabe ist für eine bestimmte definition-reference-id, die in der Initiative als policyDefinitionReferenceId angegeben ist. Verwenden Sie den folgenden Befehl, um den definition-reference-id-Parameter zu suchen:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Warten Sie die Ressourcen mithilfe von az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Beispiel:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Verwenden Sie das folgende Beispiel, um eine Wartungsaufgabe für alle Richtlinien in der Initiative zu erstellen:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done 
   

Allgemeine Parameter

In der folgenden Tabelle werden die allgemeinen Parameter für jede Gruppe von Richtlinien beschrieben.

Parameter	BESCHREIBUNG	Gültige Werte	Standard
Wirkung	Ausführung der Richtlinie aktivieren oder deaktivieren	DeployIfNotExists, AuditIfNotExists, Disabled	Auswirkung „DeployIfNotExists“
diagnosticSettingName	Name der Diagnoseeinstellung		setByPolicy-{LogAnalytics|EventHubs|Storage}
categoryGroup	Kategoriengruppe „Diagnose“	keine, überwachen, allLogs	Überwachung
resourceTypeList	Für Initiativen eine Liste der Ressourcentypen, die für das Vorhandensein von Diagnoseeinstellungen ausgewertet werden sollen.	Unterstützte Ressourcen	Alle unterstützten Ressourcen

Richtlinienspezifische Parameter

Log Analytics-Richtlinienparameter

Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich zu routen.

Parameter	BESCHREIBUNG	Gültige Werte	Standard
resourceLocationList	Liste der Ressourcenspeicherorte, um Protokolle an Log Analytics in der Nähe zu senden. „*“ wähle alle Speicherorte aus	Unterstützte Standorte	*
logAnalytics	Log Analytics-Arbeitsbereich

Event Hubs-Richtlinienparameter

Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an einen Event Hub zu routen.

Parameter	BESCHREIBUNG	Gültige Werte	Standard
resourceLocation	Der Ressourcenspeicherort muss derselbe Speicherort wie der Event Hub-Namespace sein	Unterstützte Standorte
eventHubAuthorizationRuleId	ID der Event Hub-Autorisierungsregel. Die Autorisierungsregel befindet sich auf Event Hub-Namespaceebene. Beispiel: /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	Event Hub-Name		Überwachung

Richtlinienparameter für Speicherkonten

Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an ein Speicherkonto zu leiten.

Parameter	BESCHREIBUNG	Gültige Werte	Standard
resourceLocation	Der Ressourcenspeicherort muss sich am gleichen Speicherort wie das Speicherkonto befinden	Unterstützte Standorte
storageAccount	Ressourcen-ID des Speicherkontos

Unterstützte Ressourcen

Integrierte allLogs- und audit-Protokollrichtlinien für Log Analytics-Arbeitsbereiche, Event Hubs und Speicherkonten sind für die folgenden Ressourcen vorhanden:

Ressourcentyp	Alle Protokolle	Überwachungsprotokolle
microsoft.aad/domainservices	Ja	Ja
microsoft.agfoodplatform/farmbeats	Ja	Ja
microsoft.analysisservices/servers	Ja	No
microsoft.apimanagement/service	Ja	Ja
microsoft.app/managedenvironments	Ja	Ja
microsoft.appconfiguration/configurationstores	Ja	Ja
microsoft.appplatform/spring	Ja	No
microsoft.attestation/attestationproviders	Ja	Ja
microsoft.automation/automationaccounts	Ja	Ja
microsoft.autonomousdevelopmentplatform/workspaces	Ja	No
microsoft.avs/privateclouds	Ja	Ja
microsoft.azureplaywrightservice/accounts	Ja	Ja
microsoft.azuresphere/catalogs	Ja	Ja
microsoft.batch/batchaccounts	Ja	Ja
microsoft.botservice/botservices	Ja	No
microsoft.cache/redis	Ja	Ja
microsoft.cache/redisenterprise/databases	Ja	Ja
microsoft.cdn/cdnwebapplicationfirewallpolicies	Ja	No
microsoft.cdn/profiles	Ja	Ja
microsoft.cdn/profiles/endpoints	Ja	No
microsoft.chaos/experiments	Ja	Ja
microsoft.classicnetwork/networksecuritygroups	Ja	No
microsoft.cloudtest/hostedpools	Ja	No
microsoft.codesigning/codesigningaccounts	Ja	Ja
microsoft.cognitiveservices/accounts	Ja	Ja
microsoft.communication/communicationservices	Ja	No
microsoft.community/communitytrainings	Ja	Ja
microsoft.confidentialledger/managedccfs	Ja	Ja
microsoft.connectedcache/enterprisemcccustomers	Ja	No
microsoft.connectedcache/ispcustomers	Ja	No
microsoft.containerinstance/containergroups	Ja	No
microsoft.containerregistry/registries	Ja	Ja
microsoft.customproviders/resourceproviders	Ja	No
microsoft.d365customerinsights/instances	Ja	No
microsoft.dashboard/grafana	Ja	Ja
microsoft.databricks/workspaces	Ja	No
microsoft.datafactory/factories	Ja	No
microsoft.datalakeanalytics/accounts	Ja	No
microsoft.datalakestore/accounts	Ja	No
microsoft.dataprotection/backupvaults	Ja	No
microsoft.datashare/accounts	Ja	No
microsoft.dbformariadb/servers	Ja	No
microsoft.dbformysql/flexibleservers	Ja	Ja
microsoft.dbformysql/servers	Ja	No
microsoft.dbforpostgresql/flexibleservers	Ja	Ja
microsoft.dbforpostgresql/servergroupsv2	Ja	No
microsoft.dbforpostgresql/servers	Ja	No
microsoft.desktopvirtualization/applicationgroups	Ja	No
microsoft.desktopvirtualization/hostpools	Ja	No
microsoft.desktopvirtualization/scalingplans	Ja	No
microsoft.desktopvirtualization/workspaces	Ja	No
microsoft.devcenter/devcenters	Ja	Ja
microsoft.devices/iothubs	Ja	Ja
microsoft.devices/provisioningservices	Ja	No
microsoft.digitaltwins/digitaltwinsinstances	Ja	No
microsoft.documentdb/cassandraclusters	Ja	Ja
microsoft.documentdb/databaseaccounts	Ja	Ja
microsoft.documentdb/mongoclusters	Ja	Ja
microsoft.eventgrid/domains	Ja	Ja
microsoft.eventgrid/partnernamespaces	Ja	Ja
microsoft.eventgrid/partnertopics	Ja	No
microsoft.eventgrid/systemtopics	Ja	No
microsoft.eventgrid/topics	Ja	Ja
microsoft.eventhub/namespaces	Ja	Ja
microsoft.experimentation/experimentworkspaces	Ja	No
microsoft.healthcareapis/services	Ja	No
microsoft.healthcareapis/workspaces/dicomservices	Ja	No
microsoft.healthcareapis/workspaces/fhirservices	Ja	No
microsoft.healthcareapis/workspaces/iotconnectors	Ja	No
microsoft.insights/autoscalesettings	Ja	No
microsoft.insights/components	Ja	No
microsoft.insights/datacollectionrules	Ja	No
microsoft.keyvault/managedhsms	Ja	Ja
microsoft.keyvault/vaults	Ja	Ja
microsoft.kusto/clusters	Ja	Ja
microsoft.loadtestservice/loadtests	Ja	Ja
microsoft.logic/integrationaccounts	Ja	No
microsoft.logic/workflows	Ja	No
microsoft.machinelearningservices/registries	Ja	Ja
microsoft.machinelearningservices/workspaces	Ja	Ja
microsoft.machinelearningservices/workspaces/onlineendpoints	Ja	No
microsoft.managednetworkfabric/networkdevices	Ja	No
microsoft.media/mediaservices	Ja	Ja
microsoft.media/mediaservices/liveevents	Ja	Ja
microsoft.media/mediaservices/streamingendpoints	Ja	Ja
microsoft.netapp/netappaccounts/capacitypools/volumes	Ja	Ja
microsoft.network/applicationgateways	Ja	No
microsoft.network/azurefirewalls	Ja	No
microsoft.network/bastionhosts	Ja	Ja
microsoft.network/dnsresolverpolicies	Ja	No
microsoft.network/expressroutecircuits	Ja	No
microsoft.network/frontdoors	Ja	Ja
microsoft.network/loadbalancers	Ja	No
microsoft.network/networkmanagers	Ja	Ja
microsoft.network/networkmanagers/ipampools	Ja	Ja
microsoft.network/networksecuritygroups	Ja	No
microsoft.network/networksecurityperimeters	Ja	No
microsoft.network/p2svpngateways	Ja	Ja
microsoft.network/publicipaddresses	Ja	Ja
microsoft.network/publicipprefixes	Ja	Ja
microsoft.network/trafficmanagerprofiles	Ja	No
microsoft.network/virtualnetworkgateways	Ja	Ja
microsoft.network/virtualnetworks	Ja	No
microsoft.network/vpngateways	Ja	No
microsoft.networkanalytics/dataproducts	Ja	Ja
microsoft.networkcloud/baremetalmachines	Ja	No
microsoft.networkcloud/clusters	Ja	No
microsoft.networkcloud/storageappliances	Ja	No
microsoft.networkfunction/azuretrafficcollectors	Ja	No
microsoft.notificationhubs/namespaces	Ja	Ja
microsoft.notificationhubs/namespaces/notificationhubs	Ja	Ja
microsoft.openenergyplatform/energyservices	Ja	No
microsoft.operationalinsights/workspaces	Ja	Ja
microsoft.powerbi/tenants/workspaces	Ja	No
microsoft.powerbidedicated/capacities	Ja	No
microsoft.purview/accounts	Ja	Ja
microsoft.recoveryservices/vaults	Ja	No
microsoft.relay/namespaces	Ja	No
microsoft.search/searchservices	Ja	Ja
microsoft.servicebus/namespaces	Ja	Ja
microsoft.servicenetworking/trafficcontrollers	Ja	No
microsoft.signalrservice/signalr	Ja	Ja
microsoft.signalrservice/webpubsub	Ja	Ja
microsoft.sql/managedinstances	Ja	Ja
microsoft.sql/managedinstances/databases	Ja	No
microsoft.sql/servers/databases	Ja	Ja
microsoft.storagecache/caches	Ja	No
microsoft.storagemover/storagemovers	Ja	No
microsoft.streamanalytics/streamingjobs	Ja	No
microsoft.synapse/workspaces	Ja	Ja
microsoft.synapse/workspaces/bigdatapools	Ja	Ja
microsoft.synapse/workspaces/kustopools	Ja	Ja
microsoft.synapse/workspaces/scopepools	Ja	Ja
microsoft.synapse/workspaces/sqlpools	Ja	Ja
microsoft.timeseriesinsights/environments	Ja	No
microsoft.timeseriesinsights/environments/eventsources	Ja	No
microsoft.videoindexer/accounts	Ja	No
microsoft.web/hostingenvironments	Ja	Ja
microsoft.workloads/sapvirtualinstances	Ja	Ja

Nächste Schritte

• Erstellen von Diagnoseeinstellungen im großen Stil mithilfe von Azure Policy
• Integrierte Azure Policy-Definitionen für Azure Monitor
• Azure Policy – Übersicht
• Azure Enterprise-Richtlinie als Code