Megosztás a következőn keresztül:

Forgalomelemzés kezelése az Azure Policy használatával

  • Cikk

Az Azure Policy segít a szervezeti szabványok betartatásában és a megfelelőség nagy léptékű értékelésében. Az Azure Policy gyakori felhasználási esetei közé tartozik az erőforrás-konzisztencia, a jogszabályi megfelelőség, a biztonság, a költségek és a felügyelet szabályozásának implementálása. Az Azure Policyval kapcsolatos további információkért lásd : Mi az Azure Policy? és rövid útmutató: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azonosításához.

Ebből a cikkből megtudhatja, hogyan kezelheti a telepítést az Azure Network Watcher forgalomelemzéséhez elérhető három beépített szabályzat használatával.

Folyamatnaplók naplózása beépített szabályzattal

A Network Watcher folyamatnaplóinak forgalomelemzési engedélyezett szabályzattal kell rendelkezniük, amely az összes meglévő folyamatnaplót naplózza az Azure Resource Manager típusú Microsoft.Network/networkWatchers/flowLogs objektumok naplózásával, és ellenőrzi, hogy a forgalomelemzés engedélyezve van-e a networkWatcherFlowAnalyticsConfiguration.enabled folyamatnapló-erőforrás tulajdonságán keresztül. Ez a szabályzat ezután megjelöli a folyamatnapló-erőforrást, amelynek tulajdonsága hamis.

A folyamatnaplók naplózása a beépített szabályzat használatával:

  1. Jelentkezzen be az Azure Portalra.

  2. A portál tetején található keresőmezőbe írja be a szabályzatot. Válassza ki a szabályzatot a keresési eredmények közül.

    Képernyőkép a szabályzat kereséséről az Azure Portalon.

  3. Válassza a Hozzárendelések lehetőséget, majd válassza a Szabályzat hozzárendelése lehetőséget.

    Képernyőkép az Azure Portal Szabályzat hozzárendelése gombjának kiválasztásáról.

  4. Válassza ki a három pontot ... a Hatókör mellett, és válassza ki azt az Azure-előfizetést, amely rendelkezik a szabályzat által naplózni kívánt folyamatnaplókkal. Kiválaszthatja azt az erőforráscsoportot is, amely a folyamatnaplókat tartalmazza. Miután kiválasztotta a beállításokat, válassza a Kiválasztás gombot.

    Képernyőkép a szabályzat hatókörének az Azure Portalon való kiválasztásáról.

  5. Válassza ki a három pontot ... a Szabályzatdefiníció mellett a hozzárendelni kívánt beépített szabályzat kiválasztásához. Írja be a forgalomelemzést a keresőmezőbe, és válassza a Beépített szűrő lehetőséget. A keresési eredmények között válassza a Network Watcher folyamatnaplóinak engedélyezve kell lennie a forgalomelemzésnek , majd válassza a Hozzáadás lehetőséget.

    Képernyőkép az Azure Portal naplózási szabályzatának kiválasztásáról.

  6. Adjon meg egy nevet a Hozzárendelés mezőben , a nevet pedig a Hozzárendelt mezőben. Ez a szabályzat nem igényel paramétereket.

  7. Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget.

    Képernyőkép az Alapszintű beállítások lapról, amely naplószabályzatot rendel az Azure Portalhoz.

    Feljegyzés

    Ez a szabályzat nem igényel paramétereket. Emellett nem tartalmaz szerepkördefiníciókat, így nincs szükség szerepkör-hozzárendelések létrehozására a felügyelt identitáshoz a Szervizelés lapon.

  8. Válassza a Megfelelőség lehetőséget. Keresse meg a feladat nevét, majd jelölje ki.

    Képernyőkép az Azure Portalon található naplózási szabályzatot megjelenítő Megfelelőségi oldalról.

  9. Az erőforrás-megfelelőség felsorolja az összes nem megfelelő folyamatnaplót.

    Képernyőkép az Azure Portal naplózási szabályzatának részleteiről.

Forgalomelemzés üzembe helyezése és konfigurálása deployIfNotExists-szabályzatokkal

Az NSG-folyamatnaplók konfigurálásához két deployIfNotExists-szabályzat érhető el:

  • Konfigurálja a hálózati biztonsági csoportokat úgy, hogy adott munkaterületet, tárfiókot és folyamatnapló-adatmegőrzési szabályzatot használjanak a forgalomelemzéshez: Ez a házirend azt a hálózati biztonsági csoportot jelöli meg, amely nem rendelkezik engedélyezett forgalomelemzéssel. Megjelölt hálózati biztonsági csoport esetén vagy a megfelelő NSG-folyamatnapló-erőforrás nem létezik, vagy az NSG-forgalomnapló-erőforrás létezik, de a forgalomelemzés nincs engedélyezve rajta. Szervizelési feladatot akkor hozhat létre, ha azt szeretné, hogy a szabályzat hatással legyen a meglévő erőforrásokra.

    A szervizelés hozzárendelhető a szabályzat hozzárendelése során, vagy a szabályzat hozzárendelése és kiértékelése után. A szervizelés lehetővé teszi a forgalomelemzést az összes megjelölt erőforráson a megadott paraméterekkel. Ha egy hálózati biztonsági csoport már engedélyezte a folyamatnaplókat egy adott tárazonosítóba, de nincs engedélyezve a forgalomelemzés, akkor a szervizelés engedélyezi a hálózati biztonsági csoport forgalomelemzését a megadott paraméterekkel. Ha a paraméterekben megadott tárolási azonosító eltér a folyamatnaplókhoz engedélyezetttől, akkor az utóbbi felülíródik a szervizelési feladatban megadott tárazonosítóval. Ha nem szeretné felülírni, használja a Hálózati biztonsági csoportok konfigurálása parancsot a forgalomelemzési szabályzat engedélyezéséhez.

  • Hálózati biztonsági csoportok konfigurálása a forgalomelemzés engedélyezéséhez: Ez a szabályzat az előző szabályzathoz hasonló, azzal a kivétellel, hogy a szervizelés során nem írja felül a forgalomnaplók beállításait azon megjelölt hálózati biztonsági csoportokon, amelyeken engedélyezve vannak a forgalomnaplók, de a forgalomelemzés le van tiltva a szabályzat-hozzárendelésben megadott paraméterrel.

Feljegyzés

A Network Watcher egy regionális szolgáltatás, így a két deployIfNotExists-házirend az adott régióban létező hálózati biztonsági csoportokra lesz alkalmazva. Egy másik régióban lévő hálózati biztonsági csoportok esetén hozzon létre egy másik szabályzat-hozzárendelést az adott régióban.

A deployIfNotExists két szabályzat bármelyikének hozzárendeléséhez kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.

  2. A portál tetején található keresőmezőbe írja be a szabályzatot. Válassza ki a szabályzatot a keresési eredmények közül.

    Képernyőkép a szabályzat kereséséről az Azure Portalon.

  3. Válassza a Hozzárendelések lehetőséget, majd válassza a Szabályzat hozzárendelése lehetőséget.

    Képernyőkép az Azure Portal Szabályzat hozzárendelése gombjának kiválasztásáról.

  4. Válassza ki a három pontot ... a Hatókör mellett, és válassza ki azt az Azure-előfizetést, amely rendelkezik a szabályzat által naplózni kívánt folyamatnaplókkal. Kiválaszthatja azt az erőforráscsoportot is, amely a folyamatnaplókat tartalmazza. Miután kiválasztotta a beállításokat, válassza a Kiválasztás gombot.

    Képernyőkép a szabályzat hatókörének az Azure Portalon való kiválasztásáról.

  5. Válassza ki a három pontot ... a Szabályzatdefiníció mellett a hozzárendelni kívánt beépített szabályzat kiválasztásához. Írja be a forgalomelemzést a keresőmezőbe, és válassza ki a beépített szűrőt . A keresési eredmények között válassza a Hálózati biztonsági csoportok konfigurálása adott munkaterület, tárfiók és folyamatnapló adatmegőrzési szabályzatának használatára a forgalomelemzéshez, majd válassza a Hozzáadás lehetőséget.

    Képernyőkép egy deployIfNotExists-szabályzat kiválasztásáról az Azure Portalon.

  6. Adjon meg egy nevet a Hozzárendelés mezőben , a nevet pedig a Hozzárendelt mezőben.

    Képernyőkép az Azure Portalon üzembe helyezési szabályzat hozzárendeléséről az Alapszintű beállítások lapon.

  7. Kattintson kétszer a Tovább gombra, vagy válassza a Paraméterek lapot. Ezután adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Hatály Válassza a DeployIfNotExists lehetőséget.
    Hálózati biztonsági csoport régiója Válassza ki a szabályzattal megcélzott hálózati biztonsági csoport régióját.
    Tárolási erőforrás azonosítója Adja meg a tárfiók teljes erőforrás-azonosítóját. A tárfióknak ugyanabban a régióban kell lennie, mint a hálózati biztonsági csoportnak. A tárolási erőforrás-azonosító formátuma: /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Forgalomelemzési feldolgozási időköz percekben Válassza ki a feldolgozott naplók munkaterületre való leküldésének gyakoriságát. A jelenleg elérhető értékek 10 és 60 perc. Az alapértelmezett érték 60 perc.
    Munkaterület erőforrás-azonosítója Adja meg annak a munkaterületnek a teljes erőforrás-azonosítóját, ahol engedélyezni kell a forgalomelemzést. A munkaterület erőforrás-azonosítójának formátuma: /subscriptions/<SubscriptionID>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.
    Munkaterület régiója Válassza ki a forgalomelemzési munkaterület régióját.
    Munkaterület azonosítója Adja meg a Traffic Analytics-munkaterület azonosítóját.
    Network Watcher-erőforráscsoport Válassza ki a Network Watcher erőforráscsoportját.
    Network Watcher neve Adja meg a Network Watcher nevét.
    A folyamatnaplók megőrzésének napjainak száma Adja meg, hogy hány napig szeretné megőrizni a folyamatnaplók adatait a tárfiókban. Ha örökre meg szeretné őrizni az adatokat, írja be a 0 értéket.

    Feljegyzés

    A forgalomelemzési munkaterület régiójának nem kell megegyeznie a célzott hálózati biztonsági csoport régiójával.

    Képernyőkép az Üzembe helyezési szabályzat Azure Portalon való hozzárendeléséről a Paraméterek lapról.

  8. Válassza a Tovább vagy a Szervizelés lapot. Adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Szervizelési feladat létrehozása Jelölje be a jelölőnégyzetet, ha azt szeretné, hogy a szabályzat hatással legyen a meglévő erőforrásokra.
    Felügyelt identitás létrehozása Jelölje be a jelölőnégyzetet.
    Felügyelt identitás típusa Válassza ki a használni kívánt felügyelt identitás típusát.
    Rendszer által hozzárendelt identitás helye Válassza ki a rendszer által hozzárendelt identitás régióját.
    Hatókör Válassza ki a felhasználó által hozzárendelt identitás hatókörét.
    Meglévő felhasználó által hozzárendelt identitások Válassza ki a felhasználó által hozzárendelt identitást.

    Feljegyzés

    A szabályzat használatához közreműködői vagy tulajdonosi engedély szükséges.

    Képernyőkép az Üzembe helyezési szabályzat Azure Portalon való hozzárendeléséről a Szervizelés lapról.

  9. Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget.

  10. Válassza a Megfelelőség lehetőséget. Keresse meg a feladat nevét, majd jelölje ki.

    Képernyőkép a Megfelelőségi oldalról, amelyen az Üzembe helyezési szabályzat látható az Azure Portalon.

  11. Válassza az Erőforrás-megfelelőség lehetőséget az összes nem megfelelő folyamatnapló listájának lekéréséhez.

    Képernyőkép az Üzembe helyezési szabályzat részleteiről az Azure Portalon.

Hibaelhárítás

A szervizelési feladat hibakóddal PolicyAuthorizationFailed meghiúsul: példa példa a szabályzat-hozzárendelés /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ erőforrás-identitására, amely nem rendelkezik az üzembe helyezés létrehozásához szükséges engedélyekkel.

Ilyen esetben a felügyelt identitásnak manuálisan kell hozzáférést biztosítani. Nyissa meg a megfelelő előfizetést/erőforráscsoportot (amely tartalmazza a szabályzat paramétereiben megadott erőforrásokat), és adjon közreműködői hozzáférést a szabályzat által létrehozott felügyelt identitáshoz.

Kapcsolódó tartalom