Forgalomelemzés kezelése a Azure Policy használatával
Azure Policy segít a szervezeti szabványok betartatásában és a megfelelőség nagy léptékű értékelésében. Az Azure Policy gyakori felhasználási esetei közé tartozik az erőforrás-konzisztencia, a jogszabályi megfelelőség, a biztonság, a költségek és a felügyelet szabályozásának implementálása. Az Azure Policyval kapcsolatos további információkért lásd: Mi az Azure Policy? és rövid útmutató: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azonosításához.
Ebből a cikkből megtudhatja, hogyan használhatja az Azure Network Watcher traffic analyticshez elérhető három beépített szabályzatot a beállítás kezeléséhez.
Folyamatnaplók naplózása beépített szabályzattal
A Network Watcher forgalmi naplóknak engedélyezve kell lennie a forgalomelemzési szabályzatnak az összes meglévő folyamatnapló naplózásával, az Azure Resource Manager típusú Microsoft.Network/networkWatchers/flowLogs
objektumok naplózásával, valamint annak ellenőrzésével, hogy a forgalomelemzés engedélyezve van-e a networkWatcherFlowAnalyticsConfiguration.enabled
folyamatnapló-erőforrás tulajdonságán keresztül. Ez a szabályzat ezután megjelöli azt a folyamatnapló-erőforrást, amelynek tulajdonsága false (hamis) értékre van állítva.
A folyamatnaplók naplózása a beépített szabályzattal:
Jelentkezzen be az Azure Portalra.
A portál tetején található keresőmezőbe írja be a szabályzatot. A keresési eredmények között válassza a Szabályzat lehetőséget.
Válassza a Hozzárendelések, majd a Szabályzat hozzárendelése lehetőséget.
Válassza a hatókör melletti három pontot ... annak az Azure-előfizetésnek a kiválasztásához, amely a szabályzat által naplózni kívánt folyamatnaplókkal rendelkezik. Kiválaszthatja azt az erőforráscsoportot is, amely rendelkezik a folyamatnaplókkal. Miután kiválasztotta a beállításokat, válassza a Kiválasztás gombot.
Válassza a három pontot ... a Szabályzatdefiníció mellett a hozzárendelni kívánt beépített szabályzat kiválasztásához. Írja be a traffic analytics kifejezést a keresőmezőbe, és válassza a Beépített szűrő lehetőséget. A keresési eredmények közül válassza Network Watcher forgalomnaplók esetében engedélyezze a forgalomelemzést, majd válassza a Hozzáadás lehetőséget.
Adjon meg egy nevet a Hozzárendelés neve mezőben, a saját nevét pedig a Felelős mezőben. Ehhez a szabályzathoz nincs szükség paraméterekre.
Válassza az Áttekintés + létrehozás , majd a Létrehozás lehetőséget.
Megjegyzés
Ehhez a szabályzathoz nincs szükség paraméterekre. Emellett nem tartalmaz szerepkör-definíciókat, így nincs szükség szerepkör-hozzárendelések létrehozására a felügyelt identitáshoz a Szervizelés lapon.
Válassza a Megfelelőség lehetőséget. Keresse meg a feladat nevét, majd jelölje ki.
Az erőforrás-megfelelőség listázza az összes nem megfelelő folyamatnaplót.
Forgalomelemzés üzembe helyezése és konfigurálása deployIfNotExists szabályzatokkal
Az NSG-forgalomnaplók konfigurálásához két deployIfNotExists szabályzat érhető el:
Hálózati biztonsági csoportok konfigurálása adott munkaterület, tárfiók és forgalomnapló adatmegőrzési szabályzatának használatára a forgalomelemzéshez: Ez a szabályzat megjelöli azt a hálózati biztonsági csoportot, amelynél nincs engedélyezve a forgalomelemzés. Megjelölt hálózati biztonsági csoport esetén a megfelelő NSG-forgalomnapló-erőforrás nem létezik, vagy az NSG-forgalomnaplók erőforrása létezik, de a forgalomelemzés nincs engedélyezve rajta. Létrehozhat szervizelési feladatot, ha azt szeretné, hogy a szabályzat hatással legyen a meglévő erőforrásokra.
A szervizelés hozzárendelhető a szabályzat hozzárendelése során, vagy a szabályzat hozzárendelése és kiértékelése után. A szervizelés lehetővé teszi a forgalomelemzést az összes megjelölt erőforráson a megadott paraméterekkel. Ha egy hálózati biztonsági csoport már rendelkezik engedélyezett forgalomnaplókkal egy adott tárolóazonosítóban, de nincs engedélyezve a forgalomelemzés, akkor a szervizelés engedélyezi a forgalomelemzést ezen a hálózati biztonsági csoporton a megadott paraméterekkel. Ha a paraméterekben megadott tárolási azonosító eltér a folyamatnaplókhoz engedélyezett tárolóazonosítótól, akkor az utóbbi felülíródik a szervizelési feladatban megadott tárazonosítóval. Ha nem szeretné felülírni, használja a Hálózati biztonsági csoportok konfigurálása lehetőséget a forgalomelemzési szabályzat engedélyezéséhez .
Hálózati biztonsági csoportok konfigurálása forgalomelemzés engedélyezéséhez: Ez a szabályzat az előző szabályzathoz hasonló, azzal a kivétellel, hogy a szervizelés során nem írja felül a forgalomnaplók beállításait azon megjelölt hálózati biztonsági csoportokon, amelyeken engedélyezve vannak a forgalomnaplók, de a forgalomelemzés le van tiltva a szabályzat-hozzárendelésben megadott paraméterrel.
Megjegyzés
Network Watcher egy regionális szolgáltatás, ezért a két deployIfNotExists szabályzat az adott régióban található hálózati biztonsági csoportokra lesz alkalmazva. Egy másik régióban lévő hálózati biztonsági csoportok esetén hozzon létre egy másik szabályzat-hozzárendelést az adott régióban.
A deployIfNotExists két szabályzat bármelyikének hozzárendeléséhez kövesse az alábbi lépéseket:
Jelentkezzen be az Azure Portalra.
A portál tetején található keresőmezőbe írja be a szabályzatot. A keresési eredmények között válassza a Szabályzat lehetőséget.
Válassza a Hozzárendelések, majd a Szabályzat hozzárendelése lehetőséget.
Válassza a hatókör melletti három pontot ... annak az Azure-előfizetésnek a kiválasztásához, amely a szabályzat által naplózni kívánt folyamatnaplókkal rendelkezik. Kiválaszthatja azt az erőforráscsoportot is, amely rendelkezik a folyamatnaplókkal. Miután kiválasztotta a beállításokat, válassza a Kiválasztás gombot.
Válassza a három pontot ... a Szabályzatdefiníció mellett a hozzárendelni kívánt beépített szabályzat kiválasztásához. Írja be a traffic analytics kifejezést a keresőmezőbe, és válassza a Beépített szűrőt. A keresési eredmények között válassza a Hálózati biztonsági csoportok konfigurálása adott munkaterület, tárfiók és forgalomnapló-adatmegőrzési szabályzat forgalomelemzéshez való használatához lehetőséget, majd válassza a Hozzáadás lehetőséget.
Adjon meg egy nevet a Hozzárendelés neve mezőben, a saját nevét pedig a Felelős mezőben.
Kattintson kétszer a Tovább gombra, vagy válassza a Paraméterek lapot. Ezután adja meg vagy válassza ki a következő értékeket:
Beállítás Érték Hatás Válassza a DeployIfNotExists lehetőséget. Hálózati biztonsági csoport régiója Válassza ki annak a hálózati biztonsági csoportnak a régióját, amelyet a szabályzattal céloz meg. Storage-erőforrás azonosítója Adja meg a tárfiók teljes erőforrás-azonosítóját. A tárfióknak ugyanabban a régióban kell lennie, mint a hálózati biztonsági csoportnak. A tárolási erőforrás-azonosító formátuma: /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>
.Forgalomelemzés feldolgozási időköze percekben Válassza ki a feldolgozott naplók munkaterületre való leküldésének gyakoriságát. A jelenleg elérhető értékek 10 és 60 perc. Az alapértelmezett érték 60 perc. Munkaterület erőforrás-azonosítója Adja meg annak a munkaterületnek a teljes erőforrás-azonosítóját, ahol engedélyezni kell a forgalomelemzést. A munkaterület erőforrás-azonosítójának formátuma: /subscriptions/<SubscriptionID>/resourcegroups/<ResouceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>
.Munkaterület régiója Válassza ki a traffic analytics-munkaterület régióját. Munkaterület azonosítója Adja meg a Traffic Analytics-munkaterület azonosítóját. Network Watcher erőforráscsoport Válassza ki a Network Watcher erőforráscsoportját. Network Watcher neve Adja meg a Network Watcher nevét. A folyamatnaplók megőrzésének napjainak száma Adja meg, hogy hány napig szeretné megőrizni a tárfiókban a folyamatnaplók adatait. Ha örökre meg szeretné őrizni az adatokat, írja be a 0 értéket. Megjegyzés
A forgalomelemzési munkaterület régiójának nem kell megegyeznie a megcélzott hálózati biztonsági csoport régiójával.
Válassza a Tovább vagy a Szervizelés lapot. Adja meg vagy válassza ki a következő értékeket:
Beállítás Érték Szervizelési feladat létrehozása Jelölje be a jelölőnégyzetet, ha azt szeretné, hogy a szabályzat hatással legyen a meglévő erőforrásokra. Felügyelt identitás létrehozása Jelölje be a jelölőnégyzetet. Felügyelt identitás típusa Válassza ki a használni kívánt felügyelt identitástípust. Rendszer által hozzárendelt identitás helye Válassza ki a rendszer által hozzárendelt identitás régióját. Hatókör Válassza ki a felhasználó által hozzárendelt identitás hatókörét. Meglévő felhasználó által hozzárendelt identitások Válassza ki a felhasználó által hozzárendelt identitást. Megjegyzés
A szabályzat használatához közreműködői vagy tulajdonosi engedély szükséges.
Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget.
Válassza a Megfelelőség lehetőséget. Keresse meg a feladat nevét, majd válassza ki.
Válassza az Erőforrás-megfelelőség lehetőséget a nem megfelelő folyamatnaplók listájának lekéréséhez.
Hibaelhárítás
A szervizelési feladat hibakóddal PolicyAuthorizationFailed
meghiúsul: mintahiba-példa : A szabályzat-hozzárendelés /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/
erőforrás-identitása nem rendelkezik az üzembe helyezés létrehozásához szükséges engedélyekkel.
Ilyen esetben a felügyelt identitásnak manuálisan kell hozzáférést biztosítani. Nyissa meg a megfelelő előfizetést/erőforráscsoportot (amely tartalmazza a szabályzat paramétereiben megadott erőforrásokat), és adjon közreműködői hozzáférést a szabályzat által létrehozott felügyelt identitáshoz.
Következő lépések
- Ismerje meg az NSG-folyamatnaplók beépített szabályzatait.
- További információ a forgalomelemzésről.
- Megtudhatja, hogyan helyezhet üzembe folyamatnaplókat és forgalomelemzést azure Resource Manager (ARM) sablonnal. Lásd: NSG-forgalomnaplók konfigurálása Azure Resource Manager-sablonnal.