Kebijakan dan inisiatif kebijakan menyediakan metode sederhana untuk mengaktifkan pengelogan dalam skala besar melalui pengaturan diagnostik untuk Azure Monitor. Dengan menggunakan inisiatif kebijakan, Anda dapat mengaktifkan pengelogan audit untuk semua sumber daya yang didukung di lingkungan Azure Anda.
Aktifkan log sumber daya untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas dan wawasan tentang setiap perubahan yang terjadi.
Tetapkan kebijakan untuk mengaktifkan log sumber daya dan mengirimkannya ke tujuan sesuai dengan kebutuhan Anda. Kirim log ke hub peristiwa untuk sistem SIEM pihak ketiga, memungkinkan operasi keamanan berkelanjutan. Kirim log ke akun penyimpanan untuk penyimpanan jangka panjang atau pemenuhan kepatuhan terhadap peraturan.
Serangkaian kebijakan dan inisiatif bawaan ada untuk mengarahkan log sumber daya ke Ruang Kerja Analitik Log, Azure Event Hubs, dan Akun Penyimpanan. Kebijakan ini memungkinkan pengelogan audit, mengirim log milik grup kategori log audit ke hub peristiwa, ruang kerja Analitik Log, atau Akun Penyimpanan. Kebijakan' effect adalah DeployIfNotExists, yang menyebarkan kebijakan sebagai default jika tidak ada pengaturan lain yang ditentukan.
Menyebarkan kebijakan.
Menyebarkan kebijakan dan inisiatif menggunakan templat Portal, CLI, PowerShell, atau Azure Resource Management
Tetapkan peran yang diperlukan ke identitas yang dibuat untuk penetapan kebijakan.
Temukan peran dalam definisi kebijakan dengan mencari roleDefinitionIds
Untuk menerapkan kebijakan menggunakan PowerShell, gunakan perintah berikut:
Siapkan lingkungan Anda.
Pilih langganan Anda dan atur grup sumber daya Anda
Select-AzSubscription <subscriptionID>
$rg = Get-AzResourceGroup -Name <resource groups name>
Dapatkan definisi kebijakan dan konfigurasikan parameter untuk kebijakan. Dalam contoh di bawah ini kami menetapkan kebijakan untuk mengirim log keyVault ke ruang kerja Analitik Log
Kebijakan ini terlihat dalam pengaturan diagnostik sumber daya setelah sekitar 30 menit.
Tugas remediasi
Kebijakan diterapkan ke sumber daya baru saat dibuat. Untuk menerapkan kebijakan ke sumber daya yang ada, buat tugas remediasi. Tugas remediasi membawa sumber daya sesuai dengan kebijakan.
Tugas remediasi bertindak untuk kebijakan tertentu. Untuk inisiatif yang berisi beberapa kebijakan, buat tugas remediasi untuk setiap kebijakan dalam inisiatif di mana Anda memiliki sumber daya yang ingin Anda bawa ke kepatuhan.
Tentukan tugas remediasi saat Anda pertama kali menetapkan kebijakan, atau pada tahap apa pun setelah penugasan.
Untuk membuat tugas remediasi untuk kebijakan selama penetapan kebijakan, pilih tab Remediasi di halaman Tetapkan kebijakan dan pilih kotak centang Buat tugas remediasi .
Untuk membuat tugas remediasi setelah kebijakan ditetapkan, pilih kebijakan yang Anda tetapkan dari daftar di halaman Penetapan Kebijakan.
Pilih Remediate.
Lacak status tugas remediasi Anda di tab Tugas remediasi di halaman Remediasi Kebijakan.
Dari halaman Definisi kebijakan, pilih cakupan Anda.
Pilih Inisiatif di menu dropdown Jenis definisi .
Pilih Pemantauan di menu dropdown Kategori .
Masukkan audit di bidang Pencarian .
Pilih tombol Aktifkan pengelogan sumber daya grup kategori audit untuk sumber daya yang didukung ke inisiatif Analitik Log .
Pada halaman berikut, pilih Tetapkan
Pada tab Dasar dari halaman Tetapkan inisiatif , pilih Cakupan yang Ingin Anda terapkan inisiatifnya.
Masukkan nama di bidang Nama penugasan .
Pilih tab Parameter .
Parameter berisi parameter yang ditentukan dalam kebijakan. Dalam hal ini, kita perlu memilih ruang kerja Analitik Log yang ingin kita kirimi log. Untuk informasi selengkapnya dalam parameter individual untuk setiap kebijakan, lihat Parameter khusus kebijakan.
Pilih ruang kerja Analitik Log untuk mengirim log audit Anda.
Pilih Tinjau + buat lalu Buat
Untuk memverifikasi bahwa penetapan kebijakan atau inisiatif Anda berfungsi, buat sumber daya dalam cakupan langganan atau grup sumber daya yang Anda tentukan dalam penetapan kebijakan Anda.
Setelah 10 menit, pilih halaman Pengaturan diagnostik untuk sumber daya Anda.
Pengaturan diagnostik Anda muncul dalam daftar dengan nama default setByPolicy-LogAnalytics dan nama ruang kerja yang Anda konfigurasikan dalam kebijakan.
Ubah nama default di tab Parameter dari halaman Tetapkan inisiatif atau kebijakan dengan membatalkan pilihan kotak centang Hanya tampilkan parameter yang memerlukan input atau tinjau .
Menyiapkan variabel lingkungan Anda
# Set up your environment variables.
$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
Dapatkan definisi inisiatif. Dalam contoh ini, kita akan menggunakan Inisiatif Aktifkan pengelogan sumber daya grup kategori audit untuk sumber daya yang didukung ke ' Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"
Buat tugas remediasi untuk kebijakan dalam inisiatif.
Tugas remediasi dibuat per kebijakan. Setiap tugas adalah untuk tertentu definition-reference-id, ditentukan dalam inisiatif sebagai policyDefinitionReferenceId. Untuk menemukan definition-reference-id parameter , gunakan perintah berikut:
az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
Untuk membuat tugas remediasi untuk semua kebijakan dalam inisiatif, gunakan contoh berikut:
for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g)
do
az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId;
done
Parameter umum
Tabel berikut ini menjelaskan parameter umum untuk setiap set kebijakan.
Parameter
Deskripsi
Nilai yang Valid
Default
efek
Mengaktifkan atau menonaktifkan eksekusi kebijakan
DeployIfNotExists, AuditIfNotExists, Nonaktif
DeployIfNotExists
diagnosticSettingName
Nama Pengaturan Diagnostik
setByPolicy-LogAnalytics
categoryGroup
Grup kategori diagnostik
Tidak Audit allLogs
audit
Parameter khusus kebijakan
Parameter kebijakan Analitik Log
Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log.
Parameter
Deskripsi
Nilai yang Valid
Default
resourceLocationList
Daftar Lokasi Sumber Daya untuk mengirim log ke Analitik Log terdekat. "*" memilih semua lokasi
Lokasi yang didukung
*
logAnalytics
Ruang Kerja Analitik Log
Parameter kebijakan Azure Event Hubs
Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke pusat aktivitas.
Parameter
Deskripsi
Nilai yang Valid
Default
resourceLocation
Lokasi Sumber Daya harus berada di lokasi yang sama dengan Namespace pusat aktivitas
Lokasi yang didukung
eventHubAuthorizationRuleId
ID Aturan Otorisasi hub peristiwa. Aturan otorisasi berada di tingkat namespace layanan hub peristiwa. Misalnya, /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName
Nama pusat aktivitas
Pemantauan
Parameter kebijakan Akun Penyimpanan
Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan.
Parameter
Deskripsi
Nilai yang Valid
Default
resourceLocation
Lokasi Sumber Daya harus berada di lokasi yang sama dengan Akun Penyimpanan
Lokasi yang didukung
storageAccount
ResourceId Akun Penyimpanan
Sumber Daya yang Didukung
Kebijakan log Audit bawaan untuk ruang kerja Analitik Log, Azure Event Hubs, dan Akun Penyimpanan ada untuk sumber daya berikut: