Membuat pengaturan diagnostik dalam skala besar dengan menggunakan kebijakan Azure kustom

Kebijakan dan inisiatif kebijakan menyediakan metode untuk mengaktifkan pengelogan dalam skala besar dengan pengaturan diagnostik untuk Azure Monitor. Artikel ini menjelaskan cara membuat kebijakan kustom untuk sumber daya Azure yang tidak memiliki kebijakan bawaan. Untuk membuat pengaturan diagnostik untuk sumber daya Azure yang memiliki kebijakan bawaan, lihat Membuat pengaturan diagnostik dalam skala besar dengan menggunakan kebijakan Azure bawaan.

Menggunakan grup kategori log

Grup kategori log berisi jenis log yang sama. Grup kategori memudahkan untuk merujuk ke beberapa log dalam satu perintah.

Grup allLogs kategori berisi semua log. Grup audit kategori mencakup semua log audit.

Dengan menggunakan grup kategori, Anda dapat menentukan kebijakan yang diperbarui secara dinamis saat kategori log baru ditambahkan ke grup.

Membuat definisi kebijakan kustom

Untuk jenis sumber daya yang tidak memiliki kebijakan bawaan, Anda perlu membuat definisi kebijakan kustom. Anda dapat membuat kebijakan secara manual di portal Microsoft Azure dengan menyalin kebijakan bawaan yang ada lalu memodifikasinya untuk jenis sumber daya Anda. Atau, buat kebijakan secara terprogram dengan menggunakan skrip di Galeri PowerShell.

Skrip Create-AzDiagPolicy membuat file kebijakan untuk jenis sumber daya tertentu yang dapat Anda instal dengan menggunakan PowerShell atau Azure CLI. Gunakan prosedur berikut untuk membuat definisi kebijakan kustom untuk pengaturan diagnostik:

  1. Pastikan Anda telah menginstal Azure PowerShell.

  2. Pasang skrip dengan menggunakan perintah berikut:

    Install-Script -Name Create-AzDiagPolicy

  3. Jalankan skrip menggunakan parameter untuk menentukan di mana mengirim log. Tentukan langganan dan jenis sumber daya pada perintah.

    Misalnya, untuk membuat definisi kebijakan yang mengirimkan log ke Log Analytics workspace dan event hub, gunakan perintah berikut:

    Create-AzDiagPolicy.ps1 -ExportLA -ExportEH -ExportDir ".\PolicyFiles"

    Atau, Anda dapat menentukan jenis langganan dan sumber daya dalam perintah. Misalnya, untuk membuat definisi kebijakan yang dikirim ke ruang kerja Analitik Log dan Event Hub untuk database SQL Server, gunakan perintah berikut:

    Create-AzDiagPolicy.ps1 -SubscriptionID <subscription id> -ResourceType Microsoft.Sql/servers/databases -ExportLA -ExportEH -ExportDir ".\PolicyFiles"

  4. Skrip membuat folder terpisah untuk setiap definisi kebijakan. Setiap folder berisi tiga file: azurepolicy.json, azurepolicy.rules.json, dan azurepolicy.parameters.json. Jika Anda ingin membuat kebijakan secara manual di portal Microsoft Azure, Anda dapat menyalin dan menempelkan konten azurepolicy.json karena menyertakan seluruh definisi kebijakan. Gunakan dua file lain dengan PowerShell atau Azure CLI untuk membuat definisi kebijakan dari baris perintah.

    Contoh berikut menunjukkan cara memasang definisi kebijakan dari PowerShell dan Azure CLI. Setiap contoh menyertakan metadata untuk menentukan kategori Monitoring untuk mengelompokkan definisi kebijakan baru dengan definisi kebijakan bawaan.

    New-AzPolicyDefinition -name "Deploy Diagnostic Settings for SQL Server database to Log Analytics workspace" -policy .\Apply-Diag-Settings-LA-Microsoft.Sql-servers-databases\azurepolicy.rules.json -parameter .\Apply-Diag-Settings-LA-Microsoft.Sql-servers-databases\azurepolicy.parameters.json -mode All -Metadata '{"category":"Monitoring"}'

    az policy definition create --name 'deploy-diag-setting-sql-database--workspace' --display-name 'Deploy Diagnostic Settings for SQL Server database to Log Analytics workspace'  --rules 'Apply-Diag-Settings-LA-Microsoft.Sql-servers-databases\azurepolicy.rules.json' --params 'Apply-Diag-Settings-LA-Microsoft.Sql-servers-databases\azurepolicy.parameters.json' --subscription 'AzureMonitor_Docs' --mode All

Membuat inisiatif

Daripada membuat tugas untuk setiap definisi kebijakan, strategi umum adalah membuat inisiatif yang menyertakan definisi kebijakan untuk membuat pengaturan diagnostik untuk setiap layanan Azure. Buat tugas antara inisiatif dan grup manajemen, langganan, atau grup sumber daya tergantung cara Anda mengelola lingkungan. Strategi ini menawarkan manfaat berikut:

  • Buat satu tugas untuk inisiatif sebagai gantinya beberapa tugas untuk setiap jenis sumber daya. Gunakan inisiatif yang sama untuk beberapa grup pemantauan, langganan, atau grup sumber daya.
  • Ubah inisiatif saat Anda perlu menambahkan tipe atau tujuan sumber daya baru. Misalnya, persyaratan awal Anda mungkin hanya mengirim data ke ruang kerja Analitik Log, tetapi nanti Anda ingin menambahkan Event Hub. Ubah inisiatif daripada membuat tugas baru.

Untuk detail pembuatan inisiatif, lihat Membuat dan menetapkan definisi inisiatif. Pertimbangkan rekomendasi berikut:

  • Atur Kategori ke Pemantauan untuk mengelompokkannya dengan definisi kebijakan bawaan dan kustom terkait.
  • Alih-alih menentukan detail untuk ruang kerja Analitik Log dan Event Hub untuk definisi kebijakan yang disertakan dalam inisiatif, gunakan parameter inisiatif umum. Parameter ini memungkinkan Anda menentukan nilai umum untuk semua definisi kebijakan dan mengubah nilai tersebut jika perlu.

Cuplikan layar yang memperlihatkan pengaturan untuk definisi inisiatif.

Tetapkan inisiatif

Tetapkan inisiatif ke grup manajemen Azure, langganan, atau grup sumber daya tergantung pada lingkup sumber daya Anda untuk dipantau. Grup manajemen sangat berguna untuk kebijakan pencakupan, terutama jika organisasi Anda memiliki beberapa langganan.

Cuplikan layar pengaturan dasar untuk menetapkan inisiatif ke ruang kerja Analitik Log di portal Microsoft Azure.

Dengan menggunakan parameter inisiatif, Anda dapat menentukan ruang kerja atau detail lainnya sekali untuk semua definisi kebijakan dalam inisiatif.

Cuplikan layar yang memperlihatkan parameter inisiatif pada tab Parameter.

Buat tugas remediasi

Inisiatif ini diterapkan pada setiap komputer virtual pada saat pembuatannya. Tugas remediasi menyebarkan definisi kebijakan dalam inisiatif ke sumber daya yang ada, jadi Anda dapat membuat pengaturan diagnostik untuk sumber daya apa pun yang sudah dibuat.

Saat Anda membuat tugas menggunakan portal Microsoft Azure, Anda memiliki opsi untuk membuat tugas remediasi secara bersamaan. Untuk detail tentang remediasi, lihat Memulihkan sumber daya yang tidak patuh dengan Azure Policy.

Cuplikan layar yang memperlihatkan remediasi inisiatif untuk ruang kerja Analitik Log.

Konten terkait

  • Last updated on