Mengelola analitik lalu lintas menggunakan Azure Policy
Azure Policy membantu Anda menerapkan standar organisasi dan menilai kepatuhan dalam skala besar. Penggunaan umum Azure Policy meliputi menerapkan tata kelola untuk konsistensi sumber daya, kepatuhan terhadap peraturan, keamanan, biaya, dan manajemen. Untuk mempelajari selengkapnya tentang kebijakan Azure, lihat Apa itu Azure Policy? dan Mulai Cepat: Membuat penetapan kebijakan untuk mengidentifikasi sumber daya yang tidak patuh.
Dalam artikel ini, Anda mempelajari cara menggunakan tiga kebijakan bawaan yang tersedia untuk analitik lalu lintas Azure Network Watcher untuk mengelola penyiapan Anda.
Log alur audit menggunakan kebijakan bawaan
Log alur Network Watcher harus mengaktifkan analitik lalu lintas mengaudit semua log alur yang ada dengan mengaudit objek jenis Microsoft.Network/networkWatchers/flowLogs
Azure Resource Manager dan memeriksa apakah analitik lalu lintas diaktifkan melalui networkWatcherFlowAnalyticsConfiguration.enabled
properti sumber daya log alur. Kebijakan ini kemudian menandai sumber daya log alur yang memiliki properti yang diatur ke false.
Untuk mengaudit log alur Anda dengan menggunakan kebijakan bawaan:
Masuk ke portal Azure.
Di kotak pencarian di bagian atas portal, masukkan kebijakan. Pilih Kebijakan dari hasil pencarian.
Pilih Penugasan, lalu pilih Tetapkan Kebijakan.
Pilih elipsis ... di samping Cakupan untuk memilih langganan Azure Anda yang memiliki log alur yang Anda inginkan untuk diaudit kebijakan. Anda juga dapat memilih grup sumber daya yang memiliki log alur. Setelah Anda membuat pilihan, pilih tombol Pilih .
Pilih elipsis ... di samping Definisi kebijakan untuk memilih kebijakan bawaan yang ingin Anda tetapkan. Masukkan analitik lalu lintas di kotak pencarian, dan pilih Filter bawaan . Dari hasil pencarian, pilih Log alur Network Watcher harus mengaktifkan analitik lalu lintas lalu pilih Tambahkan.
Masukkan nama di Nama penugasan dan nama Anda di Ditetapkan oleh. Kebijakan ini tidak memerlukan parameter apa pun.
Pilih Ulas + buat, lalu pilih Buat.
Catatan
Kebijakan ini tidak memerlukan parameter apa pun. Ini juga tidak berisi definisi peran apa pun sehingga Anda tidak perlu membuat penetapan peran untuk identitas terkelola di tab Remediasi .
Pilih Kepatuhan. Cari nama penugasan Anda lalu pilih.
Kepatuhan sumber daya mencantumkan semua log alur yang tidak sesuai.
Menyebarkan dan mengonfigurasi analitik lalu lintas menggunakan kebijakan deployIfNotExists
Ada dua kebijakan deployIfNotExists yang tersedia untuk mengonfigurasi log alur NSG:
Mengonfigurasi grup keamanan jaringan untuk menggunakan ruang kerja tertentu, akun penyimpanan, dan kebijakan penyimpanan log alur untuk analitik lalu lintas: Kebijakan ini menandai grup keamanan jaringan yang tidak mengaktifkan analitik lalu lintas. Untuk grup keamanan jaringan yang ditandai, sumber daya log alur NSG yang sesuai tidak ada atau sumber daya log alur NSG ada tetapi analitik lalu lintas tidak diaktifkan di dalamnya. Anda dapat membuat tugas remediasi jika Anda ingin kebijakan memengaruhi sumber daya yang ada.
Remediasi dapat diberikan saat menetapkan kebijakan atau setelah kebijakan ditetapkan dan dievaluasi. Remediasi memungkinkan analitik lalu lintas pada semua sumber daya yang ditandai dengan parameter yang disediakan. Jika grup keamanan jaringan sudah memiliki log alur yang diaktifkan ke ID penyimpanan tertentu tetapi tidak mengaktifkan analitik lalu lintas, maka remediasi memungkinkan analitik lalu lintas pada grup keamanan jaringan ini dengan parameter yang disediakan. Jika ID penyimpanan yang disediakan dalam parameter berbeda dari yang diaktifkan untuk log alur, maka yang terakhir akan ditimpa dengan ID penyimpanan yang disediakan dalam tugas remediasi. Jika Anda tidak ingin menimpa, gunakan Konfigurasikan grup keamanan jaringan untuk mengaktifkan kebijakan analitik lalu lintas.
Mengonfigurasi grup keamanan jaringan untuk mengaktifkan analitik lalu lintas: Kebijakan ini mirip dengan kebijakan sebelumnya kecuali selama remediasi, kebijakan ini tidak menimpa pengaturan log alur pada grup keamanan jaringan yang ditandai yang mengaktifkan log alur tetapi analitik lalu lintas dinonaktifkan dengan parameter yang disediakan dalam penetapan kebijakan.
Catatan
Network Watcher adalah layanan regional sehingga dua kebijakan deployIfNotExists akan berlaku untuk grup keamanan jaringan yang ada di wilayah tertentu. Untuk grup keamanan jaringan di wilayah yang berbeda, buat penetapan kebijakan lain di wilayah tersebut.
Untuk menetapkan salah satu kebijakan deployIfNotExists , ikuti langkah-langkah berikut:
Masuk ke portal Azure.
Di kotak pencarian di bagian atas portal, masukkan kebijakan. Pilih Kebijakan dari hasil pencarian.
Pilih Penugasan, lalu pilih Tetapkan kebijakan.
Pilih elipsis ... di samping Cakupan untuk memilih langganan Azure Anda yang memiliki log alur yang Anda inginkan untuk diaudit kebijakan. Anda juga dapat memilih grup sumber daya yang memiliki log alur. Setelah Anda membuat pilihan, pilih tombol Pilih .
Pilih elipsis ... di samping Definisi kebijakan untuk memilih kebijakan bawaan yang ingin Anda tetapkan. Masukkan analitik lalu lintas di kotak pencarian, dan pilih filter Bawaan. Dari hasil pencarian, pilih Konfigurasikan grup keamanan jaringan untuk menggunakan ruang kerja tertentu, akun penyimpanan, dan kebijakan penyimpanan log alur untuk analitik lalu lintas lalu pilih Tambahkan.
Masukkan nama di Nama penugasan dan nama Anda di Ditetapkan oleh.
Pilih tombol Berikutnya dua kali, atau pilih tab Parameter . Kemudian, masukkan atau pilih nilai berikut:
Pengaturan Nilai Efek Pilih DeployIfNotExists. Wilayah kelompok keamanan jaringan Pilih wilayah grup keamanan jaringan yang Anda targetkan dengan kebijakan. ID sumber daya penyimpanan Masukkan ID sumber daya lengkap akun penyimpanan. Akun penyimpanan harus berada di wilayah yang sama dengan grup keamanan jaringan. Format ID sumber daya penyimpanan adalah: /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>
.Interval pemrosesan analitik lalu lintas dalam hitungan menit Pilih frekuensi di mana log yang diproses didorong ke ruang kerja. Nilai yang tersedia saat ini adalah 10 dan 60 menit. Nilai defaultnya adalah 60 menit. ID sumber daya ruang kerja Masukkan ID sumber daya lengkap ruang kerja tempat analitik lalu lintas harus diaktifkan. Format ID sumber daya ruang kerja adalah: /subscriptions/<SubscriptionID>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>
.Wilayah ruang kerja Pilih wilayah ruang kerja analitik lalu lintas Anda. ID Ruang Kerja Masukkan ID ruang kerja analitik lalu lintas Anda. Grup sumber daya Network Watcher Pilih grup sumber daya Network Watcher Anda. Nama Network Watcher Masukkan nama Network Watcher Anda. Jumlah hari untuk menyimpan log alur Masukkan jumlah hari yang ingin Anda pertahankan data log alurnya di akun penyimpanan. Jika Anda ingin menyimpan data selamanya, masukkan 0. Catatan
Wilayah ruang kerja analitik lalu lintas tidak harus sama dengan wilayah kelompok keamanan jaringan yang ditargetkan.
Pilih tab Berikutnya atau Remediasi . Masukkan atau pilih nilai berikut:
Pengaturan Nilai Membuat tugas Remediasi Centang kotak jika Anda ingin kebijakan memengaruhi sumber daya yang ada. Membuat Identitas Terkelola Centang kotak. Jenis Identitas Terkelola Pilih jenis identitas terkelola yang ingin Anda gunakan. Lokasi identitas yang ditetapkan sistem Pilih wilayah identitas yang ditetapkan sistem Anda. Cakupan Pilih cakupan identitas yang ditetapkan pengguna Anda. Identitas yang ditetapkan pengguna yang sudah ada Pilih identitas yang ditetapkan pengguna Anda. Catatan
Anda memerlukan izin Kontributor atau Pemilik untuk menggunakan kebijakan ini.
Pilih Ulas + buat, lalu pilih Buat.
Pilih Kepatuhan. Cari nama penugasan Anda lalu pilih.
Pilih Kepatuhan sumber daya untuk mendapatkan daftar semua log alur yang tidak sesuai.
Pemecahan Masalah
Tugas remediasi gagal dengan PolicyAuthorizationFailed
kode kesalahan: contoh contoh kesalahan Identitas sumber daya penetapan /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/
kebijakan tidak memiliki izin yang diperlukan untuk membuat penyebaran.
Dalam skenario seperti itu, identitas terkelola harus diberikan akses secara manual. Buka grup langganan/sumber daya yang sesuai (berisi sumber daya yang disediakan dalam parameter kebijakan) dan berikan akses kontributor ke identitas terkelola yang dibuat oleh kebijakan.
Konten terkait
- Pelajari tentang kebijakan bawaan log alur NSG.
- Pelajari selengkapnya tentang analitik lalu lintas.
- Pelajari cara menggunakan templat Azure Resource Manager (ARM) untuk menyebarkan log alur dan analitik lalu lintas, lihat Mengonfigurasi log alur NSG menggunakan templat Azure Resource Manager.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk