Управление аналитикой трафика с помощью Политика Azure

Политика Azure помогает применять стандарты организации и оценивать соответствие в масштабе. Политика Azure широко применяется для реализации средств контроля за согласованностью ресурсов, соответствием нормативным требованиям, безопасностью, расходами и управлением. Дополнительные сведения о политике Azure см. в статье "Что такое Политика Azure?" И краткое руководство. Создание назначения политики для выявления несоответствующих ресурсов.

Из этой статьи вы узнаете, как использовать три встроенные политики, доступные для аналитики трафика Azure Наблюдатель за сетями для управления настройкой.

Аудит журналов потоков с помощью встроенной политики

В журналах потоков Наблюдатель за сетями должна быть включена политика аналитики трафика для аудита всех существующих журналов потоков путем аудита объектов Azure Resource Manager типа Microsoft.Network/networkWatchers/flowLogs и проверки включения аналитики трафика с помощью networkWatcherFlowAnalyticsConfiguration.enabled свойства ресурса журналов потоков. Затем эта политика помечает ресурс журналов потоков с свойством false.

Чтобы проверить журналы потоков с помощью встроенной политики, выполните следующие действия.

1. Войдите на портал Azure.

2. В поле поиска в верхней части портала введите политику. Выберите политику из результатов поиска.

   

3. Выберите назначения, а затем нажмите кнопку "Назначить политику".

   

4. Выберите многоточие ... рядом с областью , чтобы выбрать подписку Azure с журналами потоков, которые требуется выполнить аудит политики. Вы также можете выбрать группу ресурсов с журналами потоков. После выбора нажмите кнопку " Выбрать ".

   

5. Выберите многоточие ... рядом с определением политики, чтобы выбрать встроенную политику, которую вы хотите назначить. Введите аналитику трафика в поле поиска и выберите встроенный фильтр. В результатах поиска выберите Наблюдатель за сетями журналы потоков должны иметь включенную аналитику трафика, а затем нажмите кнопку "Добавить".

   

6. Введите имя в имени назначения и имя в поле "Назначено". Эта политика не требует каких-либо параметров.

7. Выберите Просмотр и создание, а затем щелкните Создать.

   

   Примечание.

   Эта политика не требует каких-либо параметров. Он также не содержит определений ролей, поэтому не требуется создавать назначения ролей для управляемого удостоверения на вкладке "Исправление ".

8. Выберите Соответствие. Найдите имя назначения и выберите его.

   

9. Соответствие ресурсам содержит список всех несоответствуемых журналов потоков.

   

Развертывание и настройка аналитики трафика с помощью политик deployIfNotExists

Существует две политики deployIfNotExists , доступные для настройки журналов потоков NSG:

• Настройте группы безопасности сети, чтобы использовать определенную рабочую область, учетную запись хранения и политику хранения журналов потоков для аналитики трафика. Эта политика помечает группу безопасности сети, включающую аналитику трафика. Для помеченной группы безопасности сети либо соответствующий ресурс журналов потоков NSG не существует, либо ресурс журналов потоков NSG существует, но аналитика трафика не включена. Вы можете создать задачу исправления , если вы хотите, чтобы политика влияла на существующие ресурсы.

  Исправление можно назначить при назначении политики или после назначения и оценки политики. Исправление позволяет анализировать трафик на всех помеченных ресурсах с предоставленными параметрами. Если у группы безопасности сети уже есть журналы потоков, включенные в определенный идентификатор хранилища, но у него нет поддержки аналитики трафика, исправление включает аналитику трафика в этой группе безопасности сети с указанными параметрами. Если идентификатор хранилища, указанный в параметрах, отличается от того, что включен для журналов потоков, последний получает перезапись с указанным идентификатором хранилища в задаче исправления. Если вы не хотите перезаписать, используйте группу безопасности сети, чтобы включить политику аналитики трафика.

• Настройте группы безопасности сети, чтобы включить аналитику трафика: эта политика аналогична предыдущей политике, за исключением того, что во время исправления параметры журналов потоков не перезаписываются в помеченных группах безопасности сети с включенными журналами потоков, но аналитика трафика отключена с параметром, указанным в назначении политики.

Примечание.

Наблюдатель за сетями — это региональная служба, поэтому две политики deployIfNotExists будут применяться к группам безопасности сети, существующим в определенном регионе. Для групп безопасности сети в другом регионе создайте другое назначение политики в этом регионе.

Чтобы назначить любую из двух политик deployIfNotExists , выполните следующие действия:

1. Войдите на портал Azure.

2. В поле поиска в верхней части портала введите политику. Выберите политику из результатов поиска.

   

3. Выберите "Назначения" и нажмите кнопку "Назначить политику".

   

4. Выберите многоточие ... рядом с областью , чтобы выбрать подписку Azure с журналами потоков, которые требуется выполнить аудит политики. Вы также можете выбрать группу ресурсов с журналами потоков. После выбора нажмите кнопку "Выбрать ".

   

5. Выберите многоточие ... рядом с определением политики, чтобы выбрать встроенную политику, которую вы хотите назначить. Введите аналитику трафика в поле поиска и выберите встроенный фильтр. В результатах поиска выберите "Настроить группы безопасности сети", чтобы использовать определенную рабочую область, учетную запись хранения и политику хранения журналов потоков для аналитики трафика, а затем нажмите кнопку "Добавить".

   

6. Введите имя в имени назначения и имя в поле "Назначено".

   

7. Дважды нажмите кнопку "Далее " или перейдите на вкладку "Параметры ". Затем введите или выберите следующие значения:

   Параметр	Значение
   Действие	Выберите DeployIfNotExists.
   Регион группы безопасности сети	Выберите регион группы безопасности сети, на которую вы нацелены с помощью политики.
   Идентификатор ресурса хранилища	Введите полный идентификатор ресурса учетной записи хранения. Учетная запись хранения должна находиться в том же регионе, что и группа безопасности сети. Формат идентификатора ресурса хранилища: /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>
   Интервал обработки аналитики трафика в минутах	Выберите частоту отправки обработанных журналов в рабочую область. В настоящее время доступны значения: 10 и 60 минут. Значение по умолчанию равно 60 минутам.
   Идентификатор ресурса рабочей области	Введите полный идентификатор ресурса рабочей области, в которой должна быть включена аналитика трафика. Формат идентификатора ресурса рабочей области: /subscriptions/<SubscriptionID>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>
   Регион рабочей области	Выберите регион рабочей области аналитики трафика.
   Идентификатор рабочей области	Введите идентификатор рабочей области аналитики трафика.
   группа ресурсов Наблюдатель за сетями	Выберите группу ресурсов Наблюдатель за сетями.
   имя Наблюдатель за сетями	Введите имя Наблюдатель за сетями.
   Количество дней для хранения журналов потоков	Введите количество дней, для которых требуется сохранить данные журналов потоков в учетной записи хранения. Если вы хотите сохранить данные навсегда, введите 0.

   Примечание.

   Область рабочей области аналитики трафика не должна совпадать с регионом целевой группы безопасности сети.

   

8. Перейдите на вкладку "Далее " или "Исправление ". Введите или выберите следующие значения:

   Параметр	Значение
   Создание задачи исправления	Установите флажок, если вы хотите, чтобы политика влияла на существующие ресурсы.
   Создать управляемое удостоверение	Установите флажок.
   Тип управляемого удостоверения	Выберите тип управляемого удостоверения, который требуется использовать.
   Расположение назначаемого системой удостоверения	Выберите регион назначенного системой удостоверения.
   Область	Выберите область назначенного пользователем удостоверения.
   Существующие удостоверения, назначенные пользователем	Выберите назначенное пользователем удостоверение.

   Примечание.

   Для использования этой политики требуется разрешение участника или владельца .

   

9. Выберите Просмотр и создание, а затем щелкните Создать.

10. Выберите Соответствие. Найдите имя назначения и выберите его.

    

11. Выберите соответствие ресурсов, чтобы получить список всех журналов потоков, не соответствующих требованиям.

    

Устранение неполадок

Задача исправления завершается ошибкой с PolicyAuthorizationFailed кодом ошибки: пример ошибки, например удостоверение ресурса назначения /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ политики не имеет необходимых разрешений для создания развертывания.

В таком случае управляемое удостоверение должно быть предоставлено вручную. Перейдите в соответствующую подписку или группу ресурсов (содержащую ресурсы, предоставленные в параметрах политики) и предоставьте участнику доступ к управляемому удостоверению, созданному политикой.

Связанный контент

• Узнайте о встроенных политиках журналов потоков NSG.
• Дополнительные сведения об аналитике трафика.
• Узнайте, как использовать шаблон Azure Resource Manager (ARM) для развертывания журналов потоков и аналитики трафика, см. статью "Настройка журналов потоков NSG" с помощью шаблона Azure Resource Manager.