Verkeersanalyse beheren met behulp van Azure Policy
Azure Policy helpt u bij het afdwingen van organisatorische standaarden en bij het beoordelen van naleving op schaal. Veelvoorkomende use-cases voor Azure Policy zijn onder andere het implementeren van governance voor consistentie van resources, naleving van de regelgeving, beveiliging, kosten en beheer. Zie Wat is Azure Policy? en Quickstart: Een beleidstoewijzing maken om niet-compatibele resources te identificeren voor meer informatie over Azure-beleid.
In dit artikel leert u hoe u drie ingebouwde beleidsregels gebruikt die beschikbaar zijn voor Azure Network Watcher traffic analytics om uw installatie te beheren.
Stroomlogboeken controleren met behulp van een ingebouwd beleid
In de Network Watcher stroomlogboeken moeten beleid met traffic analytics ingeschakeld zijn om alle bestaande stroomlogboeken te controleren door Azure Resource Manager-objecten van het type Microsoft.Network/networkWatchers/flowLogs te controleren en te controleren of verkeersanalyse is ingeschakeld via de networkWatcherFlowAnalyticsConfiguration.enabled eigenschap van de stroomlogboekenresource. Dit beleid markeert vervolgens de resource van de stroomlogboeken waarvoor de eigenschap is ingesteld op onwaar.
Uw stroomlogboeken controleren met behulp van het ingebouwde beleid:
Meld u aan bij de Azure-portal.
Voer beleid in het zoekvak boven aan de portal in. Selecteer Beleid in de zoekresultaten.
Selecteer Toewijzingen en selecteer vervolgens Beleid toewijzen.
Selecteer het beletselteken ... naast Bereik om uw Azure-abonnement te kiezen met de stroomlogboeken die u met het beleid wilt controleren. U kunt ook de resourcegroep kiezen die de stroomlogboeken bevat. Nadat u uw selecties hebt gemaakt, selecteert u de knop Selecteren .
Selecteer het beletselteken ... naast Beleidsdefinitie om het ingebouwde beleid te kiezen dat u wilt toewijzen. Voer traffic analytics in het zoekvak in en selecteer Ingebouwd filter. Selecteer in de zoekresultaten Network Watcher verkeersanalyse moet zijn ingeschakeld voor stroomlogboeken en selecteer vervolgens Toevoegen.
Voer een naam in Bij Toewijzingsnaam en uw naam in Toegewezen door. Voor dit beleid zijn geen parameters vereist.
Selecteer Controleren en maken en vervolgens Maken.
Notitie
Voor dit beleid zijn geen parameters vereist. Het bevat ook geen roldefinities, dus u hoeft geen roltoewijzingen te maken voor de beheerde identiteit op het tabblad Herstel .
Selecteer Naleving. Zoek de naam van uw opdracht en selecteer deze.
Resourcecompatibiliteit bevat alle niet-compatibele stroomlogboeken.
Verkeersanalyse implementeren en configureren met behulp van deployIfNotExists-beleid
Er zijn twee deployIfNotExists-beleidsregels beschikbaar voor het configureren van NSG-stroomlogboeken:
Netwerkbeveiligingsgroepen configureren voor het gebruik van specifiek bewaarbeleid voor werkruimten, opslagaccounts en stroomlogboeken voor verkeersanalyse: dit beleid markeert de netwerkbeveiligingsgroep waarvoor verkeersanalyse niet is ingeschakeld. Voor een netwerkbeveiligingsgroep met vlag bestaat de bijbehorende resource voor NSG-stroomlogboeken niet of bestaat de resource voor NSG-stroomlogboeken, maar verkeeranalyse is niet ingeschakeld. U kunt een hersteltaak maken als u wilt dat het beleid van invloed is op bestaande resources.
Herstel kan worden toegewezen tijdens het toewijzen van beleid of nadat het beleid is toegewezen en geƫvalueerd. Herstel maakt verkeersanalyse mogelijk voor alle gemarkeerde resources met de opgegeven parameters. Als voor een netwerkbeveiligingsgroep al stroomlogboeken zijn ingeschakeld in een bepaalde opslag-id, maar er geen verkeersanalyse is ingeschakeld, wordt met herstel verkeersanalyse ingeschakeld voor deze netwerkbeveiligingsgroep met de opgegeven parameters. Als de opslag-id die is opgegeven in de parameters verschilt van de opslag-id die is ingeschakeld voor stroomlogboeken, wordt de laatste overschreven met de opgegeven opslag-id in de hersteltaak. Als u niet wilt overschrijven, gebruikt u Netwerkbeveiligingsgroepen configureren om beleid voor verkeersanalyse in te schakelen .
Netwerkbeveiligingsgroepen configureren om verkeersanalyse in te schakelen: dit beleid is vergelijkbaar met het vorige beleid, behalve dat tijdens het herstel de instellingen voor stroomlogboeken niet worden overschreven voor de gemarkeerde netwerkbeveiligingsgroepen waarvoor stroomlogboeken zijn ingeschakeld, maar verkeersanalyse is uitgeschakeld met de parameter die is opgegeven in de beleidstoewijzing.
Notitie
Network Watcher is een regionale service, zodat de twee deployIfNotExists-beleidsregels van toepassing zijn op netwerkbeveiligingsgroepen die in een bepaalde regio bestaan. Maak voor netwerkbeveiligingsgroepen in een andere regio een andere beleidstoewijzing in die regio.
Voer de volgende stappen uit om een van de twee beleidsregels deployIfNotExists toe te wijzen:
Meld u aan bij de Azure-portal.
Voer beleid in het zoekvak boven aan de portal in. Selecteer Beleid in de zoekresultaten.
Selecteer Toewijzingen en selecteer vervolgens Beleid toewijzen.
Selecteer het beletselteken ... naast Bereik om uw Azure-abonnement te kiezen met de stroomlogboeken die u met het beleid wilt controleren. U kunt ook de resourcegroep kiezen die de stroomlogboeken bevat. Nadat u uw selecties hebt uitgevoerd, kiest u de knop Selecteren .
Selecteer het beletselteken ... naast Beleidsdefinitie om het ingebouwde beleid te kiezen dat u wilt toewijzen. Voer traffic analytics in het zoekvak in en selecteer het filter Ingebouwd . Selecteer in de zoekresultaten Netwerkbeveiligingsgroepen configureren om specifiek beleid voor werkruimte, opslagaccount en bewaarbeleid voor stroomlogboeken te gebruiken voor verkeersanalyse en selecteer vervolgens Toevoegen.
Voer een naam in Bij Toewijzingsnaam en uw naam in Toegewezen door.
Selecteer twee keer de knop Volgende of selecteer het tabblad Parameters . Voer vervolgens de volgende waarden in of selecteer deze:
Instelling Waarde Effect Selecteer DeployIfNotExists. Regio van netwerkbeveiligingsgroep Selecteer de regio van uw netwerkbeveiligingsgroep waarop u het beleid richt. Opslagresource-id Voer de volledige resource-id van het opslagaccount in. Het opslagaccount moet zich in dezelfde regio bevinden als de netwerkbeveiligingsgroep. De indeling van de opslagresource-id is: /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.Verwerkingsinterval voor verkeersanalyse in minuten Selecteer de frequentie waarmee verwerkte logboeken naar de werkruimte worden gepusht. Momenteel beschikbare waarden zijn 10 en 60 minuten. De standaardwaarde is 60 minuten. Resource-id van werkruimte Voer de volledige resource-id in van de werkruimte waar traffic analytics moet worden ingeschakeld. De indeling van de resource-id van de werkruimte is: /subscriptions/<SubscriptionID>/resourcegroups/<ResouceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.Werkruimteregio Selecteer de regio van uw traffic analytics-werkruimte. Werkruimte-id Voer de id van uw Traffic Analytics-werkruimte in. resourcegroep Network Watcher Selecteer de resourcegroep van uw Network Watcher. Network Watcher naam Voer de naam van uw Network Watcher in. Aantal dagen dat stroomlogboeken moeten worden bewaard Voer het aantal dagen in waarvoor u stroomlogboekgegevens in het opslagaccount wilt bewaren. Als u gegevens voor altijd wilt bewaren, voert u 0 in. Notitie
De regio van de traffic analytics-werkruimte hoeft niet hetzelfde te zijn als de regio van de beoogde netwerkbeveiligingsgroep.
Selecteer het tabblad Volgende of Herstel . Voer de volgende waarden in of selecteer deze:
Instelling Waarde Hersteltaak maken Schakel het selectievakje in als u wilt dat het beleid van invloed is op bestaande resources. Een beheerde identiteit maken Schakel het selectievakje in. Type beheerde identiteit Selecteer het type beheerde identiteit dat u wilt gebruiken. Door het systeem toegewezen identiteitslocatie Selecteer de regio van uw door het systeem toegewezen identiteit. Bereik Selecteer het bereik van uw door de gebruiker toegewezen identiteit. Bestaande door de gebruiker toegewezen identiteiten Selecteer uw door de gebruiker toegewezen identiteit. Notitie
U hebt de machtiging Inzender of Eigenaar nodig om dit beleid te gebruiken.
Selecteer Controleren en maken en vervolgens Maken.
Selecteer Naleving. Zoek de naam van uw opdracht en selecteer deze.
Selecteer Resourcecompatibiliteit om een lijst met alle niet-compatibele stroomlogboeken op te halen.
Problemen oplossen
Hersteltaak mislukt met PolicyAuthorizationFailed foutcode: voorbeeldfoutvoorbeeld De resource-id van de beleidstoewijzing /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ beschikt niet over de benodigde machtigingen om een implementatie te maken.
In een dergelijk scenario moet de beheerde identiteit handmatig toegang krijgen. Ga naar het juiste abonnement/de juiste resourcegroep (met de resources die zijn opgegeven in de beleidsparameters) en ververleent inzendertoegang tot de beheerde identiteit die door het beleid is gemaakt.
Volgende stappen
- Meer informatie over ingebouwde beleidsregels voor NSG-stroomlogboeken.
- Meer informatie over verkeersanalyse.
- Zie NSG-stroomlogboeken configureren met behulp van een Azure Resource Manager-sjabloon voor meer informatie over het gebruik van een ARM-sjabloon (Azure Resource Manager) voor het implementeren van stroomlogboeken en verkeersanalyses.