Политики и инициативы политики предоставляют простой способ включения ведения журнала в большом масштабе с помощью параметров диагностика для Azure Monitor. С помощью инициативы политики можно включить ведение журнала аудита для всех поддерживаемых ресурсов в среде Azure.
Включите журналы ресурсов для отслеживания действий и событий, происходящих с ресурсами, а также предоставления сведений о происходящих изменениях.
Назначьте политики для включения журналов ресурсов и их отправки в назначения в соответствии с вашими потребностями. Отправляйте журналы в центры событий для сторонних систем SIEM, обеспечивая непрерывные операции безопасности. Отправлять журналы в учетные записи хранения для долгосрочного хранения или соблюдения нормативных требований.
Существует набор встроенных политик и инициатив для направления журналов ресурсов в рабочие области Log Analytics, Центры событий и учетные записи хранения. Политики позволяют вести журнал аудита, отправляя журналы, принадлежащие группе категорий журналов аудита , в концентратор событий, рабочую область Log Analytics или учетную запись хранения. Политика имеет effect значение DeployIfNotExists, которое развертывает политику по умолчанию, если другие параметры не определены.
Развертывание политик.
Развертывание политик и инициатив с помощью портала, CLI, PowerShell или шаблонов управления ресурсами Azure
Назначьте необходимую роль удостоверению, созданному для назначения политики.
Найдите роль в определении политики, выполнив поиск по запросу roleDefinitionIds.
Чтобы применить политику с помощью PowerShell, используйте следующие команды:
Настройте свое окружение.
Выберите подписку и задайте группу ресурсов.
Select-AzSubscription <subscriptionID>
$rg = Get-AzResourceGroup -Name <resource groups name>
Получение определения политики и настройка параметров политики. В приведенном ниже примере мы назначаем политику для отправки журналов keyVault в рабочую область Log Analytics.
Политика отображается в параметрах диагностики ресурсов примерно через 30 минут.
Задачи исправления
Политики применяются к новым ресурсам при их создании. Чтобы применить политику к существующим ресурсам, создайте задачу исправления. Задачи исправления приводят ресурсы в соответствие политике.
Задачи исправления действуют для конкретных политик. Для инициатив, содержащих несколько политик, создайте задачу исправления для каждой политики в инициативе, где у вас есть ресурсы, которые вы хотите привести в соответствие.
Определите задачи исправления при первом назначении политики или на любом этапе после назначения.
Чтобы создать задачу исправления для политик во время назначения политики, перейдите на вкладку Исправление на странице Назначение политики и установите флажок Создать задачу исправления .
Чтобы создать задачу исправления после назначения политики, выберите назначенную политику из списка на странице Назначения политик.
Щелкните элемент Исправить.
Отслеживайте состояние задачи исправления на вкладке Задачи исправления на странице Исправление политики.
На странице Определения политики выберите область.
Выберите Инициатива в раскрывающемся списке Тип определения .
Выберите Мониторинг в раскрывающемся списке Категория .
Введите audit в поле Поиск .
Выберите инициативу Включить ведение журнала ресурсов группы категорий аудита для поддерживаемых ресурсов в Log Analytics .
На следующей странице выберите Назначить
На вкладке Основные сведения на странице Назначение инициативы выберите область , к которой вы хотите применить инициативу.
Введите имя в поле Имя назначения .
Выберите вкладку Параметры .
Параметры содержат параметры, определенные в политике. В этом случае необходимо выбрать рабочую область Log Analytics, в которую нужно отправить журналы. Дополнительные сведения об отдельных параметрах для каждой политики см. в разделе Параметры, относящиеся к политике.
Выберите рабочую область Log Analytics для отправки журналов аудита.
Выберите Просмотр и создание, а затем
Чтобы убедиться, что назначение политики или инициативы работает, создайте ресурс в подписке или группе ресурсов область, определенных в назначении политики.
Через 10 минут выберите страницу Параметры диагностики для ресурса.
Параметр диагностики появится в списке с именем по умолчанию setByPolicy-LogAnalytics и именем рабочей области, настроенным в политике.
Измените имя по умолчанию на вкладке Параметры на странице Назначение инициативы или политики, снимите флажок Показывать только параметры, требующие ввода или проверки .
Настройка переменных среды
# Set up your environment variables.
$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
Получите определение инициативы. В этом примере мы будем использовать инициативу Включить ведение журнала ресурсов группы категорий аудита для поддерживаемых ресурсов в log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5".
Создайте задачи исправления для политик в инициативе.
Задачи исправления создаются для каждой политики. Каждая задача предназначена для конкретного definition-reference-id, указанного в инициативе как policyDefinitionReferenceId. Чтобы найти definition-reference-id параметр, используйте следующую команду:
az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
Чтобы создать задачу исправления для всех политик в инициативе, используйте следующий пример:
for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g)
do
az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId;
done
Общие параметры
В следующей таблице описаны общие параметры для каждого набора политик.
Параметр
Описание
Допустимые значения
По умолчанию
effect
Включение или отключение выполнения политики
DeployIfNotExists, AuditIfNotExists, Выключено
DeployIfNotExists
diagnosticSettingName
Имя параметра диагностики
setByPolicy-LogAnalytics
categoryGroup
Группа категорий диагностики
Ни один Аудита allLogs
аудит
Параметры, относящиеся к политике
Параметры политики Log Analytics
Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics.
Параметр
Описание
Допустимые значения
По умолчанию
resourceLocationList
Список расположений ресурсов для отправки журналов в близлежащий Log Analytics. "*" выбирает все расположения
Поддерживаемые расположения
*
logAnalytics
Рабочая область Log Analytics
Параметры политики Центров событий
Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в концентратор событий.
Параметр
Описание
Допустимые значения
По умолчанию
resourceLocation
Расположение ресурса должно совпадать с расположением пространства имен концентратора событий.
Поддерживаемые расположения
eventHubAuthorizationRuleId
Идентификатор правила авторизации концентратора событий. Правило авторизации находится на уровне пространства имен концентратора событий. Например, /subscriptions/{идентификатор подписки}/resourceGroups/{группа ресурсов}/providers/Microsoft.EventHub/namespaces/{пространство имен концентратора событий}/authorizationrules/{правило авторизации}
eventHubName
Имя концентратора событий
Наблюдение
Параметры политики учетных записей хранения
Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения.
Параметр
Описание
Допустимые значения
По умолчанию
resourceLocation
Расположение ресурса должно находиться в том же расположении, что и учетная запись хранения.
Поддерживаемые расположения
storageAccount
Идентификатор ресурса учетной записи хранения
Поддерживаемые ресурсы
Встроенные политики журналов аудита для рабочих областей Log Analytics, Центров событий и учетных записей хранения существуют для следующих ресурсов: