Настройка ведения журнала для мониторинга приложений логики в Microsoft Defender для облака

  • Статья

При мониторинге ресурсов Azure Logic Apps в Центре безопасности Microsoft Azure можно проверить, соответствуют ли приложения логики политикам по умолчанию. В Azure состояние работоспособности ресурсов Azure Logic Apps будет отображатся, если вы включили ведение журналов и правильно настроили назначение журналов. В этой статье описано, как настроить журнал ведения диагностики и убедиться, что все ваши приложения логики являются работоспособными ресурсами.

Совет

Чтобы узнать текущее состояние службы Azure Logic Apps, ознакомьтесь со страницей состояния Azure, на которой перечислены состояния различных продуктов и служб в каждом доступном регионе.

Предварительные требования

Включение ведения журналов диагностики

Прежде чем вы сможете просматривать состояние работоспособности ресурсов для приложений логики, необходимо настроить журнал ведения диагностики. Если у вас уже есть рабочая область Log Analytics, вы можете включить ведение журнала либо при создании приложения логики, либо в существующих приложениях логики.

Совет

Включение журналов диагностики для Azure Logic Apps является рекомендуемым поведением. Однако решение о применении этого параметра для приложений логики принимаете вы. Включив журналы диагностики для приложений логики, вы получите сведения, которые можно использовать для анализа инцидентов безопасности.

Проверка параметров журнала ведения диагностики

Если вы не уверены, включен ли журнал ведения диагностики для приложений логики, это можно проверить в Defender для облака.

  1. Войдите на портал Azure.
  2. В строке поиска введите и выберите Defender для облака.
  3. В меню панели защиты рабочих нагрузок в разделе Общие выберите элемент Рекомендации.
  4. В таблице предложений по обеспечению безопасности найдите и выберите Включение аудита и ведения журнала>В Logic Apps должны быть включены журналы диагностики в таблице элементов управления безопасностью.
  5. На странице рекомендаций разверните раздел Действия по исправлению и проверьте параметры. Вы можете включить диагностику Azure Logic Apps, нажав кнопку Быстрое исправление! или следуя инструкциям по исправлению вручную.

Просмотр состояния работоспособности приложений логики

Включив журнал ведения диагностики, вы сможете просмотреть состояние работоспособности приложений логики в Defender для облака.

  1. Войдите на портал Azure.

  2. В строке поиска введите и выберите Defender для облака.

  3. В меню панели защиты рабочих нагрузок в разделе Общие выберите элемент Запасы.

  4. На странице запасов отфильтруйте список ресурсов, чтобы отображались ресурсы Azure Logic Apps. В меню страницы выберите Типы ресурсов>приложения логики.

    Счетчик Неработоспособные ресурсы показывает количество приложений логики, которые Defender для облака считает неработоспособным.

  5. В списке ресурсов приложений логики просмотрите столбец Рекомендации. Чтобы просмотреть сведения о работоспособности для конкретного приложения логики, выберите имя ресурса или нажмите кнопку с многоточием () >Просмотреть ресурс.

  6. Чтобы устранить любые потенциальные проблемы с работоспособностью ресурсов, выполните действия, указанные для приложений логики.

Если журнал ведение диагностики уже включен, возможно, возникла проблема с назначением для журналов. Узнайте, как устранить проблемы с разными назначениями для журналов ведения диагностики.

Исправление проблем с журналом ведения диагностики для приложений логики

Если приложения логики в Defender для облака указаны как неработоспособные, откройте приложение логики в представлении кода на портале Azure или через интерфейс командной строки Azure. Затем проверьте конфигурацию назначения журналов диагностики: Azure Log Analytics, Центры событий Azure или учетную запись службы хранилища Azure.

Назначения Log Analytics и Центров событий

Если вы используете в качестве назначения для журналов диагностики Azure Logic Apps Log Analytics или Центры событий, проверьте следующие параметры.

  1. Чтобы подтвердить, что журналы диагностики включены, убедитесь, что в поле параметров диагностики logs.enabled задано значение true.
  2. Чтобы подтвердить, что в качестве назначения не задана учетная запись хранения, убедитесь, что в поле storageAccountId задано значение false.

Пример:

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
                "notEquals": "true"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/storageAccountId",
                "exists": false
            }
        ]
    }
]

Назначение учетной записи хранения

Если вы используете в качестве назначения для журналов диагностики Azure Logic Apps учетную запись хранения, проверьте следующие параметры.

  1. Чтобы подтвердить, что журналы диагностики включены, убедитесь, что в поле параметров диагностики logs.enabled задано значение true.
  2. Чтобы подтвердить, что политика хранения для журналов диагностики включена, убедитесь, что в поле retentionPolicy.enabled задано значение true.
  3. Чтобы подтвердить, что для времени хранения задано значение, которое пребывает в диапазоне 0–365 дней, убедитесь, что в поле retentionPolicy.days задано число от 0 до 365 включительно.
"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "0"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "[parameters('requiredRetentionDays')]"
            }
          ]
    },
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    }
]