Principer och principinitiativ är en enkel metod för att aktivera loggning i stor skala via diagnostikinställningar för Azure Monitor. Med hjälp av ett principinitiativ kan du aktivera granskningsloggning för alla resurser som stöds i Din Azure-miljö.
Aktivera resursloggar för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar.
Tilldela principer för att aktivera resursloggar och skicka dem till mål enligt dina behov. Skicka loggar till händelsehubbar för SIEM-system från tredje part, vilket möjliggör kontinuerliga säkerhetsåtgärder. Skicka loggar till lagringskonton för långsiktig lagring eller uppfyllande av regelefterlevnad.
Det finns en uppsättning inbyggda principer och initiativ för att dirigera resursloggar till Log Analytics-arbetsytor, eventhubbar och lagringskonton. Principerna aktiverar granskningsloggning och skickar loggar som tillhör kategorigruppen för granskningsloggar till en händelsehubb, Log Analytics-arbetsyta eller lagringskonto. effect Principerna är DeployIfNotExists, som distribuerar principen som standard om det inte finns andra definierade inställningar.
Distribuera principer.
Distribuera principer och initiativ med hjälp av portalen, CLI, PowerShell eller Azure Resource Management-mallar
Följande steg visar hur du tillämpar principen för att skicka granskningsloggar till för nyckelvalv till en Log Analytics-arbetsyta.
På sidan Princip väljer du Definitioner.
Välj omfång. Du kan tillämpa en princip på hela prenumerationen, en resursgrupp eller en enskild resurs.
I listrutan Definitionstyp väljer du Princip.
Välj Övervakning i listrutan Kategori
Ange keyvaulti sökfältet .
Välj principen Enable logging by category group for Key vaults (microsoft.keyvault/vaults) to Log Analytics (Aktivera loggning efter kategorigrupp för nyckelvalv(microsoft.keyvault/vaults) till Log Analytics-principen
På sidan principdefinition väljer du Tilldela
Välj fliken Parametrar .
Välj den Log Analytics-arbetsyta som du vill skicka granskningsloggarna till.
Välj fliken Reparation .
På fliken Reparation väljer du principen för nyckelvalv från listrutan Princip för att åtgärda problemet.
Markera kryssrutan Skapa en hanterad identitet .
Under Typ av hanterad identitet väljer du Systemtilldelad hanterad identitet.
Välj Granska + skapa och välj sedan Skapa .
Om du vill tillämpa en princip med hjälp av CLI använder du följande kommandon:
Tilldela den nödvändiga rollen till den identitet som skapades för principtilldelningen.
Hitta rollen i principdefinitionen genom att söka efter roleDefinitionIds
Om du vill tillämpa en princip med hjälp av PowerShell använder du följande kommandon:
Konfigurera din miljö.
Välj din prenumeration och ange din resursgrupp
Select-AzSubscription <subscriptionID>
$rg = Get-AzResourceGroup -Name <resource groups name>
Hämta principdefinitionen och konfigurera parametrarna för principen. I exemplet nedan tilldelar vi principen för att skicka keyVault-loggar till en Log Analytics-arbetsyta
Principen visas i resursernas diagnostikinställningar efter cirka 30 minuter.
Reparationsåtgärder
Principer tillämpas på nya resurser när de skapas. Om du vill tillämpa en princip på befintliga resurser skapar du en reparationsuppgift. Reparationsåtgärder gör att resurser efterlever en princip.
Reparationsåtgärder fungerar för specifika principer. För initiativ som innehåller flera principer skapar du en åtgärdsuppgift för varje princip i initiativet där du har resurser som du vill följa.
Definiera reparationsuppgifter när du först tilldelar principen eller i något skede efter tilldelningen.
Om du vill skapa en reparationsaktivitet för principer under principtilldelningen väljer du fliken Reparation på sidan Tilldela princip och markerar kryssrutan Skapa reparationsaktivitet .
Om du vill skapa en reparationsaktivitet när principen har tilldelats väljer du din tilldelade princip i listan på sidan Principtilldelningar.
Välj Åtgärda.
Spåra status för reparationsaktiviteten på fliken Reparationsåtgärder på sidan Principreparation.
Välj initiativet Aktivera resursloggning för granskningskategorigrupper för resurser som stöds i Log Analytics .
På följande sida väljer du Tilldela
På fliken Grundläggande inställningar på sidan Tilldela initiativ väljer du ett omfång som du vill att initiativet ska gälla för.
Ange ett namn i fältet Tilldelningsnamn .
Välj fliken Parametrar .
Parametrarna innehåller de parametrar som definierats i principen. I det här fallet måste vi välja den Log Analytics-arbetsyta som vi vill skicka loggarna till. Mer information om enskilda parametrar för varje princip finns i Principspecifika parametrar.
Välj den Log Analytics-arbetsyta som granskningsloggarna ska skickas till.
Välj Granska + skapa och sedan Skapa
Om du vill kontrollera att din princip- eller initiativtilldelning fungerar skapar du en resurs i det prenumerations- eller resursgruppsomfång som du definierade i principtilldelningen.
Efter 10 minuter väljer du sidan Diagnostikinställningar för din resurs.
Diagnostikinställningen visas i listan med standardnamnet setByPolicy-LogAnalytics och arbetsytans namn som du konfigurerade i principen.
Ändra standardnamnet på fliken Parametrar på sidan Tilldela initiativ eller princip genom att avmarkera kryssrutan Visa endast parametrar som behöver indata eller granskning .
Konfigurera dina miljövariabler
# Set up your environment variables.
$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
Hämta initiativdefinitionen. I det här exemplet använder vi Initiativ Aktivera resursloggning för granskningskategorigrupper för resurser som stöds till Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"
Skapa reparationsuppgifter för principerna i initiativet.
Reparationsuppgifter skapas per princip. Varje uppgift är för en specifik definition-reference-id, som anges i initiativet som policyDefinitionReferenceId. Använd följande kommando för att hitta parametern definition-reference-id :
az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
Om du vill skapa en reparationsaktivitet för alla principer i initiativet använder du följande exempel:
for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g)
do
az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId;
done
Vanliga parametrar
I följande tabell beskrivs de vanliga parametrarna för varje uppsättning principer.
Parameter
Beskrivning
Giltiga värden
Standardvärde
effekt
Aktivera eller inaktivera körningen av principen
DeployIfNotExists, AuditIfNotExists, Inaktiverad
DeployIfNotExists
diagnosticSettingName
Namn på diagnostikinställning
setByPolicy-LogAnalytics
categoryGroup
Grupp för diagnostikkategori
Ingen Revision allLogs
Revision
Principspecifika parametrar
Log Analytics-principparametrar
Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta.
Parameter
Beskrivning
Giltiga värden
Standardvärde
resourceLocationList
Resursplatslista för att skicka loggar till närliggande Log Analytics. "*" markerar alla platser
Platser som stöds
*
logAnalytics
Log Analytics-arbetsyta
Principparametrar för Event Hubs
Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb.
Parameter
Beskrivning
Giltiga värden
Standardvärde
resourceLocation
Resursplats måste vara samma plats som händelsehubbens namnområde
Platser som stöds
eventHubAuthorizationRuleId
Regel-ID för händelsehubbauktorisering. Auktoriseringsregeln är på händelsehubbens namnområdesnivå. Till exempel /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName
Namn på händelsehubb
Övervakning
Principparametrar för lagringskonton
Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto.
Parameter
Beskrivning
Giltiga värden
Standardvärde
resourceLocation
Resursplatsen måste finnas på samma plats som lagringskontot
Platser som stöds
storageAccount
ResourceId för lagringskonto
Resurser som stöds
Inbyggda principer för granskningsloggar för Log Analytics-arbetsytor, händelsehubbar och lagringskonton finns för följande resurser: