Dela via


Hantera trafikanalys med Hjälp av Azure Policy

Azure Policy hjälper dig att framtvinga organisationsstandarder och utvärdera efterlevnad i stor skala. Några vanliga användningsområden för Azure Policy är att implementera styrning för resurskonsekvens, regelefterlevnad, säkerhet, kostnad och hantering. Mer information om Azure Policy finns i Vad är Azure Policy? och Snabbstart: Skapa en principtilldelning för att identifiera icke-kompatibla resurser.

I den här artikeln får du lära dig hur du använder tre inbyggda principer som är tillgängliga för Azure Network Watcher-trafikanalys för att hantera konfigurationen.

Granska flödesloggar med hjälp av en inbyggd princip

Network Watcher-flödesloggarna ska ha trafikanalys aktiverat principgranskningar av alla befintliga flödesloggar genom att granska Azure Resource Manager-objekt av typen Microsoft.Network/networkWatchers/flowLogs och kontrollera om trafikanalys är aktiverat via networkWatcherFlowAnalyticsConfiguration.enabled egenskapen för flödesloggresursen. Den här principen flaggar sedan flödesloggresursen som har egenskapen inställd på false.

Så här granskar du flödesloggarna med hjälp av den inbyggda principen:

  1. Logga in på Azure-portalen.

  2. I sökrutan överst i portalen anger du princip. Välj Princip i sökresultaten.

    Skärmbild av sökning efter princip i Azure Portal.

  3. Välj Tilldelningar och sedan på Tilldela princip.

    Skärmbild av att välja knappen Tilldela princip i Azure Portal.

  4. Välj ellipsen ... bredvid Omfång för att välja din Azure-prenumeration som har de flödesloggar som du vill att principen ska granska. Du kan också välja den resursgrupp som har flödesloggarna. När du har gjort dina val väljer du knappen Välj .

    Skärmbild av att välja omfånget för principen i Azure Portal.

  5. Välj ellipsen ... bredvid Principdefinition för att välja den inbyggda princip som du vill tilldela. Ange trafikanalys i sökrutan och välj Inbyggt filter. I sökresultaten väljer du Network Watcher-flödesloggar som ska ha trafikanalys aktiverat och väljer sedan Lägg till.

    Skärmbild av att välja granskningsprincipen i Azure Portal.

  6. Ange ett namn i Tilldelningsnamn och ditt namn i Tilldelad av. Den här principen kräver inga parametrar.

  7. Välj Granska + skapa och sedan Skapa.

    Skärmbild av fliken Grundläggande för att tilldela en granskningsprincip i Azure Portal.

    Kommentar

    Den här principen kräver inga parametrar. Den innehåller inte heller några rolldefinitioner så du behöver inte skapa rolltilldelningar för den hanterade identiteten på fliken Reparation .

  8. Välj Efterlevnad. Sök efter namnet på tilldelningen och välj den.

    Skärmbild av sidan Efterlevnad som visar granskningsprincipen i Azure Portal.

  9. Resursefterlevnad visar alla icke-kompatibla flödesloggar.

    Skärmbild som visar information om granskningsprincipen i Azure Portal.

Distribuera och konfigurera trafikanalys med hjälp av principer för deployIfNotExists

Det finns två deployIfNotExists-principer för att konfigurera NSG-flödesloggar:

  • Konfigurera nätverkssäkerhetsgrupper så att de använder en specifik kvarhållningsprincip för arbetsyta, lagringskonto och flödesloggar för trafikanalys: Den här principen flaggar nätverkssäkerhetsgruppen som inte har trafikanalys aktiverad. För en flaggad nätverkssäkerhetsgrupp finns antingen motsvarande NSG-flödesloggresurs inte eller så finns NSG-flödesloggresursen, men trafikanalys är inte aktiverad på den. Du kan skapa en reparationsaktivitet om du vill att principen ska påverka befintliga resurser.

    Reparation kan tilldelas när principen tilldelas eller när principen har tilldelats och utvärderats. Reparation möjliggör trafikanalys på alla flaggade resurser med de angivna parametrarna. Om en nätverkssäkerhetsgrupp redan har flödesloggar aktiverade i ett visst lagrings-ID men inte har trafikanalys aktiverat, möjliggör reparation trafikanalys i den här nätverkssäkerhetsgruppen med de angivna parametrarna. Om lagrings-ID:t som anges i parametrarna skiljer sig från det som är aktiverat för flödesloggar skrivs det senare över med det angivna lagrings-ID:t i reparationsuppgiften. Om du inte vill skriva över använder du Konfigurera nätverkssäkerhetsgrupper för att aktivera trafikanalysprincip .

  • Konfigurera nätverkssäkerhetsgrupper för att aktivera trafikanalys: Den här principen liknar den tidigare principen, förutom att den under reparationen inte skriver över flödeslogginställningarna för de flaggade nätverkssäkerhetsgrupperna som har flödesloggar aktiverade, men trafikanalys inaktiveras med parametern som anges i principtilldelningen.

Kommentar

Network Watcher är en regional tjänst, så de två principerna deployIfNotExists gäller för nätverkssäkerhetsgrupper som finns i en viss region. För nätverkssäkerhetsgrupper i en annan region skapar du en annan principtilldelning i den regionen.

Om du vill tilldela någon av de två principerna deployIfNotExists följer du dessa steg:

  1. Logga in på Azure-portalen.

  2. I sökrutan överst i portalen anger du princip. Välj Princip i sökresultaten.

    Skärmbild av sökning efter princip i Azure Portal.

  3. Välj Tilldelningar och sedan på Tilldela princip.

    Skärmbild av att välja knappen Tilldela princip i Azure Portal.

  4. Välj ellipsen ... bredvid Omfång för att välja din Azure-prenumeration som har de flödesloggar som du vill att principen ska granska. Du kan också välja den resursgrupp som har flödesloggarna. När du har valt väljer du knappen Välj .

    Skärmbild av att välja omfånget för principen i Azure Portal.

  5. Välj ellipsen ... bredvid Principdefinition för att välja den inbyggda princip som du vill tilldela. Ange trafikanalys i sökrutan och välj det inbyggda filtret. I sökresultaten väljer du Konfigurera nätverkssäkerhetsgrupper för att använda specifik arbetsyta, lagringskonto och kvarhållningsprincip för flödesloggar för trafikanalys och väljer sedan Lägg till.

    Skärmbild av att välja en deployIfNotExists-princip i Azure Portal.

  6. Ange ett namn i Tilldelningsnamn och ditt namn i Tilldelad av.

    Skärmbild av fliken Grundläggande för att tilldela en distributionsprincip i Azure Portal.

  7. Välj Knappen Nästa två gånger eller välj fliken Parametrar . Ange eller välj sedan följande värden:

    Inställning Värde
    Effekt Välj DeployIfNotExists.
    Nätverkssäkerhetsgruppregion Välj den region i nätverkssäkerhetsgruppen som du riktar in dig på med principen.
    Lagringsresurs-ID Ange det fullständiga resurs-ID:t för lagringskontot. Lagringskontot måste finnas i samma region som nätverkssäkerhetsgruppen. Formatet för lagringsresurs-ID är: /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Bearbetningsintervall för trafikanalys i minuter Välj hur ofta bearbetade loggar skickas till arbetsytan. Tillgängliga värden är för närvarande 10 och 60 minuter. Standardvärdet är 60 minuter.
    Resurs-ID för arbetsyta Ange det fullständiga resurs-ID:t för arbetsytan där trafikanalys måste aktiveras. Formatet för arbetsytans resurs-ID är: /subscriptions/<SubscriptionID>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.
    Arbetsytans region Välj region för din arbetsyta för trafikanalys.
    Arbetsplats-ID Ange ditt arbetsyte-ID för trafikanalys.
    Resursgrupp för Network Watcher Välj resursgruppen för Network Watcher.
    Network Watcher-namn Ange namnet på din Network Watcher.
    Antal dagar för att behålla flödesloggar Ange det antal dagar som du vill behålla flödesloggdata för i lagringskontot. Om du vill behålla data för alltid anger du 0.

    Kommentar

    Regionen för trafikanalysarbetsytan behöver inte vara samma som regionen för målnätverkssäkerhetsgruppen.

    Skärmbild av fliken Parametrar för att tilldela en distributionsprincip i Azure Portal.

  8. Välj fliken Nästa eller Reparation . Ange eller välj följande värden:

    Inställning Värde
    Skapa reparationsaktivitet Markera kryssrutan om du vill att principen ska påverka befintliga resurser.
    Skapa en hanterad identitet Markera kryssrutan.
    Typ av hanterad identitet Välj den typ av hanterad identitet som du vill använda.
    Systemtilldelad identitetsplats Välj regionen för den systemtilldelade identiteten.
    Omfattning Välj omfånget för den användartilldelade identiteten.
    Befintliga användartilldelade identiteter Välj din användartilldelade identitet.

    Kommentar

    Du behöver behörigheten Deltagare eller Ägare för att kunna använda den här principen.

    Skärmbild av fliken Reparation för att tilldela en distributionsprincip i Azure Portal.

  9. Välj Granska + skapa och sedan Skapa.

  10. Välj Efterlevnad. Sök efter namnet på tilldelningen och välj den.

    Skärmbild av sidan Efterlevnad som visar distributionsprincipen i Azure Portal.

  11. Välj Resursefterlevnad för att hämta en lista över alla icke-kompatibla flödesloggar.

    Skärmbild som visar information om distributionsprincipen i Azure Portal.

Felsökning

Reparationsaktiviteten misslyckas med PolicyAuthorizationFailed felkoden: exempelfelexempel Resursidentiteten för principtilldelning /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ har inte de behörigheter som krävs för att skapa distributionen.

I ett sådant scenario måste den hanterade identiteten beviljas åtkomst manuellt. Gå till lämplig prenumeration/resursgrupp (som innehåller de resurser som anges i principparametrarna) och ge deltagare åtkomst till den hanterade identitet som skapats av principen.