İlkeler ve ilke girişimleri, Azure İzleyici için tanılama ayarları aracılığıyla büyük ölçekte günlüğe kaydetmeyi etkinleştirmek için basit bir yöntem sağlar. İlke girişimini kullanarak, Azure ortamınızda desteklenen tüm kaynaklar için denetim günlüğünü açabilirsiniz.
Kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek için kaynak günlüklerini etkinleştirin ve gerçekleşen değişikliklerle ilgili görünürlük ve içgörüler elde edin.
Kaynak günlüklerini etkinleştirmek ve gereksinimlerinize göre hedeflere göndermek için ilkeler atayın. Günlükleri üçüncü taraf SIEM sistemleri için olay hub'larına göndererek sürekli güvenlik işlemlerine olanak tanır. Daha uzun süreli depolama veya mevzuat uyumluluğunun yerine getirilmesi için günlükleri depolama hesaplarına gönderin.
Kaynak günlüklerini Log Analytics Çalışma Alanları, Event Hubs ve Depolama Hesaplarına yönlendirmek için bir dizi yerleşik ilke ve girişim vardır. İlkeler denetim günlüğünü etkinleştirir ve denetim günlüğü kategori grubuna ait günlükleri bir olay hub'ına, Log Analytics çalışma alanına veya Depolama Hesabına gönderir. İlkelerin effect değeridir DeployIfNotExists. Bu ilke, tanımlanmış başka ayarlar yoksa ilkeyi varsayılan olarak dağıtır.
İlkeleri dağıtma.
Portal, CLI, PowerShell veya Azure Kaynak Yönetimi şablonlarını kullanarak ilkeleri ve girişimleri dağıtma
PowerShell kullanarak ilke uygulamak için aşağıdaki komutları kullanın:
Ortamınızı ayarlayın.
Aboneliğinizi seçin ve kaynak grubunuzu ayarlayın
Select-AzSubscription <subscriptionID>
$rg = Get-AzResourceGroup -Name <resource groups name>
İlke tanımını alın ve ilkenin parametrelerini yapılandırın. Aşağıdaki örnekte keyVault günlüklerini Log Analytics çalışma alanına gönderme ilkesini atıyoruz
İlke, yaklaşık 30 dakika sonra kaynakların tanılama ayarlarında görünür.
Düzeltme görevleri
İlkeler oluşturulduklarında yeni kaynaklara uygulanır. Mevcut kaynaklara ilke uygulamak için bir düzeltme görevi oluşturun. Düzeltme görevleri, kaynakları bir ilkeyle uyumlu hale getirir.
Düzeltme görevleri belirli ilkeler için işlem gerçekleştirir. Birden çok ilke içeren girişimler için, uyumlu hale getirmek istediğiniz kaynaklara sahip olduğunuz girişimdeki her ilke için bir düzeltme görevi oluşturun.
İlkeyi atarken veya atamadan sonraki herhangi bir aşamada düzeltme görevlerini tanımlayın.
İlke ataması sırasında ilkeler için bir düzeltme görevi oluşturmak için İlke ata sayfasındaki Düzeltme sekmesini seçin ve Düzeltme görevi oluştur onay kutusunu seçin.
İlke atandıktan sonra bir düzeltme görevi oluşturmak için, İlke Atamaları sayfasındaki listeden atanan ilkenizi seçin.
Log Analytics'e yönelik desteklenen kaynaklar için denetim kategorisi grubu kaynak günlüğünü etkinleştir girişimini seçin.
Aşağıdaki sayfada, ata'yı seçin.
Girişim ata sayfasının Temel bilgiler sekmesinde, girişimin uygulanmasını istediğiniz kapsamı seçin.
Atama adı alanına bir ad girin.
Parametreler sekmesini seçin.
Parametreler, ilkede tanımlanan parametreleri içerir. Bu durumda, günlükleri göndermek istediğimiz Log Analytics çalışma alanını seçmemiz gerekir. Her ilkenin tek tek parametreleri hakkında daha fazla bilgi için bkz. İlkeye özgü parametreler.
Denetim günlüklerinizi göndermek için Log Analytics çalışma alanını seçin.
Gözden geçir ve oluştur'u seçin ve ardından oluşturun.
İlkenizin veya girişim atamanızın çalıştığını doğrulamak için, ilke atamanızda tanımladığınız abonelik veya kaynak grubu kapsamında bir kaynak oluşturun.
10 dakika sonra kaynağınız için Tanılama ayarları sayfasını seçin.
Tanılama ayarınız listede varsayılan adı setByPolicy-LogAnalytics ve ilkede yapılandırdığınız çalışma alanı adıyla gösterilir.
Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster onay kutusunun seçimini kaldırarak Girişimi veya ilkeyi ata sayfasının Parametreler sekmesindeki varsayılan adı değiştirin.
Ortam değişkenlerinizi ayarlama
# Set up your environment variables.
$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
Girişim tanımını alın. Bu örnekte, 'Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5" için Desteklenen kaynaklar için Initiative Enable audit category group resource logging komutunu kullanacağız
Girişimdeki ilkeler için düzeltme görevleri oluşturun.
Düzeltme görevleri ilke başına oluşturulur. Her görev, girişimde olarak belirtilen belirli definition-reference-idbir öğesine yöneliktir policyDefinitionReferenceId. parametresini definition-reference-id bulmak için aşağıdaki komutu kullanın:
az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
Girişimdeki tüm ilkeler için bir düzeltme görevi oluşturmak için aşağıdaki örneği kullanın:
for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g)
do
az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId;
done
Ortak parametreler
Aşağıdaki tabloda her ilke kümesi için ortak parametreler açıklanmaktadır.
Parametre
Açıklama
Geçerli Değerler
Varsayılan
etki
İlkenin yürütülmesini etkinleştirme veya devre dışı bırakma
DeployIfNotExists, AuditIfNotExists, Devre dışı
DeployIfNotExists
diagnosticSettingName
Tanılama Ayarı Adı
setByPolicy-LogAnalytics
categoryGroup
Tanılama kategorisi grubu
Hiçbiri Denetim allLogs
Denetim
İlkeye özgü parametreler
Log Analytics ilke parametreleri
Bu ilke, günlükleri Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır.
Parametre
Açıklama
Geçerli Değerler
Varsayılan
resourceLocationList
Günlükleri yakındaki Log Analytics'e göndermek için Kaynak Konumu Listesi. "*" tüm konumları seçer
Desteklenen konumlar
*
logAnalytics
Log Analytics Çalışma Alanı
Event Hubs ilke parametreleri
Bu ilke, günlükleri bir olay hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır.
Parametre
Açıklama
Geçerli Değerler
Varsayılan
resourceLocation
Kaynak Konumu, olay hub'ı Ad Alanı ile aynı konumda olmalıdır
Desteklenen konumlar
eventHubAuthorizationRuleId
Olay hub'ı Yetkilendirme Kuralı Kimliği. Yetkilendirme kuralı olay hub'ı ad alanı düzeyindedir. Örneğin, /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName
Olay hub'ı adı
İzleme
Depolama Hesapları ilke parametreleri
Bu ilke, günlükleri depolama hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır.
Parametre
Açıklama
Geçerli Değerler
Varsayılan
resourceLocation
Kaynak Konumu, Depolama Hesabı ile aynı konumda olmalıdır
Desteklenen konumlar
storageAccount
Depolama Hesabı resourceId
Desteklenen Kaynaklar
Aşağıdaki kaynaklar için Log Analytics çalışma alanları, Event Hubs ve Depolama Hesapları için yerleşik Denetim günlükleri ilkeleri vardır: