Ayrıcalıklı Azure rol atamalarıyla ilgili uyarı

Katkıda Bulunan, Sahip veya Kullanıcı Erişimi Yönetici istrator gibi ayrıcalıklı Azure rolleri güçlü rollerdir ve sisteminize risk verebilir. Bu roller veya diğer roller atandığında e-posta veya kısa mesajla bildirim almak isteyebilirsiniz. Bu makalede, Azure İzleyici kullanarak bir uyarı kuralı oluşturarak abonelik kapsamında ayrıcalıklı rol atamaları hakkında nasıl bildirim alındığı açıklanır.

Ön koşullar

Uyarı kuralı oluşturmak için şunlarınız olmalıdır:

• Azure aboneliği erişimi
• Abonelik içinde kaynak grupları ve kaynaklar oluşturma izni
• Log Analytics, AzureActivity tablosuna erişimi olacak şekilde yapılandırıldı

Azure İzleyici'ye başlamadan önce maliyetleri tahmin edin

Azure İzleyici ve uyarı kurallarının kullanılmasıyla ilişkili bir maliyet vardır. Maliyet, sorgunun yürütülme sıklığına ve seçilen bildirimlere bağlıdır. Daha fazla bilgi için bkz . Azure İzleyici fiyatlandırması.

Uyarı kuralı oluşturma

Ayrıcalıklı rol atamalarıyla ilgili bildirim almak için Azure İzleyici'de bir uyarı kuralı oluşturursunuz.

1. Azure Portal oturum açın.

2. İzleyici'ye gidin.

3. Sol gezinti bölmesinde Uyarılar'a tıklayın.

4. Uyarı kuralı oluştur'a>tıklayın. Uyarı kuralı oluştur sayfası açılır.

5. Kapsam sekmesinde aboneliğinizi seçin.

6. Koşul sekmesinde Özel günlük araması sinyal adını seçin.

7. Günlük sorgusu kutusuna, aboneliğin günlüğünde çalıştırılacak ve uyarıyı tetikleyecek aşağıdaki Kusto sorgusunu ekleyin.

   Bu sorgu seçilen aboneliğin kapsamında Katkıda Bulunan, Sahip veya Kullanıcı Erişimi Yönetici istrator rollerini atama girişimleri için filtre uygular.

   AzureActivity
   | where CategoryValue =~ "Administrative" and
       OperationNameValue =~ "Microsoft.Authorization/roleAssignments/write" and
       (ActivityStatusValue =~ "Start" or ActivityStatus =~ "Started")
   | extend Properties_d = todynamic(Properties)
   | extend RoleDefinition = extractjson("$.Properties.RoleDefinitionId",tostring(Properties_d.requestbody),typeof(string))
   | extend PrincipalId = extractjson("$.Properties.PrincipalId",tostring(Properties_d.requestbody),typeof(string))
   | extend PrincipalType = extractjson("$.Properties.PrincipalType",tostring(Properties_d.requestbody),typeof(string))
   | extend Scope = extractjson("$.Properties.Scope",tostring(Properties_d.requestbody),typeof(string))
   | where Scope !contains "resourcegroups"
   | extend RoleId = split(RoleDefinition,'/')[-1]
   | extend RoleDisplayName = case(
       RoleId =~ 'b24988ac-6180-42a0-ab88-20f7382dd24c', "Contributor",
       RoleId =~ '8e3af657-a8ff-443c-a75c-2fe8c4bcb635', "Owner",
       RoleId =~ '18d7d88d-d35e-4fb5-a5c3-7773c20a72d9', "User Access Administrator",
       "Irrelevant")
   | where RoleDisplayName != "Irrelevant"
   | project TimeGenerated,Scope, PrincipalId,PrincipalType,RoleDisplayName
   

   

8. Ölçüm bölümünde aşağıdaki değerleri ayarlayın:

   • Ölçü: Tablo satırları
   • Toplama türü: Sayı
   • Toplama ayrıntı düzeyi: 5 dakika

   Toplama ayrıntı düzeyi için varsayılan değeri istediğiniz sıklıkta değiştirebilirsiniz.

9. Boyutlara göre böl bölümünde Kaynak Kimliği sütununu Bölme olarak ayarlayın.

10. Uyarı mantığı bölümünde aşağıdaki değerleri ayarlayın:

    • İşleç: Büyüktür
    • Eşik değeri: 0
    • Değerlendirme sıklığı: 5 dakika

    Değerlendirme sıklığı için varsayılan değeri istediğiniz sıklıkta değiştirebilirsiniz.

11. Eylemler sekmesinde bir eylem grubu oluşturun veya var olan bir eylem grubunu seçin.

    Eylem grubu, uyarı tetiklendiğinde yürütülen eylemleri ve bildirimleri tanımlar.

    Bir eylem grubu oluşturduğunuzda, eylem grubunu içine yerleştirecek kaynak grubunu belirtmeniz gerekir. Ardından, uyarı kuralı tetiklendiğinde çağrılacak bildirimleri (E-posta/SMS iletisi/Gönder/Sesli eylem) seçin. Eylemler ve Etiket sekmelerini atlayabilirsiniz. Daha fazla bilgi için bkz . Azure portalında eylem grupları oluşturma ve yönetme.

12. Ayrıntılar sekmesinde, uyarı kuralını kaydetmek için kaynak grubunu seçin.

13. Uyarı kuralı ayrıntıları bölümünde Önem Derecesi'ni seçin ve bir Uyarı kuralı adı belirtin.

14. Bölge için, Azure etkinlik günlükleri genel olduğundan herhangi bir bölgeyi seçebilirsiniz.

15. Etiketler sekmesini atlayın.

16. Gözden Geçir + oluştur sekmesinde Oluştur'a tıklayarak uyarı kuralınızı oluşturun.

Uyarı kuralını test edin

Bir uyarı kuralı oluşturduktan sonra tetiklendiğini test edebilirsiniz.

1. Abonelik kapsamında Katkıda Bulunan, Sahip veya Kullanıcı Erişimi Yönetici istrator rolünü atayın. Daha fazla bilgi edinmek için bkz. Azure portal kullanarak Azure rolleri atama.

2. Toplama ayrıntı düzeyine ve günlük sorgusu değerlendirme sıklığına göre uyarıyı almak için birkaç dakika bekleyin.

3. Uyarılar sayfasında, eylem grubunda belirttiğiniz uyarıyı izleyin.

   

   Aşağıdaki görüntüde e-posta uyarısının bir örneği gösterilmektedir.

   

Uyarı kuralını silme

Rol ataması uyarı kuralını silmek ve ek maliyetleri durdurmak için bu adımları izleyin.

1. İzleyici'de Uyarılar'a gidin.

2. Çubukta Uyarı kuralları'na tıklayın.

3. Silmek istediğiniz uyarı kuralının yanına bir onay işareti ekleyin.

4. Uyarıyı kaldırmak için Sil'e tıklayın.

Sonraki adımlar

• Azure İzleyici'yi kullanarak etkinlik günlüğü uyarıları oluşturma, görüntüleme ve yönetme
• Azure RBAC değişiklikleri için etkinlik günlüklerini görüntüleme