分享方式:

使用 Azure 原則管理 NSG 流量記錄

  • 文章

重要

網路安全性群組 (NSG) 流量記錄將於 2027 年 9 月 30 日淘汰。 經此淘汰後,自 2025 年 6 月 30 日起您將無法再建立新的 NSG 流量記錄。 建議您移轉 (部分機器翻譯) 至虛擬網路流量記錄,以因應 NSG 流量記錄的限制。 過了淘汰日期之後,將不再支援啟用了 NSG 流量記錄的流量分析,且將會刪除您的訂用帳戶中現有的 NSG 流量記錄資源。 不過,NSG 流量記錄將不會刪除,且將繼續遵循其各自的保留原則。 如需詳細資訊,請參閱官方公告

Azure 原則有助於強制執行組織標準及大規模評估合規性。 Azure 原則的常見使用案例包括針對資源一致性、法規合規性、安全性、成本和管理來進行治理。 若要深入了解 Azure 原則,請參閱 什麼是 Azure 原則?快速入門: 建立原則指派以識別不符合規範的資源

在本文中,您將了解如何使用兩個內建原則來管理網路安全性群組 (NSG) 流量記錄的設定。 第一個原則會標幟未啟用流量記錄的任何網路安全性群組。 第二個原則會自動部署未啟用流量記錄的 NSG 流量記錄。

使用內建原則稽核網路安全性群組

應針對每個網路安全性群組設定流量記錄原則,透過檢查所有類型為 Microsoft.Network/networkSecurityGroups 的 Azure Resource Manager 物件來稽核某個範圍內的所有現有網路安全性群組。 此原則接著會透過網路安全性群組的流量記錄屬性來檢查連結的流量記錄,並將未啟用流量記錄的任何網路安全性群組加上旗標。

若要使用內建原則稽核您的流量記錄,請遵循下列步驟:

  1. 登入 Azure 入口網站

  2. 在入口網站頂端的搜尋方塊中,輸入 [原則]。 在搜尋結果中選取 [原則]

    在 Azure 入口網站中搜尋 Azure 原則的螢幕擷取畫面。

  3. 選取 [指派],然後選取 [指派原則]

    在 Azure 入口網站中選取原則指派按鈕的螢幕擷取畫面。

  4. 選取 [範圍] 旁的 [...],以選擇您的 Azure 訂用帳戶,該訂用帳戶具有您想要原則稽核的流程記錄。 您也可以選擇具有網路安全性群組的資源群組。 選取項目之後,請選擇 [選取] 按鈕。

    在 Azure 入口網站中選取原則範圍的螢幕擷取畫面。

  5. 選取 [原則定義] 旁的 [...],以選擇要指派的內建原則。 在搜尋方塊中輸入 [流量記錄],然後選取 [內建] 篩選。 從搜尋結果中,選取 [每個網路安全性群組 都該設定流量記錄],然後選取 [新增]

    在 Azure 入口網站中選取稽核原則的螢幕擷取畫面。

  6. [指派名稱] 中輸入名稱,並在 [指派者] 中輸入您的名稱。

    此原則不需要任何參數。 它也不包含任何角色定義,因此您不需要在 [補救] 索引標籤中建立受控識別的角色指派。

  7. 選取 [檢閱 + 建立],然後選取 [建立]。

    此螢幕擷取畫面顯示 Azure 入口網站中用來指派稽核原則的 [基本] 索引標籤。

  8. 選取 [合規性]。 搜尋您的指派名稱,然後加以選取。

    [合規性] 頁面的螢幕擷取畫面,其中根據稽核原則顯示不符合規範的資源。

  9. 選取 [資源合規性] 以取得所有不符合規範的網路安全性群組清單。

    [原則合規性] 頁面的螢幕擷取畫面,其中根據稽核原則顯示不符合規範的資源。

使用內建原則部署和設定 NSG 流量記錄

使用目標網路安全性群組部署流量記錄資源原則,透過檢查所有類型為 Microsoft.Network/networkSecurityGroups 的 Azure Resource Manager 物件來檢查某個範圍內的所有現有網路安全性群組。 然後,它會透過網路安全性群組的流量記錄屬性來檢查連結的流量記錄。 如果該屬性不存在,原則會部署一個流量記錄。

若要指派 deployIfNotExists 原則:

  1. 登入 Azure 入口網站

  2. 在入口網站頂端的搜尋方塊中,輸入 [原則]。 在搜尋結果中選取 [原則]

    在 Azure 入口網站中搜尋 Azure 原則的螢幕擷取畫面。

  3. 選取 [指派],然後選取 [指派原則]

    在 Azure 入口網站中選取原則指派按鈕的螢幕擷取畫面。

  4. 選取 [範圍] 旁的 [...],以選擇您的 Azure 訂用帳戶,該訂用帳戶具有您想要原則稽核的流程記錄。 您也可以選擇具有網路安全性群組的資源群組。 選取項目之後,請選擇 [選取] 按鈕。

    在 Azure 入口網站中選取原則範圍的螢幕擷取畫面。

  5. 選取 [原則定義] 旁的 [...],以選擇要指派的內建原則。 在搜尋方塊中輸入 [流量記錄],然後選取 [內建] 篩選。 從搜尋結果中,選取 [使用目標網路安全性群組部署流量記錄資源],然後選取 [新增]

    在 Azure 入口網站中選取部署原則的螢幕擷取畫面。

  6. [指派名稱] 中輸入名稱,並在 [指派者] 中輸入您的名稱。

    此螢幕擷取畫面顯示 Azure 入口網站中用來指派部署原則的 [基本] 索引標籤。

  7. 選取 [下一步] 按鈕兩次,或選取 [參數] 索引標籤。然後輸入或選取下列值:

    設定
    NSG 區域 選取以原則為目標的網路安全性群組區域。
    儲存體識別碼 輸入儲存體帳戶的完整資源識別碼。 儲存體帳戶必須位於與網路安全性群組相同的區域中。 儲存體資源識別碼的格式為 /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>
    網路監看員 RG 選取 Azure 網路監看員執行個體的資源群組。
    網路監看員名稱 輸入網路監看員執行個體的名稱。

    此螢幕擷取畫面顯示 Azure 入口網站中用來指派部署原則的 [參數] 索引標籤。

  8. [補救] 索引標籤上,選取 [下一步]。輸入或選取下列值:

    設定
    建立補救工作 如果您想要讓原則影響現有的資源,請選取此核取方塊。
    建立受控識別 選取核取方塊。
    受控識別的類型 選取您想要使用的受控識別類型。
    系統指派的身分識別位置 選取系統指派的身分識別之區域。
    範圍 選取使用者指派的身分識別之範圍。
    現有的使用者指派的身分識別 選取使用者指派的身分識別。

    注意

    您將需要 參與者擁有者 權限,才能使用此原則。

    此螢幕擷取畫面顯示 Azure 入口網站中用來指派部署原則的 [補救] 索引標籤。

  9. 選取 [檢閱 + 建立],然後選取 [建立]。

  10. 選取 [合規性]。 搜尋您的指派名稱,然後加以選取。

    [合規性] 頁面的螢幕擷取畫面,其中根據部署原則顯示不符合規範的資源。

  11. 選取 [資源合規性] 以取得所有不符合規範的網路安全性群組清單。

    [原則合規性] 頁面的螢幕擷取畫面,其中顯示不符合規範的資源。

  12. 讓原則繼續執行,以評估及部署所有不符合規範的網路安全性群組的流量記錄。 然後,再次選取 [資源合規性] 來檢查網路安全性群組的狀態 (如果原則完成其補救,您則不會看到不符合規範的網路安全性群組)。

    顯示所有資源都符合規範的 [原則合規性] 頁面的螢幕擷取畫面。

相關內容