使用 Azure 原則管理流量分析

Azure 原則有助於強制執行組織標準及大規模評估合規性。 Azure 原則的常見使用案例包括針對資源一致性、法規合規性、安全性、成本和管理來進行治理。 若要深入了解 Azure 原則，請參閱什麼是 Azure 原則? 和 快速入門: 建立原則指派以識別不符合規範的資源。

在本文中，您將了解如何使用三個可供 Azure 網路監看員流量分析的內建原則來管理您的設定。

使用內建原則稽核流程記錄

網路監看員流量記錄應啟用流量分析的原則稽核所有現有的流量記錄，方法是稽核類型為 Microsoft.Network/networkWatchers/flowLogs 的 Azure Resource Manager 物件，並檢查是否透過流量記錄資源的 networkWatcherFlowAnalyticsConfiguration.enabled 屬性來啟用使用分析。 接著，此原則會將屬性設定為 false 的流程記錄資源加上旗標。

若要使用內建原則稽核您的流程記錄:

1. 登入 Azure 入口網站。

2. 在入口網站頂端的搜尋方塊中，輸入 [原則]。 從搜尋結果中選取 [ 原則 ]。

   

3. 選取 [指派]，然後選取 [指派原則]。

   

4. 選取 [範圍] 旁的 [...] ，以選擇您的 Azure 訂用帳戶，該訂用帳戶具有您想要原則稽核的流程記錄。 您也可以選擇具有流量記錄的資源群組。 完成選取之後，請選取 [選取] 按鈕。

   

5. 選取 [原則定義] 旁的 [...]，以選擇要指派的內建原則。 在搜尋方塊中輸入流量分析，然後選取 [內建] 篩選。 從搜尋結果中，選取 [網路監看員流程記錄應已啟用流量分析]，然後選取 [新增]。

   

6. 在 [指派名稱] 中輸入名稱，並在 [指派者] 中輸入名稱。 此原則不需要任何參數。

7. 選取 [檢閱 + 建立]，然後選取 [建立]。

   

   注意

   此原則不需要任何參數。 它也不包含任何角色定義，因此您不需要在 [補救] 索引標籤中建立受控識別的角色指派。

8. 選取 [合規性]。 搜尋您的指派名稱，然後加以選取。

   

9. 資源合規性會列出所有不符合規範的流程記錄。

   

使用 deployIfNotExists 原則部署和設定流量分析

有兩個 deployIfNotExists 原則可用來設定 NSG 流量記錄:

• 將網路安全性群組設定為使用流量分析的特定工作區、儲存體帳戶和流量記錄保留原則: 此原則會標記未啟用流量分析的網路安全性群組。 針對標記的網路安全性群組，對應的 NSG 流量記錄資源不存在或 NSG 流量記錄資源存在，但未啟用流量分析。 如果想要原則影響現有的資源，您可以建立補救工作。

  指派原則時或在指派並評估原則之後，可以指派補救。 補救會使用提供的參數，在所有標記的資源上啟用流量分析。 如果網路安全性群組已將流量記錄啟用至特定儲存體識別碼，但未啟用流量分析，則補救會啟用此網路安全性群組上的流量分析，並提供的參數。 如果參數中提供的儲存體識別碼與針對流量記錄啟用的儲存體識別碼不同，則後者會以補救工作中提供的儲存體識別碼加以覆寫。 如果您不想要覆寫，請使用「設定網路安全性群組以啟用流量分析」原則。

• 設定網路安全性群組以啟用流量分析: 此原則與上一個原則類似，不同之處在於，在補救期間，不會覆寫已啟用流量記錄但使用原則指派中提供的參數停用之已標記網路安全性群組的流量記錄設定。

注意

網路監看員是區域服務，因此兩個 deployIfNotExists 原則會套用至存在於特定區域中的網路安全組。 對於不同區域中的網路安全性群組，請在該區域中建立另一個原則指派。

若要指派任何 deployIfNotExists 兩個原則，請遵循下列步驟:

1. 登入 Azure 入口網站。

2. 在入口網站頂端的搜尋方塊中，輸入 [原則]。 從搜尋結果中選取 [ 原則 ]。

   

3. 選取 [指派]，然後選取 [指派原則]。

   

4. 選取 [範圍] 旁的 [...] ，以選擇您的 Azure 訂用帳戶，該訂用帳戶具有您想要原則稽核的流程記錄。 您也可以選擇具有流量記錄的資源群組。 選取項目之後，請選擇 [選取] 按鈕。

   

5. 選取 [原則定義] 旁的 [...]，以選擇要指派的內建原則。 在搜尋方塊中輸入流量分析，然後選取 [內建] 篩選。 從搜尋結果中，選取 [設定網络安全組] 以使用特定工作區、儲存體帳戶和流量記錄保留原則來進行流量分析 ，然後選取 [新增]。

   

6. 在 [指派名稱] 中輸入名稱，並在 [指派者] 中輸入名稱。

   

7. 選取 [下一步] 按鈕兩次，或選取 [參數] 索引標籤。然後，輸入或選取下列值：

   設定	值
   影響	選取 DeployIfNotExists。
   網路安全性群組區域	選取以原則為目標的網路安全性群組區域。
   儲存體資源識別碼	輸入儲存體帳戶的完整資源識別碼。 儲存體帳戶必須位於與網路安全性群組相同的區域中。 儲存體資源識別碼的格式為: /subscriptions/<SubscriptionID>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>。
   流量分析處理間隔 (分鐘)	選取已處理記錄推送至工作區的頻率。 目前可用的值為 10 和 60 分鐘。 預設值為 60 分鐘。
   工作區資源識別碼	輸入必須啟用流量分析所在工作區的完整資源識別碼。 工作區資源識別碼的格式為: /subscriptions/<SubscriptionID>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>。
   工作區區域	選取流量分析工作區的區域。
   工作區識別碼	輸入您的流量分析工作區識別碼。
   網路監看員資源群組	選取網路監看員的資源群組。
   網路監看員名稱	輸入網路監看員的名稱。
   保留流量記錄中的天數	輸入您想要在儲存體帳戶中保留流量記錄資料的天數。 如果您想要永遠保留資料，請輸入 0。

   注意

   流量分析工作區的區域不一定與目標網路安全性群組的區域相同。

   

8. 選取 [下一步] 或 [補救] 索引標籤。輸入或選取下列值：

   設定	值
   建立補救工作	如果您想要讓原則影響現有的資源，請核取此方塊。
   建立受控識別	核取方塊。
   受控識別的類型	選取您想要使用的受控識別類型。
   系統指派的身分識別位置	選取系統指派的身分識別之區域。
   範圍	選取使用者指派的身分識別範圍。
   現有的使用者指派的識別	選取使用者指派的身分識別。

   注意

   您將需要 參與者 或 擁有者 權限，才能使用此原則。

   

9. 選取 [檢閱 + 建立]，然後選取 [建立]。

10. 選取 [合規性]。 搜尋您的指派名稱，然後加以選取。

    

11. 選取 [資源合規性] 以取得所有不符合規範的流程記錄清單。

    

疑難排解

補救工作失敗並出現 PolicyAuthorizationFailed 錯誤碼: 範例錯誤範例 原則指派 /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ 資源識別沒有建立部署所需的權限。

在這類案例中，受控識別必須手動授與存取權。 移至適當的訂用帳戶/資源群組 (包含原則參數中提供的資源)，並將參與者存取權授與原則所建立的受控識別。

相關內容

• 了解 NSG 流量記錄內建原則。
• 深入了解流量分析。
• 了解如何使用 Azure Resource Manager (ARM) 範本來部署流量記錄和流量分析，請參閱使用 Azure Resource Manager 樣本設定 NSG 流量記錄。