設定記錄，監視適用於雲端的 Microsoft Defender 中的邏輯應用程式

在 Microsoft Azure 資訊安全中心內監視 Azure Logic Apps 資源時，您可以檢閱邏輯應用程式是否遵循預設原則。 當您啟用記錄並正確設定記錄目的地後，Azure 會顯示 Azure Logic Apps 資源的健全狀態。 本文說明如何設定診斷記錄，並確定所有邏輯應用程式都是健康情況良好的資源。

提示

若要尋找 Azure Logic Apps 服務目前的狀態，請檢閱 Azure 狀態頁面，而此頁面會列出每個可用區域中不同產品和服務的狀態。

必要條件

• Azure 訂用帳戶。 如果您未訂閱，請建立免費的 Azure 帳戶。

• 搭配啟用診斷記錄的現有邏輯應用程式。

• Log Analytics 工作區會要求啟用邏輯應用程式的記錄。 如果您沒有工作區，請先建立新工作區。

啟用診斷記錄

您必須先設定診斷記錄，才能檢視邏輯應用程式的資源健全狀態。 如果您已有 Log Analytics 工作區，您可以在建立邏輯應用程式時啟用記錄，或啟用現有邏輯應用程式上的記錄。

提示

預設建議是啟用 Azure Logic Apps 的診斷記錄。 但您可以控制邏輯應用程式的此設定。 啟用邏輯應用程式的診斷記錄後，您可以使用資訊協助分析安全性事件。

檢查診斷記錄設定

如果不確定邏輯應用程式是否已啟用診斷記錄，可在適用於雲端的 Defender 確認：

1. 登入 Azure 入口網站。
2. 在搜尋列中，輸入並選取 [適用於雲端的 Defender]。
3. 在 [工作負載保護儀表板] 功能表的 [一般] 下，選取[建議]。
4. 在安全性建議的資料表中，尋找並選取 [啟用稽核和記錄]，然後安全性控制的資料表中應該會啟用 Logic Apps 中的診斷記錄。>
5. 在建議頁面上，展開 [補救步驟] 區段並檢閱選項。 您可以選取 [快速修正!] 按鈕，或遵循手動補救指示，來啟用 Azure Logic Apps 診斷。

檢視邏輯應用程式的健全狀態

啟用診斷記錄後，您可以在適用於雲端的 Defender 中看到邏輯應用程式的健全狀態。

1. 登入 Azure 入口網站。

2. 在搜尋列中，輸入並選取 [適用於雲端的 Defender]。

3. 在 [工作負載保護儀表板] 功能表的 [一般] 下，選取 [詳細目錄]。

4. 在 [詳細目錄] 頁面上，篩選您的資產清單，只顯示 Azure Logic Apps 資源。 在頁面功能表中，選取 [資源類型]>[邏輯應用程式]。

   [狀況不良資源] 計數器會顯示適用於雲端的 Defender視為狀況不良的邏輯應用程式數目。

5. 在邏輯應用程式資源清單中，檢閱建議資料行。 若要檢閱特定邏輯應用程式的健全狀況詳細資料，請選取資源名稱，或選取 [省略符號] 按鈕 (...) >檢視資源。

6. 若要補救任何潛在的資源健康情況問題，請遵循針對邏輯應用程式列出的步驟。

如果已啟用診斷記錄，記錄的目的地可能有問題。 檢閱如何修正不同診斷記錄目的地的問題。

修正邏輯應用程式的診斷記錄

如果適用於雲端的 Defender 中的邏輯應用程式列為狀況不良，請在Azure 入口網站中或透過 Azure CLI 的程式碼檢視，開啟邏輯應用程式。 然後檢查診斷記錄的目的地設定：Azure Log Analytics、Azure 事件中樞或 Azure 儲存體帳戶。

Log Analytics 和事件中樞目的地

如果您使用 Log Analytics 或事件中樞作為 Azure Logic Apps 診斷記錄的目的地，則請檢查下列設定。

1. 若要確認您已啟用診斷記錄，請檢查診斷設定 logs.enabled 欄位是否設為 true。
2. 若要確認您未將儲存體帳戶設為目的地，請檢查 storageAccountId 欄位是否設為 false。

例如：

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
                "notEquals": "true"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/storageAccountId",
                "exists": false
            }
        ]
    }
] 

儲存體帳戶目的地

如果您使用儲存體帳戶作為 Azure Logic Apps 診斷記錄的目的地，則請檢查下列設定。

1. 若要確認您已啟用診斷記錄，請檢查診斷設定 logs.enabled 欄位是否設為 true。
2. 若要確認您已啟用診斷記錄的保留原則，請檢查 retentionPolicy.enabled 欄位是否設為 true。
3. 若要確認您已設定 0-365 天的保留期，請檢查 retentionPolicy.days 欄位是否設為 0 至 365 間的數字。

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "0"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "[parameters('requiredRetentionDays')]"
            }
          ]
    },
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    }
]