Předdefinované zásady pro Azure Monitor
Zásady a iniciativy zásad poskytují jednoduchou metodu, jak povolit protokolování ve velkém prostřednictvím nastavení diagnostiky pro Azure Monitor. Pomocí iniciativy zásad můžete zapnout protokolování auditu pro všechny podporované prostředky ve vašem prostředí Azure.
Povolte protokoly prostředků ke sledování aktivit a událostí, které probíhají u vašich prostředků, a získáte přehled o všech změnách, ke kterým dochází. Přiřaďte zásady pro povolení protokolů prostředků a jejich odesílání do cílů podle vašich potřeb. Odesílání protokolů do center událostí pro systémy SIEM třetích stran, které umožňují průběžné operace zabezpečení. Odešlete protokoly do účtů úložiště za účelem dlouhodobého úložiště nebo splnění dodržování právních předpisů.
Existuje sada předdefinovaných zásad a iniciativ pro směrování protokolů prostředků do pracovních prostorů služby Log Analytics, služeb Event Hubs a účtů úložiště. Zásady povolují protokolování auditu, odesílají protokoly patřící do skupiny kategorií protokolů všech protokolů do centra událostí, pracovního prostoru služby Log Analytics nebo účtu úložiště. Zásady jsou DeployIfNotExists
, effect
které nasadí zásadu jako výchozí, pokud nejsou definovaná jiná nastavení.
Nasaďte zásady.
Nasazení zásad a iniciativ pomocí portálu, rozhraní příkazového řádku, PowerShellu nebo šablon azure Resource Management
Následující kroky ukazují, jak použít zásadu k odesílání protokolů auditu do trezorů klíčů do pracovního prostoru služby Log Analytics.
Na stránce Zásady vyberte Definice.
Vyberte obor. Zásady můžete použít pro celé předplatné, skupinu prostředků nebo jednotlivé prostředky.
V rozevíracím seznamu Typ definice vyberte Zásady.
V rozevíracím seznamu Kategorie vyberte Možnost Monitorování .
Do vyhledávacího pole zadejte keyvault.
Vyberte možnost Povolit protokolování podle skupiny kategorií pro trezory klíčů (microsoft.keyvault/vaults) do zásad Log Analytics .
Na stránce definice zásady vyberte Přiřadit.
Vyberte kartu Parametry.
Vyberte pracovní prostor služby Log Analytics, do kterého chcete protokoly auditu odeslat.
Na kartě Náprava vyberte zásadu služby Keyvault z rozevíracího seznamu Zásady a opravte ji.
Zaškrtněte políčko Vytvořit spravovanou identitu.
V části Typ spravované identity vyberte spravovanou identitu přiřazenou systémem.
Zásady jsou viditelné v nastavení diagnostiky prostředků přibližně po 30 minutách.
Úkoly pro nápravu
Zásady se použijí na nové prostředky při jejich vytváření. Pokud chcete použít zásadu pro existující prostředky, vytvořte úlohu nápravy. Úlohy nápravy přinesou prostředky do souladu se zásadami.
Úlohy nápravy se chovají pro konkrétní zásady. Pro iniciativy, které obsahují více zásad, vytvořte úlohu nápravy pro každou zásadu v iniciativě, ve které máte prostředky, které chcete přenést do souladu.
Úkoly nápravy definujte při prvním přiřazení zásady nebo v jakékoli fázi po přiřazení.
Pokud chcete vytvořit úlohu nápravy pro zásady během přiřazení zásady, vyberte kartu Náprava na stránce Přiřadit zásadu a zaškrtněte políčko Vytvořit úlohu nápravy.
Pokud chcete vytvořit úlohu nápravy po přiřazení zásady, vyberte v seznamu na stránce Přiřazení zásad vaši přiřazenou zásadu.
Vyberte Opravit. Stav úlohy nápravy můžete sledovat na kartě Úkoly nápravy na stránce Náprava zásad.
Další informace o úlohách nápravy najdete v tématu Náprava nekompatibilních prostředků.
Přiřazení iniciativ
Iniciativy jsou kolekce zásad. Pro nastavení diagnostiky služby Azure Monitor existují dvě sady iniciativ:
Povolení protokolování prostředků skupiny kategorií auditu
- Povolení protokolování prostředků skupiny kategorií auditu pro podporované prostředky do služby Event Hubs
- Povolení protokolování prostředků skupiny kategorií auditu pro podporované prostředky do Log Analytics
- Povolení protokolování prostředků skupiny kategorií auditu pro podporované prostředky do úložiště
Povolení protokolování prostředků skupiny kategorií allLogs
- Povolení protokolování prostředků skupiny kategorií allLogs pro podporované prostředky do úložiště
- Povolení protokolování prostředků skupiny kategorií allLogs pro podporované prostředky do služby Event Hubs
- Povolení protokolování prostředků skupiny kategorií allLogs pro podporované prostředky do Log Analytics
V tomto příkladu přiřadíme iniciativu pro odesílání protokolů auditu do pracovního prostoru služby Log Analytics.
Na stránce Definice zásad vyberte obor.
V rozevíracím seznamu Typ definice vyberte Iniciativu.
V rozevíracím seznamu Kategorie vyberte Možnost Monitorování.
Do vyhledávacího pole zadejte audit.
Vyberte možnost Povolit protokolování prostředků skupiny kategorií auditu pro podporované prostředky do iniciativy Log Analytics.
Na kartě Základy na stránce Přiřadit iniciativu vyberte obor, na který má iniciativa platit.
Do pole Název přiřazení zadejte název.
-
Parametry obsahují parametry definované v zásadách. V tomto případě musíme vybrat pracovní prostor služby Log Analytics, do kterého chceme protokoly odeslat. Další informace o jednotlivých parametrech pro jednotlivé zásady najdete v tématu Parametry specifické pro zásady.
Vyberte pracovní prostor služby Log Analytics, do které chcete odesílat protokoly auditu.
Pokud chcete ověřit, že vaše přiřazení zásad nebo iniciativ funguje, vytvořte prostředek v oboru předplatného nebo skupiny prostředků, který jste definovali v přiřazení zásad.
Po 10 minutách vyberte stránku Nastavení diagnostiky vašeho prostředku. Nastavení diagnostiky se zobrazí v seznamu s výchozím názvem setByPolicy-LogAnalytics a názvem pracovního prostoru, který jste nakonfigurovali v zásadách.
Změňte výchozí název na kartě Parametry na stránce Přiřadit iniciativu nebo zásadu zrušením zaškrtnutí políčka Zobrazit pouze parametry, které potřebují zadat nebo zkontrolovat .
Společné parametry
Následující tabulka popisuje společné parametry pro každou sadu zásad.
Parametr | Popis | Platné hodnoty | Výchozí |
---|---|---|---|
účinek | Povolení nebo zakázání provádění zásad | DeployIfNotExists, AuditIfNotExists, Zakázáno |
DeployIfNotExists |
diagnosticSettingName | Název nastavení diagnostiky | setByPolicy-{LogAnalytics|EventHubs|Storage} | |
categoryGroup | Skupina kategorií diagnostiky | žádný audit allLogs |
audit |
resourceTypeList | Pro iniciativy je seznam typů prostředků, které se mají vyhodnotit pro existenci nastavení diagnostiky. | Podporované prostředky | Všechny podporované prostředky |
Parametry specifické pro zásady
Parametry zásad Log Analytics
Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics.
Parametr | Popis | Platné hodnoty | Výchozí |
---|---|---|---|
resourceLocationList | Seznam umístění prostředků pro odesílání protokolů do blízké služby Log Analytics "*" vybere všechna umístění. |
Podporovaná umístění | * |
LogAnalytics | Pracovní prostor Log Analytics |
Parametry zásad služby Event Hubs
Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí.
Parametr | Popis | Platné hodnoty | Výchozí |
---|---|---|---|
resourceLocation | Umístění prostředku musí být stejné jako obor názvů centra událostí. | Podporovaná umístění | |
eventHubAuthorizationRuleId | ID autorizačního pravidla centra událostí Autorizační pravidlo je na úrovni oboru názvů centra událostí. Například /subscriptions/{id předplatného}/resourceGroups/{skupina prostředků}/providers/Microsoft.EventHub/namespaces/{Obor názvů centra událostí}/autorizační pravidlo/{autorizační pravidlo} | ||
eventHubName | Název centra událostí | Sledování |
Parametry zásad účtů úložiště
Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště.
Parametr | Popis | Platné hodnoty | Výchozí |
---|---|---|---|
resourceLocation | Umístění prostředku musí být ve stejném umístění jako účet úložiště. | Podporovaná umístění | |
storageAccount | ID prostředku účtu úložiště |
Podporované prostředky
Pro následující prostředky existují integrované zásady protokolů a protokolů auditu pro pracovní prostory služby Log Analytics, službu Event Hubs a účty úložiště:
Typ prostředku | Všechny protokoly | Protokoly auditu |
---|---|---|
microsoft.aad/domainservices | Ano | Yes |
microsoft.agfoodplatform/farmbeats | Ano | Yes |
microsoft.analysisservices/servers | Yes | No |
microsoft.apimanagement/service | Ano | Yes |
microsoft.app/managedenvironments | Ano | Yes |
microsoft.appconfiguration/configurationstores | Ano | Yes |
microsoft.appplatform/spring | Yes | No |
microsoft.attestation/attestationproviders | Ano | Yes |
microsoft.automation/automationaccounts | Ano | Yes |
microsoft.autonomousdevelopmentplatform/workspaces | Yes | No |
microsoft.avs/privateclouds | Ano | Yes |
microsoft.azureplaywrightservice/accounts | Ano | Yes |
microsoft.azuresphere/catalogs | Ano | Yes |
microsoft.batch/batchaccounts | Ano | Yes |
microsoft.botservice/botservices | Yes | No |
microsoft.cache/redis | Ano | Yes |
microsoft.cache/redisenterprise/databases | Ano | Yes |
microsoft.cdn/cdnwebapplicationfirewallpolicies | Yes | No |
microsoft.cdn/profiles | Ano | Yes |
microsoft.cdn/profiles/endpoints | Yes | No |
microsoft.chaos/experimenty | Ano | Yes |
microsoft.classicnetwork/networksecuritygroups | Yes | No |
microsoft.cloudtest/hostované fondy | Yes | No |
microsoft.codesigning/codesigningaccounts | Ano | Yes |
microsoft.cognitiveservices/accounts | Ano | Yes |
microsoft.communication/communicationservices | Yes | No |
microsoft.community/communitytrainings | Ano | Yes |
microsoft.confidentialledger/managedccfs | Ano | Yes |
microsoft.connectedcache/enterprisemcccustomers | Yes | No |
microsoft.connectedcache/ispcustomers | Yes | No |
microsoft.containerinstance/containergroups | Yes | No |
microsoft.containerregistry/registries | Ano | Yes |
microsoft.customproviders/resourceproviders | Yes | No |
microsoft.d365customerinsights/instances | Yes | No |
microsoft.dashboard/grafana | Ano | Yes |
microsoft.databricks/workspaces | Yes | No |
microsoft.datafactory/factory | Yes | No |
microsoft.datalakeanalytics/accounts | Yes | No |
microsoft.datalakestore/accounts | Yes | No |
microsoft.dataprotection/backupvaults | Yes | No |
microsoft.datashare/accounts | Yes | No |
microsoft.dbformariadb/servers | Yes | No |
microsoft.dbformysql/flexibleservers | Ano | Yes |
microsoft.dbformysql/servers | Yes | No |
microsoft.dbforpostgresql/flexibleservers | Ano | Yes |
microsoft.dbforpostgresql/servergroupsv2 | Yes | No |
microsoft.dbforpostgresql/servers | Yes | No |
microsoft.desktopvirtualization/applicationgroups | Yes | No |
microsoft.desktopvirtualization/hostpools | Yes | No |
microsoft.desktopvirtualization/scalingplans | Yes | No |
microsoft.desktopvirtualization/workspaces | Yes | No |
microsoft.devcenter/devcenters | Ano | Yes |
microsoft.devices/iothubs | Ano | Yes |
microsoft.devices/provisioningservices | Yes | No |
microsoft.digitaltwins/digitaltwinsinstances | Yes | No |
microsoft.documentdb/cassandraclusters | Ano | Yes |
microsoft.documentdb/databaseaccounts | Ano | Yes |
microsoft.documentdb/mongoclusters | Ano | Yes |
microsoft.eventgrid/domains | Ano | Yes |
microsoft.eventgrid/partnernamespaces | Ano | Yes |
microsoft.eventgrid/partnertopics | Yes | No |
microsoft.eventgrid/systemtopics | Yes | No |
microsoft.eventgrid/topics | Ano | Yes |
microsoft.eventhub/namespaces | Ano | Yes |
microsoft.experimentation/experimentworkspaces | Yes | No |
microsoft.healthcareapis/services | Yes | No |
microsoft.healthcareapis/workspaces/dicomservices | Yes | No |
microsoft.healthcareapis/workspaces/fhirservices | Yes | No |
microsoft.healthcareapis/workspaces/iotconnectors | Yes | No |
microsoft.insights/autoscalesettings | Yes | No |
microsoft.insights/components | Yes | No |
microsoft.insights/datacollectionrules | Yes | No |
microsoft.keyvault/managedhsms | Ano | Yes |
microsoft.keyvault/vaults | Ano | Yes |
microsoft.kusto/clustery | Ano | Yes |
microsoft.loadtestservice/loadtests | Ano | Yes |
microsoft.logic/integrationaccounts | Yes | No |
microsoft.logic/workflows | Yes | No |
microsoft.machinelearningservices/registryies | Ano | Yes |
microsoft.machinelearningservices/workspaces | Ano | Yes |
microsoft.machinelearningservices/workspaces/onlineendpoints | Yes | No |
microsoft.managednetworkfabric/networkdevices | Yes | No |
microsoft.media/mediaservices | Ano | Yes |
microsoft.media/mediaservices/liveevents | Ano | Yes |
microsoft.media/mediaservices/streamingendpoints | Ano | Yes |
microsoft.netapp/netappaccounts/capacitypools/volumes | Ano | Yes |
microsoft.network/applicationgateways | Yes | No |
microsoft.network/azurefirewalls | Yes | No |
microsoft.network/bastionhosts | Ano | Yes |
microsoft.network/dnsresolverpolicies | Yes | No |
microsoft.network/expressroutecircuits | Yes | No |
microsoft.network/frontdoors | Ano | Yes |
microsoft.network/loadbalancers | Yes | No |
microsoft.network/networkmanagers | Ano | Yes |
microsoft.network/networkmanagers/ipampools | Ano | Yes |
microsoft.network/networksecuritygroups | Yes | No |
microsoft.network/networksecurityperimeters | Yes | No |
microsoft.network/p2svpngateways | Ano | Yes |
microsoft.network/publicipaddresses | Ano | Yes |
microsoft.network/publicipprefixes | Ano | Yes |
microsoft.network/trafficmanagerprofiles | Yes | No |
microsoft.network/virtualnetworkgateways | Ano | Yes |
microsoft.network/virtualnetworks | Yes | No |
microsoft.network/vpngateways | Yes | No |
microsoft.networkanalytics/dataproducts | Ano | Yes |
microsoft.networkcloud/baremetalmachines | Yes | No |
microsoft.networkcloud/clusters | Yes | No |
microsoft.networkcloud/storageappliances | Yes | No |
microsoft.networkfunction/azuretrafficcollectors | Yes | No |
microsoft.notificationhubs/namespaces | Ano | Yes |
microsoft.notificationhubs/namespaces/notificationhubs | Ano | Yes |
microsoft.openenergyplatform/energyservices | Yes | No |
microsoft.operationalinsights/workspaces | Ano | Yes |
microsoft.powerbi/tenants/workspaces | Yes | No |
microsoft.powerbidedicated/capacities | Yes | No |
microsoft.purview/accounts | Ano | Yes |
microsoft.recoveryservices/vaults | Yes | No |
microsoft.relay/namespaces | Yes | No |
microsoft.search/searchservices | Ano | Yes |
microsoft.servicebus/namespaces | Ano | Yes |
microsoft.servicenetworking/trafficcontrollers | Yes | No |
microsoft.signalrservice/signalr | Ano | Yes |
microsoft.signalrservice/webpubsub | Ano | Yes |
microsoft.sql/managedinstances | Ano | Yes |
microsoft.sql/managedinstances/databases | Yes | No |
microsoft.sql/ servery/ databáze | Ano | Yes |
microsoft.storagecache/caches | Yes | No |
microsoft.storagemover/storagemovers | Yes | No |
microsoft.streamanalytics/streamingjobs | Yes | No |
microsoft.synapse/workspaces | Ano | Yes |
microsoft.synapse/workspaces/bigdatapools | Ano | Yes |
microsoft.synapse/workspaces/kustopools | Ano | Yes |
microsoft.synapse/workspaces/scopepools | Ano | Yes |
microsoft.synapse/workspaces/sqlpools | Ano | Yes |
microsoft.timeseriesinsights/environment | Yes | No |
microsoft.timeseriesinsights/environment/eventsources | Yes | No |
microsoft.videoindexer/accounts | Yes | No |
microsoft.web/hostingenvironments | Ano | Yes |
microsoft.workloads/sapvirtualinstances | Ano | Yes |