Sdílet prostřednictvím


Předdefinované zásady pro Azure Monitor

Zásady a iniciativy zásad poskytují jednoduchou metodu, jak povolit protokolování ve velkém prostřednictvím nastavení diagnostiky pro Azure Monitor. Pomocí iniciativy zásad můžete zapnout protokolování auditu pro všechny podporované prostředky ve vašem prostředí Azure.

Povolte protokoly prostředků ke sledování aktivit a událostí, které probíhají u vašich prostředků, a získáte přehled o všech změnách, ke kterým dochází. Přiřaďte zásady pro povolení protokolů prostředků a jejich odesílání do cílů podle vašich potřeb. Odesílání protokolů do center událostí pro systémy SIEM třetích stran, které umožňují průběžné operace zabezpečení. Odešlete protokoly do účtů úložiště za účelem dlouhodobého úložiště nebo splnění dodržování právních předpisů.

Existuje sada předdefinovaných zásad a iniciativ pro směrování protokolů prostředků do pracovních prostorů služby Log Analytics, služeb Event Hubs a účtů úložiště. Zásady povolují protokolování auditu, odesílají protokoly patřící do skupiny kategorií protokolů všech protokolů do centra událostí, pracovního prostoru služby Log Analytics nebo účtu úložiště. Zásady jsou DeployIfNotExists, effect které nasadí zásadu jako výchozí, pokud nejsou definovaná jiná nastavení.

Nasaďte zásady.

Nasazení zásad a iniciativ pomocí portálu, rozhraní příkazového řádku, PowerShellu nebo šablon azure Resource Management

Následující kroky ukazují, jak použít zásadu k odesílání protokolů auditu do trezorů klíčů do pracovního prostoru služby Log Analytics.

  1. Na stránce Zásady vyberte Definice.

  2. Vyberte obor. Zásady můžete použít pro celé předplatné, skupinu prostředků nebo jednotlivé prostředky.

  3. V rozevíracím seznamu Typ definice vyberte Zásady.

  4. V rozevíracím seznamu Kategorie vyberte Možnost Monitorování .

  5. Do vyhledávacího pole zadejte keyvault.

  6. Vyberte možnost Povolit protokolování podle skupiny kategorií pro trezory klíčů (microsoft.keyvault/vaults) do zásad Log Analytics . Snímek obrazovky se stránkou definice zásad

  7. Na stránce definice zásady vyberte Přiřadit.

  8. Vyberte kartu Parametry.

  9. Vyberte pracovní prostor služby Log Analytics, do kterého chcete protokoly auditu odeslat.

  10. Vyberte kartu Náprava.Snímek obrazovky se stránkou přiřadit zásadu, kartou parametry

  11. Na kartě Náprava vyberte zásadu služby Keyvault z rozevíracího seznamu Zásady a opravte ji.

  12. Zaškrtněte políčko Vytvořit spravovanou identitu.

  13. V části Typ spravované identity vyberte spravovanou identitu přiřazenou systémem.

  14. Vyberte Zkontrolovat a vytvořit a pak Vytvořit. Snímek obrazovky se stránkou přiřadit zásadu a kartou Náprava

Zásady jsou viditelné v nastavení diagnostiky prostředků přibližně po 30 minutách.

Úkoly pro nápravu

Zásady se použijí na nové prostředky při jejich vytváření. Pokud chcete použít zásadu pro existující prostředky, vytvořte úlohu nápravy. Úlohy nápravy přinesou prostředky do souladu se zásadami.

Úlohy nápravy se chovají pro konkrétní zásady. Pro iniciativy, které obsahují více zásad, vytvořte úlohu nápravy pro každou zásadu v iniciativě, ve které máte prostředky, které chcete přenést do souladu.

Úkoly nápravy definujte při prvním přiřazení zásady nebo v jakékoli fázi po přiřazení.

Pokud chcete vytvořit úlohu nápravy pro zásady během přiřazení zásady, vyberte kartu Náprava na stránce Přiřadit zásadu a zaškrtněte políčko Vytvořit úlohu nápravy.

Pokud chcete vytvořit úlohu nápravy po přiřazení zásady, vyberte v seznamu na stránce Přiřazení zásad vaši přiřazenou zásadu.

Snímek obrazovky zobrazující stránku nápravy zásad

Vyberte Opravit. Stav úlohy nápravy můžete sledovat na kartě Úkoly nápravy na stránce Náprava zásad.

Snímek obrazovky zobrazující novou stránku úlohy nápravy

Další informace o úlohách nápravy najdete v tématu Náprava nekompatibilních prostředků.

Přiřazení iniciativ

Iniciativy jsou kolekce zásad. Pro nastavení diagnostiky služby Azure Monitor existují dvě sady iniciativ:

  1. Povolení protokolování prostředků skupiny kategorií auditu

  2. Povolení protokolování prostředků skupiny kategorií allLogs

V tomto příkladu přiřadíme iniciativu pro odesílání protokolů auditu do pracovního prostoru služby Log Analytics.

  1. Na stránce Definice zásad vyberte obor.

  2. V rozevíracím seznamu Typ definice vyberte Iniciativu.

  3. V rozevíracím seznamu Kategorie vyberte Možnost Monitorování.

  4. Do vyhledávacího pole zadejte audit.

  5. Vyberte možnost Povolit protokolování prostředků skupiny kategorií auditu pro podporované prostředky do iniciativy Log Analytics.

  6. Na následující stránce vyberte Přiřadit.Snímek obrazovky se stránkou definic iniciativ

  7. Na kartě Základy na stránce Přiřadit iniciativu vyberte obor, na který má iniciativa platit.

  8. Do pole Název přiřazení zadejte název.

  9. Vyberte kartu Parametry.Snímek obrazovky znázorňující kartu Základy přiřazení iniciativ

    Parametry obsahují parametry definované v zásadách. V tomto případě musíme vybrat pracovní prostor služby Log Analytics, do kterého chceme protokoly odeslat. Další informace o jednotlivých parametrech pro jednotlivé zásady najdete v tématu Parametry specifické pro zásady.

  10. Vyberte pracovní prostor služby Log Analytics, do které chcete odesílat protokoly auditu.

  11. Vyberte Zkontrolovat a vytvořit a pak vytvořit.Snímek obrazovky s kartou Přiřadit parametry iniciativ

Pokud chcete ověřit, že vaše přiřazení zásad nebo iniciativ funguje, vytvořte prostředek v oboru předplatného nebo skupiny prostředků, který jste definovali v přiřazení zásad.

Po 10 minutách vyberte stránku Nastavení diagnostiky vašeho prostředku. Nastavení diagnostiky se zobrazí v seznamu s výchozím názvem setByPolicy-LogAnalytics a názvem pracovního prostoru, který jste nakonfigurovali v zásadách.

Snímek obrazovky se stránkou nastavení diagnostiky prostředku

Změňte výchozí název na kartě Parametry na stránce Přiřadit iniciativu nebo zásadu zrušením zaškrtnutí políčka Zobrazit pouze parametry, které potřebují zadat nebo zkontrolovat .

Snímek obrazovky se stránkou upravit přiřazení iniciativy a zaškrtnutím políčka

Společné parametry

Následující tabulka popisuje společné parametry pro každou sadu zásad.

Parametr Popis Platné hodnoty Výchozí
účinek Povolení nebo zakázání provádění zásad DeployIfNotExists,
AuditIfNotExists,
Zakázáno
DeployIfNotExists
diagnosticSettingName Název nastavení diagnostiky setByPolicy-{LogAnalytics|EventHubs|Storage}
categoryGroup Skupina kategorií diagnostiky žádný
audit
allLogs
audit
resourceTypeList Pro iniciativy je seznam typů prostředků, které se mají vyhodnotit pro existenci nastavení diagnostiky. Podporované prostředky Všechny podporované prostředky

Parametry specifické pro zásady

Parametry zásad Log Analytics

Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics.

Parametr Popis Platné hodnoty Výchozí
resourceLocationList Seznam umístění prostředků pro odesílání protokolů do blízké služby Log Analytics
"*" vybere všechna umístění.
Podporovaná umístění *
LogAnalytics Pracovní prostor Log Analytics

Parametry zásad služby Event Hubs

Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do centra událostí.

Parametr Popis Platné hodnoty Výchozí
resourceLocation Umístění prostředku musí být stejné jako obor názvů centra událostí. Podporovaná umístění
eventHubAuthorizationRuleId ID autorizačního pravidla centra událostí Autorizační pravidlo je na úrovni oboru názvů centra událostí. Například /subscriptions/{id předplatného}/resourceGroups/{skupina prostředků}/providers/Microsoft.EventHub/namespaces/{Obor názvů centra událostí}/autorizační pravidlo/{autorizační pravidlo}
eventHubName Název centra událostí Sledování

Parametry zásad účtů úložiště

Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do účtu úložiště.

Parametr Popis Platné hodnoty Výchozí
resourceLocation Umístění prostředku musí být ve stejném umístění jako účet úložiště. Podporovaná umístění
storageAccount ID prostředku účtu úložiště

Podporované prostředky

Pro následující prostředky existují integrované zásady protokolů a protokolů auditu pro pracovní prostory služby Log Analytics, službu Event Hubs a účty úložiště:

Typ prostředku Všechny protokoly Protokoly auditu
microsoft.aad/domainservices Ano Yes
microsoft.agfoodplatform/farmbeats Ano Yes
microsoft.analysisservices/servers Yes No
microsoft.apimanagement/service Ano Yes
microsoft.app/managedenvironments Ano Yes
microsoft.appconfiguration/configurationstores Ano Yes
microsoft.appplatform/spring Yes No
microsoft.attestation/attestationproviders Ano Yes
microsoft.automation/automationaccounts Ano Yes
microsoft.autonomousdevelopmentplatform/workspaces Yes No
microsoft.avs/privateclouds Ano Yes
microsoft.azureplaywrightservice/accounts Ano Yes
microsoft.azuresphere/catalogs Ano Yes
microsoft.batch/batchaccounts Ano Yes
microsoft.botservice/botservices Yes No
microsoft.cache/redis Ano Yes
microsoft.cache/redisenterprise/databases Ano Yes
microsoft.cdn/cdnwebapplicationfirewallpolicies Yes No
microsoft.cdn/profiles Ano Yes
microsoft.cdn/profiles/endpoints Yes No
microsoft.chaos/experimenty Ano Yes
microsoft.classicnetwork/networksecuritygroups Yes No
microsoft.cloudtest/hostované fondy Yes No
microsoft.codesigning/codesigningaccounts Ano Yes
microsoft.cognitiveservices/accounts Ano Yes
microsoft.communication/communicationservices Yes No
microsoft.community/communitytrainings Ano Yes
microsoft.confidentialledger/managedccfs Ano Yes
microsoft.connectedcache/enterprisemcccustomers Yes No
microsoft.connectedcache/ispcustomers Yes No
microsoft.containerinstance/containergroups Yes No
microsoft.containerregistry/registries Ano Yes
microsoft.customproviders/resourceproviders Yes No
microsoft.d365customerinsights/instances Yes No
microsoft.dashboard/grafana Ano Yes
microsoft.databricks/workspaces Yes No
microsoft.datafactory/factory Yes No
microsoft.datalakeanalytics/accounts Yes No
microsoft.datalakestore/accounts Yes No
microsoft.dataprotection/backupvaults Yes No
microsoft.datashare/accounts Yes No
microsoft.dbformariadb/servers Yes No
microsoft.dbformysql/flexibleservers Ano Yes
microsoft.dbformysql/servers Yes No
microsoft.dbforpostgresql/flexibleservers Ano Yes
microsoft.dbforpostgresql/servergroupsv2 Yes No
microsoft.dbforpostgresql/servers Yes No
microsoft.desktopvirtualization/applicationgroups Yes No
microsoft.desktopvirtualization/hostpools Yes No
microsoft.desktopvirtualization/scalingplans Yes No
microsoft.desktopvirtualization/workspaces Yes No
microsoft.devcenter/devcenters Ano Yes
microsoft.devices/iothubs Ano Yes
microsoft.devices/provisioningservices Yes No
microsoft.digitaltwins/digitaltwinsinstances Yes No
microsoft.documentdb/cassandraclusters Ano Yes
microsoft.documentdb/databaseaccounts Ano Yes
microsoft.documentdb/mongoclusters Ano Yes
microsoft.eventgrid/domains Ano Yes
microsoft.eventgrid/partnernamespaces Ano Yes
microsoft.eventgrid/partnertopics Yes No
microsoft.eventgrid/systemtopics Yes No
microsoft.eventgrid/topics Ano Yes
microsoft.eventhub/namespaces Ano Yes
microsoft.experimentation/experimentworkspaces Yes No
microsoft.healthcareapis/services Yes No
microsoft.healthcareapis/workspaces/dicomservices Yes No
microsoft.healthcareapis/workspaces/fhirservices Yes No
microsoft.healthcareapis/workspaces/iotconnectors Yes No
microsoft.insights/autoscalesettings Yes No
microsoft.insights/components Yes No
microsoft.insights/datacollectionrules Yes No
microsoft.keyvault/managedhsms Ano Yes
microsoft.keyvault/vaults Ano Yes
microsoft.kusto/clustery Ano Yes
microsoft.loadtestservice/loadtests Ano Yes
microsoft.logic/integrationaccounts Yes No
microsoft.logic/workflows Yes No
microsoft.machinelearningservices/registryies Ano Yes
microsoft.machinelearningservices/workspaces Ano Yes
microsoft.machinelearningservices/workspaces/onlineendpoints Yes No
microsoft.managednetworkfabric/networkdevices Yes No
microsoft.media/mediaservices Ano Yes
microsoft.media/mediaservices/liveevents Ano Yes
microsoft.media/mediaservices/streamingendpoints Ano Yes
microsoft.netapp/netappaccounts/capacitypools/volumes Ano Yes
microsoft.network/applicationgateways Yes No
microsoft.network/azurefirewalls Yes No
microsoft.network/bastionhosts Ano Yes
microsoft.network/dnsresolverpolicies Yes No
microsoft.network/expressroutecircuits Yes No
microsoft.network/frontdoors Ano Yes
microsoft.network/loadbalancers Yes No
microsoft.network/networkmanagers Ano Yes
microsoft.network/networkmanagers/ipampools Ano Yes
microsoft.network/networksecuritygroups Yes No
microsoft.network/networksecurityperimeters Yes No
microsoft.network/p2svpngateways Ano Yes
microsoft.network/publicipaddresses Ano Yes
microsoft.network/publicipprefixes Ano Yes
microsoft.network/trafficmanagerprofiles Yes No
microsoft.network/virtualnetworkgateways Ano Yes
microsoft.network/virtualnetworks Yes No
microsoft.network/vpngateways Yes No
microsoft.networkanalytics/dataproducts Ano Yes
microsoft.networkcloud/baremetalmachines Yes No
microsoft.networkcloud/clusters Yes No
microsoft.networkcloud/storageappliances Yes No
microsoft.networkfunction/azuretrafficcollectors Yes No
microsoft.notificationhubs/namespaces Ano Yes
microsoft.notificationhubs/namespaces/notificationhubs Ano Yes
microsoft.openenergyplatform/energyservices Yes No
microsoft.operationalinsights/workspaces Ano Yes
microsoft.powerbi/tenants/workspaces Yes No
microsoft.powerbidedicated/capacities Yes No
microsoft.purview/accounts Ano Yes
microsoft.recoveryservices/vaults Yes No
microsoft.relay/namespaces Yes No
microsoft.search/searchservices Ano Yes
microsoft.servicebus/namespaces Ano Yes
microsoft.servicenetworking/trafficcontrollers Yes No
microsoft.signalrservice/signalr Ano Yes
microsoft.signalrservice/webpubsub Ano Yes
microsoft.sql/managedinstances Ano Yes
microsoft.sql/managedinstances/databases Yes No
microsoft.sql/ servery/ databáze Ano Yes
microsoft.storagecache/caches Yes No
microsoft.storagemover/storagemovers Yes No
microsoft.streamanalytics/streamingjobs Yes No
microsoft.synapse/workspaces Ano Yes
microsoft.synapse/workspaces/bigdatapools Ano Yes
microsoft.synapse/workspaces/kustopools Ano Yes
microsoft.synapse/workspaces/scopepools Ano Yes
microsoft.synapse/workspaces/sqlpools Ano Yes
microsoft.timeseriesinsights/environment Yes No
microsoft.timeseriesinsights/environment/eventsources Yes No
microsoft.videoindexer/accounts Yes No
microsoft.web/hostingenvironments Ano Yes
microsoft.workloads/sapvirtualinstances Ano Yes

Další kroky