Delen via

Stroomlogboeken voor virtuele netwerken controleren en implementeren met behulp van Azure Policy

  • Artikel

Met Azure Policy kunt u organisatiestandaarden afdwingen en naleving op schaal beoordelen. Veelvoorkomende use-cases voor Azure Policy zijn onder andere het implementeren van governance voor consistentie van resources, naleving van de regelgeving, beveiliging, kosten en beheer. Zie Wat is Azure Policy? en quickstart voor meer informatie over Azure Policy: Een beleidstoewijzing maken om niet-compatibele resources te identificeren.

In dit artikel leert u hoe u twee ingebouwde beleidsregels gebruikt voor het beheren van uw installatie van stroomlogboeken voor virtuele netwerken. Het eerste beleid markeert een virtueel netwerk waarvoor stroomlogboekregistratie niet is ingeschakeld. Met het tweede beleid worden stroomlogboeken voor virtuele netwerken automatisch geïmplementeerd in virtuele netwerken waarvoor stroomlogboekregistratie niet is ingeschakeld.

Vereisten

Configuratie van stroomlogboeken voor virtuele netwerken controleren met behulp van een ingebouwd beleid

De configuratie van de controlestroomlogboeken voor elk beleid voor virtuele netwerken controleert alle bestaande virtuele netwerken in een bereik door alle Azure Resource Manager-objecten van het type Microsoft.Network/virtualNetworks voor gekoppelde stroomlogboeken te controleren via de eigenschap stroomlogboek van het virtuele netwerk. Vervolgens wordt een virtueel netwerk waaraan geen stroomlogboekregistratie is ingeschakeld, gevlagd.

Volg deze stappen om uw stroomlogboeken te controleren met behulp van het ingebouwde beleid:

  1. Meld u aan bij het Azure-portaal.

  2. Voer in het zoekvak boven aan de portal beleid in. Selecteer Beleid in de zoekresultaten.

    Schermopname van het zoeken naar Azure Policy in Azure Portal.

  3. Selecteer Toewijzingen en selecteer vervolgens Beleid toewijzen.

    Schermopname die laat zien hoe u een beleid toewijst in Azure Portal.

  4. Selecteer het beletselteken (...) naast Bereik om uw Azure-abonnement te kiezen met de virtuele netwerken die u wilt controleren met behulp van het beleid. U kunt ook de resourcegroep kiezen die de virtuele netwerken bevat. Nadat u uw selecties hebt geselecteerd, selecteert u de knop Selecteren .

    Schermopname van het definiëren van het bereik van het beleid in Azure Portal.

  5. Selecteer het beletselteken (...) naast beleidsdefinitie om het ingebouwde beleid te kiezen dat u wilt toewijzen. Voer het stroomlogboek in het zoekvak in en selecteer vervolgens het ingebouwde filter. Selecteer in de zoekresultaten de configuratie van stroomlogboeken controleren voor elk virtueel netwerk en selecteer vervolgens Toevoegen.

    Schermopname van het selecteren van het controlebeleid in Azure Portal.

  6. Voer een naam in de toewijzingsnaam in of gebruik de standaardnaam en voer uw naam in toegewezen door.

    Voor dit beleid zijn geen parameters vereist. Het bevat ook geen roldefinities, dus u hoeft geen roltoewijzingen te maken voor de beheerde identiteit op het tabblad Herstel .

  7. Selecteer Controleren en maken en selecteer vervolgens Maken.

    Schermopname van het tabblad Basis van het toewijzen van een controlebeleid in Azure Portal.

  8. Selecteer Naleving en wijzig het filter Nalevingsstatus in Niet-compatibel om alle niet-compatibele beleidsregels weer te geven. Zoek de naam van uw controlebeleid dat u hebt gemaakt en selecteer het.

    Schermopname van de pagina Naleving, waarin niet-compatibele beleidsregels worden vermeld, inclusief het controlebeleid.

  9. Wijzig op de pagina naleving van het beleid het filter Nalevingsstatus in Niet-compatibel om alle niet-compatibele virtuele netwerken weer te geven. In dit voorbeeld zijn er drie niet-compatibele virtuele netwerken van vier.

    Schermopname van de niet-compatibele virtuele netwerken op basis van het controlebeleid.

Stroomlogboeken voor virtuele netwerken implementeren en configureren met behulp van een ingebouwd beleid

De resource Een stroomlogboek implementeren met doelbeleid voor virtuele netwerken controleert alle bestaande virtuele netwerken in een bereik door alle Azure Resource Manager-objecten van het type Microsoft.Network/virtualNetworkste controleren. Vervolgens wordt gecontroleerd op gekoppelde stroomlogboeken via de eigenschap stroomlogboek van het virtuele netwerk. Als de eigenschap niet bestaat, implementeert het beleid een stroomlogboek.

Belangrijk

U wordt aangeraden stroomlogboeken voor netwerkbeveiligingsgroepen uit te schakelen voordat u stroomlogboeken voor virtuele netwerken inschakelt op dezelfde onderliggende workloads om dubbele verkeersopnamen en extra kosten te voorkomen. Als u bijvoorbeeld stroomlogboeken voor netwerkbeveiligingsgroepen inschakelt in de netwerkbeveiligingsgroep van een subnet, schakelt u stroomlogboeken voor virtuele netwerken in hetzelfde subnet of bovenliggende virtuele netwerknetwerk in, dan krijgt u mogelijk dubbele logboekregistratie (zowel stroomlogboeken voor netwerkbeveiligingsgroepen als virtuele netwerkstroomlogboeken gegenereerd voor alle ondersteunde workloads in dat specifieke subnet).

Voer de volgende stappen uit om het deployIfNotExists-beleid toe te wijzen:

  1. Meld u aan bij het Azure-portaal.

  2. Voer in het zoekvak boven aan de portal beleid in. Selecteer Beleid in de zoekresultaten.

    Schermopname van het zoeken naar Azure Policy in Azure Portal.

  3. Selecteer Toewijzingen en selecteer vervolgens Beleid toewijzen.

    Schermopname die laat zien hoe u een beleid toewijst in Azure Portal.

  4. Selecteer het beletselteken (...) naast Bereik om uw Azure-abonnement te kiezen met de virtuele netwerken die u wilt controleren met behulp van het beleid. U kunt ook de resourcegroep kiezen die de virtuele netwerken bevat. Nadat u uw selecties hebt geselecteerd, selecteert u de knop Selecteren .

    Schermopname van het definiëren van het bereik van het beleid in Azure Portal.

  5. Selecteer het beletselteken (...) naast beleidsdefinitie om het ingebouwde beleid te kiezen dat u wilt toewijzen. Voer het stroomlogboek in het zoekvak in en selecteer vervolgens het ingebouwde filter. Selecteer in de zoekresultaten een stroomlogboekresource implementeren met het virtuele doelnetwerk en selecteer vervolgens Toevoegen.

    Schermopname van het selecteren van het implementatiebeleid in Azure Portal.

    Notitie

    U hebt de machtiging Inzender of Eigenaar nodig om dit beleid te kunnen gebruiken.

  6. Voer een naam in de toewijzingsnaam in of gebruik de standaardnaam en voer uw naam in toegewezen door.

    Schermopname van het tabblad Basis van het toewijzen van een implementatiebeleid in Azure Portal.

  7. Selecteer de knop Volgende twee keer of selecteer het tabblad Parameters . Selecteer vervolgens de volgende waarden:

    Instelling Weergegeven als
    Effect Selecteer DeployIfNotExists om de uitvoering van het beleid in te schakelen. De andere beschikbare optie is: Uitgeschakeld.
    Regio virtueel netwerk Selecteer de regio van uw virtuele netwerk dat u wilt gebruiken met het beleid.
    Opslagaccount Selecteer het opslagaccount. Het opslagaccount moet zich in dezelfde regio bevinden als het virtuele netwerk.
    Network Watcher RG Selecteer de resourcegroep van uw Network Watcher-exemplaar. De stroomlogboeken die door het beleid zijn gemaakt, worden opgeslagen in deze resourcegroep.
    Network Watcher Selecteer het Network Watcher-exemplaar van de geselecteerde regio.
    Aantal dagen voor het behouden van stroomlogboeken Selecteer het aantal dagen dat u de gegevens van uw stroomlogboeken in het opslagaccount wilt bewaren. De standaardwaarde is 30 dagen. Als u geen bewaarbeleid wilt toepassen, voert u 0 in.

    Schermopname van het tabblad Parameters van het toewijzen van een implementatiebeleid in Azure Portal.

  8. Selecteer Volgende of het tabblad Herstel .

  9. Schakel het selectievakje Een hersteltaak maken in.

    Schermopname van het tabblad Herstel van het toewijzen van een implementatiebeleid in Azure Portal.

  10. Selecteer Controleren en maken en selecteer vervolgens Maken.

  11. Selecteer Naleving en wijzig het filter Nalevingsstatus in Niet-compatibel om alle niet-compatibele beleidsregels weer te geven. Zoek de naam van uw implementatiebeleid dat u hebt gemaakt en selecteer het.

    Schermopname van de pagina Naleving, waarin niet-compatibele beleidsregels worden vermeld, inclusief het implementatiebeleid.

  12. Wijzig op de pagina naleving van het beleid het filter Nalevingsstatus in Niet-compatibel om alle niet-compatibele virtuele netwerken weer te geven. In dit voorbeeld zijn er drie niet-compatibele virtuele netwerken van vier.

    Schermopname van de niet-compatibele virtuele netwerken op basis van het implementatiebeleid.

    Notitie

    Het beleid heeft enige tijd nodig om virtuele netwerken in het opgegeven bereik te evalueren en stroomlogboeken te implementeren voor de niet-compatibele virtuele netwerken.

  13. Ga naar Stroomlogboeken onder Logboeken in Network Watcher om de stroomlogboeken te zien die door het beleid zijn geïmplementeerd.

    Schermopname van de lijst met stroomlogboeken in Network Watcher.

  14. Controleer op de pagina beleidsnaleving of alle virtuele netwerken in het opgegeven bereik compatibel zijn.

    Schermopname die laat zien dat er geen niet-compatibele virtuele netwerken zijn nadat het implementatiebeleid stroomlogboeken in het gedefinieerde bereik heeft geïmplementeerd.

    Notitie

    Het kan tot 24 uur duren voordat de nalevingsstatus van resources wordt bijgewerkt op de nalevingspagina van Azure Policy. Zie Evaluatieresultaten begrijpen voor meer informatie.

Gerelateerde inhoud