Konfigurera loggning för att övervaka logikappar i Microsoft Defender för molnet

När du övervakar dina Azure Logic Apps-resurser i Microsoft Azure Security Center kan du granska om dina logikappar följer standardprinciperna. Azure visar hälsostatusen för en Azure Logic Apps-resurs när du har aktiverat loggning och konfigurerat loggarnas mål korrekt. Den här artikeln beskriver hur du konfigurerar diagnostikloggning och ser till att alla dina logikappar är felfria resurser.

Dricks

Om du vill hitta den aktuella statusen för Azure Logic Apps-tjänsten läser du sidan Azure-status, som visar status för olika produkter och tjänster i varje tillgänglig region.

Förutsättningar

• En Azure-prenumeration. Om du inte har en prenumeration skapar du ett kostnadsfritt Azure-konto.

• Befintliga logikappar med diagnostikloggning aktiverat.

• En Log Analytics-arbetsyta som krävs för att aktivera loggning för logikappen. Om du inte har någon arbetsyta skapar du först din arbetsyta.

Aktivera diagnostikloggning

Innan du kan visa resurshälsostatusen för dina logikappar måste du först konfigurera diagnostikloggning. Om du redan har en Log Analytics-arbetsyta kan du aktivera loggning antingen när du skapar logikappen eller på befintliga logikappar.

Dricks

Standardrekommendationsen är att aktivera diagnostikloggar för Azure Logic Apps. Du styr dock den här inställningen för dina logikappar. När du aktiverar diagnostikloggar för dina logikappar kan du använda informationen för att analysera säkerhetsincidenter.

Kontrollera inställningen för diagnostikloggning

Om du inte är säker på om dina logikappar har diagnostikloggning aktiverat kan du checka in Defender för molnet:

1. Logga in på Azure-portalen.
2. I sökfältet anger du och väljer Defender för molnet.
3. På instrumentpanelen för arbetsbelastningsskydd går du till Allmänt och väljer Rekommendationer.
4. I tabellen med säkerhetsförslag letar du upp och väljer Aktivera granskning och loggning>Diagnostikloggar i Logic Apps ska vara aktiverade i tabellen med säkerhetskontroller.
5. På rekommendationssidan expanderar du avsnittet Reparationssteg och granskar alternativen. Du kan aktivera Azure Logic Apps-diagnostik genom att välja knappen Snabbkorrigering! eller genom att följa instruktionerna för manuell reparation.

Visa status för logikappars hälsotillstånd

När du har aktiverat diagnostikloggning kan du se hälsostatusen för dina logikappar i Defender för molnet.

1. Logga in på Azure-portalen.

2. I sökfältet anger du och väljer Defender för molnet.

3. På instrumentpanelen för arbetsbelastningsskydd går du till Allmänt och väljer Inventering.

4. På inventeringssidan filtrerar du listan över tillgångar så att endast Azure Logic Apps-resurser visas. På sidmenyn väljer du Resurstyper>logikappar.

   Räknaren Ej felfria resurser visar antalet logikappar som Defender för molnet anser vara felaktiga.

5. I listan över resurser för logikappar läser du kolumnen Rekommendationer . Om du vill granska hälsoinformationen för en specifik logikapp väljer du ett resursnamn eller väljer knappen ellipser (...) >Visa resurs.

6. Följ stegen i listan för dina logikappar för att åtgärda eventuella problem med resurshälsa.

Om diagnostikloggning redan är aktiverad kan det finnas ett problem med målet för loggarna. Läs om hur du åtgärdar problem med olika mål för diagnostikloggning.

Åtgärda diagnostikloggning för logikappar

Om dina logikappar visas som felaktiga i Defender för molnet öppnar du logikappen i kodvyn i Azure Portal eller via Azure CLI. Kontrollera sedan målkonfigurationen för dina diagnostikloggar: Azure Log Analytics, Azure Event Hubs eller ett Azure Storage-konto.

Log Analytics- och Event Hubs-mål

Om du använder Log Analytics eller Event Hubs som mål för dina Azure Logic Apps-diagnostikloggar kontrollerar du följande inställningar.

1. Kontrollera att fältet diagnostikinställningar logs.enabled är inställt truepå för att bekräfta att du har aktiverat diagnostikloggar.
2. Kontrollera att fältet är inställt falsepå för att bekräfta att du inte har angett ett lagringskonto som mål i ställetstorageAccountId.

Till exempel:

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
                "notEquals": "true"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/storageAccountId",
                "exists": false
            }
        ]
    }
] 

Lagringskontomål

Om du använder ett lagringskonto som mål för azure logic apps-diagnostikloggarna kontrollerar du följande inställningar.

1. Kontrollera att du har aktiverat diagnostikloggar genom att kontrollera att fältet diagnostikinställningar logs.enabled är inställt på true.
2. Kontrollera att fältet är inställt truepå för att bekräfta att du har aktiverat en kvarhållningsprincip för diagnostikloggarnaretentionPolicy.enabled.
3. Bekräfta att du anger en kvarhållningstid på 0–365 dagar genom att kontrollera retentionPolicy.days att fältet är inställt på ett tal mellan 0 och 365.

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "0"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "[parameters('requiredRetentionDays')]"
            }
          ]
    },
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    }
]