Dela via

Granska och distribuera flödesloggar för virtuella nätverk med Azure Policy

  • Artikel

Azure Policy hjälper dig att framtvinga organisationsstandarder och utvärdera efterlevnad i stor skala. Några vanliga användningsområden för Azure Policy är att implementera styrning för resurskonsekvens, regelefterlevnad, säkerhet, kostnad och hantering. Mer information om Azure Policy finns i Vad är Azure Policy? och Snabbstart: Skapa en principtilldelning för att identifiera icke-kompatibla resurser.

I den här artikeln får du lära dig hur du använder två inbyggda principer för att hantera konfigurationen av flödesloggar för virtuella nätverk. Den första principen flaggar alla virtuella nätverk som inte har flödesloggning aktiverat. Den andra principen distribuerar automatiskt flödesloggar för virtuella nätverk till virtuella nätverk som inte har flödesloggning aktiverat.

Förutsättningar

Granska flödesloggkonfiguration för virtuella nätverk med hjälp av en inbyggd princip

Konfigurationen granskningsflödesloggar för varje princip för virtuellt nätverk granskar alla befintliga virtuella nätverk i ett omfång genom att kontrollera alla Azure Resource Manager-objekt av typen Microsoft.Network/virtualNetworks för länkade flödesloggar via flödesloggegenskapen för det virtuella nätverket. Den flaggar sedan alla virtuella nätverk som inte har flödesloggning aktiverat.

Följ dessa steg för att granska flödesloggarna med hjälp av den inbyggda principen:

  1. Logga in på Azure-portalen.

  2. I sökrutan överst i portalen anger du princip. Välj Princip i sökresultaten.

    Skärmbild som visar hur du söker efter Azure Policy i Azure-portalen.

  3. Välj Tilldelningar och välj sedan Tilldela princip.

    Skärmbild som visar hur du tilldelar en princip i Azure-portalen.

  4. Välj ellipsen (...) bredvid Omfång för att välja din Azure-prenumeration som har de virtuella nätverk som du vill kontrollera med hjälp av principen. Du kan också välja den resursgrupp som har de virtuella nätverken. När du har valt väljer du knappen Välj .

    Skärmbild som visar hur du definierar principens omfång i Azure-portalen.

  5. Välj ellipsen (...) bredvid Principdefinition för att välja den inbyggda princip som du vill tilldela. Ange flödesloggen i sökrutan och välj sedan det inbyggda filtret. I sökresultaten väljer du Konfiguration av granskningsflödesloggar för varje virtuellt nätverk och väljer sedan Lägg till.

    Skärmbild som visar hur du väljer granskningsprincipen i Azure-portalen.

  6. Ange ett namn i Tilldelningsnamn eller använd standardnamnet och ange sedan ditt namn i Tilldelad av.

    Den här principen kräver inga parametrar. Den innehåller inte heller några rolldefinitioner, så du behöver inte skapa rolltilldelningar för den hanterade identiteten på fliken Reparation .

  7. Välj Granska + skapa och välj sedan Skapa.

    Skärmbild som visar fliken Grundläggande för att tilldela en granskningsprincip i Azure-portalen.

  8. Välj Efterlevnad och ändra filtret Efterlevnadstillstånd till Inkompatibel för att visa en lista över alla inkompatibla principer. Sök efter namnet på din granskningsprincip som du skapade och välj den.

    Skärmbild som visar sidan Efterlevnad, som visar inkompatibla principer, inklusive granskningsprincipen.

  9. På sidan principefterlevnad ändrar du filtret Efterlevnadstillstånd till Icke-kompatibel för att visa en lista över alla icke-kompatibla virtuella nätverk. I det här exemplet finns det tre icke-kompatibla virtuella nätverk av fyra.

    Skärmbild som visar de inkompatibla virtuella nätverken baserat på granskningsprincipen.

Distribuera och konfigurera flödesloggar för virtuella nätverk med hjälp av en inbyggd princip

Principen Distribuera en flödesloggresurs med målprincip för virtuellt nätverk kontrollerar alla befintliga virtuella nätverk i ett omfång genom att kontrollera alla Azure Resource Manager-objekt av typen Microsoft.Network/virtualNetworks. Den söker sedan efter länkade flödesloggar via flödesloggegenskapen för det virtuella nätverket. Om egenskapen inte finns distribuerar principen en flödeslogg.

Viktigt!

Vi rekommenderar att du inaktiverar flödesloggar för nätverkssäkerhetsgrupper innan du aktiverar flödesloggar för virtuella nätverk på samma underliggande arbetsbelastningar för att undvika duplicerad trafikregistrering och ytterligare kostnader. Om du till exempel aktiverar flödesloggar för nätverkssäkerhetsgrupper i nätverkssäkerhetsgruppen i ett undernät kan du aktivera flödesloggar för virtuella nätverk i samma undernät eller överordnade virtuella nätverk. Du kan få dubbletter av loggning (både flödesloggar för nätverkssäkerhetsgrupp och flödesloggar för virtuella nätverk som genereras för alla arbetsbelastningar som stöds i det specifika undernätet).

Följ dessa steg för att tilldela principen deployIfNotExists :

  1. Logga in på Azure-portalen.

  2. I sökrutan överst i portalen anger du princip. Välj Princip i sökresultaten.

    Skärmbild som visar hur du söker efter Azure Policy i Azure-portalen.

  3. Välj Tilldelningar och välj sedan Tilldela princip.

    Skärmbild som visar hur du tilldelar en princip i Azure-portalen.

  4. Välj ellipsen (...) bredvid Omfång för att välja din Azure-prenumeration som har de virtuella nätverk som du vill kontrollera med hjälp av principen. Du kan också välja den resursgrupp som har de virtuella nätverken. När du har valt väljer du knappen Välj .

    Skärmbild som visar hur du definierar principens omfång i Azure-portalen.

  5. Välj ellipsen (...) bredvid Principdefinition för att välja den inbyggda princip som du vill tilldela. Ange flödesloggen i sökrutan och välj sedan det inbyggda filtret. I sökresultaten väljer du Distribuera en flödesloggresurs med det virtuella målnätverket och väljer sedan Lägg till.

    Skärmbild som visar hur du väljer distributionsprincipen i Azure-portalen.

    Kommentar

    Du behöver behörigheten Deltagare eller Ägare för att kunna använda den här principen.

  6. Ange ett namn i Tilldelningsnamn eller använd standardnamnet och ange sedan ditt namn i Tilldelad av.

    Skärmbild som visar fliken Grundläggande för att tilldela en distributionsprincip i Azure-portalen.

  7. Välj Knappen Nästa två gånger eller välj fliken Parametrar . Välj sedan följande värden:

    Inställning Värde
    Effekt Välj DeployIfNotExists för att aktivera körningen av principen. Det andra tillgängliga alternativet är: Inaktiverad.
    Virtuell nätverksregion Välj den region i det virtuella nätverk som du riktar in dig på med principen.
    Lagringskonto Välj lagringskontot. Lagringskontot måste finnas i samma region som det virtuella nätverket.
    Network Watcher RG Välj resursgruppen för din Network Watcher-instans. Flödesloggarna som skapas av principen sparas i den här resursgruppen.
    Network Watcher Välj Network Watcher-instansen för den valda regionen.
    Antal dagar för att behålla flödesloggar Välj det antal dagar som du vill behålla flödesloggdata i lagringskontot. Standardvärdet är 30 dagar. Om du inte vill tillämpa någon kvarhållningsprincip anger du 0.

    Skärmbild som visar fliken Parametrar för att tilldela en distributionsprincip i Azure-portalen.

  8. Välj Nästa eller fliken Reparation .

  9. Markera kryssrutan Skapa en reparationsaktivitet .

    Skärmbild som visar fliken Reparation för att tilldela en distributionsprincip i Azure-portalen.

  10. Välj Granska + skapa och välj sedan Skapa.

  11. Välj Efterlevnad och ändra filtret Efterlevnadstillstånd till Inkompatibel för att visa en lista över alla inkompatibla principer. Sök efter namnet på din distributionsprincip som du skapade och välj den.

    Skärmbild som visar sidan Efterlevnad, som visar inkompatibla principer, inklusive distributionsprincipen.

  12. På sidan principefterlevnad ändrar du filtret Efterlevnadstillstånd till Icke-kompatibel för att visa en lista över alla icke-kompatibla virtuella nätverk. I det här exemplet finns det tre icke-kompatibla virtuella nätverk av fyra.

    Skärmbild som visar de inkompatibla virtuella nätverken baserat på distributionsprincipen.

    Kommentar

    Principen tar lite tid att utvärdera virtuella nätverk i det angivna omfånget och distribuera flödesloggar för de icke-kompatibla virtuella nätverken.

  13. Gå till Flödesloggar under Loggar i Network Watcher för att se flödesloggarna som har distribuerats av principen.

    Skärmbild som visar listan över flödesloggar i Network Watcher.

  14. På sidan principefterlevnad kontrollerar du att alla virtuella nätverk i det angivna omfånget är kompatibla.

    Skärmbild som visar att det inte finns några inkompatibla virtuella nätverk efter att distributionsprincipen distribuerade flödesloggar i det definierade omfånget.

    Kommentar

    Det kan ta upp till 24 timmar att uppdatera resursefterlevnadsstatusen på azure policy-efterlevnadssidan. Mer information finns i Förstå utvärderingsresultat.

Relaterat innehåll