通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure Policy 审核和部署虚拟网络流日志

  • 项目

Azure Policy 可帮助你执行组织标准并大规模评估合规性。 Azure Policy 的常见用例包括实施监管来满足资源一致性、法规遵从性、安全性、成本和管理方面的要求。 若要详细了解 Azure Policy,请参阅什么是 Azure Policy?快速入门:创建策略分配以识别不合规资源

本文介绍如何使用两个内置策略来管理虚拟网络流日志的设置。 第一个策略标记未启用流日志记录的任何虚拟网络。 第二个策略会自动将虚拟网络流日志部署到未启用流日志记录的虚拟网络。

先决条件

使用内置策略审核虚拟网络的流日志配置

每个虚拟网络的审核流日志配置策略会通过虚拟网络的流日志属性检查类型 Microsoft.Network/virtualNetworks 的所有 Azure 资源管理器对象,以审核范围中的所有现有虚拟网络。 然后,它会标记未启用流日志记录的任何虚拟网络。

若要使用内置策略审核流日志,请执行以下步骤:

  1. 登录 Azure 门户

  2. 在门户顶部的搜索框中,输入“策略”。 从搜索结果中选择“策略”

    屏幕截图显示了如何在 Azure 门户中搜索“Azure Policy”。

  3. 选择“分配”,然后选择“分配策略”。

    显示如何在 Azure 门户中分配策略的屏幕截图。

  4. 选择范围旁边的省略号 (...),选择要使用策略检查的虚拟网络的 Azure 订阅。 还可以选择具有虚拟网络的资源组。 做出选择后,选择“选择”按钮

    显示如何在 Azure 门户中定义策略范围的屏幕截图。

  5. 选择“策略定义”旁边的省略号 (...),然后选择要分配的内置策略。 在搜索框中输入“流日志”,然后选择“内置”筛选器。 在搜索结果中,为每个虚拟网络选择审核流日志配置,然后选择添加

    显示如何在 Azure 门户中选择审核策略的屏幕截图。

  6. 分配名称中输入名称或使用默认名称,然后在分配者中输入你的名称。

    此策略不需要任何参数。 它也不包含任何角色定义,因此无需在“修正”选项卡中为托管标识创建角色分配。

  7. 选择“查看 + 创建”,然后选择“创建”。

    显示 Azure 门户中分配审核策略的“基本信息”选项卡的屏幕截图。

  8. 选择“合规性”,并将合规性状态筛选器更改为不符合以列出所有不合规策略。 搜索你创建的审核策略的名称,然后选择它。

    显示“合规性”页的屏幕截图,其中列出了包括审核策略在内的不合规策略。

  9. 在策略合规性页中,将合规性状态筛选器更改为不合规以列出所有不合规的虚拟网络。 在此示例中,有 3 个不合规的虚拟网络(共 4 个)。

    显示基于审核策略的不合规虚拟网络的屏幕截图。

使用内置策略部署和配置虚拟网络流日志

“使用目标虚拟网络来部署流日志资源”策略通过检查 Microsoft.Network/virtualNetworks 类型的所有 Azure 资源管理器对象来检查范围内的所有现有虚拟网络。 然后,它通过虚拟网络的流日志属性检查链接流日志。 如果该属性不存在,则策略将部署流日志。

重要

建议先禁用网络安全组流日志,然后再在同一基础工作负载上启用虚拟网络流日志,以避免重复的流量记录和额外的成本。 例如,如果在子网的网络安全组上启用了网络安全组流日志,那么在同一子网或父虚拟网络上启用虚拟网络流日志,你可能会获得重复日志记录(为该特定子网中所有受支持的工作负载生成的网络安全组流日志和虚拟网络流日志)。

若要分配 deployIfNotExists 策略,请执行以下步骤

  1. 登录 Azure 门户

  2. 在门户顶部的搜索框中,输入“策略”。 从搜索结果中选择“策略”

    屏幕截图显示了如何在 Azure 门户中搜索“Azure Policy”。

  3. 选择“分配”,然后选择“分配策略”。

    显示如何在 Azure 门户中分配策略的屏幕截图。

  4. 选择范围旁边的省略号 (...),选择要使用策略检查的虚拟网络的 Azure 订阅。 还可以选择具有虚拟网络的资源组。 做出选择后,选择“选择”按钮

    显示如何在 Azure 门户中定义策略范围的屏幕截图。

  5. 选择“策略定义”旁边的省略号 (...),然后选择要分配的内置策略。 在搜索框中输入“流日志”,然后选择“内置”筛选器。 在搜索结果中,选择“使用目标虚拟网络部署流日志资源”,然后选择“添加”

    显示如何在 Azure 门户中选择部署策略的屏幕截图。

    注意

    你需要“参与者”或“所有者”权限才能使用此策略。

  6. 分配名称中输入名称或使用默认名称,然后在分配者中输入你的名称。

    显示 Azure 门户中分配部署策略的“基本信息”选项卡的屏幕截图。

  7. 选择“下一步”按钮两次,或选择“参数”选项卡。然后选择以下值:

    设置
    效果 选择 DeployIfNotExists 以启用策略的执行。 另一个可用选项是:禁用
    虚拟网络区域 选择策略所针对的虚拟网络的区域。
    存储帐户 选择“存储帐户”。 存储帐户必须与虚拟机位于同一区域。
    网络观察程序 RG 选择网络观察程序实例的资源组。 策略创建的流日志将保存到此资源组中。
    网络观察程序 选择所选区域的网络观察程序实例。
    保留流日志的天数 选择要在存储帐户中保留流日志数据的天数。 默认值为 30 天。 如果不想应用任何保留策略,请输入 0

    显示 Azure 门户中分配部署策略的“参数”选项卡的屏幕截图。

  8. 选择“下一步”或“修正”选项卡。

  9. 选中“创建修正任务”复选框。

    显示 Azure 门户中分配部署策略的“修正”选项卡的屏幕截图。

  10. 选择“查看 + 创建”,然后选择“创建”。

  11. 选择“合规性”,并将合规性状态筛选器更改为不符合以列出所有不合规策略。 搜索你创建的部署策略的名称,然后选择它。

    显示“合规性”页的屏幕截图,其中列出了包括部署策略在内的不合规策略。

  12. 在策略合规性页中,将合规性状态筛选器更改为不合规以列出所有不合规的虚拟网络。 在此示例中,有 3 个不合规的虚拟网络(共 4 个)。

    显示基于部署策略的不合规虚拟网络的屏幕截图。

    注意

    策略需要一些时间来评估指定范围内的虚拟网络,并为不符合的虚拟网络部署流日志。

  13. 转到“网络观察程序”中“日志”下的“流日志”,查看策略部署的流日志。

    显示网络观察程序中流日志列表的屏幕截图。

  14. 在“策略符合性”页中,验证指定范围中的所有虚拟网络是否符合要求。

    显示部署策略在定义的范围内部署流日志后没有任何不合规虚拟网络的屏幕截图。

    注意

    可能需要长达 24 小时才能在 Azure Policy 符合性页中更新资源符合性状态。 有关详细信息,请参阅了解评估结果

相关内容