Condividi tramite

Creare impostazioni di diagnostica su larga scala usando criteri di Azure personalizzati

Le iniziative di criteri e criteri offrono un metodo semplice per abilitare la registrazione su larga scala tramite le impostazioni di diagnostica per Monitoraggio di Azure. Questo articolo descrive come creare criteri personalizzati per le risorse di Azure che non dispongono di criteri predefiniti. Vedere Creare impostazioni di diagnostica su larga scala usando Criteri di Azure predefiniti per creare più facilmente impostazioni di diagnostica per le risorse di Azure con criteri predefiniti.

Gruppi di categorie dei log

Registrare gruppi di categorie, raggruppare tipi simili di log. I gruppi di categorie semplificano il riferimento a più log in un singolo comando. Esiste un gruppo di categorie allLogs contenente tutti i log. Esiste anche un gruppo di categorie di controllo che include tutti i log di controllo. Usando un gruppo di categorie, è possibile definire un criterio che viene aggiornato in modo dinamico man mano che vengono aggiunte nuove categorie di log al gruppo.

Definizioni di criteri personalizzati

Per i tipi di risorse che non dispongono di criteri predefiniti, è necessario creare una definizione di criteri personalizzata. È possibile creare manualmente un nuovo criterio nel portale di Azure copiando un criterio predefinito esistente e quindi modificandolo per il tipo di risorsa. In alternativa creare i criteri al livello di codice usando uno script in PowerShell Gallery.

Lo script Create-AzDiagPolicy crea file di criteri per un particolare tipo di risorsa che è possibile installare usando PowerShell o l'interfaccia della riga di comando di Azure. Attenersi alla procedura seguente per creare una definizione di criteri personalizzata per le impostazioni di diagnostica:

  1. Assicurarsi di avere installato Azure PowerShell .

  2. Installare lo script usando il comando seguente:

    Install-Script -Name Create-AzDiagPolicy

  3. Eseguire lo script usando i parametri per specificare dove inviare i log. Specificare una sottoscrizione e un tipo di risorsa al prompt.

    Ad esempio per creare una definizione di criteri che invia i log a un'area di lavoro Log Analytics e a un hub eventi, usare il comando seguente:

    Create-AzDiagPolicy.ps1 -ExportLA -ExportEH -ExportDir ".\PolicyFiles"

    In alternativa è possibile specificare una sottoscrizione e un tipo di risorsa nel comando. Ad esempio per creare una definizione di criteri che invia i log a un'area di lavoro Log Analytics e a un hub eventi per i database di SQL Server, usare il comando seguente:

    Create-AzDiagPolicy.ps1 -SubscriptionID <subscription id> -ResourceType Microsoft.Sql/servers/databases -ExportLA -ExportEH -ExportDir ".\PolicyFiles"

  4. Lo script crea cartelle separate per ogni definizione di criteri. Ogni cartella contiene tre file denominati azurepolicy.json, azurepolicy.rules.jsone azurepolicy.parameters.json. Se si vuole creare manualmente i criteri nel portale di Azure, è possibile copiare e incollare il contenuto di azurepolicy.json perché include l'intera definizione dei criteri. Usare gli altri due file con PowerShell o l'interfaccia della riga di comando di Azure per creare la definizione dei criteri da una riga di comando.

    Gli esempi seguenti illustrano come installare la definizione dei criteri sia da PowerShell sia dall'interfaccia della riga di comando di Azure. Ogni esempio include metadati per specificare una categoria di Monitoraggio per raggruppare la nuova definizione di criteri con le definizioni di criteri predefinite.

    New-AzPolicyDefinition -name "Deploy Diagnostic Settings for SQL Server database to Log Analytics workspace" -policy .\Apply-Diag-Settings-LA-Microsoft.Sql-servers-databases\azurepolicy.rules.json -parameter .\Apply-Diag-Settings-LA-Microsoft.Sql-servers-databases\azurepolicy.parameters.json -mode All -Metadata '{"category":"Monitoring"}'

    az policy definition create --name 'deploy-diag-setting-sql-database--workspace' --display-name 'Deploy Diagnostic Settings for SQL Server database to Log Analytics workspace'  --rules 'Apply-Diag-Settings-LA-Microsoft.Sql-servers-databases\azurepolicy.rules.json' --params 'Apply-Diag-Settings-LA-Microsoft.Sql-servers-databases\azurepolicy.parameters.json' --subscription 'AzureMonitor_Docs' --mode All

Iniziativa

Anziché creare un'assegnazione per ogni definizione di criteri, una strategia comune consiste nel creare un progetto che include le definizioni dei criteri per creare le impostazioni di diagnostica per ogni servizio di Azure. Creare un'assegnazione tra il progetto e un gruppo di gestione, una sottoscrizione o un gruppo di risorse, a seconda della modalità di gestione dell'ambiente. Questa strategia offre i vantaggi seguenti:

  • Creare una singola assegnazione per il progetto anziché più assegnazioni per ogni tipo di risorsa. Usare lo stesso progetto per più gruppi di monitoraggio, sottoscrizioni o gruppi di risorse.
  • Modificare il progetto quando è necessario aggiungere un nuovo tipo di risorsa o una nuova destinazione. Ad esempio i requisiti iniziali potrebbero essere l'invio di dati solo a un'area di lavoro Log Analytics, ma in un secondo momento si potrebbe aggiungere un hub eventi. Modificare il progetto anziché creare nuove assegnazioni.

Per informazioni dettagliate sulla creazione di un'iniziativa, vedere Creare e assegnare una definizione di iniziativa. Considerare le seguenti indicazioni:

  • Impostare Categoria su Monitoraggio per raggrupparlo con definizioni di criteri predefinite e personalizzate correlate.
  • Anziché specificare i dettagli dell'area di lavoro Log Analytics e l'hub eventi per le definizioni dei criteri incluse nel progetto, usare un parametro di progetto comune. Questo parametro consente di specificare facilmente un valore comune per tutte le definizioni dei criteri e modificare tale valore, se necessario.

Screenshot che mostra le impostazioni per la definizione dell'iniziativa.

Assegnazione

Assegnare il progetto a un gruppo di gestione di Azure, a una sottoscrizione o a un gruppo di risorse, a seconda dell'ambito delle risorse da monitorare. Un gruppo di gestione è utile per definire l'ambito dei criteri, soprattutto se l'organizzazione dispone di più sottoscrizioni.

Screenshot delle impostazioni per la scheda Informazioni di base nella sezione Assegna iniziativa delle impostazioni di diagnostica all'area di lavoro Log Analytics nel portale di Azure.

Usando i parametri del progetto, è possibile specificare in un'unica volta l'area di lavoro o altri dettaglio per tutte le definizioni dei criteri nel progetto.

Screenshot che mostra i parametri dell'iniziativa nella scheda Parametri.

Correzione

Il progetto viene applicato a ogni macchina virtuale durante la creazione. Un'attività di correzione distribuisce le definizioni dei criteri nell'iniziativa alle risorse esistenti, in modo da poter creare impostazioni di diagnostica per tutte le risorse già create.

Quando si crea l'assegnazione usando il portale di Azure, è possibile creare contemporaneamente un'attività di correzione. Per informazioni dettagliate sulla correzione, vedere Correggere le risorse non conformi con Criteri di Azure .

Screenshot che mostra la correzione dell'iniziativa di un'area di lavoro Log Analytics.

Passaggi successivi

  • Last updated on