Встроенные политики для Azure Monitor

Статья
11/05/2024

Политики и инициативы политики предоставляют простой метод для включения ведения журнала в масштабе с помощью параметров диагностика для Azure Monitor. С помощью инициативы политики можно включить ведение журнала аудита для всех поддерживаемых ресурсов в среде Azure.

Включите журналы ресурсов для отслеживания действий и событий, которые происходят в ресурсах, и дают вам видимость и аналитические сведения о любых изменениях, которые происходят. Назначьте политики для включения журналов ресурсов и отправки их в назначения в соответствии с вашими потребностями. Отправка журналов в центры событий для сторонних систем SIEM, обеспечивая непрерывные операции безопасности. Отправка журналов в учетные записи хранения для долгосрочного хранения или выполнения нормативных требований.

Набор встроенных политик и инициатив существует для направления журналов ресурсов в рабочие области Log Analytics, Центры событий и учетные записи хранения. Политики позволяют выполнять ведение журнала аудита, отправлять журналы, принадлежащие группе категорий аудита или всех журналов, в концентратор событий, рабочую область Log Analytics или учетную запись хранения. Это политика effect DeployIfNotExists, которая развертывает политику в качестве значения по умолчанию, если не определены другие параметры.

Развертывание политик.

Развертывание политик и инициатив с помощью шаблонов portal, CLI, PowerShell или Azure Resource Management

Ниже показано, как применить политику для отправки журналов аудита в хранилища ключей в рабочую область Log Analytics.

На странице "Политика" выберите "Определения".
Выберите область. Политику можно применить ко всей подписке, группе ресурсов или отдельному ресурсу.
В раскрывающемся списке "Тип определения" выберите "Политика".
Выберите "Мониторинг" в раскрывающемся списке "Категория"
Введите keyvault в поле поиска .
Выберите группу "Включить ведение журнала по категориям" для хранилищ ключей (microsoft.keyvault/vaults) в политику Log Analytics ,
На странице определения политики выберите " Назначить"
Перейдите на вкладку Параметры.
Выберите рабочую область Log Analytics, в которую нужно отправить журналы аудита.
Перейдите на вкладку "Исправление".
На вкладке "Исправление" выберите политику keyvault в раскрывающемся списке "Политика".
Установите флажок "Создать управляемое удостоверение ".
В разделе "Тип управляемого удостоверения" выберите назначаемое системой управляемое удостоверение.
Выберите Проверить и создать, а затем выберите Создать.

Чтобы применить политику с помощью интерфейса командной строки, используйте следующие команды:

Создание назначения политики с помощью az policy assignment create.

  az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>

Например, чтобы применить политику для отправки журналов аудита в рабочую область Log Analytics

  az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus

Назначьте необходимую роль идентификатору, созданному для назначения политики. Поиск роли в определении политики путем поиска roleDefinitionIds

   ...},
      "roleDefinitionIds": [
        "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
      ],
      "deployment": {
        "properties": {...

Назначьте требуемую роль с помощью az policy assignment identity assign:

az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>

Например:

az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1

Активируйте проверку, чтобы найти существующие ресурсы с помощью az policy state trigger-scan.
```
az policy state trigger-scan --resource-group rg-001
```

Создайте задачу исправления, чтобы применить политику к существующим ресурсам с помощью az policy remediation create.

az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name>

Например,

az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1

Дополнительные сведения о назначении политик с помощью CLI см . в справочнике по Azure CLI — az policy assignment

Чтобы применить политику с помощью PowerShell, используйте следующие команды:

Настройте свое окружение. Выберите подписку и задайте группу ресурсов
```
Select-AzSubscription <subscriptionID>
$rg = Get-AzResourceGroup -Name <resource groups name>    
```
Получите определение политики и настройте параметры политики. В приведенном ниже примере мы назначаем политику отправки журналов keyVault в рабочую область Log Analytics.
```
$definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
$params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
```

Назначение политики

$policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>

#To get your assignemnt use:
$policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'

Назначение требуемой роли или ролей назначенному системой управляемому удостоверению

    $principalID=$policyAssignment.Identity.PrincipalId
    $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
    }

Проверьте соответствие требованиям, а затем создайте задачу исправления для принудительного соответствия существующим ресурсам.
```
    Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
    Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
```

Проверка соответствия

Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant, ResourceID

Политика отображается в параметрах диагностики ресурсов примерно через 30 минут.

Задачи исправления

Политики применяются к новым ресурсам при их создании. Чтобы применить политику к существующим ресурсам, создайте задачу исправления. Задачи исправления приводят ресурсы в соответствие с политикой.

Задачи исправления выполняются для определенных политик. Для инициатив, содержащих несколько политик, создайте задачу исправления для каждой политики в инициативе, в которой есть ресурсы, которые необходимо обеспечить соответствие.

Определите задачи исправления при первом назначении политики или на любом этапе после назначения.

Чтобы создать задачу исправления для политик во время назначения политики, выберите вкладку "Исправление " на странице "Назначение политики " и установите флажок "Создать задачу исправления".

Чтобы создать задачу исправления после назначения политики, выберите назначенную политику из списка на странице назначений политик.

Щелкните элемент Исправить. Отслеживание состояния задачи исправления на вкладке "Задачи исправления" на странице "Исправление политики".

Дополнительные сведения о задачах исправления см. в разделе "Исправление несоответствующих ресурсов"

Назначение инициатив

Инициативы — это коллекции политик. Существует два набора инициатив для параметров диагностики Azure Monitor:

Включение ведения журнала ресурсов группы категорий аудита
Включение ведения журнала ресурсов группы категорий allLogs

В этом примере мы назначаем инициативу отправки журналов аудита в рабочую область Log Analytics.

На странице "Определения политики " выберите область.
Выберите инициативу в раскрывающемся списке "Тип определения".
Выберите "Мониторинг" в раскрывающемся списке "Категория ".
Введите аудит в поле поиска .
Выберите параметр "Включить ведение журнала ресурсов группы аудита" для поддерживаемых ресурсов в Log Analytics .
На следующей странице выберите " Назначить"
На вкладке "Основные сведения" на странице "Назначение инициативы" выберите область, к которой будет применена инициатива.
Введите имя в поле "Имя назначения".
Перейдите на вкладку "Параметры ".

Параметры содержат параметры, определенные в политике. В этом случае необходимо выбрать рабочую область Log Analytics, в которую мы хотим отправить журналы. Дополнительные сведения о отдельных параметрах для каждой политики см. в разделе "Параметры, относящиеся к политике".
Выберите рабочую область Log Analytics, чтобы отправить журналы аудита.
Выберите Проверить и создать, а затем — Создать.

Чтобы убедиться, что ваша политика или назначение инициативы работает, создайте ресурс в области подписки или группы ресурсов, определенной в назначении политики.

Через 10 минут выберите страницу параметров диагностики для ресурса. Параметр диагностики отображается в списке с именем по умолчанию setByPolicy-LogAnalytics и именем рабочей области, настроенным в политике.

Измените имя по умолчанию на вкладке "Параметры" на странице "Назначить инициативу" или страницу политики, отменив выборку "Только параметры" для ввода или проверки.

Настройка переменных среды

# Set up your environment variables.
$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;

Получите определение инициативы. В этом примере мы будем использовать ведение журнала ресурсов группы аудита для поддерживаемых ресурсов в Log Analytics, ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"
```
$definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
```

Задайте имя назначения и настройте параметры. Для этой инициативы параметры включают идентификатор рабочей области Log Analytics.

$assignmentName=<your assignment name>;
$params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}

Назначение инициативы с помощью параметров

$policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;

Contributor Назначьте роль назначенному системой управляемому удостоверению. Для других инициатив проверьте, какие роли необходимы.
```
 New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
```
Проверка соответствия политик. Команда Start-AzPolicyComplianceScan занимает несколько минут, чтобы вернуться
```
Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
```

Получение списка ресурсов для исправления и необходимых параметров путем вызова Get-AzPolicyState

$assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
$policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
$policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;

Для каждого типа ресурса с несоответствующим ресурсам запустите задачу исправления.

    $policyDefinitionReferenceIds | ForEach-Object {
          $referenceId = $_
          Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
    }

Проверьте состояние соответствия при завершении задач исправления.

Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID

Сведения о назначении политики можно получить с помощью следующей команды:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

Войдите в учетную запись Azure с помощью az login команды.
Выберите подписку, в которой вы хотите применить инициативу политики с помощью az account set команды.

Назначьте инициативу с помощью az policy assignment create.

az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>

Например:

az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus

Назначение требуемой роли управляемому удостоверению системы

Найдите роли для назначения в любом из определений политик в инициативе, выполнив поиск определения roleDefinitionIds, например:

   ...},
      "roleDefinitionIds": [
        "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
      ],
      "deployment": {
        "properties": {...

Назначьте требуемую роль с помощью az policy assignment identity assign:

az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>

Например:

az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01

Создайте задачи исправления для политик в инициативе.

Задачи исправления создаются для каждой политики. Каждая задача предназначена для конкретной definition-reference-idзадачи, указанной в инициативе как policyDefinitionReferenceId. Чтобы найти definition-reference-id параметр, используйте следующую команду:

az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId

Исправление ресурсов с помощью az policy remediation create

az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance

Например:

az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance

Чтобы создать задачу исправления для всех политик в инициативе, используйте следующий пример:

for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
do 
    az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
done

Общие параметры

В следующей таблице описываются общие параметры для каждого набора политик.

Параметр	Описание	Допустимые значения	По умолчанию.
effect	Включение или отключение выполнения политики	DeployIfNotExists, AuditIfNotExists, Выключено	Развернуть, если не существует
diagnosticSettingName	Имя параметра диагностики		setByPolicy-{LogAnalytics\|EventHubs\|Хранилище}
categoryGroup	Группа категорий диагностики	никакой ревизия allLogs	audit
resourceTypeList	Для инициатив список типов ресурсов, которые необходимо оценить для существования параметров диагностики.	Поддерживаемые ресурсы	Все поддерживаемые ресурсы.

Параметры, относящиеся к политике

Параметры политики Log Analytics

Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics.

Параметр	Описание	Допустимые значения	По умолчанию.
resourceLocationList	Список расположений ресурсов для отправки журналов в близлежащий Log Analytics. "*" выбирает все расположения	Поддерживаемые расположения	*
logAnalytics	Рабочая область Log Analytics

Параметры политики Центров событий

Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в концентратор событий.

Параметр	Описание	Допустимые значения	По умолчанию.
resourceLocation	Расположение ресурса должно совпадать с расположением пространства имен концентратора событий.	Поддерживаемые расположения
eventHubAuthorizationRuleId	Идентификатор правила авторизации концентратора событий. Правило авторизации находится на уровне пространства имен концентратора событий. Например, /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Пространство имен Концентратора событий}/authorizationrules/{правило авторизации}
eventHubName	Имя концентратора событий		Наблюдение

Параметры политики учетных записей хранения

Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись хранения.

Параметр	Описание	Допустимые значения	По умолчанию.
resourceLocation	Расположение ресурса должно находиться в том же расположении, что и учетная запись хранения	Поддерживаемые расположения
storageAccount	Идентификатор ресурса учетной записи хранения

Поддерживаемые ресурсы

Для следующих ресурсов существуют встроенные политики журналов и журналов аудита для рабочих областей Log Analytics, Центров событий и учетных записей хранения:

Тип ресурса	Все журналы	Журналы аудита
microsoft.aad/domainservices	Да	Да
microsoft.agfoodplatform/farmbeats	Да	Да
microsoft.analysisservices/servers	Да	Нет
microsoft.apimanagement/service	Да	Да
microsoft.app/managedenvironments	Да	Да
microsoft.appconfiguration/configurationstores	Да	Да
microsoft.appplatform/spring	Да	Нет
microsoft.attestation/attestationproviders	Да	Да
microsoft.automation/automationaccounts	Да	Да
microsoft.autonomousdevelopmentplatform/workspaces	Да	Нет
microsoft.avs/privateclouds	Да	Да
microsoft.azureplaywrightservice/accounts	Да	Да
microsoft.azuresphere/catalogs	Да	Да
microsoft.batch/batchaccounts	Да	Да
microsoft.botservice/botservices	Да	Нет
microsoft.cache/redis	Да	Да
microsoft.cache/redisenterprise/database	Да	Да
microsoft.cdn/cdnwebapplicationfirewallpolicies	Да	Нет
microsoft.cdn/profiles	Да	Да
microsoft.cdn/profiles/endpoints	Да	Нет
microsoft.chaos/experiments	Да	Да
microsoft.classicnetwork/networksecuritygroups	Да	Нет
microsoft.cloudtest/hostedpools	Да	Нет
microsoft.codesigning/codesigningaccounts	Да	Да
microsoft.cognitiveservices/accounts	Да	Да
microsoft.communication/communicationservices	Да	Нет
microsoft.community/communitytrainings	Да	Да
microsoft.confidentialledger/managedccfs	Да	Да
microsoft.connectedcache/enterprisemcccustomers	Да	Нет
microsoft.connectedcache/ispcustomers	Да	Нет
microsoft.containerinstance/containergroups	Да	Нет
microsoft.containerregistry/registries	Да	Да
microsoft.customproviders/resourceproviders	Да	Нет
microsoft.d365customerinsights/instances	Да	Нет
microsoft.dashboard/grafana	Да	Да
microsoft.databricks/workspaces	Да	Нет
microsoft.datafactory/factories	Да	Нет
microsoft.datalakeanalytics/accounts	Да	Нет
microsoft.datalakestore/accounts	Да	Нет
microsoft.dataprotection/backupvaults	Да	Нет
microsoft.datashare/accounts	Да	Нет
microsoft.dbformariadb/servers	Да	Нет
microsoft.dbformysql/flexibleservers	Да	Да
microsoft.dbformysql/servers	Да	Нет
microsoft.dbforpostgresql/гибкие серверы	Да	Да
microsoft.dbforpostgresql/servergroupsv2	Да	Нет
microsoft.dbforpostgresql/servers	Да	Нет
microsoft.desktopvirtualization/applicationgroups	Да	Нет
microsoft.desktopvirtualization/hostpools	Да	Нет
Microsoft.desktopvirtualization/scalingplans	Да	Нет
microsoft.desktopvirtualization/workspaces	Да	Нет
microsoft.devcenter/devcenters	Да	Да
microsoft.devices/iothubs	Да	Да
microsoft.devices/provisioningservices	Да	Нет
microsoft.digitaltwins/digitaltwinsinstances	Да	Нет
microsoft.documentdb/cassandraclusters	Да	Да
microsoft.documentdb/databaseaccounts	Да	Да
microsoft.documentdb/mongoclusters	Да	Да
microsoft.eventgrid/domains	Да	Да
microsoft.eventgrid/partnernamespaces	Да	Да
microsoft.eventgrid/partnertopics	Да	Нет
microsoft.eventgrid/systemtopics	Да	Нет
microsoft.eventgrid/topics	Да	Да
microsoft.eventhub/namespaces	Да	Да
microsoft.experimentation/experimentworkspaces	Да	Нет
microsoft.healthcareapis/services	Да	Нет
microsoft.healthcareapis/workspaces/dicomservices	Да	Нет
microsoft.healthcareapis/workspaces/fhirservices	Да	Нет
microsoft.healthcareapis/workspaces/iotconnectors	Да	Нет
microsoft.insights/autoscalesettings	Да	Нет
microsoft.insights/components	Да	Нет
microsoft.insights/datacollectionrules	Да	Нет
microsoft.keyvault/managedhsms	Да	Да
microsoft.keyvault/vaults	Да	Да
microsoft.kusto/clusters	Да	Да
microsoft.loadtestservice/loadtests	Да	Да
microsoft.logic/integrationaccounts	Да	Нет
microsoft.logic/workflows	Да	Нет
microsoft.machinelearningservices/registries	Да	Да
microsoft.machinelearningservices/workspaces	Да	Да
microsoft.machinelearningservices/workspaces/onlineendpoints	Да	Нет
microsoft.managednetworkfabric/networkdevices	Да	Нет
microsoft.media/mediaservices	Да	Да
microsoft.media/mediaservices/liveevents	Да	Да
microsoft.media/mediaservices/streamingendpoints	Да	Да
microsoft.netapp/netappaccounts/capacitypools/volumes	Да	Да
microsoft.network/applicationgateways	Да	Нет
microsoft.network/azurefirewalls	Да	Нет
microsoft.network/bastionhosts	Да	Да
microsoft.network/dnsresolverpolicies	Да	Нет
microsoft.network/expressroutecircuits	Да	Нет
microsoft.network/frontdoors	Да	Да
microsoft.network/loadbalancers	Да	Нет
microsoft.network/networkmanagers	Да	Да
microsoft.network/networkmanagers/ipampools	Да	Да
microsoft.network/networksecuritygroups	Да	Нет
microsoft.network/networksecurityperimeters	Да	Нет
microsoft.network/p2svpngateways	Да	Да
microsoft.network/publicipaddresses	Да	Да
microsoft.network/publicipprefixes	Да	Да
microsoft.network/trafficmanagerprofiles	Да	Нет
microsoft.network/virtualnetworkgateways	Да	Да
microsoft.network/virtualnetworks	Да	Нет
microsoft.network/vpngateways	Да	Нет
microsoft.networkanalytics/dataproducts	Да	Да
microsoft.networkcloud/baremetalmachines	Да	Нет
microsoft.networkcloud/clusters	Да	Нет
microsoft.networkcloud/storageappliances	Да	Нет
microsoft.networkfunction/azuretrafficcollectors	Да	Нет
microsoft.notificationhubs/namespaces	Да	Да
microsoft.notificationhubs/namespaces/notificationhubs	Да	Да
microsoft.openplatform/energyservices	Да	Нет
microsoft.operationalinsights/workspaces	Да	Да
microsoft.powerbi/tenants/workspaces	Да	Нет
microsoft.powerbidedicated/capacities	Да	Нет
microsoft.purview/accounts	Да	Да
microsoft.recoveryservices/vaults	Да	Нет
microsoft.relay/namespaces	Да	Нет
microsoft.search/searchservices	Да	Да
microsoft.servicebus/namespaces	Да	Да
microsoft.servicenetworking/trafficcontrollers	Да	Нет
microsoft.signalrservice/signalr	Да	Да
microsoft.signalrservice/webpubsub	Да	Да
microsoft.sql/managedinstances	Да	Да
microsoft.sql/managedinstances/databases	Да	Нет
microsoft.sql/servers/databases	Да	Да
microsoft.storagecache/caches	Да	Нет
microsoft.storagemover/storagemovers	Да	Нет
microsoft.streamanalytics/streamingjobs	Да	Нет
microsoft.synapse/workspaces	Да	Да
microsoft.synapse/workspaces/bigdatapools	Да	Да
microsoft.synapse/workspaces/kustopools	Да	Да
microsoft.synapse/workspaces/scopepools	Да	Да
microsoft.synapse/workspaces/sqlpools	Да	Да
microsoft.timeseriesinsights/environments	Да	Нет
microsoft.timeseriesinsights/environments/eventsources	Да	Нет
microsoft.videoindexer/accounts	Да	Нет
microsoft.web/hostingenvironments	Да	Да
microsoft.workloads/sapvirtualinstances	Да	Да

Поделиться через

Встроенные политики для Azure Monitor

Развертывание политик.

Задачи исправления

Назначение инициатив

Общие параметры

Параметры, относящиеся к политике

Параметры политики Log Analytics

Параметры политики Центров событий

Параметры политики учетных записей хранения

Поддерживаемые ресурсы

Next Steps

Обратная связь

Дополнительные ресурсы