Создание параметров диагностики в масштабе с помощью встроенных политик Azure

Политика Azure предоставляет простой метод массового включения логирования с помощью параметров диагностики для Azure Monitor. В этой статье описывается, как использовать набор встроенных политик для направления журналов ресурсов для поддерживаемых ресурсов в рабочие области Log Analytics, Центры событий и учетные записи хранения. Чтобы создать определение настраиваемой политики для типа ресурса, который не имеет встроенной политики, см. статью "Создание параметров диагностики в масштабе" с помощью политик и инициатив Azure.

Политики и инициативы

Инициатива — это коллекция политик. Вместо назначения нескольких политик области можно назначить одну инициативу, содержащую нужные политики. Позже вы можете добавить политики в эту инициативу, не изменив назначение.

Набор встроенных инициатив доступен для настройки диагностических параметров для разных направлений. Существует особая инициатива для каждого типа местоположения для allLogs и audit группы категорий. Каждая инициатива содержит весь набор встроенных политик для поддерживаемых ресурсов.

Создание задания

Разверните встроенную инициативу или политику для параметров диагностики с помощью одного из следующих методов.

Выполните следующие действия, чтобы применить инициативу или политику с помощью портала Azure.

На странице "Политика" на портале Azure выберите "Определения".
Задайте следующий фильтр:
1. Для категории выберите "Мониторинг".
2. Для типа определения выберите "Инициатива " или "Политика".
Найдите и выберите инициативу или политику, которую вы хотите назначить.
1. Для инициатив введите audit или allLogs в поле поиска и затем выберите инициативу для назначения.
2. Для политик введите имя типа ресурса в поле поиска , а затем выберите политику для типа ресурса и назначения. В приведенном ниже примере данные хранилища ключей отправляются в рабочую область Log Analytics.
На странице определения выберите Назначить инициативу.
Задайте область назначения. Область может быть группой управления, подпиской или группой ресурсов. Инициатива или политика применяется ко всем ресурсам в пределах области.
Перейдите на вкладку "Параметры" , а затем выберите определенное место назначения, в котором нужно отправить журналы. Эти сведения зависят от каждого типа назначения. Дополнительные сведения о параметрах каждого типа назначения см. в разделе "Параметры ".
Перейдите на вкладку "Исправление ". Это приведет к применению политики к существующим ресурсам в области. Без задачи исправления инициатива или назначение политики применяется только к новым ресурсам, созданным после назначения.
Установите флажок "Создать задачу исправления", а затем убедитесь, что включено Создание управляемого удостоверения. В разделе "Тип управляемого удостоверения" выберите назначаемое системой управляемое удостоверение.
Выберите Проверить и создать, а затем выберите Создать.

Используйте команду New-AzPolicyAssignment для создания назначения для инициативы или политики. В следующем примере показано, как назначить инициативу для отправки audit журналов групп категорий в пространство Log Analytics.

Настройка переменных среды

$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnalyticsWorkspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;

Используйте Get-AzPolicySetDefinition для инициатив или Get-AzPolicyDefinition для политик, чтобы получить определение.

# Initiative
$definition = Get-AzPolicySetDefinition | Where-Object {$_.DisplayName -eq 'Enable allLogs category group resource logging for supported resources to Log Analytics'}

# Policy
$definition = Get-AzPolicyDefinition | Where-Object {$_.DisplayName -eq 'Enable logging by category group for Key vaults (microsoft.keyvault/vaults) to Log Analytics'}

Задайте имя назначения и настройте параметры. В этом примере параметры включают идентификатор рабочей области Log Analytics. Дополнительные сведения о параметрах для других типов назначения см. в разделе "Параметры ".
```
$assignmentName = <your assignment name>;
$params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
```

Создайте назначение с помощью параметров.

$policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus

Contributor Назначьте роль назначенному системой управляемому удостоверению. Для других инициатив проверьте, какие роли необходимы.
```
 New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor
```
Проверка соответствия политик. Команда Start-AzPolicyComplianceScan занимает несколько минут, чтобы вернуться
```
Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
```

Получение списка ресурсов для исправления и необходимых параметров путем вызова Get-AzPolicyState

$assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
$policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
$policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;

Для каждого типа ресурса с несоответствующим ресурсам запустите задачу исправления.

    $policyDefinitionReferenceIds | ForEach-Object {
          $referenceId = $_
          Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
    }

Проверьте состояние соответствия при завершении задач исправления.

Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID

Используйте следующие команды, чтобы применить политику с помощью интерфейса командной строки. Дополнительные сведения о назначении политик с помощью CLI см. в справочнике по Azure CLI — az policy assignment.

Создание назначения политики с помощью az policy assignment create. Для этого требуется имя или идентификатор инициативы или определения политики вместо отображаемого имени.

# Initiative        
az policy assignment create --name <policy assignment name>  --policy-set-definition "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID>\"}}" --mi-system-assigned --location <location>

# Policy
az policy assignment create --name <policy assignment name>  --policy "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>

Назначьте необходимую роль идентификатору, созданному для назначения политики. Поиск роли в определении политики путем поиска roleDefinitionIds

   ...},
      "roleDefinitionIds": [
        "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
      ],
      "deployment": {
        "properties": {...

Назначьте требуемую роль с помощью az policy assignment identity assign:

az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>

Рассмотрим пример.

az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg001 --name policy-assignment-1

Создайте задачи исправления для политик в инициативе.

Задачи исправления создаются для каждой политики. Каждая задача предназначена для конкретной definition-reference-idзадачи, указанной в инициативе как policyDefinitionReferenceId. Чтобы найти definition-reference-id параметр, используйте следующую команду:

az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId

Исправление ресурсов с помощью az policy remediation create

az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance

Рассмотрим пример.

az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance

Чтобы создать задачу исправления для всех политик в инициативе, используйте следующий пример:

for policyDefinitionReferenceId in $(az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
do 
    az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
done

Активируйте проверку, чтобы найти существующие ресурсы с помощью az policy state trigger-scan.
```
az policy state trigger-scan --resource-group rg-001
```

Создайте задачу исправления, чтобы применить политику к существующим ресурсам с помощью az policy remediation create.

az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name>

Например

az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1

Задачи исправления

Политики применяются к новым ресурсам при их создании. Используйте задачу исправления для применения политики к существующим ресурсам. Для инициативы необходимо создать корректирующую задачу для каждой политики в инициативе. Каждый из описанных выше процессов включает шаги по созданию задачи исправления при назначении инициативы или политики. Вы также можете создать задачу по устранению после создания назначенной задачи.

На портале Azure выберите "Исправление ", а затем выберите политику. Нажмите кнопку "Исправить". Дополнительные сведения о задачах исправления см. в разделе "Исправление несоответствующих ресурсов".

Выберите "Исправление ", а затем отслеживайте состояние задачи исправления на вкладке "Задачи исправления" на странице "Исправление политики".

Параметры

Общие параметры

В следующей таблице описываются общие параметры для каждого набора политик и инициатив, которые создают параметры диагностики.

Параметр	Описание	Допустимые значения	По умолчанию
эффект	Включение или отключение выполнения политики	DeployIfNotExists, AuditIfNotExists Нетрудоспособный	Развернуть, если не существует
ИмяНастройкиДиагностики	Имя параметра диагностики		setByPolicy-{LogAnalytics\|EventHubs\|Хранилище}
категорияГруппа	Группа категорий диагностики	никакой ревизия allLogs	аудит
Список типов ресурсов	Для инициатив список типов ресурсов, которые необходимо оценить для существования параметров диагностики.	Поддерживаемые ресурсы	Все поддерживаемые ресурсы

Параметры Log Analytics

В следующей таблице описаны параметры для каждого набора политик и инициатив, использующих Log Analytics в качестве назначения.

Параметр	Описание	Допустимые значения	По умолчанию
Список местоположений ресурсов	Список расположений ресурсов для отправки журналов в близлежащий Log Analytics. "*" выбирает все расположения	Поддерживаемые местоположения	*
LogAnalytics	Рабочая область Log Analytics

Параметры Центров событий

В следующей таблице описываются параметры для каждого набора политик и инициатив, использующих центры событий в качестве назначения.

Параметр	Описание	Допустимые значения	По умолчанию
местоположение ресурса	Расположение ресурса должно совпадать с расположением пространства имен концентратора событий.	Поддерживаемые местоположения
eventHubAuthorizationRuleId	Идентификатор правила авторизации концентратора событий. Правило авторизации находится на уровне пространства имен концентратора событий. Например, /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Пространство имен Концентратора событий}/authorizationrules/{правило авторизации}
ИмяЦентраСобытий	Имя концентратора событий		Контроль

Параметры политики учетных записей хранения

В следующей таблице описаны параметры для каждого набора политик и инициатив, которые используют учетные записи хранения в качестве назначения.

Параметр	Описание	Допустимые значения	По умолчанию
местоположение ресурса	Расположение ресурса должно находиться в том же расположении, что и учетная запись хранения	Поддерживаемые местоположения
учетная запись хранения	Идентификатор ресурса учетной записи хранения

Поддерживаемые ресурсы

Для следующих ресурсов существуют встроенные политики журналов и журналов аудита для рабочих областей Log Analytics, Центров событий и учетных записей хранения:

Тип ресурса	Все журналы	Журналы аудита
microsoft.aad/domainservices	Да	Да
microsoft.agfoodplatform/farmbeats	Да	Да
microsoft.analysisservices/servers	Да	нет
microsoft.apimanagement/service	Да	Да
microsoft.app/управляемые среды	Да	Да
microsoft.appconfiguration/магазины конфигураций	Да	Да
microsoft.appplatform/spring	Да	нет
microsoft.attestation/attestationproviders	Да	Да
microsoft.automation/автоматизацияаккаунтов	Да	Да
microsoft.autonomousdevelopmentplatform/workspaces	Да	нет
microsoft.avs/частныеоблака	Да	Да
microsoft.azureplaywrightservice/учетные записи	Да	Да
microsoft.azuresphere/catalogs	Да	Да
microsoft.batch/batchaccounts	Да	Да
microsoft.botservice/botservices	Да	нет
microsoft.cache/redis	Да	Да
microsoft.cache/redisenterprise/database	Да	Да
microsoft.cdn/cdnwebapplicationfirewallpolicies	Да	нет
microsoft.cdn/profiles	Да	Да
microsoft.cdn/profiles/endpoints	Да	нет
microsoft.chaos/experiments	Да	Да
microsoft.classicnetwork/группыбезопасностисети	Да	нет
microsoft.cloudtest/hostedpools	Да	нет
microsoft.codesigning/codesigningaccounts	Да	Да
microsoft.cognitiveservices/accounts	Да	Да
майкрософт.коммуникации/коммуникационныеуслуги	Да	нет
microsoft.community/communitytrainings	Да	Да
microsoft.confidentialledger/managedccfs	Да	Да
microsoft.connectedcache/enterprisemcccustomers	Да	нет
microsoft.connectedcache/ispcustomers	Да	нет
microsoft.containerinstance/containergroups	Да	нет
microsoft.containerregistry/registries	Да	Да
microsoft.customproviders/resourceproviders	Да	нет
microsoft.d365customerinsights/instances	Да	нет
microsoft.dashboard/grafana	Да	Да
microsoft.databricks/пространства_работы	Да	нет
microsoft.datafactory/factories	Да	нет
microsoft.datalakeanalytics/accounts (учетные записи в Microsoft Data Lake Analytics)	Да	нет
microsoft.datalakestore/accounts	Да	нет
microsoft.dataprotection/backupvaults	Да	нет
microsoft.datashare/accounts	Да	нет
microsoft.dbformariadb/servers	Да	нет
microsoft.dbformysql/гибкие_серверы	Да	Да
microsoft.dbformysql/servers	Да	нет
microsoft.dbforpostgresql/flexibleservers	Да	Да
microsoft.dbforpostgresql/servergroupsv2	Да	нет
microsoft.dbforpostgresql/servers	Да	нет
microsoft.desktopvirtualization/группы_приложений	Да	нет
microsoft.desktopvirtualization/hostpools	Да	нет
Microsoft.desktopvirtualization/scalingplans	Да	нет
Майкрософт.ВиртуализацияРабочегоСтола/РабочиеПространства	Да	нет
microsoft.devcenter/центры разработчиков	Да	Да
microsoft.devices/iothubs	Да	Да
майкрософт.устройства/службыподготовки	Да	нет
microsoft.digitaltwins/digitaltwinsinstances	Да	нет
microsoft.documentdb/cassandraclusters	Да	Да
Microsoft.DocumentDB - учетные записи базы данных	Да	Да
microsoft.documentdb/mongoclusters	Да	Да
microsoft.eventgrid/domains	Да	Да
Microsoft.EventGrid/PartnerNamespaces	Да	Да
microsoft.eventgrid/partnertopics	Да	нет
Microsoft.EventGrid/СистемныеТемы	Да	нет
microsoft.eventgrid/темы	Да	Да
microsoft.eventhub/namespaces	Да	Да
microsoft.experimentation/experimentworkspaces	Да	нет
microsoft.healthcareapis/services	Да	нет
microsoft.healthcareapis/workspaces/dicomservices	Да	нет
microsoft.healthcareapis/workspaces/fhirservices	Да	нет
microsoft.healthcareapis/workspaces/iotconnectors	Да	нет
microsoft.insights/autoscalesettings	Да	нет
microsoft.insights/components	Да	нет
microsoft.insights/datacollectionrules (правила сбора данных)	Да	нет
microsoft.keyvault/managedhsms	Да	Да
microsoft.keyvault/vaults	Да	Да
microsoft.kusto/clusters	Да	Да
microsoft.loadtestservice/loadtests	Да	Да
microsoft.logic/integrationaccounts	Да	нет
microsoft.logic/workflows	Да	нет
microsoft.услуги_машинного_обучения/реестры	Да	Да
службы машинного обучения Microsoft/workspaces	Да	Да
microsoft.machinelearningservices/workspaces/onlineendpoints	Да	нет
microsoft.managednetworkfabric/сетевые_устройства	Да	нет
microsoft.media/mediaservices	Да	Да
microsoft.media/mediaservices/liveevents	Да	Да
microsoft.media/mediaservices/streamingendpoints	Да	Да
microsoft.netapp/netappaccounts/capacitypools/volumes	Да	Да
microsoft.network/applicationgateways	Да	нет
microsoft.network/azurefirewalls	Да	нет
microsoft.network/bastionhosts	Да	Да
microsoft.network/dnsresolverpolicies	Да	нет
microsoft.network/expressroutecircuits	Да	нет
microsoft.network/frontdoors	Да	Да
microsoft.network/loadbalancers	Да	нет
microsoft.network/менеджеры_сети	Да	Да
microsoft.network/networkmanagers/ipampools	Да	Да
microsoft.network/networksecuritygroups (группы безопасности сети)	Да	нет
microsoft.network/параметры_безопасности_сети	Да	нет
microsoft.network/p2svpngateways	Да	Да
microsoft.network/publicipaddresses	Да	Да
microsoft.network/publicipprefixes (публичные префиксы IP-адресов)	Да	Да
microsoft.network/trafficmanagerprofiles	Да	нет
microsoft.network/virtualnetworkgateways	Да	Да
microsoft.network/virtualnetworks	Да	нет
microsoft.network/vpngateways	Да	нет
microsoft.networkanalytics/dataproducts	Да	Да
microsoft.networkcloud/baremetalmachines	Да	нет
microsoft.networkcloud/clusters	Да	нет
microsoft.networkcloud/устройства_хранения	Да	нет
microsoft.networkfunction/azuretrafficcollectors (сборщики трафика Azure)	Да	нет
microsoft.notificationhubs/namespaces	Да	Да
microsoft.notificationhubs/namespaces/notificationhubs	Да	Да
microsoft.openenergyplatform/energyservices	Да	нет
microsoft.operationalinsights/workspaces	Да	Да
microsoft.powerbi/арендаторы/рабочие пространства	Да	нет
microsoft.powerbidedicated/возможности	Да	нет
microsoft.purview/accounts	Да	Да
microsoft.recoveryservices/vaults	Да	нет
microsoft.relay/namespaces	Да	нет
microsoft.поиск/сервисыпоиска	Да	Да
Microsoft.ServiceBus/пространства_имен	Да	Да
microsoft.servicenetworking/управление_трафиком	Да	нет
microsoft.signalrservice/signalr	Да	Да
Microsoft.SignalR Service/WebPubSub	Да	Да
microsoft.sql/managedinstances	Да	Да
microsoft.sql/managedinstances/databases	Да	нет
Майкрософт.sql/серверы/базы данных	Да	Да
microsoft.storagecache/caches	Да	нет
microsoft.storagemover/storagemovers	Да	нет
microsoft.streamanalytics/streamingjobs	Да	нет
microsoft.synapse/workspaces	Да	Да
microsoft.synapse/workspaces/bigdatapools	Да	Да
microsoft.synapse/workspaces/kustopools	Да	Да
microsoft.synapse/workspaces/scopepools	Да	Да
microsoft.synapse/workspaces/sqlpools	Да	Да
microsoft.timeseriesinsights/environments	Да	нет
microsoft.timeseriesinsights/environments/eventsources	Да	нет
microsoft.videoindexer/accounts	Да	нет
microsoft.web/hostingenvironments	Да	Да
microsoft.workloads/sapvirtualinstances	Да	Да

Дальнейшие шаги

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-07-19