Аудит и развертывание журналов потоков виртуальной сети с помощью Политика Azure
Политика Azure помогает применять стандарты организации и оценивать соответствие в масштабе. Политика Azure широко применяется для реализации средств контроля за согласованностью ресурсов, соответствием нормативным требованиям, безопасностью, расходами и управлением. Дополнительные сведения о политике Azure см. в статье "Что такое Политика Azure?" и краткое руководство. Создание назначения политики для определения несоответствующих ресурсов.
В этой статье вы узнаете, как использовать две встроенные политики для управления настройкой журналов потоков виртуальной сети. Первая политика помечает любую виртуальную сеть, которая не включает ведение журнала потоков. Вторая политика автоматически развертывает журналы потоков виртуальной сети в виртуальных сетях, которые не включают ведение журнала потоков.
Необходимые компоненты
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Виртуальная сеть. Если необходимо создать виртуальную сеть, см. статью "Создание виртуальной сети с помощью портал Azure".
Настройка журналов потоков аудита для виртуальных сетей с помощью встроенной политики
Конфигурация журналов потоков аудита для каждой политики виртуальной сети проверяет все существующие виртуальные сети в области, проверяя все объекты Azure Resource Manager типа Microsoft.Network/virtualNetworks для связанных журналов потоков через свойство журнала потоков виртуальной сети. Затем он помечает любую виртуальную сеть, которая не включает ведение журнала потоков.
Чтобы проверить журналы потоков с помощью встроенной политики, выполните следующие действия.
Войдите на портал Azure.
В поле поиска в верхней части портала введите политику. Выберите политику из результатов поиска.
Выберите "Назначения" и выберите " Назначить политику".
Выберите многоточие (...) рядом с областью , чтобы выбрать подписку Azure с виртуальными сетями, которые необходимо проверить с помощью политики. Вы также можете выбрать группу ресурсов с виртуальными сетями. После выбора нажмите кнопку "Выбрать ".
Выберите многоточие (...) рядом с определением политики, чтобы выбрать встроенную политику, которую вы хотите назначить. Введите журнал потока в поле поиска и выберите встроенный фильтр. В результатах поиска выберите конфигурацию журналов потоков аудита для каждой виртуальной сети и нажмите кнопку "Добавить".
Введите имя в имени назначения или используйте имя по умолчанию, а затем введите имя в "Назначено".
Эта политика не требует каких-либо параметров. Он также не содержит определений ролей, поэтому вам не нужно создавать назначения ролей для управляемого удостоверения на вкладке "Исправление ".
Выберите Проверить и создать, а затем выберите Создать.
Выберите "Соответствие" и измените фильтр состояния соответствия требованиям на несоответствующий список всех несоответствуемых политик. Найдите имя созданной политики аудита и выберите ее.
На странице соответствия политик измените фильтр состояния соответствия требованиям на несоответствующий списку всех несоответствующих виртуальных сетей. В этом примере существует три несоответствующие виртуальные сети из четырех.
Развертывание и настройка журналов потоков виртуальной сети с помощью встроенной политики
Развертывание ресурса журнала потоков с целевой политикой виртуальной сети проверяет все существующие виртуальные сети в области, проверяя все объекты Azure Resource Manager типаMicrosoft.Network/virtualNetworks. Затем он проверяет наличие связанных журналов потоков через свойство журнала потоков виртуальной сети. Если свойство не существует, политика развертывает журнал потоков.
Внимание
Рекомендуется отключить журналы потоков группы безопасности сети, прежде чем включать журналы потоков виртуальной сети в одних и том же базовых рабочих нагрузках, чтобы избежать дублирования записи трафика и дополнительных затрат. Например, если включить журналы потоков группы безопасности сети в группе безопасности сети подсети, вы включите журналы потоков виртуальной сети в одной подсети или родительской виртуальной сети, вы можете получить повторяющееся ведение журнала (как журналы потоков группы безопасности сети, так и журналы потоков виртуальной сети, созданные для всех поддерживаемых рабочих нагрузок в этой подсети).
Чтобы назначить политику deployIfNotExists , выполните следующие действия.
Войдите на портал Azure.
В поле поиска в верхней части портала введите политику. Выберите политику из результатов поиска.
Выберите "Назначения" и выберите " Назначить политику".
Выберите многоточие (...) рядом с областью , чтобы выбрать подписку Azure с виртуальными сетями, которые необходимо проверить с помощью политики. Вы также можете выбрать группу ресурсов с виртуальными сетями. После выбора нажмите кнопку "Выбрать ".
Выберите многоточие (...) рядом с определением политики, чтобы выбрать встроенную политику, которую вы хотите назначить. Введите журнал потока в поле поиска и выберите встроенный фильтр. В результатах поиска выберите "Развернуть ресурс журнала потоков" с целевой виртуальной сетью и нажмите кнопку "Добавить".
Примечание.
Для использования этой политики требуется разрешение участника или владельца .
Введите имя в имени назначения или используйте имя по умолчанию, а затем введите имя в "Назначено".
Дважды нажмите кнопку "Далее " или перейдите на вкладку "Параметры ". Затем выберите следующие значения:
Параметр Значение Действие Выберите DeployIfNotExists , чтобы включить выполнение политики. Другой доступный вариант: отключен. регион виртуальная сеть Выберите регион виртуальной сети, на которую вы нацелены с помощью политики. Учетная запись хранения Выберите учетную запись хранилища. Учетная запись хранения должна находиться в том же регионе, что и виртуальная сеть. Наблюдатель за сетями RG Выберите группу ресурсов экземпляра Наблюдатель за сетями. Журналы потоков, созданные политикой, сохраняются в этой группе ресурсов. Наблюдатель за сетями Выберите экземпляр Наблюдатель за сетями выбранного региона. Количество дней хранения потоковых журналов Выберите количество дней, в течение которых нужно сохранить данные журналов потоков в учетной записи хранения. Значение по умолчанию — 30 дней. Если вы не хотите применять политику хранения, введите 0. 
Нажмите кнопку "Далее" или вкладку "Исправление".
Установите флажок "Создать задачу исправления".
Выберите Проверить и создать, а затем выберите Создать.
Выберите "Соответствие" и измените фильтр состояния соответствия требованиям на несоответствующий список всех несоответствуемых политик. Найдите имя созданной политики развертывания и выберите ее.
На странице соответствия политик измените фильтр состояния соответствия требованиям на несоответствующий списку всех несоответствующих виртуальных сетей. В этом примере существует три несоответствующие виртуальные сети из четырех.
Примечание.
Политика занимает некоторое время, чтобы оценить виртуальные сети в указанной области и развернуть журналы потоков для несоответствующих виртуальных сетей.
Перейдите в журналы потока в разделе "Журналы" в Наблюдатель за сетями, чтобы просмотреть журналы потоков, развернутые политикой.
На странице соответствия политик убедитесь, что все виртуальные сети в указанной области соответствуют требованиям.
Примечание.
Обновление состояния соответствия ресурсов на странице соответствия Политика Azure может занять до 24 часов. Дополнительные сведения см. в разделе "Общие сведения о результатах оценки".
Связанный контент
- Журналы потоков виртуальной сети.
- Управление журналами потоков виртуальной сети с помощью портал Azure.