Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Политика Azure помогает применять стандарты организации и оценивать соответствие в масштабе. Политика Azure широко применяется для реализации средств контроля за согласованностью ресурсов, соответствием нормативным требованиям, безопасностью, расходами и управлением. Дополнительные сведения о политике Azure см. в статьях Что такое Политика Azure? и Краткое руководство: создание назначения политики для выявления несоответствующих ресурсов.
Из этой статьи вы узнаете, как использовать две встроенные политики для управления настройкой журналов потоков виртуальной сети. Первая политика помечает любую виртуальную сеть, в которой не включено ведение журнала потоков. Вторая политика автоматически развертывает журналы потоков виртуальной сети в виртуальных сетях, в которых не включено ведение журнала потоков.
Предпосылки
Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Виртуальная сеть. Если вам нужно создать виртуальную сеть, см. Создание виртуальной сети с помощью портала Azure.
Аудитирование конфигурации журналов трафика виртуальных сетей с использованием встроенной политики
Конфигурация журналов потоков аудита для каждой виртуальной сети проверяет все существующие виртуальные сети в указанной области, проверяя все объекты Microsoft.Network/virtualNetworks типа Azure Resource Manager на наличие связанных журналов потоков через свойство журнала потоков виртуальной сети. Затем он помечает любую виртуальную сеть, в которой не включено ведение журнала потоков.
Чтобы проверить журналы потоков с помощью встроенной политики, выполните следующие действия.
Войдите на портал Azure.
В поле поиска в верхней части портала введите политику. Выберите политику из результатов поиска.
Выберите Задачи, затем выберите Назначить политику.
Нажмите кнопку с многоточием (...) рядом с полем Область , чтобы выбрать подписку Azure, содержащую виртуальные сети, которые вы хотите проверить с помощью политики. Вы также можете выбрать группу ресурсов, содержащую виртуальные сети. После того как вы сделаете выбор, нажмите кнопку « Выбрать ».
Выберите многоточие (...) рядом с определением политики, чтобы выбрать встроенную политику, которую вы хотите назначить. Введите журнал потока в поле поиска, а затем выберите Встроенный фильтр. В результатах поиска выберите Конфигурация журналов потока аудита для каждой виртуальной сети, а затем нажмите кнопку Добавить.
Введите имя в поле Имя назначения или используйте имя по умолчанию, а затем введите свое имя в поле Кем назначено.
Эта политика не требует каких-либо параметров. Он также не содержит определений ролей, поэтому вам не нужно создавать назначения ролей для идентифицированного управления на вкладке "Исправление".
Выберите Проверить и создать, а затем выберите Создать.
Выберите Соответствие и измените фильтр состояния Соответствие на Не соответствует, чтобы отобразить все несоответствующие политики. Найдите имя созданной политики аудита и выберите его.
На странице соответствия политике измените фильтр состояния соответствия на Несоответствующие , чтобы отобразить все несоответствующие виртуальные сети. В этом примере есть три несоответствующие виртуальные сети из четырех.
Развертывание и настройка журналов потоков виртуальной сети с помощью встроенной политики
Политика развертывания ресурса журнала потоков с целевой виртуальной сетью проверяет все существующие виртуальные сети в области применения, путем проверки всех объектов Azure Resource Manager типа . Затем он проверяет наличие связанных журналов потоков с помощью свойства журнала потоков виртуальной сети. Если свойство не существует, политика развертывает журнал потоков.
Это важно
Мы рекомендуем отключить журналы потоков группы безопасности сети перед включением журналов потоков виртуальной сети на тех же базовых рабочих нагрузках, чтобы избежать дублирования записи трафика и дополнительных затрат. Например, если включить журналы потоков группы безопасности сети в группе безопасности сети подсети, а затем включить журналы потоков виртуальной сети в той же подсети или родительской виртуальной сети, можно получить дублирующиеся журналы (как журналы потоков группы безопасности сети, так и журналы потоков виртуальной сети, созданные для всех поддерживаемых рабочих нагрузок в этой конкретной подсети).
Чтобы назначить политику deployIfNotExists , выполните следующие действия.
Войдите на портал Azure.
В поле поиска в верхней части портала введите политику. Выберите политику из результатов поиска.
Выберите Задачи, затем выберите Назначить политику.
Нажмите кнопку с многоточием (...) рядом с полем Область , чтобы выбрать подписку Azure, содержащую виртуальные сети, которые вы хотите проверить с помощью политики. Вы также можете выбрать группу ресурсов, содержащую виртуальные сети. После того как вы сделаете выбор, нажмите кнопку « Выбрать ».
Выберите многоточие (...) рядом с определением политики, чтобы выбрать встроенную политику, которую вы хотите назначить. Введите журнал потока в поле поиска, а затем выберите Встроенный фильтр. В результатах поиска выберите пункт Настроить ресурс записи потоков для целевой виртуальной сети, а затем нажмите Добавить.
Замечание
Для использования этой политики требуется разрешение участника или владельца .
Введите имя в поле Имя назначения или используйте имя по умолчанию, а затем введите свое имя в поле Кем назначено.
Дважды нажмите кнопку «Далее » или перейдите на вкладку «Параметры ». Затем выберите следующие значения:
Настройки Ценность Действие Выберите DeployIfNotExists , чтобы включить выполнение политики. Другой доступный вариант: Отключено. Регион виртуальной сети Выберите регион виртуальной сети, на который вы ориентируетесь с помощью политики. Учетная запись хранения Выберите учетную запись хранилища. Учетная запись хранения должна находиться в том же регионе, что и виртуальная сеть. Наблюдатель за сетями RG Выберите группу ресурсов экземпляра Наблюдателя за сетями. Журналы потоков, созданные политикой, сохраняются в этой группе ресурсов. Наблюдатель за сетями Выберите Наблюдателя за сетями для выбранного региона. Количество дней для хранения журналов потоков Выберите количество дней, в течение которых данные журналов потоков будут храниться в учетной записи хранения. Значение по умолчанию — 30 дней. Если вы не хотите применять политику хранения, введите 0. Выберите Далее или вкладку Исправление.
Установите флажок Создать задачу исправления .
Выберите Проверить и создать, а затем выберите Создать.
Выберите Соответствие и измените фильтр состояния Соответствие на Не соответствует, чтобы отобразить все несоответствующие политики. Найдите имя созданной политики развертывания, а затем выберите его.
На странице соответствия политике измените фильтр состояния соответствия на Несоответствующие , чтобы отобразить все несоответствующие виртуальные сети. В этом примере есть три несоответствующие виртуальные сети из четырех.
Замечание
Политика требует некоторого времени для оценки виртуальных сетей в указанной области и развертывания журналов потоков для несоответствующих виртуальных сетей.
Перейдите в раздел Журналы потоков в разделе Журналы в Наблюдателе за сетями , чтобы просмотреть журналы потоков, развернутые политикой.
На странице соответствия политике убедитесь, что все виртуальные сети в указанной области соответствуют требованиям.
Замечание
Обновление состояния соответствия ресурсов на странице соответствия Политике Azure может занять до 24 часов. Дополнительные сведения см. в разделе Общие сведения о результатах оценки.