Virtuális hálózati folyamatnaplók naplózása és üzembe helyezése az Azure Policy használatával
Az Azure Policy segít a szervezeti szabványok betartatásában és a megfelelőség nagy méretekben történő értékelésében. Az Azure Policy gyakori felhasználási esetei közé tartozik az erőforrás-konzisztencia, a jogszabályi megfelelőség, a biztonság, a költségek és a felügyelet szabályozásának implementálása. Az Azure Policyval kapcsolatos további információkért lásd : Mi az Azure Policy? és rövid útmutató: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azonosításához.
Ebből a cikkből megtudhatja, hogyan használhat két beépített szabályzatot a virtuális hálózati folyamatnaplók beállításának kezeléséhez. Az első szabályzat megjelöli azokat a virtuális hálózatokat, amelyeken nincs engedélyezve a folyamatnaplózás. A második szabályzat automatikusan telepíti a virtuális hálózati folyamatnaplókat olyan virtuális hálózatokra, amelyeken nincs engedélyezve a folyamatnaplózás.
Előfeltételek
Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
Egy virtuális hálózat. Ha virtuális hálózatot kell létrehoznia, olvassa el a Virtuális hálózat létrehozása az Azure Portal használatával című témakört.
Folyamatnaplók konfigurációjának naplózása virtuális hálózatokhoz beépített szabályzat használatával
A naplózási folyamat naplókonfigurációja minden virtuális hálózati házirend esetében naplózza a hatókör összes meglévő virtuális hálózatát Microsoft.Network/virtualNetworks , ha a virtuális hálózat folyamatnapló-tulajdonságán keresztül ellenőrzi a csatolt folyamatnaplókhoz tartozó összes Azure Resource Manager-objektumot. Ezután megjelöli azokat a virtuális hálózatokat, amelyeken nincs engedélyezve a folyamatnaplózás.
A folyamatnaplók beépített szabályzattal történő naplózásához kövesse az alábbi lépéseket:
Jelentkezzen be az Azure Portalra.
A portál tetején található keresőmezőbe írja be a szabályzatot. Válassza ki a szabályzatot a keresési eredmények közül.
Válassza a Hozzárendelések lehetőséget, majd válassza a Szabályzat hozzárendelése lehetőséget.
A Hatókör melletti három pontra (...) kattintva válassza ki a szabályzattal ellenőrizni kívánt virtuális hálózatokat tartalmazó Azure-előfizetést. Kiválaszthatja azt az erőforráscsoportot is, amely rendelkezik a virtuális hálózatokkal. A kijelölés után válassza a Kiválasztás gombot.
Válassza ki a szabályzatdefiníció melletti három pontot (...) a hozzárendelni kívánt beépített szabályzat kiválasztásához. Írja be a folyamatnaplót a keresőmezőbe, majd válassza ki a beépített szűrőt. A keresési eredmények között válassza az Audit flow logs configuration for every virtual network(Naplónaplók) lehetőséget, majd válassza a Hozzáadás lehetőséget.
Adjon meg egy nevet a Hozzárendelés nevére , vagy használja az alapértelmezett nevet, majd adja meg a nevét a Hozzárendelt mezőben.
Ez a szabályzat nem igényel paramétereket. Nem tartalmaz szerepkördefiníciókat sem, így a Szervizelés lapon nem kell szerepkör-hozzárendeléseket létrehoznia a felügyelt identitáshoz.
Válassza az Áttekintés + létrehozás, majd a Létrehozás lehetőséget.
Válassza a Megfelelőség lehetőséget, és módosítsa a Megfelelőségi állapot szűrőt nem megfelelőre az összes nem megfelelő szabályzat listázásához. Keresse meg a létrehozott naplózási szabályzat nevét, majd jelölje ki.
A szabályzatmegfelelőségi lapon módosítsa a Megfelelőségi állapot szűrőt nem megfelelőre az összes nem megfelelő virtuális hálózat listázásához. Ebben a példában négyből három nem megfelelő virtuális hálózat található.
Virtuális hálózati folyamatnaplók üzembe helyezése és konfigurálása beépített szabályzattal
A folyamatnapló-erőforrás üzembe helyezése cél virtuális hálózati szabályzattal a hatókör összes meglévő virtuális hálózatát ellenőrzi az összes Azure Resource Manager-objektum típusának Microsoft.Network/virtualNetworksellenőrzésével. Ezután a virtuális hálózat folyamatnapló-tulajdonságán keresztül ellenőrzi a csatolt folyamatnaplókat. Ha a tulajdonság nem létezik, a szabályzat egy folyamatnaplót helyez üzembe.
Fontos
Javasoljuk, hogy tiltsa le a hálózati biztonsági csoport folyamatnaplóit, mielőtt engedélyezi a virtuális hálózati folyamatnaplókat ugyanazon a mögöttes számítási feladaton, hogy elkerülje a duplikált forgalom rögzítését és a további költségeket. Ha például engedélyezi a hálózati biztonsági csoport folyamatnaplóit egy alhálózat hálózati biztonsági csoportján, akkor engedélyezi a virtuális hálózati forgalom naplóit ugyanazon az alhálózaton vagy a szülő virtuális hálózaton, ismétlődő naplózást kaphat (a hálózati biztonsági csoport folyamatnaplói és az adott alhálózat összes támogatott számítási feladatához létrehozott virtuális hálózati folyamatnaplók is).
A deployIfNotExists szabályzat hozzárendeléséhez kövesse az alábbi lépéseket:
Jelentkezzen be az Azure Portalra.
A portál tetején található keresőmezőbe írja be a szabályzatot. Válassza ki a szabályzatot a keresési eredmények közül.
Válassza a Hozzárendelések lehetőséget, majd válassza a Szabályzat hozzárendelése lehetőséget.
A Hatókör melletti három pontra (...) kattintva válassza ki a szabályzattal ellenőrizni kívánt virtuális hálózatokat tartalmazó Azure-előfizetést. Kiválaszthatja azt az erőforráscsoportot is, amely rendelkezik a virtuális hálózatokkal. A kijelölés után válassza a Kiválasztás gombot.
Válassza ki a szabályzatdefiníció melletti három pontot (...) a hozzárendelni kívánt beépített szabályzat kiválasztásához. Írja be a folyamatnaplót a keresőmezőbe, majd válassza ki a beépített szűrőt. A keresési eredmények között válassza a Folyamatnapló-erőforrás üzembe helyezése cél virtuális hálózattal, majd a Hozzáadás lehetőséget.
Feljegyzés
A szabályzat használatához közreműködői vagy tulajdonosi engedély szükséges.
Adjon meg egy nevet a Hozzárendelés nevére , vagy használja az alapértelmezett nevet, majd adja meg a nevét a Hozzárendelt mezőben.
Kattintson kétszer a Tovább gombra, vagy válassza a Paraméterek lapot. Ezután válassza ki a következő értékeket:
Beállítás Érték Hatás Válassza a DeployIfNotExists lehetőséget a szabályzat végrehajtásának engedélyezéséhez. A másik elérhető lehetőség: Letiltva. Virtuális hálózati régió Válassza ki a szabályzattal megcélzott virtuális hálózat régióját. Storage-fiók Válassza ki a tárolási fiókot. A tárfióknak ugyanabban a régióban kell lennie, mint a virtuális hálózatnak. Network Watcher RG Válassza ki a Network Watcher-példány erőforráscsoportját. A szabályzat által létrehozott folyamatnaplók ebbe az erőforráscsoportba lesznek mentve. Network Watcher Válassza ki a kijelölt régió Network Watcher-példányát. A folyamatnaplók megőrzésének napjainak száma Adja meg, hogy hány napig szeretné megőrizni a folyamatnaplók adatait a tárfiókban. Az alapértelmezett érték 30 nap. Ha nem szeretne adatmegőrzési szabályzatot alkalmazni, írja be a 0 értéket. 
Válassza a Tovább vagy a Szervizelés lapot.
Jelölje be a Szervizelési feladat létrehozása jelölőnégyzetet.
Válassza az Áttekintés + létrehozás, majd a Létrehozás lehetőséget.
Válassza a Megfelelőség lehetőséget, és módosítsa a Megfelelőségi állapot szűrőt nem megfelelőre az összes nem megfelelő szabályzat listázásához. Keresse meg a létrehozott üzembe helyezési szabályzat nevét, majd jelölje ki.
A szabályzatmegfelelőségi lapon módosítsa a Megfelelőségi állapot szűrőt nem megfelelőre az összes nem megfelelő virtuális hálózat listázásához. Ebben a példában négyből három nem megfelelő virtuális hálózat található.
Feljegyzés
A szabályzat némi időt vesz igénybe a megadott hatókörben lévő virtuális hálózatok kiértékeléséhez és a nem megfelelő virtuális hálózatokhoz tartozó folyamatnaplók üzembe helyezéséhez.
A Network Watcher Naplók csoportjában nyissa meg a Flow-naplókat a szabályzat által üzembe helyezett folyamatnaplók megtekintéséhez.
A szabályzatmegfelelőségi lapon ellenőrizze, hogy a megadott hatókörben lévő összes virtuális hálózat megfelelő-e.
Feljegyzés
Az erőforrás-megfelelőségi állapot frissítése akár 24 órát is igénybe vehet az Azure Policy megfelelőségi oldalán. További információ: A kiértékelési eredmények ismertetése.
