Bagikan melalui

Mengaudit dan menyebarkan log alur jaringan virtual menggunakan Azure Policy

  • Artikel

Azure Policy membantu Anda menerapkan standar organisasi dan menilai kepatuhan dalam skala besar. Penggunaan umum Azure Policy meliputi menerapkan tata kelola untuk konsistensi sumber daya, kepatuhan terhadap peraturan, keamanan, biaya, dan manajemen. Untuk mempelajari selengkapnya tentang kebijakan Azure, lihat Apa itu Azure Policy? dan Mulai Cepat: Membuat penetapan kebijakan untuk mengidentifikasi sumber daya yang tidak patuh.

Dalam artikel ini, Anda mempelajari cara menggunakan dua kebijakan bawaan untuk mengelola penyiapan log alur jaringan virtual Anda. Kebijakan pertama menandai jaringan virtual apa pun yang tidak mengaktifkan pengelogan alur. Kebijakan kedua secara otomatis menyebarkan log alur jaringan virtual ke jaringan virtual yang tidak mengaktifkan pengelogan alur.

Prasyarat

Konfigurasi log alur audit untuk jaringan virtual menggunakan kebijakan bawaan

Konfigurasi log alur Audit untuk setiap kebijakan jaringan virtual mengaudit semua jaringan virtual yang ada dalam cakupan dengan memeriksa semua objek Jenis Microsoft.Network/virtualNetworks Azure Resource Manager untuk log alur tertaut melalui properti log alur jaringan virtual. Kemudian menandai jaringan virtual apa pun yang tidak mengaktifkan pengelogan alur.

Untuk mengaudit log alur Anda menggunakan kebijakan bawaan, ikuti langkah-langkah berikut:

  1. Masuk ke portal Azure.

  2. Di kotak pencarian di bagian atas portal, masukkan kebijakan. Pilih Kebijakan dari hasil pencarian.

    Cuplikan layar yang memperlihatkan cara mencari Azure Policy di portal Azure.

  3. Pilih Penugasan, lalu pilih Tetapkan kebijakan.

    Cuplikan layar yang memperlihatkan cara menetapkan kebijakan di portal Azure.

  4. Pilih elipsis (...) di samping Cakupan untuk memilih langganan Azure Anda yang memiliki jaringan virtual yang ingin Anda periksa menggunakan kebijakan. Anda juga dapat memilih grup sumber daya yang memiliki jaringan virtual. Setelah Anda membuat pilihan, pilih tombol Pilih .

    Cuplikan layar yang memperlihatkan cara menentukan cakupan kebijakan dalam portal Azure.

  5. Pilih elipsis (...) di samping Definisi kebijakan untuk memilih kebijakan bawaan yang ingin Anda tetapkan. Masukkan log alur di kotak pencarian, lalu pilih filter Bawaan. Dari hasil pencarian, pilih Konfigurasi log alur audit untuk setiap jaringan virtual, lalu pilih Tambahkan.

    Cuplikan layar yang memperlihatkan cara memilih kebijakan audit di portal Azure.

  6. Masukkan nama di Nama penugasan atau gunakan nama default, lalu masukkan nama Anda di Ditetapkan oleh.

    Kebijakan ini tidak memerlukan parameter apa pun. Ini juga tidak berisi definisi peran apa pun, jadi Anda tidak perlu membuat penetapan peran untuk identitas terkelola pada tab Remediasi .

  7. Pilih Tinjau + buat, lalu pilih Buat.

    Cuplikan layar yang memperlihatkan tab Dasar untuk menetapkan kebijakan audit di portal Azure.

  8. Pilih Kepatuhan dan ubah filter status Kepatuhan menjadi Tidak patuh untuk mencantumkan semua kebijakan yang tidak patuh. Cari nama kebijakan audit yang Anda buat, lalu pilih.

    Cuplikan layar yang memperlihatkan halaman Kepatuhan, yang mencantumkan kebijakan yang tidak patuh termasuk kebijakan audit.

  9. Di halaman kepatuhan kebijakan, ubah filter status Kepatuhan menjadi Tidak patuh untuk mencantumkan semua jaringan virtual yang tidak patuh. Dalam contoh ini, ada tiga jaringan virtual yang tidak patuh dari empat.

    Cuplikan layar yang memperlihatkan jaringan virtual yang tidak patuh berdasarkan kebijakan audit.

Menyebarkan dan mengonfigurasi log alur jaringan virtual menggunakan kebijakan bawaan

Menyebarkan sumber daya log alur dengan kebijakan jaringan virtual target memeriksa semua jaringan virtual yang ada dalam cakupan dengan memeriksa semua objek Jenis Microsoft.Network/virtualNetworksAzure Resource Manager . Kemudian memeriksa log alur yang ditautkan melalui properti log alur jaringan virtual. Jika properti tidak ada, kebijakan akan menyebarkan log alur.

Penting

Sebaiknya nonaktifkan log alur kelompok keamanan jaringan sebelum mengaktifkan log alur jaringan virtual pada beban kerja yang mendasari yang sama untuk menghindari perekaman lalu lintas duplikat dan biaya tambahan. Misalnya, jika Anda mengaktifkan log alur kelompok keamanan jaringan pada kelompok keamanan jaringan subnet, maka Anda mengaktifkan log alur jaringan virtual pada subnet atau jaringan virtual induk yang sama, Anda mungkin mendapatkan pengelogan duplikat (log alur grup keamanan jaringan dan log alur jaringan virtual yang dihasilkan untuk semua beban kerja yang didukung di subnet tertentu).

Untuk menetapkan kebijakan deployIfNotExists , ikuti langkah-langkah berikut:

  1. Masuk ke portal Azure.

  2. Di kotak pencarian di bagian atas portal, masukkan kebijakan. Pilih Kebijakan dari hasil pencarian.

    Cuplikan layar yang memperlihatkan cara mencari Azure Policy di portal Azure.

  3. Pilih Penugasan, lalu pilih Tetapkan kebijakan.

    Cuplikan layar yang memperlihatkan cara menetapkan kebijakan di portal Azure.

  4. Pilih elipsis (...) di samping Cakupan untuk memilih langganan Azure Anda yang memiliki jaringan virtual yang ingin Anda periksa menggunakan kebijakan. Anda juga dapat memilih grup sumber daya yang memiliki jaringan virtual. Setelah Anda membuat pilihan, pilih tombol Pilih .

    Cuplikan layar yang memperlihatkan cara menentukan cakupan kebijakan dalam portal Azure.

  5. Pilih elipsis (...) di samping Definisi kebijakan untuk memilih kebijakan bawaan yang ingin Anda tetapkan. Masukkan log alur di kotak pencarian, lalu pilih filter Bawaan. Dari hasil pencarian, pilih Sebarkan sumber daya log alur dengan jaringan virtual target, lalu pilih Tambahkan.

    Cuplikan layar yang memperlihatkan cara memilih kebijakan penyebaran di portal Azure.

    Catatan

    Anda memerlukan izin Kontributor atau Pemilik untuk menggunakan kebijakan ini.

  6. Masukkan nama di Nama penugasan atau gunakan nama default, lalu masukkan nama Anda di Ditetapkan oleh.

    Cuplikan layar yang memperlihatkan tab Dasar untuk menetapkan kebijakan penyebaran di portal Azure.

  7. Pilih tombol Berikutnya dua kali, atau pilih tab Parameter . Lalu pilih nilai berikut:

    Pengaturan Nilai
    Efek Pilih DeployIfNotExists untuk mengaktifkan eksekusi kebijakan. Opsi lain yang tersedia adalah: Dinonaktifkan.
    Wilayah Virtual Network Pilih wilayah jaringan virtual yang Anda targetkan dengan kebijakan.
    Akun Penyimpanan Pilih akun penyimpanan. Akun penyimpanan harus berada di wilayah yang sama dengan jaringan virtual.
    Network Watcher RG Pilih grup sumber daya instans Network Watcher Anda. Log alur yang dibuat oleh kebijakan disimpan ke dalam grup sumber daya ini.
    Network Watcher Pilih instans Network Watcher dari wilayah yang dipilih.
    Jumlah hari untuk mempertahankan flowlog Pilih jumlah hari yang ingin Anda simpan data log alur Anda di akun penyimpanan. Nilai defaultnya adalah 30 hari. Jika Anda tidak ingin menerapkan kebijakan penyimpanan apa pun, masukkan 0.

    Cuplikan layar yang memperlihatkan tab Parameter untuk menetapkan kebijakan penyebaran di portal Azure.

  8. Pilih Berikutnya atau tab Remediasi .

  9. Pilih kotak centang Buat tugas remediasi.

    Cuplikan layar yang memperlihatkan tab Remediasi untuk menetapkan kebijakan penyebaran di portal Azure.

  10. Pilih Tinjau + buat, lalu pilih Buat.

  11. Pilih Kepatuhan dan ubah filter status Kepatuhan menjadi Tidak patuh untuk mencantumkan semua kebijakan yang tidak patuh. Cari nama kebijakan penyebaran yang Anda buat, lalu pilih.

    Cuplikan layar yang memperlihatkan halaman Kepatuhan, yang mencantumkan kebijakan yang tidak patuh termasuk kebijakan penyebaran.

  12. Di halaman kepatuhan kebijakan, ubah filter status Kepatuhan menjadi Tidak patuh untuk mencantumkan semua jaringan virtual yang tidak patuh. Dalam contoh ini, ada tiga jaringan virtual yang tidak patuh dari empat.

    Cuplikan layar yang memperlihatkan jaringan virtual yang tidak patuh berdasarkan kebijakan penyebaran.

    Catatan

    Kebijakan ini membutuhkan waktu untuk mengevaluasi jaringan virtual dalam cakupan yang ditentukan dan menyebarkan log alur untuk jaringan virtual yang tidak patuh.

  13. Buka Log alur di bawah Log di Network Watcher untuk melihat log alur yang disebarkan oleh kebijakan.

    Cuplikan layar yang memperlihatkan daftar log alur di Network Watcher.

  14. Di halaman kepatuhan kebijakan, verifikasi bahwa semua jaringan virtual dalam cakupan yang ditentukan sesuai.

    Cuplikan layar yang menunjukkan tidak ada jaringan virtual yang tidak patuh setelah kebijakan penyebaran menyebarkan log alur dalam cakupan yang ditentukan.

    Catatan

    Diperlukan waktu hingga 24 jam untuk memperbarui status kepatuhan sumber daya di halaman kepatuhan Azure Policy. Untuk informasi selengkapnya, lihat Memahami hasil evaluasi.

Konten terkait