大规模配置 Vault 诊断设置

本文介绍如何将 Azure 备份与 Log Analytics 集成，以便进行报告。 每个保管库都需要一个 诊断设置 才能将数据发送到 Log Analytics。 为了避免为每个存储库手动设置，Azure 备份提供了一个内置的 Azure Policy，可以自动应用 Log Analytics 诊断设置到各个订阅或资源组。

以下部分介绍如何使用此策略。

用于配置诊断设置的受支持和不支持的方案

在开始之前，确保理解以下受支持和不受支持的使用内置策略配置恢复服务保管库的诊断设置的场景：

• 此策略可以一次应用于某个特定订阅中的所有恢复服务保管库（或该特定订阅中的资源组）。 分配策略的用户需要对向其分配策略的订阅具有“所有者”访问权限。

• 用户指定的 LA 工作区 (诊断数据将被发送到的工作区) 可以位于与被分配了策略的保管库不同的订阅中。 用户需要对存在指定 LA 工作区的订阅具有“读者”、“参与者”或“所有者”访问权限。

• 当前不支持管理组范围。

将内置策略分配到范围

若要为所需范围内的保管库分配策略，请遵循以下步骤进行操作：

1. 登录到 Azure 门户，并转到 备份中心 仪表板。

2. 在左侧菜单中，选择 用于备份的 Azure 策略 ，以获取 Azure 资源中所有内置策略的列表。

3. 找到名为“将恢复服务保管库的诊断设置部署到资源专有类别的 Log Analytics 工作区”的策略。

   

4. 选择该策略的名称。 随后会重定向到该策略的详细定义。

   

5. 选择窗格顶部的“分配”按钮。 随后会重定向到“分配策略”窗格。

6. 在“基础”下，选择“范围”字段旁边的三个点 。 随即打开一个位于右侧的上下文窗格，在其中您可以选择要应用策略的订阅。 你还可以选择性地选择一个资源组，这样该策略就仅应用于特定资源组中的保管库。

   

7. 在“参数”下输入以下信息：

   • 配置文件名称 - 将分配给策略创建的诊断设置的名称。

   • Log Analytics 工作区 - 应与诊断设置关联的 Log Analytics 工作区。 策略分配范围内的所有保管库的诊断数据都将被推送到指定的 LA 工作区。

   • 排除标记名称（可选）和排除标记值（可选） - 可以选择从策略分配中排除包含特定标记名称和值的保管库。 例如，如果您不希望将诊断设置添加到具有标签“isTest”且值为“yes”的保管库中，则必须在“排除标签名称”字段中输入“isTest”，并在“排除标签值”字段中输入“yes”。 如果这两个字段中的任何一个（或两个）为空，则策略将应用到所有相关的保管库，而不管它们包含哪些标记。

   

8. 创建修正任务 - 将策略分配到某个范围后，在该范围内创建的任何新保管库都会自动配置 LA 诊断设置（在创建保管库后的 30 分钟内）。 若要将诊断设置添加到范围内的现有保管库，可以在策略分配时触发修正任务。 若要触发修正任务，请选择“创建修正任务”复选框。

   

9. 导航到“查看 + 创建”选项卡，然后选择“创建” 。

将修正任务应用于保管库的条件

根据策略的定义，如果保管库不符合要求，就会对其应用修正任务。 保管库若满足以下任一条件将被视为不合规：

• 保管库中没有可用的诊断设置。
• 保管库拥有诊断设置，但这两个设置都没有启用将 LA 作为目标的所有特定于资源的事件，也没有在切换中选择“资源特定”选项。

因此，即使用户的保管库在 AzureDiagnostics 模式下启用了 AzureBackupReport 事件（由备份报告提供支持），补救任务仍将适用于该保管库，因为推荐的做法是，在未来采用资源特定的模式来创建诊断设置。

此外，如果用户的保管库只启用了六个特定于资源的事件的子集，则将对此保管库应用修正任务，因为只有启用所有六个特定于资源的事件，备份报告才能按预期工作。

后续步骤

• 了解如何使用备份报告
• 了解有关 Azure Policy 的详细信息
• 使用 Azure Policy 自动为给定范围内的所有 VM 启用备份