Compartilhar via

使用 Azure Policy 审核和部署虚拟网络流日志

Azure Policy可帮助你强制实施组织标准并大规模评估合规性。 Azure Policy的常见用例包括实施资源一致性治理、法规合规性、安全性、成本和管理。 若要了解有关Azure policy的详细信息,请参阅 什么是 Azure Policy?Quickstart:创建策略分配以识别不符合的资源

本文介绍如何使用两个内置策略来管理虚拟网络流日志的设置。 第一个策略标记未启用流日志记录的任何虚拟网络。 第二个策略会自动将虚拟网络流日志部署到未启用流日志记录的虚拟网络。

先决条件

使用内置策略审核虚拟网络的流日志配置

审核每个虚拟网络的流日志配置策略通过检查Microsoft.Network/virtualNetworks类型的所有Azure Resource Manager对象中虚拟网络的流日志属性,来审核在范围内的所有现有虚拟网络。 然后,它会标记未启用流日志记录的任何虚拟网络。

若要使用内置策略审核流日志,请执行以下步骤:

  1. 登录到 Azure 门户

  2. 在门户顶部的搜索框中,输入policy。 从搜索结果中选择“策略”

    截图演示了如何在 Azure portal 中搜索 Azure Policy。

  3. 选择任务,然后选择分配策略

    Screenshot,显示如何在 Azure portal 中分配策略。

  4. 选择...旁边的Scope,选择具有虚拟网络的 Azure 订阅,以便使用策略进行检查。 还可以选择具有虚拟网络的资源组。 做出选择后,选择“选择”按钮

    截图展示如何在 Azure 门户中定义策略的范围。

  5. 选择“策略定义”旁边的省略号 (...),然后选择要分配的内置策略。 在搜索框中输入“流日志”,然后选择“内置”筛选器。 在搜索结果中,为每个虚拟网络选择审核流日志配置,然后选择添加

    截图展示了如何在 Azure 门户中选择审核策略。

  6. 分配名称中输入名称或使用默认名称,然后在分配者中输入你的名称。

    此策略不需要任何参数。 它也不包含任何角色定义,因此无需在“修正”选项卡中为托管标识创建角色分配。

  7. 选择“查看 + 创建”,然后选择“创建”。

    “这是一个截图,显示了在 Azure 门户中分配审核策略的“基本信息”选项卡。”

  8. 选择“合规性”,并将合规性状态筛选器更改为不符合以列出所有不合规策略。 搜索你创建的审核策略的名称,然后选择它。

    显示“合规性”页的屏幕截图,其中列出了包括审核策略在内的不合规策略。

  9. 在策略合规性页中,将合规性状态筛选器更改为不合规以列出所有不合规的虚拟网络。 在此示例中,有 3 个不合规的虚拟网络(共 4 个)。

    显示基于审核策略的不合规虚拟网络的屏幕截图。

使用内置策略部署和配置虚拟网络流日志

部署具有目标虚拟网络的流日志资源策略通过检查类型为 Microsoft.Network/virtualNetworks 的所有Azure Resource Manager对象来检查范围内的所有现有虚拟网络。 然后,它通过虚拟网络的流日志属性检查链接流日志。 如果该属性不存在,则策略将部署流日志。

重要

建议先禁用网络安全组流日志,然后再在同一基础工作负载上启用虚拟网络流日志,以避免重复的流量记录和额外的成本。 例如,如果在子网的网络安全组上启用了网络安全组流日志,那么在同一子网或父虚拟网络上启用虚拟网络流日志,你可能会获得重复日志记录(为该特定子网中所有受支持的工作负载生成的网络安全组流日志和虚拟网络流日志)。

若要分配 deployIfNotExists 策略,请执行以下步骤

  1. 登录到 Azure 门户

  2. 在门户顶部的搜索框中,输入policy。 从搜索结果中选择“策略”

    截图演示了如何在 Azure portal 中搜索 Azure Policy。

  3. 选择任务,然后选择分配策略

    Screenshot,显示如何在 Azure portal 中分配策略。

  4. 选择...旁边的Scope,选择具有虚拟网络的 Azure 订阅,以便使用策略进行检查。 还可以选择具有虚拟网络的资源组。 做出选择后,选择“选择”按钮

    截图展示如何在 Azure 门户中定义策略的范围。

  5. 选择“策略定义”旁边的省略号 (...),然后选择要分配的内置策略。 在搜索框中输入“流日志”,然后选择“内置”筛选器。 在搜索结果中,选择“使用目标虚拟网络部署流日志资源”,然后选择“添加”

    截图,展示如何在 Azure 门户中选择部署策略

    注释

    你需要“参与者”或“所有者”权限才能使用此策略。

  6. 分配名称中输入名称或使用默认名称,然后在分配者中输入你的名称。

    显示 Azure portal 中“基本信息”选项卡的截图,用于分配部署策略。

  7. 选择“下一步”按钮两次,或选择“参数”选项卡。然后选择以下值:

    设置 价值
    Effect 选择 DeployIfNotExists 以启用策略的执行。 另一个可用选项是:禁用
    Virtual Network Region 选择策略所针对的虚拟网络的区域。
    存储帐户 选择“存储帐户”。 存储帐户必须与虚拟机位于同一区域。
    Network Watcher RG 选择Network Watcher实例的资源组。 策略创建的流日志将保存到此资源组中。
    Network Watcher 选择所选区域的Network Watcher实例。
    保留流日志的天数 选择要在存储帐户中保留流日志数据的天数。 默认值为 30 天。 如果不想应用任何保留策略,请输入 0

    显示在 Azure 门户中分配部署策略的参数选项卡的屏幕截图。

  8. 选择“下一步”或“修正”选项卡。

  9. 选中“创建修正任务”复选框。

    显示在 Azure 门户中分配部署策略的修正选项卡的截图。

  10. 选择“查看 + 创建”,然后选择“创建”。

  11. 选择“合规性”,并将合规性状态筛选器更改为不符合以列出所有不合规策略。 搜索你创建的部署策略的名称,然后选择它。

    显示“合规性”页的屏幕截图,其中列出了包括部署策略在内的不合规策略。

  12. 在策略合规性页中,将合规性状态筛选器更改为不合规以列出所有不合规的虚拟网络。 在此示例中,有 3 个不合规的虚拟网络(共 4 个)。

    显示基于部署策略的不合规虚拟网络的屏幕截图。

    注释

    策略需要一些时间来评估指定范围内的虚拟网络,并为不符合的虚拟网络部署流日志。

  13. 转到 Network Watcher中的 日志 下的 Flow logs,以查看策略所部署的流日志。

    截图,其中显示了 Network Watcher 中的流日志列表。

  14. 在“策略符合性”页中,验证指定范围中的所有虚拟网络是否符合要求。

    显示部署策略在定义的范围内部署流日志后没有任何不合规虚拟网络的屏幕截图。

    注释

    在“Azure Policy符合性”页中更新资源符合性状态可能需要长达 24 小时。 有关详细信息,请参阅了解评估结果

相关内容

  • Last updated on