使用内置的 Azure 策略大规模创建诊断设置

Azure Policy 提供了一种通过 Azure Monitor 的诊断设置来大规模启用日志记录的方法。本文介绍如何使用一组内置策略将支持的资源的资源日志定向到 Log Analytics 工作区、事件中心和存储帐户。

若要为没有内置策略的资源类型创建自定义策略定义，请参阅使用自定义 Azure 策略大规模创建诊断设置。

指派计划或策略

计划是策略的集合。可以分配一个包含所需各种策略的单个方案，而不是将多个策略分配到同一个范围。以后可以向此计划添加策略，而无需更改分配。

提供了一组内置举措，以帮助你为各种目标配置诊断设置。每个目的地类型都有一个针对 allLogs 和 audit 类别组的唯一倡议。每个计划都包含支持的资源的整个内置策略集。

使用以下方法之一为诊断设置部署内置计划或策略。

Azure 门户
PowerShell
CLI

使用以下步骤通过 Azure 门户应用计划或策略：

在 Azure 门户中的 “策略 ”页上，选择“ 定义”。
设置以下筛选器：
1. 对于类别，请选择监视。
2. 对于 定义类型，请选择“ 计划 ”或“ 策略”。
找到并选择要分配的计划或策略：
- 对于措施，请在搜索框中输入audit或allLogs，然后选择您的目标措施。
- 对于策略，请在 “搜索 ”框中输入资源类型的名称，然后选择资源类型和目标的策略。以下示例将密钥保管库数据发送到 Log Analytics 工作区。
在所选策略的窗格中，选择“ 分配方案”。
在“ 基本信息 ”选项卡上的“ 作用域 ”框中，设置分配的范围。范围可以是管理组、订阅或资源组。计划或策略应用于范围内的所有资源。
选择“ 参数 ”选项卡，然后选择要在其中发送日志的特定目标。这些详细信息因每种目标类型而异。有关每个目标类型的参数的详细信息，请参阅本文后面的 “参数 ”。
选择 “修正 ”选项卡。创建修正任务会将策略应用于作用域中的现有资源。如果没有修正任务，计划或策略分配仅适用于分配后创建的新资源。

选中“ 创建修正任务 ”复选框，确保选中 “创建托管标识 ”。在 “托管标识类型”下，选择 “系统分配的托管标识”。
选择“查看 + 创建”，然后选择“创建”。

使用 New-AzPolicyAssignment 命令为计划或策略创建分配。以下示例演示如何将将类别组的 audit 日志发送任务分配到 Log Analytics 工作区。

设置环境变量：

$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnalyticsWorkspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;

使用 Get-AzPolicySetDefinition 获取倡议的定义或使用 Get-AzPolicyDefinition 获取政策的定义：

# Initiative
$definition = Get-AzPolicySetDefinition | Where-Object {$_.DisplayName -eq 'Enable allLogs category group resource logging for supported resources to Log Analytics'}

# Policy
$definition = Get-AzPolicyDefinition | Where-Object {$_.DisplayName -eq 'Enable logging by category group for Key vaults (microsoft.keyvault/vaults) to Log Analytics'}

设置分配名称并配置参数。对于此示例，参数包括 Log Analytics 工作区 ID。有关其他目标类型的参数的信息，请参阅本文后面的参数。

$assignmentName = <your assignment name>;
$params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}

使用参数创建分配：

$policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location chinanorth

将 Contributor 角色分配给系统分配的托管标识。对于其他计划，检查哪些角色是必需的。

New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor

检查策略合规性。此命令 Start-AzPolicyComplianceScan 需要几分钟才能返回。
```
Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
```

通过调用 Get-AzPolicyState 获取要修正的资源列表和所需的参数：

$assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
$policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
$policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;

对于每种包含不合规资源的资源类型，请启动纠正任务：

    $policyDefinitionReferenceIds | ForEach-Object {
          $referenceId = $_
          Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
    }

在修正任务完成时检查符合性状态：

Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID

使用以下命令通过 Azure CLI 应用策略。有关使用 Azure CLI 分配策略的详细信息，请参阅 Azure CLI 参考：az policy assignment。

使用az policy assignment create创建一个策略分配。此步骤需要方案或策略定义的名称或 ID，而不是显示名称。

# Initiative        
az policy assignment create --name <policy assignment name>  --policy-set-definition "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID>\"}}" --mi-system-assigned --location <location>

# Policy
az policy assignment create --name <policy assignment name>  --policy "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>

将所需的角色分配给您为策略分配创建的标识。通过搜索 roleDefinitionIds来查找策略定义中的角色：

   ...},
      "roleDefinitionIds": [
        "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
      ],
      "deployment": {
        "properties": {...

使用 az policy assignment identity assign 分配所需的角色。

az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>

例如：

az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg001 --name policy-assignment-1

为项目中的策略创建修正任务。

修正任务是按策略创建的。每个任务都针对项目definition-reference-id中指定的特定policyDefinitionReferenceId参数。若要查找 definition-reference-id 参数，请使用以下命令：

az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId

使用 az policy remediation create 来修复资源：

az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance

例如：

az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance

若要为计划中的所有策略创建修正任务，请使用以下示例：

for policyDefinitionReferenceId in $(az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
do 
    az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
done

触发扫描以查找现有资源，使用 az policy state trigger-scan：
```
az policy state trigger-scan --resource-group rg-001
```

使用 az policy remediation create以下命令创建修正任务以将策略应用到现有资源：

az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name>

例如：

az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1

创建修正任务

创建新资源时，策略将应用于这些资源。使用修正任务将策略应用到现有资源。对于每个倡议，必须为倡议中的每个策略创建修正任务。

上述每个过程都包含在分配计划或策略时创建修正任务的步骤。还可以在创建分配后创建修正任务：

在 Azure 门户中，选择 “修正”，然后选择策略。
选择“修正”。

在策略的“修正”窗格的“修正任务”选项卡上跟踪修正任务的状态。

有关修正任务的详细信息，请参阅修正不符合资源。

Parameters

通用参数

下表描述了创建诊断设置的每个策略和计划集的常见参数。

Parameter	Description	有效值	Default
`effect`	启用或禁用策略执行的参数	`DeployIfNotExists`, `AuditIfNotExists`, `Disabled`	`DeployIfNotExists`
`diagnosticSettingName`	诊断设置名称	未指定	`setByPolicy-{LogAnalytics\\|EventHubs\\|Storage}`
`categoryGroup`	诊断类别组	`none`, `audit`, `allLogs`	`audit`
`resourceTypeList`	对于项目，列出需评估是否存在诊断设置的资源类型列表	支持的资源	所有支持的资源

Log Analytics 参数

下表描述了将 Log Analytics 用作目标的每个策略和计划集的参数。

Parameter	Description	有效值	Default
`resourceLocationList`	用于将日志发送到附近的 Log Analytics 工作区的资源位置列表。星号（`*`）选择所有位置。	支持的位置	`*`
`logAnalytics`	Log Analytics 工作区。	未指定	未指定

事件中心参数

下表描述了将事件中心用作目标的每个策略和计划集的参数。

Parameter	Description	有效值	Default
`resourceLocation`	资源位置必须与事件中心命名空间位于同一位置。	支持的位置
`eventHubAuthorizationRuleId`	事件中心的授权规则 ID。授权规则位于事件中心命名空间的级别。例如：`/subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}`	未指定	未指定
`eventHubName`	事件中心名称	未指定	`Monitoring`

存储帐户的策略参数

下表描述了将存储帐户用作目标的每个策略和计划集的参数。

Parameter	Description	有效值	Default
`resourceLocation`	资源位置，该位置必须与存储帐户位于同一位置	支持的位置	未指定
`storageAccount`	存储帐户的资源 ID	未指定	未指定

支持的资源

Log Analytics 工作区、事件中心和存储帐户的内置日志策略适用于以下资源。

资源类型	所有日志	审核日志
`microsoft.aad/domainservices`	Yes	Yes
`microsoft.agfoodplatform/farmbeats`	Yes	Yes
`microsoft.analysisservices/servers`	Yes	No
`microsoft.apimanagement/service`	Yes	Yes
`microsoft.app/managedenvironments`	Yes	Yes
`microsoft.appconfiguration/configurationstores`	Yes	Yes
`microsoft.appplatform/spring`	Yes	No
`microsoft.attestation/attestationproviders`	Yes	Yes
`microsoft.automation/automationaccounts`	Yes	Yes
`microsoft.autonomousdevelopmentplatform/workspaces`	Yes	No
`microsoft.avs/privateclouds`	Yes	Yes
`microsoft.azureplaywrightservice/accounts`	Yes	Yes
`microsoft.azuresphere/catalogs`	Yes	Yes
`microsoft.batch/batchaccounts`	Yes	Yes
`microsoft.botservice/botservices`	Yes	No
`microsoft.cache/redis`	Yes	Yes
`microsoft.cache/redisenterprise/databases`	Yes	Yes
`microsoft.cdn/cdnwebapplicationfirewallpolicies`	Yes	No
`microsoft.cdn/profiles`	Yes	Yes
`microsoft.cdn/profiles/endpoints`	Yes	No
`microsoft.chaos/experiments`	Yes	Yes
`microsoft.classicnetwork/networksecuritygroups`	Yes	No
`microsoft.cloudtest/hostedpools`	Yes	No
`microsoft.codesigning/codesigningaccounts`	Yes	Yes
`microsoft.cognitiveservices/accounts`	Yes	Yes
`microsoft.communication/communicationservices`	Yes	No
`microsoft.community/communitytrainings`	Yes	Yes
`microsoft.confidentialledger/managedccfs`	Yes	Yes
`microsoft.connectedcache/enterprisemcccustomers`	Yes	No
`microsoft.connectedcache/ispcustomers`	Yes	No
`microsoft.containerinstance/containergroups`	Yes	No
`microsoft.containerregistry/registries`	Yes	Yes
`microsoft.customproviders/resourceproviders`	Yes	No
`microsoft.d365customerinsights/instances`	Yes	No
`microsoft.dashboard/grafana`	Yes	Yes
`microsoft.databricks/workspaces`	Yes	No
`microsoft.datafactory/factories`	Yes	No
`microsoft.datalakeanalytics/accounts`	Yes	No
`microsoft.datalakestore/accounts`	Yes	No
`microsoft.dataprotection/backupvaults`	Yes	No
`microsoft.datashare/accounts`	Yes	No
`microsoft.dbformariadb/servers`	Yes	No
`microsoft.dbformysql/flexibleservers`	Yes	Yes
`microsoft.dbformysql/servers`	Yes	No
`microsoft.dbforpostgresql/flexibleservers`	Yes	Yes
`microsoft.dbforpostgresql/servergroupsv2`	Yes	No
`microsoft.dbforpostgresql/servers`	Yes	No
`microsoft.desktopvirtualization/applicationgroups`	Yes	No
`microsoft.desktopvirtualization/hostpools`	Yes	No
`microsoft.desktopvirtualization/scalingplans`	Yes	No
`microsoft.desktopvirtualization/workspaces`	Yes	No
`microsoft.devcenter/devcenters`	Yes	Yes
`microsoft.devices/iothubs`	Yes	Yes
`microsoft.devices/provisioningservices`	Yes	No
`microsoft.digitaltwins/digitaltwinsinstances`	Yes	No
`microsoft.documentdb/cassandraclusters`	Yes	Yes
`microsoft.documentdb/databaseaccounts`	Yes	Yes
`microsoft.documentdb/mongoclusters`	Yes	Yes
`microsoft.eventgrid/domains`	Yes	Yes
`microsoft.eventgrid/partnernamespaces`	Yes	Yes
`microsoft.eventgrid/partnertopics`	Yes	No
`microsoft.eventgrid/systemtopics`	Yes	No
`microsoft.eventgrid/topics`	Yes	Yes
`microsoft.eventhub/namespaces`	Yes	Yes
`microsoft.experimentation/experimentworkspaces`	Yes	No
`microsoft.healthcareapis/services`	Yes	No
`microsoft.healthcareapis/workspaces/dicomservices`	Yes	No
`microsoft.healthcareapis/workspaces/fhirservices`	Yes	No
`microsoft.healthcareapis/workspaces/iotconnectors`	Yes	No
`microsoft.insights/autoscalesettings`	Yes	No
`microsoft.insights/components`	Yes	No
`microsoft.insights/datacollectionrules`	Yes	No
`microsoft.keyvault/managedhsms`	Yes	Yes
`microsoft.keyvault/vaults`	Yes	Yes
`microsoft.kusto/clusters`	Yes	Yes
`microsoft.loadtestservice/loadtests`	Yes	Yes
`microsoft.logic/integrationaccounts`	Yes	No
`microsoft.logic/workflows`	Yes	No
`microsoft.machinelearningservices/registries`	Yes	Yes
`microsoft.machinelearningservices/workspaces`	Yes	Yes
`microsoft.machinelearningservices/workspaces/onlineendpoints`	Yes	No
`microsoft.managednetworkfabric/networkdevices`	Yes	No
`microsoft.media/mediaservices`	Yes	Yes
`microsoft.media/mediaservices/liveevents`	Yes	Yes
`microsoft.media/mediaservices/streamingendpoints`	Yes	Yes
`microsoft.netapp/netappaccounts/capacitypools/volumes`	Yes	Yes
`microsoft.network/applicationgateways`	Yes	No
`microsoft.network/azurefirewalls`	Yes	No
`microsoft.network/bastionhosts`	Yes	Yes
`microsoft.network/dnsresolverpolicies`	Yes	No
`microsoft.network/expressroutecircuits`	Yes	No
`microsoft.network/frontdoors`	Yes	Yes
`microsoft.network/loadbalancers`	Yes	No
`microsoft.network/networkmanagers`	Yes	Yes
`microsoft.network/networkmanagers/ipampools`	Yes	Yes
`microsoft.network/networksecuritygroups`	Yes	No
`microsoft.network/networksecurityperimeters`	Yes	No
`microsoft.network/p2svpngateways`	Yes	Yes
`microsoft.network/publicipaddresses`	Yes	Yes
`microsoft.network/publicipprefixes`	Yes	Yes
`microsoft.network/trafficmanagerprofiles`	Yes	No
`microsoft.network/virtualnetworkgateways`	Yes	Yes
`microsoft.network/virtualnetworks`	Yes	No
`microsoft.network/vpngateways`	Yes	No
`microsoft.networkanalytics/dataproducts`	Yes	Yes
`microsoft.networkcloud/baremetalmachines`	Yes	No
`microsoft.networkcloud/clusters`	Yes	No
`microsoft.networkcloud/storageappliances`	Yes	No
`microsoft.networkfunction/azuretrafficcollectors`	Yes	No
`microsoft.notificationhubs/namespaces`	Yes	Yes
`microsoft.notificationhubs/namespaces/notificationhubs`	Yes	Yes
`microsoft.openenergyplatform/energyservices`	Yes	No
`microsoft.operationalinsights/workspaces`	Yes	Yes
`microsoft.powerbi/tenants/workspaces`	Yes	No
`microsoft.powerbidedicated/capacities`	Yes	No
`microsoft.purview/accounts`	Yes	Yes
`microsoft.recoveryservices/vaults`	Yes	No
`microsoft.relay/namespaces`	Yes	No
`microsoft.search/searchservices`	Yes	Yes
`microsoft.servicebus/namespaces`	Yes	Yes
`microsoft.servicenetworking/trafficcontrollers`	Yes	No
`microsoft.signalrservice/signalr`	Yes	Yes
`microsoft.signalrservice/webpubsub`	Yes	Yes
`microsoft.sql/managedinstances`	Yes	Yes
`microsoft.sql/managedinstances/databases`	Yes	No
`microsoft.sql/servers/databases`	Yes	Yes
`microsoft.storagecache/caches`	Yes	No
`microsoft.storagemover/storagemovers`	Yes	No
`microsoft.streamanalytics/streamingjobs`	Yes	No
`microsoft.synapse/workspaces`	Yes	Yes
`microsoft.synapse/workspaces/bigdatapools`	Yes	Yes
`microsoft.synapse/workspaces/kustopools`	Yes	Yes
`microsoft.synapse/workspaces/scopepools`	Yes	Yes
`microsoft.synapse/workspaces/sqlpools`	Yes	Yes
`microsoft.timeseriesinsights/environments`	Yes	No
`microsoft.timeseriesinsights/environments/eventsources`	Yes	No
`microsoft.videoindexer/accounts`	Yes	No
`microsoft.web/hostingenvironments`	Yes	Yes
`microsoft.workloads/sapvirtualinstances`	Yes	Yes

Last updated on 2026-02-06

通过