Azure Monitor 的 Azure Policy 内置定义
此页是 Azure Monitor 的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure Monitor
| 名称 | 说明 | 效果 | 版本 | GitHub |
|---|---|---|---|---|
| [预览]:审核 Log Analytics 代理部署 - VM 映像 (OS) 未列出 | 如果 VM 映像 (OS) 不在定义的列表中且未安装代理,则报告 VM 不合规。 OS 映像列表将随着支持的更新而不断更新。 | auditIfNotExists | 1.0.0-preview | 链接。 |
| 活动日志至少应保留一年 | 此策略审核活动日志的保留期是否未设置为365 天或永久(保留天数设置为 0)。 | AuditIfNotExists、Disabled | 1.0.0 | 链接。 |
| 特定管理操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定管理操作。 | AuditIfNotExists、Disabled | 1.0.0 | 链接。 |
| 特定策略操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定策略操作。 | AuditIfNotExists、Disabled | 1.0.0 | 链接。 |
| 特定安全操作应有活动日志警报 | 此策略审核未配置任何活动日志警报的特定安全操作。 | AuditIfNotExists、Disabled | 1.0.0 | 链接。 |
| 审核 Dependency Agent 部署 - VM 映像 (OS) 未列出 | 如果 VM 映像 (OS) 不在定义的列表中且未安装代理,则报告 VM 不合规。 OS 映像列表将随着支持的更新而不断更新。 | auditIfNotExists | 1.0.1 | 链接。 |
| 审核虚拟机规模集中的 Dependency Agent 部署 - VM 映像 (OS) 未列出 | 如果 VM 映像 (OS) 不在定义的列表中且未安装代理,则将虚拟机规模集报告为“不合规”。 OS 映像列表将随着支持的更新而不断更新。 | auditIfNotExists | 1.0.1 | 链接。 |
| 审核诊断设置 | 审核所选资源类型的诊断设置。 | AuditIfNotExists | 1.0.0 | 链接。 |
| 审核虚拟机规模集中的 Log Analytics 代理部署 - VM 映像 (OS) 未列出 | 如果 VM 映像 (OS) 不在定义的列表中且未安装代理,则将虚拟机规模集报告为“不合规”。 OS 映像列表将随着支持的更新而不断更新。 | auditIfNotExists | 1.0.1 | 链接。 |
| 审核 VM 的 Log Analytics 工作区 — 报告不匹配 | 如果 VM 未记录到策略/计划分配中指定的 Log Analytics 工作区,则将 VM 报告为“不合规”。 | 审核 | 1.0.1 | 链接。 |
| Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 | 此策略可确保日志配置文件收集类别为 "write"、"delete" 和 "action" 的日志 | AuditIfNotExists、Disabled | 1.0.0 | 链接。 |
| Azure Monitor 应从所有区域收集活动日志 | 此策略审核不从所有 Azure 支持区域(包括全局)导出活动的 Azure Monitor 日志配置文件。 | AuditIfNotExists、Disabled | 1.0.0 | 链接。 |
| 必须部署 Azure Monitor 解决方案“安全和审核” | 此策略可确保“安全和审核”已部署。 | AuditIfNotExists、Disabled | 1.0.0 | 链接。 |
| Azure 订阅应有用于活动日志的日志配置文件 | 此策略确保启用一个日志配置文件来导出活动日志。 它会审核是否未创建日志配置文件将日志导出到存储帐户或事件中心。 | AuditIfNotExists、Disabled | 1.0.0 | 链接。 |
| 为 Linux 虚拟机规模集部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux 虚拟机规模集部署 Dependency Agent。 注意:如果规模集 upgradePolicy 设置为“Manual”,则需要通过对规模集调用升级将扩展应用到集中的所有 VM。 在 CLI 中,这将是 az vmss update-instances。 | deployIfNotExists | 1.0.1 | 链接。 |
| 为 Linux VM 部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux VM 部署 Dependency Agent。 | deployIfNotExists | 1.0.1 | 链接。 |
| 为 Windows 虚拟机规模集部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Windows 虚拟机规模集部署 Dependency Agent。 OS 映像列表将随着支持的更新而不断更新。 注意:如果规模集 upgradePolicy 设置为“手动”,则需要通过对 VM 调用升级将扩展应用到集中的所有 VM。 在 CLI 中,这将是 az vmss update-instances。 | deployIfNotExists | 1.0.1 | 链接。 |
| 为 Windows VM 部署 Dependency Agent | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Windows VM 部署 Dependency Agent。 OS 映像列表将随着支持的更新而不断更新。 | deployIfNotExists | 1.0.1 | 链接。 |
| 将 Batch 帐户的诊断设置部署到事件中心 | 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 | 链接。 |
| 将 Batch 帐户的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少 Batch 帐户的诊断设置的任何 Batch 帐户时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 | 链接。 |
| 将 Data Lake Analytics 的诊断设置部署到事件中心 | 在创建或更新缺少 Data Lake Analytics 的诊断设置的任何 Data Lake Analytics 时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 | 链接。 |
| 将 Data Lake Analytics 的诊断设置部署到 Log Analytics 工作区 | 创建或更新缺少此诊断设置的任何 Data Lake Analytics 时,部署 Data Lake Analytics 的诊断设置以流式传输到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 | 链接。 |
| 将 Data Lake Storage Gen1 的诊断设置部署到事件中心 | 在创建或更新缺少 Data Lake Storage Gen1 的诊断设置的任何 Data Lake Storage Gen1 时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 | 链接。 |
| 将 Data Lake Storage Gen1 的诊断设置部署到 Log Analytics 工作区 | 创建或更新缺少此诊断设置的任何 Data Lake Storage Gen1 时,部署 Data Lake Storage Gen1 的诊断设置以流式传输到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 | 链接。 |
| 将事件中心的诊断设置部署到事件中心 | 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 | 链接。 |
| 将事件中心的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少事件中心的诊断设置的任何事件中心时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 | 链接。 |
| 将 Key Vault 的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少 Key Vault 的诊断设置的 Key Vault 时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 | 链接。 |
| 将逻辑应用的诊断设置部署到事件中心 | 在创建或更新缺少逻辑应用的诊断设置的任何逻辑应用时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 | 链接。 |
| 将逻辑应用的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少逻辑应用的诊断设置的任何逻辑应用时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 | 链接。 |
| 为网络安全组部署诊断设置 | 此策略自动将诊断设置部署到网络安全组。 将自动创建名为“{storagePrefixParameter}{NSGLocation}”的存储帐户。 | deployIfNotExists | 1.0.0 | 链接。 |
| 将搜索服务的诊断设置部署到事件中心 | 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 | 链接。 |
| 将搜索服务的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少搜索服务的诊断设置的任何搜索服务时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 | 链接。 |
| 将服务总线的诊断设置部署到事件中心 | 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 | 链接。 |
| 将服务总线的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少服务总线的诊断设置的任何服务总线时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 | 链接。 |
| 将流分析的诊断设置部署到事件中心 | 在创建或更新缺少流分析的诊断设置的任何流分析时,将此诊断设置流式部署到区域事件中心。 | DeployIfNotExists、Disabled | 2.0.0 | 链接。 |
| 将流分析的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少流分析的诊断设置的任何流分析时,将此诊断设置流式部署到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 | 链接。 |
| 为 Linux 虚拟机规模集部署 Log Analytics 代理 | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux 虚拟机规模集部署 Log Analytics 代理。 注意:如果规模集 upgradePolicy 设置为“Manual”,则需要通过对规模集调用升级将扩展应用到集中的所有 VM。 在 CLI 中,这将是 az vmss update-instances。 | deployIfNotExists | 1.0.1 | 链接。 |
| 为 Linux VM 部署 Log Analytics 代理 | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Linux VM 部署 Log Analytics 代理。 | deployIfNotExists | 1.0.1 | 链接。 |
| 为 Windows 虚拟机规模集部署 Log Analytics 代理 | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Windows 虚拟机规模集部署 Log Analytics 代理。 OS 映像列表将随着支持的更新而不断更新。 注意:如果规模集 upgradePolicy 设置为“手动”,则需要通过对 VM 调用升级将扩展应用到集中的所有 VM。 在 CLI 中,这将是 az vmss update-instances。 | deployIfNotExists | 1.0.1 | 链接。 |
| 为 Windows VM 部署 Log Analytics 代理 | 如果 VM 映像 (OS) 位于定义的列表中且未安装代理,请为 Windows VM 部署 Log Analytics 代理。 OS 映像列表将随着支持的更新而不断更新。 | deployIfNotExists | 1.0.1 | 链接。 |
| 应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Monitoring Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,例如网络映射上的流量可视化效果、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.0-preview | 链接。 |
| 应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Monitoring Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,例如网络映射上的流量可视化效果、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.0-preview | 链接。 |
| 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 此策略审核是否已使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密。 仅当存储帐户在设计上依赖于与活动日志相同的订阅时,此策略才起作用。 有关 Azure 存储静态加密的详细信息,请参阅存储加密密钥门户。 | AuditIfNotExists、Disabled | 1.0.0 | 链接。 |
| 应在虚拟机规模集上安装 Log Analytics 代理 | 此策略审核是否有任何 Windows/Linux 虚拟机规模集未安装 Log Analytics 代理。 | AuditIfNotExists、Disabled | 1.0.0 | 链接。 |
| 应在虚拟机上安装 Log Analytics 代理 | 此策略审核是否有任何 Windows/Linux 虚拟机未安装 Log Analytics 代理。 | AuditIfNotExists、Disabled | 1.0.0 | 链接 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。