使用内置 Azure 策略大规模创建诊断设置

2025-07-25

Azure Policy 提供了一种简单的方法，可以通过 Azure Monitor 的诊断设置启用大规模日志记录。本文介绍如何使用一组内置策略将支持的资源的资源日志定向到 Log Analytics 工作区、事件中心和存储帐户。若要为没有内置策略的资源类型创建自定义策略定义，请参阅使用 Azure 策略和计划大规模创建诊断设置。

策略和计划

计划是策略的集合。您可以分配一个包含您需要的不同策略的单个计划，而不是将多个策略分配到一个范围。以后可以向此计划添加策略，而无需更改分配。

现有一组内置策略，可帮助您为不同的目的地应用诊断设置。针对每种目的地类型和allLogsaudit类别组，均有独特的举措。每个计划都包含受支持资源的所有内置策略集。

Create assignment

使用以下方法之一为诊断设置部署内置计划或策略。

使用以下步骤通过 Azure 门户实施方案或策略。

在 Azure 门户中的“策略”页中，选择“ 定义”。
设置以下筛选器：
1. 对于“类别”，选择“监视”。
2. 对于 定义类型，请选择“ 计划 ”或“ 策略”。
找到并选择要分配的计划或策略。
1. 对于计划，请在“搜索”字段中键入“audit”或“allLogs”，然后选择目标计划。
2. 对于策略，请在 “搜索” 字段中键入资源类型的名称，然后选择资源类型和目标的策略。以下示例将密钥保管库数据发送到 Log Analytics 工作区。
在定义页中，选择“分配举措”。
设置范围用于分配。范围可以是管理组、订阅或资源组。计划或策略应用于范围内的所有资源。
选择“ 参数 ”选项卡，然后选择要在其中发送日志的特定目标。这些详细信息因每个目标类型而异。有关每个目标类型的参数的详细信息，请参阅 “参数 ”。
选择 “修正 ”选项卡。这会将策略应用于作用域中的现有资源。如果没有修正任务，计划或策略分配仅适用于分配后创建的新资源。
启用“ 创建修正任务 ”复选框，并确保已启用 “创建托管标识 ”。在“托管标识类型”下，选择“系统分配的托管标识”。
依次选择“查看 + 创建”、“创建”。

使用 New-AzPolicyAssignment 命令为倡议或策略创建分配。以下示例展示了如何指派任务以将 audit 类别组日志发送到 Log Analytics 工作区。

设置环境变量

$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnalyticsWorkspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;

使用 Get-AzPolicySetDefinition 倡议或 Get-AzPolicyDefinition 政策获取定义。

# Initiative
$definition = Get-AzPolicySetDefinition | Where-Object {$_.DisplayName -eq 'Enable allLogs category group resource logging for supported resources to Log Analytics'}

# Policy
$definition = Get-AzPolicyDefinition | Where-Object {$_.DisplayName -eq 'Enable logging by category group for Key vaults (microsoft.keyvault/vaults) to Log Analytics'}

设置分配名称并配置参数。对于此示例，参数包括 Log Analytics 工作区 ID。有关其他目标类型的参数的详细信息，请参阅 “参数 ”。

$assignmentName = <your assignment name>;
$params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}

使用参数创建分配。

$policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location chinanorth2

将 Contributor 角色分配到系统分配的托管标识。对于其他计划，检查哪些角色是必需的。

 New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor

检查策略合规性。 Start-AzPolicyComplianceScan 命令需要几分钟才能返回
```
Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
```

通过调用 Get-AzPolicyState 获取要修正的资源列表和所需参数

$assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
$policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
$policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;

对于具有不合规资源的每种资源类型，请启动修正任务。

    $policyDefinitionReferenceIds | ForEach-Object {
          $referenceId = $_
          Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
    }

检查修正任务完成时的合规性状态。

Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID

使用以下命令通过 CLI 应用策略。有关使用 CLI 分配策略的详细信息，请参阅 Azure CLI 参考 - az policy assignment。

使用 az policy assignment create 创建策略分配。这需要计划或策略定义的名称或 ID，而不需要显示名称。

# Initiative        
az policy assignment create --name <policy assignment name>  --policy-set-definition "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID>\"}}" --mi-system-assigned --location <location>

# Policy
az policy assignment create --name <policy assignment name>  --policy "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>

将所需角色分配给为策略分配创建的标识。通过搜索 roleDefinitionIds 在策略定义中查找角色

   ...},
      "roleDefinitionIds": [
        "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
      ],
      "deployment": {
        "properties": {...

使用 az policy assignment identity assign 分配所需的角色：

az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>

For example:

az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg001 --name policy-assignment-1

为项目中的策略创建修正任务。

修正任务按策略创建。每个任务针对特定 definition-reference-id，在计划中指定为 policyDefinitionReferenceId。若要查找 definition-reference-id 参数，请使用以下命令：

az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId

使用 az policy remediation create 对资源进行修正

az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance

For example:

az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance

若要为计划中的所有策略创建修正任务，请使用以下示例：

for policyDefinitionReferenceId in $(az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
do 
    az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
done

使用 az policy state trigger-scan 触发扫描以查找现有资源。
```
az policy state trigger-scan --resource-group rg-001
```

使用 az policy remediation create 创建修正任务以将策略应用于现有资源。

az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name>

For example,

az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1

Remediation tasks

创建新资源时，策略将应用于这些资源。使用修正任务将策略应用到现有资源。对于每个倡议，必须为倡议中的每个策略创建修正任务。上述每个过程都包含在分配计划或策略时创建修正任务的步骤。还可以在创建分配后创建修正任务。

在 Azure 门户中，选择 “修正 ”，然后选择策略。 Click Remediate. 有关修正任务的详细信息，请参阅修正不符合资源。

选择 “修正 ”，然后在“策略修正”页的 “修正任务 ”选项卡中跟踪修正任务的状态。

Parameters

Common parameters

下表描述了创建诊断设置的每个策略和计划集的常见参数。

Parameter	Description	Valid Values	Default
effect	启用或禁用策略执行	DeployIfNotExists, AuditIfNotExists, Disabled	DeployIfNotExists
diagnosticSettingName	诊断设置名称		setByPolicy-{LogAnalytics\|EventHubs\|Storage}
categoryGroup	诊断类别组	none, audit, allLogs	审核
resourceTypeList	对于计划，需要评估的资源类型列表，以确定诊断设置是否存在。	Supported resources	所有支持的资源

Log Analytics 参数

下表描述了将 Log Analytics 用作目标的每个策略和计划集的参数。

Parameter	Description	Valid Values	Default
resourceLocationList	用于将日志发送到附近 Log Analytics 的资源位置列表。 “*”选择所有位置	Supported locations	*
logAnalytics	Log Analytics 工作区

事件中心参数

下表描述了将事件中心用作目标的每个策略和计划集的参数。

Parameter	Description	Valid Values	Default
resourceLocation	资源位置必须与事件中心命名空间的位置相同	Supported locations
eventHubAuthorizationRuleId	事件中心授权规则 ID。授权规则位于事件中心命名空间级别。例如 /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	事件中心名称		Monitoring

存储帐户策略参数

下表描述了将存储帐户用作目标的每个策略和计划集的参数。

Parameter	Description	Valid Values	Default
resourceLocation	资源位置必须与存储帐户位于同一位置	Supported locations
storageAccount	存储帐户 resourceId

Supported resources

Log Analytics 工作区、事件中心和存储帐户的内置所有日志和审核日志策略都适用于以下资源：

Resource Type	All logs	Audit Logs
microsoft.aad/domainservices	Yes	Yes
microsoft.agfoodplatform/farmbeats	Yes	Yes
microsoft.analysisservices/servers	Yes	No
microsoft.apimanagement/service	Yes	Yes
microsoft.app/managedenvironments	Yes	Yes
microsoft.appconfiguration/configurationstores	Yes	Yes
microsoft.appplatform/spring	Yes	No
microsoft.attestation/attestationproviders	Yes	Yes
microsoft.automation/automationaccounts	Yes	Yes
microsoft.autonomousdevelopmentplatform/workspaces	Yes	No
microsoft.avs/privateclouds	Yes	Yes
microsoft.azureplaywrightservice/accounts	Yes	Yes
microsoft.azuresphere/catalogs	Yes	Yes
microsoft.batch/batchaccounts	Yes	Yes
microsoft.botservice/botservices	Yes	No
microsoft.cache/redis	Yes	Yes
microsoft.cache/redisenterprise/databases	Yes	Yes
microsoft.cdn/cdnwebapplicationfirewallpolicies	Yes	No
microsoft.cdn/profiles	Yes	Yes
microsoft.cdn/profiles/endpoints	Yes	No
microsoft.chaos/experiments	Yes	Yes
microsoft.classicnetwork/networksecuritygroups	Yes	No
microsoft.cloudtest/hostedpools	Yes	No
microsoft.codesigning/codesigningaccounts	Yes	Yes
microsoft.cognitiveservices/accounts	Yes	Yes
microsoft.communication/communicationservices	Yes	No
microsoft.community/communitytrainings	Yes	Yes
microsoft.confidentialledger/managedccfs	Yes	Yes
microsoft.connectedcache/enterprisemcccustomers	Yes	No
microsoft.connectedcache/ispcustomers	Yes	No
microsoft.containerinstance/containergroups	Yes	No
microsoft.containerregistry/registries	Yes	Yes
microsoft.customproviders/resourceproviders	Yes	No
microsoft.d365customerinsights/instances	Yes	No
microsoft.dashboard/grafana	Yes	Yes
microsoft.databricks/workspaces	Yes	No
microsoft.datafactory/factories	Yes	No
microsoft.datalakeanalytics/accounts	Yes	No
microsoft.datalakestore/accounts	Yes	No
microsoft.dataprotection/backupvaults	Yes	No
microsoft.datashare/accounts	Yes	No
microsoft.dbformariadb/servers	Yes	No
microsoft.dbformysql/flexibleservers	Yes	Yes
microsoft.dbformysql/servers	Yes	No
microsoft.dbforpostgresql/flexibleservers	Yes	Yes
microsoft.dbforpostgresql/servergroupsv2	Yes	No
microsoft.dbforpostgresql/servers	Yes	No
microsoft.desktopvirtualization/applicationgroups	Yes	No
microsoft.desktopvirtualization/hostpools	Yes	No
microsoft.desktopvirtualization/scalingplans	Yes	No
microsoft.desktopvirtualization/workspaces	Yes	No
microsoft.devcenter/devcenters	Yes	Yes
microsoft.devices/iothubs	Yes	Yes
microsoft.devices/provisioningservices	Yes	No
microsoft.digitaltwins/digitaltwinsinstances	Yes	No
microsoft.documentdb/cassandraclusters	Yes	Yes
microsoft.documentdb/databaseaccounts	Yes	Yes
microsoft.documentdb/mongoclusters	Yes	Yes
microsoft.eventgrid/domains	Yes	Yes
microsoft.eventgrid/partnernamespaces	Yes	Yes
microsoft.eventgrid/partnertopics	Yes	No
microsoft.eventgrid/systemtopics	Yes	No
microsoft.eventgrid/topics	Yes	Yes
microsoft.eventhub/namespaces	Yes	Yes
microsoft.experimentation/experimentworkspaces	Yes	No
microsoft.healthcareapis/services	Yes	No
microsoft.healthcareapis/workspaces/dicomservices	Yes	No
microsoft.healthcareapis/workspaces/fhirservices	Yes	No
microsoft.healthcareapis/workspaces/iotconnectors	Yes	No
microsoft.insights/autoscalesettings	Yes	No
microsoft.insights/components	Yes	No
microsoft.insights/datacollectionrules	Yes	No
microsoft.keyvault/managedhsms	Yes	Yes
microsoft.keyvault/vaults	Yes	Yes
microsoft.kusto/clusters	Yes	Yes
microsoft.loadtestservice/loadtests	Yes	Yes
microsoft.logic/integrationaccounts	Yes	No
microsoft.logic/workflows	Yes	No
microsoft.machinelearningservices/registries	Yes	Yes
microsoft.machinelearningservices/workspaces	Yes	Yes
microsoft.machinelearningservices/workspaces/onlineendpoints	Yes	No
microsoft.managednetworkfabric/networkdevices	Yes	No
microsoft.media/mediaservices	Yes	Yes
microsoft.media/mediaservices/liveevents	Yes	Yes
microsoft.media/mediaservices/streamingendpoints	Yes	Yes
microsoft.netapp/netappaccounts/capacitypools/volumes	Yes	Yes
microsoft.network/applicationgateways	Yes	No
microsoft.network/azurefirewalls	Yes	No
microsoft.network/bastionhosts	Yes	Yes
microsoft.network/dnsresolverpolicies	Yes	No
microsoft.network/expressroutecircuits	Yes	No
microsoft.network/frontdoors	Yes	Yes
microsoft.network/loadbalancers	Yes	No
microsoft.network/networkmanagers	Yes	Yes
microsoft.network/networkmanagers/ipampools	Yes	Yes
microsoft.network/networksecuritygroups	Yes	No
microsoft.network/networksecurityperimeters	Yes	No
microsoft.network/p2svpngateways	Yes	Yes
microsoft.network/publicipaddresses	Yes	Yes
microsoft.network/publicipprefixes	Yes	Yes
microsoft.network/trafficmanagerprofiles	Yes	No
microsoft.network/virtualnetworkgateways	Yes	Yes
microsoft.network/virtualnetworks	Yes	No
microsoft.network/vpngateways	Yes	No
microsoft.networkanalytics/dataproducts	Yes	Yes
microsoft.networkcloud/baremetalmachines	Yes	No
microsoft.networkcloud/clusters	Yes	No
microsoft.networkcloud/storageappliances	Yes	No
microsoft.networkfunction/azuretrafficcollectors	Yes	No
microsoft.notificationhubs/namespaces	Yes	Yes
microsoft.notificationhubs/namespaces/notificationhubs	Yes	Yes
microsoft.openenergyplatform/energyservices	Yes	No
microsoft.operationalinsights/workspaces	Yes	Yes
microsoft.powerbi/tenants/workspaces	Yes	No
microsoft.powerbidedicated/capacities	Yes	No
microsoft.purview/accounts	Yes	Yes
microsoft.recoveryservices/vaults	Yes	No
microsoft.relay/namespaces	Yes	No
microsoft.search/searchservices	Yes	Yes
microsoft.servicebus/namespaces	Yes	Yes
microsoft.servicenetworking/trafficcontrollers	Yes	No
microsoft.signalrservice/signalr	Yes	Yes
microsoft.signalrservice/webpubsub	Yes	Yes
microsoft.sql/managedinstances	Yes	Yes
microsoft.sql/managedinstances/databases	Yes	No
microsoft.sql/servers/databases	Yes	Yes
microsoft.storagecache/caches	Yes	No
microsoft.storagemover/storagemovers	Yes	No
microsoft.streamanalytics/streamingjobs	Yes	No
microsoft.synapse/workspaces	Yes	Yes
microsoft.synapse/workspaces/bigdatapools	Yes	Yes
microsoft.synapse/workspaces/kustopools	Yes	Yes
microsoft.synapse/workspaces/scopepools	Yes	Yes
microsoft.synapse/workspaces/sqlpools	Yes	Yes
microsoft.timeseriesinsights/environments	Yes	No
microsoft.timeseriesinsights/environments/eventsources	Yes	No
microsoft.videoindexer/accounts	Yes	No
microsoft.web/hostingenvironments	Yes	Yes
microsoft.workloads/sapvirtualinstances	Yes	Yes

共用方式為