重要
网络安全组(NSG)流日志将于 2027 年 9 月 30 日停用。 2025 年 6 月 30 日之后,将无法再创建新的 NSG 流日志。 建议迁移到虚拟网络流日志,这些日志解决了 NSG 流日志的限制。 退休日期后,将不再支持 NSG 流日志中启用的流量分析功能,订阅中的现有 NSG 流日志资源也将被删除。 但是,不会从Azure 存储中删除现有的 NSG 流日志记录,并且将继续遵循其配置的保留策略。 有关详细信息,请参阅 官方公告。
Azure Policy可帮助你强制实施组织标准并大规模评估合规性。 Azure Policy的常见用例包括实施资源一致性治理、法规合规性、安全性、成本和管理。 若要了解有关Azure Policy的详细信息,请参阅 什么是 Azure Policy? 和 Quickstart:创建策略分配以识别不符合的资源。
本文介绍如何使用内置策略来审核网络安全组(NSG)流日志的设置。
使用内置策略审核网络安全组
应为每个网络安全组配置 Flow 日志策略通过检查类型为 Microsoft.Network/networkSecurityGroups 的所有Azure 资源管理器对象来审核范围中的所有现有网络安全组。 然后,此策略通过网络安全组的流日志属性检查链接流日志,并标记未启用流日志的任何网络安全组。
若要使用内置策略审核流日志,请执行以下步骤:
登录到 Azure 门户。
在门户顶部的搜索框中,输入policy。 从搜索结果中选择“策略”。
选择任务,然后选择分配策略。
选择
Scope 旁边的省略号(... ),以选择包含您希望策略审核的网络安全组的 Azure 订阅。 还可以选择具有网络安全组的资源组。 做出选择后,选择“选择”按钮。在 Azure 门户中选择策略范围的截图。 选择“策略定义”旁边的省略号 (...),然后选择要分配的内置策略。 在搜索框中输入“流日志”,然后选择“内置”筛选器。 在搜索结果中,选择“应为每个网络安全组配置流日志”,然后选择“添加”。
在 Azure 门户中选择审核策略的截图。 在“任务名称”中输入名称,然后在“指派人”中输入你的姓名。
此策略不需要任何参数。 它也不包含任何角色定义,因此无需在“修正”选项卡中为托管标识创建角色分配。
选择“查看 + 创建”,然后选择“创建”。
选择“合规性”。 搜索你的任务名称,然后选择它。
选择 “资源符合性 ”以获取所有不符合网络安全组的列表。
