Überwachen und Bereitstellen von Protokollen für virtuelle Netzwerke mithilfe von Azure-Richtlinien

  • Artikel

Azure Policy unterstützt Sie bei der Durchsetzung von Organisationsstandards und der Bewertung der Compliance im großen Stil. Häufige Anwendungsfälle für Azure Policy sind die Implementierung von Governance für Ressourcenkonsistenz, Einhaltung gesetzlicher Bestimmungen, Sicherheit, Kosten und Verwaltung. Weitere Informationen zu Azure Policy finden Sie unter Was ist Azure Policy? und Schnellstart: Erstellen einer Richtlinienzuweisung zum Identifizieren nicht konformer Ressourcen.

In diesem Artikel erfahren Sie, wie Sie Ihre Einrichtung von VNet-Datenflussprotokollen mithilfe von zwei integrierten Richtlinien verwalten. Die erste Richtlinie kennzeichnet jedes virtuelle Netzwerk, in dem die Datenflussprotokollierung nicht aktiviert ist. Die zweite Richtlinie stellt automatisch VNet-Datenflussprotokolle für die virtuellen Netzwerke bereit, in denen die Datenflussprotokollierung nicht aktiviert ist.

Voraussetzungen

Überwachen der Konfiguration von Datenflussprotokollen für virtuelle Netzwerke mithilfe einer integrierten Richtlinie

Die Richtlinie Konfiguration der Datenflussprotokolle für jedes virtuelle Netzwerk überwachen überwacht alle vorhandenen virtuellen Netzwerke in einem Bereich, indem über die Datenflussprotokoll-Eigenschaft des virtuellen Netzwerks alle Azure Resource Manager-Objekte vom Typ Microsoft.Network/virtualNetworks auf verknüpfte Datenflussprotokolle überprüft werden. Anschließend wird jedes virtuelle Netzwerk gekennzeichnet, in dem die Datenflussprotokollierung nicht aktiviert ist.

Führen Sie die folgenden Schritte aus, um Ihre Datenflussprotokolle mithilfe der integrierten Richtlinie zu überwachen:

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie in das Suchfeld oben im Portal Richtlinie ein. Wählen Sie in den Suchergebnissen den Eintrag Richtlinie aus.

    Screenshot: Suche nach Azure Policy im Azure-Portal

  3. Wählen Sie Zuweisungen und dann Richtlinie zuweisen aus.

    Screenshot: Zuweisen einer Richtlinie im Azure-Portal

  4. Wählen Sie die Auslassungspunkte (...) neben Bereich aus, um Ihr Azure-Abonnement mit den virtuellen Netzwerken auszuwählen, die von der Richtlinie überwacht werden sollen. Sie können auch die Ressourcengruppe auswählen, die über die virtuellen Netzwerke verfügt. Nachdem Sie Ihre Auswahl getroffen haben, wählen Sie die Schaltfläche Auswählen aus.

    Screenshot: Wie der Umfang der Richtlinie im Azure-Portal definiert wird

  5. Wählen Sie die Auslassungspunkte (...) neben der Richtliniendefinition aus, um die integrierte Richtlinie auszuwählen, die Sie zuweisen möchten. Geben Sie Datenflussprotokoll in das Suchfeld ein, und wählen Sie dann den Filter Integriert aus. Wählen Sie in den Suchergebnissen Konfiguration der Datenflussprotokolle für jedes virtuelle Netzwerk überwachen und dann Hinzufügen aus.

    Screenshot: Wie die Überwachungsrichtlinie im Azure-Portal ausgewählt wird

  6. Geben Sie in Zuweisungsname einen Namen ein, oder verwenden Sie den Standardnamen, und geben Sie dann in Zugewiesen von Ihren Namen ein.

    Diese Richtlinie erfordert keine Parameter. Es enthält auch keine Rollendefinitionen, was bedeutet, dass Sie keine Rollenzuweisungen für die verwaltete Identität auf der Registerkarte Wartung erstellen müssen.

  7. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

    Screenshot: Registerkarte „Grundlagen“ zum Zuweisen einer Überwachungsrichtlinie im Azure-Portal

  8. Wählen Sie Compliance aus, und ändern Sie den Filter Konformitätszustand in Nicht konform, um alle nicht konformen Richtlinien aufzulisten. Suchen Sie nach dem Namen Ihrer von Ihnen erstellten Überwachungsrichtlinie, und wählen Sie diese aus.

    Screenshot: Seite „Compliance“ mit der Liste nicht kompatibler Richtlinien einschließlich der Überwachungsrichtlinie

  9. Ändern Sie auf der Seite „Richtliniencompliance“ den Filter Konformitätszustand in Nicht konform, um alle nicht konformen virtuellen Netzwerke aufzulisten. In diesem Beispiel sind drei von vier virtuellen Netzwerken nicht konform.

    Screenshot: Die auf Grundlage der Überwachungsrichtlinie nicht konformen virtuellen Netzwerke

Bereitstellen und Konfigurieren von VNet-Datenflussprotokollen mithilfe einer integrierten Richtlinie

Die Richtlinie Ressource für Datenflussprotokolle mit virtuellem Netzwerk für Ziel bereitstellen überprüft alle vorhandenen virtuellen Netzwerke in einem Bereich, indem alle Azure Resource Manager-Objekte vom Typ Microsoft.Network/virtualNetworks überprüft werden. Anschließend wird über die Datenflussprotokoll-Eigenschaft des virtuellen Netzwerks nach verknüpften Datenflussprotokollen gesucht. Wenn die Eigenschaft nicht vorhanden ist, stellt die Richtlinie ein Datenflussprotokoll bereit.

Wichtig

Es wird empfohlen, NSG-Datenflussprotokolle zu deaktivieren, bevor Sie VNet-Datenflussprotokolle für die gleichen zugrunde liegenden Workloads aktivieren, um doppelte Datenverkehrsaufzeichnungen und zusätzliche Kosten zu vermeiden. Wenn Sie z. B. NSG-Datenflussprotokolle für die Netzwerksicherheitsgruppe eines Subnetzes aktivieren und dann VNet-Datenflussprotokolle für das gleiche Subnetz oder das übergeordnete virtuelle Netzwerk aktivieren, kann es zu einer doppelten Protokollierung kommen (sowohl NSG-Datenflussprotokolle als auch VNet-Datenflussprotokolle, die für alle unterstützten Workloads in diesem bestimmten Subnetz generiert werden).

Führen Sie die folgenden Schritte aus, um die Richtlinie deployIfNotExists zuzuweisen:

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie in das Suchfeld oben im Portal Richtlinie ein. Wählen Sie in den Suchergebnissen den Eintrag Richtlinie aus.

    Screenshot: Suche nach Azure Policy im Azure-Portal

  3. Wählen Sie Zuweisungen und dann Richtlinie zuweisen aus.

    Screenshot: Zuweisen einer Richtlinie im Azure-Portal

  4. Wählen Sie die Auslassungspunkte (...) neben Bereich aus, um Ihr Azure-Abonnement mit den virtuellen Netzwerken auszuwählen, die von der Richtlinie überwacht werden sollen. Sie können auch die Ressourcengruppe auswählen, die über die virtuellen Netzwerke verfügt. Nachdem Sie Ihre Auswahl getroffen haben, wählen Sie die Schaltfläche Auswählen aus.

    Screenshot: Wie der Umfang der Richtlinie im Azure-Portal definiert wird

  5. Wählen Sie die Auslassungspunkte (...) neben der Richtliniendefinition aus, um die integrierte Richtlinie auszuwählen, die Sie zuweisen möchten. Geben Sie Datenflussprotokoll in das Suchfeld ein, und wählen Sie dann den Filter Integriert aus. Wählen Sie in den Suchergebnissen die Option Ressource für Datenflussprotokolle mit virtuellem Netzwerk für Ziel bereitstellen und anschließend Hinzufügen aus.

    Screenshot: Auswählen der Bereitstellungsrichtlinie im Azure-Portal

    Hinweis

    Sie benötigen Berechtigungen als Mitwirkender oder Besitzer, um diese Richtlinie verwenden zu können.

  6. Geben Sie in Zuweisungsname einen Namen ein, oder verwenden Sie den Standardnamen, und geben Sie dann in Zugewiesen von Ihren Namen ein.

    Screenshot: Registerkarte „Grundlagen“ zum Zuweisen einer Bereitstellungsrichtlinie im Azure-Portal

  7. Wählen Sie zweimal die Schaltfläche Weiter aus, oder wählen Sie die Registerkarte Parameter aus. Wählen Sie anschließend die folgenden Werte aus:

    Einstellung Wert
    Auswirkung Wählen Sie DeployIfNotExists aus, um die Ausführung der Richtlinie zu aktivieren. Die andere verfügbare Option ist: Deaktiviert.
    Virtuelles Netzwerk, Region Wählen Sie die Region Ihres virtuellen Netzwerks aus, auf das Sie mit der Richtlinie abzielen.
    Speicherkonto Wählen Sie das Speicherkonto aus. Das Speicherkonto muss sich in derselben Region wie das virtuelle Netzwerk befinden.
    Network Watcher-RG Wählen Sie die Ressourcengruppe Ihrer Network Watcher-Instanz aus. Die von der Richtlinie erstellten Datenflussprotokolle werden in dieser Ressourcengruppe gespeichert.
    Network Watcher Wählen Sie die Network Watcher-Instanz der ausgewählten Region aus.
    Anzahl der Tage, für die Datenflussprotokolle beibehalten werden sollen Wählen Sie die Anzahl der Tage aus, für die Sie Daten in den Datenflussprotokollen im Speicherkonto speichern möchten. Die Standardeinstellung beträgt 30 Tage. Wenn Sie keine Aufbewahrungsrichtlinie anwenden möchten, geben Sie 0 ein.

    Screenshot: Registerkarte „Parameter“ zum Zuweisen einer Bereitstellungsrichtlinie im Azure-Portal

  8. Wählen Sie Weiter oder die der Registerkarte Wartungaus.

  9. Aktivieren Sie das Kontrollkästchen Korrekturtask erstellen.

    Screenshot: Registerkarte „Wartung“ zum Zuweisen einer Bereitstellungsrichtlinie im Azure-Portal

  10. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

  11. Wählen Sie Compliance aus, und ändern Sie den Filter Konformitätszustand in Nicht konform, um alle nicht konformen Richtlinien aufzulisten. Suchen Sie nach dem Namen der von Ihnen erstellten Bereitstellungsrichtlinie, und wählen Sie diese aus.

    Screenshot: Seite „Compliance“, auf der nicht konforme Richtlinien einschließlich der Bereitstellungsrichtlinie aufgeführt werden

  12. Ändern Sie auf der Seite „Richtliniencompliance“ den Filter Konformitätszustand in Nicht konform, um alle nicht konformen virtuellen Netzwerke aufzulisten. In diesem Beispiel sind drei von vier virtuellen Netzwerken nicht konform.

    Screenshot: Basierend auf der Bereitstellungsrichtlinie nicht konforme virtuelle Netzwerke

    Hinweis

    Die Richtlinie dauert einige Zeit, um virtuelle Netzwerke im angegebenen Bereich auszuwerten und Ablaufprotokolle für die nicht kompatiblen virtuellen Netzwerke bereitzustellen.

  13. Wechseln Sie zu Ablaufprotokollen unter Protokolle in Netzwerküberwachung, um die Ablaufprotokolle anzuzeigen, die von der Richtlinie bereitgestellt wurden.

    Screenshot der Liste der Datenflussprotokolle in Network Watcher

  14. Überprüfen Sie auf der Seite „Richtliniencompliance“, ob alle virtuellen Netzwerke im angegebenen Bereich kompatibel sind.

    Screenshot, der zeigt, dass keine nicht kompatiblen virtuellen Netzwerke vorhanden sind, nachdem die Bereitstellungsrichtlinie Datenflussprotokolle im definierten Bereich bereitgestellt hat

    Hinweis

    Es kann bis zu 24 Stunden dauern, bis der Ressourcencompliancestatus auf der Seite „Azure-Richtliniencompliance“ aktualisiert wird. Weitere Informationen finden Sie unter Grundlegendes zu Auswertungsergebnissen.

Zugehöriger Inhalt