使用 Azure 原則 稽核及部署虛擬網路流量記錄
Azure 原則有助於強制執行組織標準及大規模評估合規性。 Azure 原則的常見使用案例包括針對資源一致性、法規合規性、安全性、成本和管理來進行治理。 若要深入瞭解 Azure 原則,請參閱什麼是 Azure 原則?和快速入門:建立原則指派以識別不符合規範的資源。
在本文中,您將瞭解如何使用兩個內建原則來管理虛擬網路流量記錄的設定。 第一個原則會標幟未啟用流量記錄的任何虛擬網路。 第二個原則會自動將虛擬網路流量記錄部署到未啟用流量記錄的虛擬網路。
必要條件
具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
虛擬網路。 如果您需要建立虛擬網路,請參閱使用 Azure 入口網站 建立虛擬網路。
使用內建原則稽核虛擬網路的流程記錄設定
每個虛擬網路原則的稽核流程記錄設定會透過虛擬網路的流量記錄屬性,檢查類型的所有 Azure Resource Manager 物件Microsoft.Network/virtualNetworks,以稽核範圍中的所有現有虛擬網路。 然後,它會標示未啟用流量記錄的任何虛擬網路。
若要使用內建原則稽核您的流程記錄,請遵循下列步驟:
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入 [原則]。 從搜尋結果中選取 [ 原則 ]。
選取 [指派],然後選取 [指派原則]。
選取 [範圍] 旁的省略號 (...),以選擇具有您想要使用原則檢查之虛擬網路的 Azure 訂用帳戶。 您也可以選擇具有虛擬網路的資源群組。 進行選取之後,請選取 [ 選取] 按鈕。
選取 [原則定義] 旁的 [...],以選擇要指派的內建原則。 在搜尋方塊中輸入 [流量記錄],然後選取 [內建] 篩選。 從搜尋結果中,選取 [稽核每個虛擬網络的流量記錄組態],然後選取 [ 新增]。
在 [指派名稱] 中輸入名稱或使用預設名稱,然後在 [指派者] 中輸入您的名稱。
此原則不需要任何參數。 它也不包含任何角色定義,因此您不需要在 [補救] 索引標籤中建立受控識別的角色指派。
選取 [檢閱 + 建立],然後選取 [建立]。
![顯示 Azure 入口網站 中指派審核策略之 [基本] 索引卷標的螢幕快照。](media/vnet-flow-logs-policy/assign-audit-policy.png)
選取 [合規性],並將 [合規性狀態篩選條件] 變更為 [不符合規範],以列出所有不符合規範的原則。 搜尋您所建立的審核策略名稱,然後加以選取。
![顯示 [合規性] 頁面的螢幕快照,其中列出包括審核策略在內的不符合規範的原則。](media/vnet-flow-logs-policy/audit-policy-compliance.png)
在 [原則合規性] 頁面中,將 [合規性狀態 篩選條件] 變更為 [不符合規範],以列出所有不符合規範 的虛擬網络。 在此範例中,有三個不符合規範的虛擬網路有四個。
![顯示 Azure 入口網站 中指派審核策略之 [基本] 索引卷標的螢幕快照。](media/vnet-flow-logs-policy/assign-audit-policy.png#lightbox)
![顯示 [合規性] 頁面的螢幕快照,其中列出包括審核策略在內的不符合規範的原則。](media/vnet-flow-logs-policy/audit-policy-compliance.png#lightbox)
使用內建原則部署和設定虛擬網路流量記錄
部署 具有目標虛擬網路 原則的流量記錄資源,會藉由檢查類型 Microsoft.Network/virtualNetworks的所有 Azure Resource Manager 對象,檢查範圍中的所有現有虛擬網路。 然後,它會透過虛擬網路的流量記錄屬性檢查連結的流程記錄。 如果該屬性不存在,原則會部署一個流量記錄。
重要
建議您先停用網路安全組流量記錄,再啟用相同基礎工作負載上的虛擬網路流量記錄,以避免重複的流量記錄和額外的成本。 例如,如果您在子網的網路安全組上啟用網路安全組流量記錄,則您可以在相同的子網或父虛擬網路上啟用虛擬網路流量記錄,您可能會取得重複的記錄(針對該特定子網中所有支援的工作負載產生的網路安全組流量記錄和虛擬網路流量記錄)。
若要指派 deployIfNotExists 原則,請遵循下列步驟:
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入 [原則]。 從搜尋結果中選取 [ 原則 ]。
選取 [指派],然後選取 [指派原則]。
選取 [範圍] 旁的省略號 (...),以選擇具有您想要使用原則檢查之虛擬網路的 Azure 訂用帳戶。 您也可以選擇具有虛擬網路的資源群組。 進行選取之後,請選取 [ 選取] 按鈕。
選取 [原則定義] 旁的 [...],以選擇要指派的內建原則。 在搜尋方塊中輸入 [流量記錄],然後選取 [內建] 篩選。 從搜尋結果中,選取 [ 使用目標虛擬網络部署流程記錄資源],然後選取 [ 新增]。
注意
您將需要 參與者 或 擁有者 權限,才能使用此原則。
在 [指派名稱] 中輸入名稱或使用預設名稱,然後在 [指派者] 中輸入您的名稱。
![此螢幕快照顯示 Azure 入口網站 中指派部署原則的 [基本] 索引標籤。](media/vnet-flow-logs-policy/assign-deploy-policy-basics.png)
選取 [下一步] 按鈕兩次,或選取 [ 參數] 索引標籤。然後選取下列值:
設定 值 效果 選取 [DeployIfNotExists ] 以啟用原則的執行。 另一個可用的選項是: 已停用。 虛擬網絡 區域 選取以原則為目標的虛擬網路區域。 儲存體帳戶 選取儲存體帳戶。 記憶體帳戶必須位於與虛擬網路相同的區域中。 網路監看員 RG 選取 網路監看員 實例的資源群組。 原則所建立的流程記錄會儲存到此資源群組中。 網路監看員 選取所選區域的 網路監看員 實例。 保留流程記錄的天數 選取您想要將流量記錄數據保留在記憶體帳戶中的天數。 預設值是 30 天。 如果您不想套用任何保留原則,請輸入 0。 ![此螢幕快照顯示 Azure 入口網站 中指派部署原則的 [參數] 索引標籤。](media/vnet-flow-logs-policy/assign-deploy-policy-parameters.png)
選取 [ 下一步 ] 或 [ 補救] 索引標籤。
選取 [建立補救工作 ] 複選框。
![此螢幕快照顯示在 Azure 入口網站 中指派部署原則的 [補救] 索引標籤。](media/vnet-flow-logs-policy/assign-deploy-policy-remediation.png)
選取 [檢閱 + 建立],然後選取 [建立]。
選取 [合規性],並將 [合規性狀態篩選條件] 變更為 [不符合規範],以列出所有不符合規範的原則。 搜尋您所建立之部署原則的名稱,然後加以選取。
![顯示 [合規性] 頁面的螢幕快照,其中列出包括部署原則在內的不符合規範的原則。](media/vnet-flow-logs-policy/deploy-policy-compliance.png)
在 [原則合規性] 頁面中,將 [合規性狀態 篩選條件] 變更為 [不符合規範],以列出所有不符合規範 的虛擬網络。 在此範例中,有三個不符合規範的虛擬網路有四個。
注意
原則需要一些時間來評估指定範圍中的虛擬網路,並部署不符合規範虛擬網路的流量記錄。
移至 [網路監看員 中的記錄] 底下的 [流程記錄],以查看原則所部署的流程記錄。
在 [原則合規性] 頁面中,確認指定範圍中的所有虛擬網路都符合規範。
注意
更新 Azure 原則 合規性頁面中的資源合規性狀態最多可能需要 24 小時的時間。 如需詳細資訊,請參閱 瞭解評估結果。
![此螢幕快照顯示 Azure 入口網站 中指派部署原則的 [基本] 索引標籤。](media/vnet-flow-logs-policy/assign-deploy-policy-basics.png#lightbox)
![此螢幕快照顯示 Azure 入口網站 中指派部署原則的 [參數] 索引標籤。](media/vnet-flow-logs-policy/assign-deploy-policy-parameters.png#lightbox)
![此螢幕快照顯示在 Azure 入口網站 中指派部署原則的 [補救] 索引標籤。](media/vnet-flow-logs-policy/assign-deploy-policy-remediation.png#lightbox)
相關內容
- 虛擬網路流量記錄。
- 使用 Azure 入口網站 管理虛擬網路流量記錄。