Share via

Azure İlkesi kullanarak trafik analizini yönetme

  • Makale

Azure İlkesi, kuruluş standartlarını zorunlu kılmanıza ve uyumluluğu büyük ölçekte değerlendirmenize yardımcı olur. Azure İlkesi'nin yaygın kullanım örnekleri kaynak tutarlılığı, mevzuata uyumluluk, güvenlik, maliyet ve yönetim için idare uygulamayı içerir. Azure ilkesi hakkında daha fazla bilgi edinmek için bkz. Azure İlkesi nedir? ve Hızlı Başlangıç: Uyumlu olmayan kaynakları belirlemek için ilke ataması oluşturma.

Bu makalede, kurulumunuzu yönetmek için Azure Ağ İzleyicisi trafik analizinde kullanılabilen üç yerleşik ilkeyi kullanmayı öğreneceksiniz.

Yerleşik ilke kullanarak akış günlüklerini denetleme

Ağ İzleyicisi akış günlüklerinde trafik analizi etkinleştirilmiş ilkenin, türdeki Azure Resource Manager nesnelerini denetleyerek tüm mevcut akış günlüklerini denetlemesi Microsoft.Network/networkWatchers/flowLogs ve akış günlükleri kaynağının özelliği aracılığıyla networkWatcherFlowAnalyticsConfiguration.enabled trafik analizinin etkinleştirilip etkinleştirilmediğini denetlemesi gerekir. Bu ilke daha sonra özelliğinin false olarak ayarlandığı akış günlükleri kaynağına bayrak ekler.

Yerleşik ilkeyi kullanarak akış günlüklerinizi denetlemek için:

  1. Azure Portal’ında oturum açın.

  2. Portalın üst kısmındaki arama kutusuna ilke girin. Arama sonuçlarında İlke'yi seçin.

    Azure portal ilke arama işleminin ekran görüntüsü.

  3. Atamalar'ı ve ardından İlke Ata'yı seçin.

    Azure portal İlke ata düğmesini seçme işleminin ekran görüntüsü.

  4. İlkenin denetlemesini istediğiniz akış günlüklerini içeren Azure aboneliğinizi seçmek için Kapsam'ın yanındaki üç noktayı ... seçin. Akış günlüklerinin bulunduğu kaynak grubunu da seçebilirsiniz. Seçimlerinizi yaptıktan sonra Seç düğmesini seçin.

    Azure portal ilkenin kapsamını seçme işleminin ekran görüntüsü.

  5. Atamak istediğiniz yerleşik ilkeyi seçmek için İlke tanımının yanındaki üç noktayı ... seçin. Arama kutusuna trafik analizi yazın ve Yerleşik filtre'yi seçin. Arama sonuçlarından Ağ İzleyicisi akış günlüklerinde trafik analizinin etkinleştirilmesi gerektiğini seçin ve ardından Ekle'yi seçin.

    Azure portal denetim ilkesini seçme işleminin ekran görüntüsü.

  6. Atama adı alanına bir ad ve Atanan alanına adınızı girin. Bu ilke herhangi bir parametre gerektirmez.

  7. Gözden geçir + oluştur'u ve ardından Oluştur'u seçin.

    Azure portal denetim ilkesi atamak için Temel Bilgiler sekmesinin ekran görüntüsü.

    Not

    Bu ilke herhangi bir parametre gerektirmez. Ayrıca herhangi bir rol tanımı içermez, bu nedenle Düzeltme sekmesinde yönetilen kimlik için rol atamaları oluşturmanız gerekmez.

  8. Uyumluluk'a tıklayın. Ödevinizin adını arayın ve seçin.

    Azure portal denetim ilkesini gösteren Uyumluluk sayfasının ekran görüntüsü.

  9. Kaynak uyumluluğu , tüm uyumlu olmayan akış günlüklerini listeler.

    Azure portal denetim ilkesinin ayrıntılarını gösteren ekran görüntüsü.

deployIfNotExists ilkelerini kullanarak trafik analizini dağıtma ve yapılandırma

NSG akış günlüklerini yapılandırmak için kullanılabilecek iki deployIfNotExists ilkesi vardır:

  • Ağ güvenlik gruplarını, trafik analizi için belirli çalışma alanını, depolama hesabını ve akış günlüğü saklama ilkesini kullanacak şekilde yapılandırın: Bu ilke, trafik analizinin etkinleştirilmediği ağ güvenlik grubuna bayrak ekler. Bayrak eklenmiş bir ağ güvenlik grubu için ilgili NSG akış günlükleri kaynağı yok veya NSG akış günlükleri kaynağı var ancak trafik analizi bu kaynakta etkin değil. İlkenin mevcut kaynakları etkilemesini istiyorsanız bir düzeltme görevi oluşturabilirsiniz.

    düzeltme, ilke atanırken veya ilke atanıp değerlendirildikten sonra atanabilir. Düzeltme, sağlanan parametrelerle bayrak eklenmiş tüm kaynaklarda trafik analizini etkinleştirir. Bir ağ güvenlik grubunda akış günlükleri zaten belirli bir depolama kimliğinde etkinleştirilmişse ancak trafik analizi etkin değilse düzeltme, sağlanan parametrelerle bu ağ güvenlik grubunda trafik analizini etkinleştirir. Parametrelerde sağlanan depolama kimliği akış günlükleri için etkinleştirilenden farklıysa, düzeltme görevinde sağlanan depolama kimliğiyle ikincisinin üzerine yazılır. Üzerine yazmak istemiyorsanız Trafik analizi ilkesini etkinleştirmek için Ağ güvenlik gruplarını yapılandırma'yı kullanın.

  • Ağ güvenlik gruplarını trafik analizini etkinleştirmek için yapılandırma: Bu ilke, düzeltme sırasında akış günlüklerinin etkinleştirildiği ancak trafik analizinin ilke atamasında sağlanan parametreyle devre dışı bırakıldığını belirten bayraklı ağ güvenlik gruplarındaki akış günlükleri ayarlarının üzerine yazmaması dışında önceki ilkeye benzer.

Not

Ağ İzleyicisi bölgesel bir hizmet olduğundan iki deployIfNotExists ilkesi belirli bir bölgede bulunan ağ güvenlik gruplarına uygulanır. Farklı bir bölgedeki ağ güvenlik grupları için bu bölgede başka bir ilke ataması oluşturun.

deployIfNotExists iki ilkeden birini atamak için şu adımları izleyin:

  1. Azure Portal’ında oturum açın.

  2. Portalın üst kısmındaki arama kutusuna ilke girin. Arama sonuçlarında İlke'yi seçin.

    Azure portal ilke arama işleminin ekran görüntüsü.

  3. Atamalar'ı ve ardından İlke ata'yı seçin.

    Azure portal İlke ata düğmesini seçme işleminin ekran görüntüsü.

  4. İlkenin denetlemesini istediğiniz akış günlüklerini içeren Azure aboneliğinizi seçmek için Kapsam'ın yanındaki üç noktayı ... seçin. Akış günlüklerinin bulunduğu kaynak grubunu da seçebilirsiniz. Seçimlerinizi yaptıktan sonra Seç düğmesini seçin.

    Azure portal ilkenin kapsamını seçme işleminin ekran görüntüsü.

  5. Atamak istediğiniz yerleşik ilkeyi seçmek için İlke tanımının yanındaki üç noktayı ... seçin. Arama kutusuna trafik analizi yazın ve Yerleşik filtresini seçin. Arama sonuçlarından Ağ güvenlik gruplarını trafik analizi için belirli bir çalışma alanını, depolama hesabını ve akış günlüğü saklama ilkesini kullanacak şekilde yapılandır'ı ve ardından Ekle'yi seçin.

    Azure portal deployIfNotExists ilkesini seçme işleminin ekran görüntüsü.

  6. Atama adı alanına bir ad ve Atanan alanına adınızı girin.

    Azure portal dağıtım ilkesi atamanın Temel bilgiler sekmesinin ekran görüntüsü.

  7. İleri düğmesini iki kez seçin veya Parametreler sekmesini seçin. Ardından aşağıdaki değerleri girin veya seçin:

    Ayar Değer
    Etki DeployIfNotExists öğesini seçin.
    Ağ güvenlik grubu bölgesi İlkeyle hedeflediğiniz ağ güvenlik grubunuzun bölgesini seçin.
    Depolama kaynağı kimliği Depolama hesabının tam kaynak kimliğini girin. Depolama hesabının ağ güvenlik grubuyla aynı bölgede olması gerekir. Depolama kaynak kimliğinin biçimi: /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Dakika cinsinden trafik analizi işleme aralığı İşlenen günlüklerin çalışma alanına gönderilme sıklığını seçin. Şu anda kullanılabilir değerler 10 ve 60 dakikadır. Varsayılan değer 60 dakikadır.
    Çalışma alanı kaynak kimliği Trafik analizinin etkinleştirilmesi gereken çalışma alanının tam kaynak kimliğini girin. Çalışma alanı kaynak kimliğinin biçimi: /subscriptions/<SubscriptionID>/resourcegroups/<ResouceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>.
    Çalışma alanı bölgesi Trafik analizi çalışma alanınızın bölgesini seçin.
    Çalışma Alanı Kimliği Trafik analizi çalışma alanı kimliğinizi girin.
    kaynak grubunu Ağ İzleyicisi Ağ İzleyicisi kaynak grubunu seçin.
    Ağ İzleyicisi adı Ağ İzleyicisi adını girin.
    Akış günlüklerinin tutulacak gün sayısı Akış günlükleri verilerini depolama hesabında tutmak istediğiniz gün sayısını girin. Verileri sonsuza kadar saklamak istiyorsanız 0 girin.

    Not

    Trafik analizi çalışma alanının bölgesinin hedeflenen ağ güvenlik grubunun bölgesiyle aynı olması gerekmez.

    Azure portal dağıtım ilkesi atamanın Parametreler sekmesinin ekran görüntüsü.

  8. İleri'yi veya Düzeltme sekmesini seçin. Aşağıdaki değerleri girin veya seçin:

    Ayar Değer
    Düzeltme görevi oluşturma İlkenin mevcut kaynakları etkilemesini istiyorsanız kutuyu işaretleyin.
    Yönetilen Kimlik oluşturma Kutuyu işaretleyin.
    Yönetilen Kimlik Türü Kullanmak istediğiniz yönetilen kimlik türünü seçin.
    Sistem tarafından atanan kimlik konumu Sistem tarafından atanan kimliğinizin bölgesini seçin.
    Kapsam Kullanıcı tarafından atanan kimliğinizin kapsamını seçin.
    Mevcut kullanıcı tarafından atanan kimlikler Kullanıcı tarafından atanan kimliğinizi seçin.

    Not

    Bu ilkeyi kullanmak için Katkıda Bulunan veya Sahip iznine sahip olmanız gerekir.

    Azure portal dağıtım ilkesi atamanın Düzeltme sekmesinin ekran görüntüsü.

  9. Gözden geçir + oluştur'u ve ardından Oluştur'u seçin.

  10. Uyumluluk'a tıklayın. Ödevinizin adını arayın ve seçin.

    Azure portal dağıtım ilkesini gösteren Uyumluluk sayfasının ekran görüntüsü.

  11. Tüm uyumlu olmayan akış günlüklerinin listesini almak için Kaynak uyumluluğu'na tıklayın.

    Azure portal dağıtım ilkesinin ayrıntılarını gösteren ekran görüntüsü.

Sorun giderme

Düzeltme görevi hata koduyla PolicyAuthorizationFailed başarısız oluyor: örnek hata örneği İlke atama /subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/DummyRG/providers/Microsoft.Authorization/policyAssignments/b67334e8770a4afc92e7a929/ kaynak kimliğinin dağıtım oluşturmak için gerekli izinleri yok.

Böyle bir senaryoda yönetilen kimliğe el ile erişim verilmelidir. Uygun aboneliğe/kaynak grubuna gidin (ilke parametrelerinde sağlanan kaynakları içerir) ve ilke tarafından oluşturulan yönetilen kimliğe katkıda bulunan erişimi verin.

Sonraki adımlar