你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

设置日志记录以监视 Microsoft Defender for Cloud 中的逻辑应用

在 Microsoft Azure 安全中心内监视 Azure 逻辑应用资源时，你可以查看逻辑应用是否遵循默认策略。 在你启用日志记录并正确设置日志目标后，Azure 会显示 Azure 逻辑应用资源的运行状况。 本文介绍了如何配置诊断日志记录，并确保你的所有逻辑应用都是正常运行的资源。

提示

若要查找 Azure 逻辑应用服务的当前状态，请查看 Azure 状态页，其中列出了每个可用区域中不同产品和服务的状态。

先决条件

• Azure 订阅。 如果没有订阅，请创建免费的 Azure 帐户。

• 已启用诊断日志记录的现有逻辑应用。

• 一个 Log Analytics 工作区，它是为逻辑应用启用日志记录所必需的。 如果你没有工作区，请首先创建工作区。

启用诊断记录

你必须先设置诊断日志记录，然后才能查看逻辑应用的资源运行状况。 如果已有 Log Analytics 工作区，则可以在创建逻辑应用时启用日志记录，或在现有逻辑应用上这样做。

提示

默认建议是为 Azure 逻辑应用启用诊断日志。 但是，你可以控制你的逻辑应用的此设置。 为你的逻辑应用启用诊断日志后，你可以使用这些信息来帮助分析安全事件。

检查诊断日志记录设置

如果你不确定逻辑应用是否启用了诊断日志记录，则可以在 Defender for Cloud 中进行检查：

1. 登录 Azure 门户。
2. 在搜索栏中，输入并选择 Defender for Cloud。
3. 在工作负载保护仪表板菜单上的“常规”下，选择“建议”。
4. 在安全建议表的安全控制表中找到并选择“启用审核和日志记录”>“应启用逻辑应用中的诊断日志”。
5. 在建议页上，展开“修正步骤”部分并查看选项。 可以通过选择“快速修复!”按钮来启用 Azure 逻辑应用诊断，也可以按照手动修正说明进行启用。

查看逻辑应用的运行状况

启用诊断日志记录后，可以在 Defender for Cloud 内查看逻辑应用的运行状况。

1. 登录 Azure 门户。

2. 在搜索栏中，输入并选择 Defender for Cloud。

3. 在工作负载保护仪表板菜单上的“常规”下，选择“清单”。

4. 在清单页上，筛选资产列表以仅显示 Azure 逻辑应用资源。 在页面菜单中，选择“资源类型”>“逻辑应用”。

   “运行不正常的资源”计数器显示 Defender for Cloud 认为不正常的逻辑应用数。

5. 在逻辑应用资源列表中，查看“建议”列。 若要查看特定逻辑应用的运行状况详细信息，请选择资源名称，或选择省略号按钮 (...) >“查看资源”。

6. 若要修正任何潜在的资源运行状况问题，请执行针对你的逻辑应用列出的步骤。

如果已启用诊断日志记录，则可能是日志的目标存在问题。 查看如何解决不同诊断日志记录目标的问题。

为逻辑应用修复诊断日志记录

如果逻辑应用在 Defender for Cloud 中被列为运行不正常，请在 Azure 门户的“代码视图”中打开该逻辑应用，或者通过 Azure CLI 打开。 然后，在目标配置中检查你的诊断日志：Azure Log Analytics、Azure 事件中心或 Azure 存储帐户。

Log Analytics 和事件中心目标

如果你使用 Log Analytics 或事件中心作为 Azure 逻辑应用诊断日志的目标，请检查以下设置。

1. 若要确认是否已启用诊断日志，请检查诊断设置 logs.enabled 字段是否设置为 true。
2. 而若要确认未将存储帐户设置为目标，请检查 storageAccountId 字段是否设置为 false。

例如：

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
                "notEquals": "true"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/storageAccountId",
                "exists": false
            }
        ]
    }
] 

存储帐户目标

如果你使用某个存储帐户作为 Azure 逻辑应用诊断日志的目标，请检查以下设置。

1. 若要确认是否已启用诊断日志，请检查诊断设置 logs.enabled 字段是否设置为 true。
2. 若要确认是否已为诊断日志启用保留策略，请检查 retentionPolicy.enabled 字段是否设置为 true。
3. 若要确认是否已将保留时间设置为 0-365 天，请检查 retentionPolicy.days 字段是否设置为 0 到 365（含两端）之间的数字。

"allOf": [
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled",
        "equals": "true"
    },
    {
        "anyOf": [
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "0"
            },
            {
                "field": "Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days",
                "equals": "[parameters('requiredRetentionDays')]"
            }
          ]
    },
    {
        "field": "Microsoft.Insights/diagnosticSettings/logs.enabled",
        "equals": "true"
    }
]