我正在寻找自定义策略,用于将活动/审核日志从 Azure 连接并获取到日志分析工作区。这没有内置策略,因此需要使用自定义策略来完成。有没有人因为我无法找到而创建或看到这种政策?策略应为"审核如果不存在",并应将 Log Analytics 工作区作为参数。我不是政策专家,所以找到政策会有很大帮助。
没有设置的策略,但可以设置它。我从本教程中获得了此信息:
"Azure 策略符合性状态记录在 Azure 订阅的活动日志中。可以将 Azure 日志分析工作区配置为从同一租户中的任何订阅收集 Azure 活动日志。然后,可以创建 Azure Monitor 警报规则,以按计划在 Log Analytics 工作区中执行查询,并在查询检测到不合规资源时生成警报。">
- 将日志分析工作区连接到所需的订阅
- 在工作区中添加 Kusto 查询以获取所需的信息:
下面是从单个策略获取不合规资源列表的 kusto 查询示例(使用"审核资源-无标记-policyDef"定义作为示例(: let policyDefId = 'audit-resources-without-tags-policyDef';AzureActivity |其中类别 == "策略"和级别 != "信息" |扩展 p=到动态(属性( |扩展策略=到动态(到字符串(p.policies(( |MV展开策略 = 策略 |其中 policy.policyDefinitionName in (policyDefId( |不同的资源标识
- 可以使用具有自定义日志搜索的 Azure 监视器设置警报