将订阅的活动日志连接到日志分析的策略
我正在寻找自定义策略,以便从Azure到日志分析工作区连接并获取活动/审核日志。没有内置策略,因此需要使用自定义策略来完成。有没有人因为我找不到而创建或看到了这种策略?策略应为AuditIfNotExists,并且应将日志分析工作区作为参数。我不是政策专家,所以找到政策会有很大帮助。
回答 1
Stack Overflow用户
发布于 2020-01-16 02:40:30
没有策略来设置它,但可以设置它。我从这个tutorial上得到了这个信息
“Azure策略合规性状态记录在Azure订阅的活动日志中。可以将Azure日志分析工作区配置为从同一租户中的任何订阅收集Azure活动日志。然后可以创建Azure监视器警报规则,以便按计划在日志分析工作区中执行查询,并在查询检测到不符合的资源时生成警报。”
- 将日志分析工作区连接到所需的subscription
- 在工作区中添加Kusto查询以获取所需信息:
以下是从单个策略获取不符合策略的资源列表的kusto查询示例(例如,使用“audit- resources -without-tags-policyDef”定义):let policyDefId = 'audit-resources-without-tags-policyDef';AzureActivity | where Category == ' policy‘== Level != 'Informational’| extend p=todynamic(Properties) | extend policies=todynamic(tostring(p.policies)) | mvexpand policy = policies | where policy.policyDefinitionName in (policyDefId) | distinct ResourceId
- 您可以使用具有自定义日志搜索
的Azure监视器设置警报
https://stackoverflow.com/questions/58198783
复制相似问题
腾讯云开发者
