Skapa diagnostikinställningar i stor skala med hjälp av inbyggda Azure-principer

2025-07-19

Azure Policy tillhandahåller en enkel metod för att aktivera loggning i stor skala med diagnostikinställningar för Azure Monitor. Den här artikeln beskriver hur du använder en uppsättning inbyggda principer för att dirigera resursloggar för resurser som stöds till Log Analytics-arbetsytor, händelsehubbar och lagringskonton. Information om hur du skapar en anpassad principdefinition för en resurstyp som inte har någon inbyggd princip finns i Skapa diagnostikinställningar i stor skala med hjälp av Azure-principer och initiativ.

Principer och initiativ

Ett initiativ är en samling principer. I stället för att tilldela flera principer till ett omfång kan du tilldela ett enda initiativ som innehåller de olika principer som du behöver. Du kan senare lägga till principer i det här initiativet utan att ändra tilldelningen.

Det finns en uppsättning inbyggda initiativ som hjälper dig att tillämpa diagnostikinställningar för olika mål. Det finns ett unikt initiativ för varje destinationstyp och för varje kategori i grupperna allLogs och audit. Varje initiativ innehåller alla inbyggda principer för de resurser som stöds.

Skapa tilldelning

Distribuera ett inbyggt initiativ eller en princip för diagnostikinställningar med någon av följande metoder.

Använd följande steg för att tillämpa ett initiativ eller en princip med hjälp av Azure-portalen.

På sidan Princip i Azure-portalen väljer du Definitioner.
Ange följande filter:
1. För Kategorin väljer du Övervakning.
2. Som Definitionstyp väljer du Initiativ eller Princip.
Leta upp och välj det initiativ eller den princip som du vill tilldela.
1. För initiativ skriver du granskning eller allLogs i fältet Sök och väljer sedan initiativet för ditt mål.
2. För principer skriver du namnet på resurstypen i fältet Sök och väljer sedan principen för resurstypen och målet. Exemplet nedan skickar data från Key Vault till en Log Analytics-arbetsyta.
På definitionssidan väljer du Tilldela initiativ.
Ange ett omfång för tilldelningen. Omfånget kan vara en hanteringsgrupp, prenumeration eller resursgrupp. Initiativet eller principen tillämpas på alla resurser inom omfånget.
Välj fliken Parametrar och välj sedan det specifika mål där du vill skicka loggarna. Den här informationen varierar för varje måltyp. Mer information om parametrarna för varje måltyp finns i Parametrar .
Välj fliken Reparation . Detta tillämpar principen på befintliga resurser i omfånget. Utan en reparationsaktivitet gäller initiativet eller principtilldelningen endast för nya resurser som skapats efter tilldelningen.
Aktivera kryssrutan Skapa en reparationsuppgift och se sedan till att Skapa en hanterad identitet är aktiverat. Under Typ av hanterad identitet väljer du Systemtilldelad hanterad identitet.
Välj Granska + skapa och välj sedan Skapa .

Använd kommandot New-AzPolicyAssignment för att skapa en tilldelning för ett initiativ eller policy. I följande exempel visas hur du tilldelar initiativet för att skicka audit kategorigruppsloggar till en Log Analytics-arbetsyta.

Konfigurera miljövariabler

$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnalyticsWorkspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;

Hämta definitionen med antingen Get-AzPolicySetDefinition för initiativ eller Get-AzPolicyDefinition för principer.

# Initiative
$definition = Get-AzPolicySetDefinition | Where-Object {$_.DisplayName -eq 'Enable allLogs category group resource logging for supported resources to Log Analytics'}

# Policy
$definition = Get-AzPolicyDefinition | Where-Object {$_.DisplayName -eq 'Enable logging by category group for Key vaults (microsoft.keyvault/vaults) to Log Analytics'}

Ange ett tilldelningsnamn och konfigurera parametrar. I det här exemplet innehåller parametrarna Log Analytics-arbetsyte-ID. Mer information om parametrarna för andra måltyper finns i Parametrar .

$assignmentName = <your assignment name>;
$params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}

Skapa tilldelningen med hjälp av parametrarna.

$policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus

Contributor Tilldela rollen till den systemtilldelade hanterade identiteten. För andra initiativ kontrollerar du vilka roller som krävs.
```
 New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor
```
Sök efter principefterlevnad. Det Start-AzPolicyComplianceScan tar några minuter att returnera kommandot
```
Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
```

Hämta en lista över resurser som ska åtgärdas och de obligatoriska parametrarna genom att anropa Get-AzPolicyState

$assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
$policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
$policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;

Starta en reparationsaktivitet för varje resurstyp med inkompatibla resurser.

    $policyDefinitionReferenceIds | ForEach-Object {
          $referenceId = $_
          Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
    }

Kontrollera efterlevnadstillståndet när reparationsuppgifterna har slutförts.

Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID

Använd följande kommandon för att tillämpa en princip med hjälp av CLI. Mer information om principtilldelning via CLI finns i Azure CLI-referens – az policy assignment.

Skapa en principtilldelning med .az policy assignment create Detta kräver namnet eller ID:t för initiativ- eller principdefinitionen i stället för visningsnamnet.

# Initiative        
az policy assignment create --name <policy assignment name>  --policy-set-definition "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID>\"}}" --mi-system-assigned --location <location>

# Policy
az policy assignment create --name <policy assignment name>  --policy "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>

Tilldela den nödvändiga rollen till den identitet som skapats för principtilldelningen. Hitta rollen i principdefinitionen genom att söka efter roleDefinitionIds

   ...},
      "roleDefinitionIds": [
        "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
      ],
      "deployment": {
        "properties": {...

Tilldela den nödvändiga rollen med hjälp av az policy assignment identity assign:

az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>

Till exempel:

az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg001 --name policy-assignment-1

Skapa reparationsuppgifter för principerna i initiativet.

Reparationsuppgifter skapas per princip. Varje uppgift är för en specifik definition-reference-id, som anges i initiativet som policyDefinitionReferenceId. Använd följande kommando för att hitta definition-reference-id parametern:

az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId

Åtgärda resurserna med hjälp av az policy remediation create

az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance

Till exempel:

az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance

Om du vill skapa en reparationsaktivitet för alla principer i initiativet använder du följande exempel:

for policyDefinitionReferenceId in $(az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
do 
    az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
done

Utlös en genomsökning för att hitta befintliga resurser med hjälp av az policy state trigger-scan.
```
az policy state trigger-scan --resource-group rg-001
```

Skapa en reparationsuppgift för att tillämpa principen på befintliga resurser med hjälp av az policy remediation create.

az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name>

Ett exempel:

az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1

Reparationsåtgärder

Principer tillämpas på nya resurser när de skapas. Använd en reparationsaktivitet för att tillämpa principen på befintliga resurser. För ett initiativ måste du skapa en reparationsuppgift för varje princip i initiativet. Var och en av processerna ovan innehåller stegen för att skapa en reparationsuppgift när du tilldelar initiativet eller principen. Du kan också skapa en reparationsaktivitet när tilldelningen har skapats.

I Azure-portalen väljer du Åtgärd och sedan din policy. Klicka på Åtgärda. Mer information om reparationsuppgifter finns i Åtgärda inkompatibla resurser.

Välj Åtgärda och spåra sedan status för reparationsaktiviteten på fliken Reparationsuppgifter på sidan Principreparation.

Parameterar

Gemensamma parametrar

I följande tabell beskrivs de vanliga parametrarna för varje uppsättning principer och initiativ som skapar diagnostikinställningar.

Parameter	Beskrivning	Giltiga värden	Förinställning
effekt	Aktivera eller inaktivera körningen av principen	DeployIfNotExists, AuditIfNotExists Handikappad	DeployIfNotExists (Distribuera om inte redan existerar)
diagnostikInställningsNamn	Namn på diagnostikinställning		setByPolicy-{LogAnalytics\|EventHubs\|Lagring}
kategoriGrupp	Diagnostikkategorigrupp	ingen revision allLogs	granskning
resurstyplista	För initiativ finns en lista över resurstyper som ska utvärderas för diagnostisk inställning.	Resurser som stöds	Alla resurser som stöds

Log Analytics-parametrar

I följande tabell beskrivs parametrarna för varje uppsättning principer och initiativ som använder Log Analytics som mål.

Parameter	Beskrivning	Giltiga värden	Förinställning
resursplatslista	Resursplatslista för att skicka loggar till närliggande Log Analytics. "*" väljer alla platser	Platser som stöds	*
logAnalytics	Log Analytics-arbetsyta

Event Hubs parametrar

I följande tabell beskrivs parametrarna för varje uppsättning principer och initiativ som använder händelsehubbar som mål.

Parameter	Beskrivning	Giltiga värden	Förinställning
resursplats	Resursplats måste vara samma plats som händelsehubbens namnområde	Platser som stöds
eventHubAutentiseringsRegelId	Regel-ID för händelsehubbauktorisering. Auktoriseringsregeln finns på händelsehubbens namnområdesnivå. Till exempel /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubNamn	Namn på händelsehubb		Övervakning

Principparametrar för lagringskonton

I följande tabell beskrivs parametrarna för varje uppsättning principer och initiativ som använder lagringskonton som mål.

Parameter	Beskrivning	Giltiga värden	Förinställning
resursplats	Resursplatsen måste finnas på samma plats som lagringskontot	Platser som stöds
lagringskonto	ResourceId för lagringskonto

Resurser som stöds

Inbyggda principer för alla loggar och granskningsloggar för Log Analytics-arbetsytor, händelsehubbar och lagringskonton finns för följande resurser:

Resurstyp	Alla loggar	Granskningsloggar
microsoft.aad/domainservices	Ja	Ja
microsoft.agfoodplatform/farmbeats	Ja	Ja
microsoft.analysisservices/servers (servrar för Microsoft analystjänster)	Ja	Nej
microsoft.apimanagement/service	Ja	Ja
microsoft.app/managedenvironments	Ja	Ja
microsoft.appconfiguration/konfigurationsbutiker	Ja	Ja
microsoft.appplatform/spring	Ja	Nej
Microsoft.Attestation/Attestationsleverantörer	Ja	Ja
microsoft.automation/automationkonton	Ja	Ja
microsoft.autonomousdevelopmentplatform/workspaces	Ja	Nej
microsoft.avs/privateclouds	Ja	Ja
microsoft.azureplaywrightservice/konton	Ja	Ja
microsoft.azuresphere/catalogs	Ja	Ja
microsoft.batch/batchaccounts	Ja	Ja
microsoft.botservice/botservices	Ja	Nej
microsoft.cache/redis	Ja	Ja
microsoft.cache/redisenterprise/databases	Ja	Ja
microsoft.cdn/cdnwebapplicationfirewallpolicies	Ja	Nej
microsoft.cdn/profiles	Ja	Ja
microsoft.cdn/profiles/endpoints	Ja	Nej
microsoft.chaos/experimenten	Ja	Ja
microsoft.classicnetwork/networksecuritygroups	Ja	Nej
microsoft.cloudtest/hostedpools	Ja	Nej
microsoft.codesigning/codesigningaccounts	Ja	Ja
microsoft.cognitiveservices/accounts	Ja	Ja
microsoft.kommunikation/kommunikationstjänster	Ja	Nej
microsoft.community/gemenskapsträningar	Ja	Ja
microsoft.confidentialledger/managedccfs	Ja	Ja
microsoft.connectedcache/enterprisemcccustomers	Ja	Nej
microsoft.connectedcache/ispcustomers	Ja	Nej
microsoft.containerinstance/containergroups	Ja	Nej
microsoft.containerregistry/registries	Ja	Ja
microsoft.customproviders/resourceproviders	Ja	Nej
microsoft.d365customerinsights/instances	Ja	Nej
microsoft.dashboard/grafana	Ja	Ja
microsoft.databricks/workspaces	Ja	Nej
microsoft.datafactory/factories	Ja	Nej
microsoft.datalakeanalytics/accounts	Ja	Nej
microsoft.datalakestore/konton	Ja	Nej
microsoft.dataprotection/backupvaults	Ja	Nej
microsoft.datashare/accounts	Ja	Nej
microsoft.dbformariadb/servers	Ja	Nej
microsoft.dbformysql/flexibleservers	Ja	Ja
microsoft.dbformysql/servers	Ja	Nej
microsoft.dbforpostgresql/flexibleservers	Ja	Ja
microsoft.dbforpostgresql/servergroupsv2	Ja	Nej
microsoft.dbforpostgresql/servers	Ja	Nej
microsoft.desktopvirtualization/applicationgroups	Ja	Nej
microsoft.desktopvirtualization/hostpools	Ja	Nej
microsoft.desktopvirtualization/skalningsplaner	Ja	Nej
microsoft.skrivbordsvirtualisering/arbetsytor	Ja	Nej
microsoft.devcenter/devcenters	Ja	Ja
microsoft.devices/iothubs	Ja	Ja
microsoft.enheter/konfigureringstjänster	Ja	Nej
microsoft.digitaltwins/digitaltwinsinstances	Ja	Nej
microsoft.documentdb/cassandraclusters	Ja	Ja
Microsoft DocumentDB/databaskonton	Ja	Ja
microsoft.documentdb/mongoclusters	Ja	Ja
microsoft.eventgrid/domains	Ja	Ja
microsoft.eventgrid/partnernamespaces	Ja	Ja
microsoft.eventgrid/partnertopics	Ja	Nej
microsoft.eventgrid/systemämnen	Ja	Nej
microsoft.eventgrid/ämnen	Ja	Ja
microsoft.eventhub/namnområden	Ja	Ja
microsoft.experimentation/experimentworkspaces	Ja	Nej
Microsoft Healthcare API-tjänster	Ja	Nej
microsoft.healthcareapis/workspaces/dicomservices	Ja	Nej
microsoft.healthcareapis/workspaces/fhirservices	Ja	Nej
microsoft.healthcareapis/workspaces/iotconnectors	Ja	Nej
microsoft.insights/autoscalesettings	Ja	Nej
microsoft.insikter/komponenter	Ja	Nej
microsoft.insights/datauppsamlingsregler	Ja	Nej
microsoft.keyvault/managedhsms	Ja	Ja
microsoft.keyvault/vaults	Ja	Ja
microsoft.kusto/clusters	Ja	Ja
microsoft.loadtestservice/loadtests	Ja	Ja
microsoft.logic/integrationkonton	Ja	Nej
microsoft.logic/workflows	Ja	Nej
microsoft.maskininlärningstjänster/register	Ja	Ja
microsoft.maskininlärningstjänster/arbetsytor	Ja	Ja
microsoft.machinelearningservices/workspaces/onlineendpoints	Ja	Nej
microsoft.managednetworkfabric/nätenheter	Ja	Nej
microsoft.media/mediaservices	Ja	Ja
microsoft.media/mediaservices/liveevents	Ja	Ja
microsoft.media/mediaservices/streamingendpoints	Ja	Ja
microsoft.netapp/netappaccounts/capacitypools/volumes	Ja	Ja
microsoft.network/applicationgateways	Ja	Nej
microsoft.network/azurefirewalls	Ja	Nej
microsoft.network/bastionhosts	Ja	Ja
microsoft.nätverk/dnsresolverpolicies	Ja	Nej
microsoft.network/expressroutecircuits	Ja	Nej
microsoft.network/frontdoors	Ja	Ja
microsoft.network/belastningsutjämnare	Ja	Nej
microsoft.nätverk/nätverkshanterare	Ja	Ja
microsoft.network/networkmanagers/ipampools	Ja	Ja
microsoft.network/nätverkssäkerhetsgrupper	Ja	Nej
microsoft.network/nätverkssäkerhetsperimetrar	Ja	Nej
microsoft.network/p2svpngateways	Ja	Ja
microsoft.network/publicipaddresses	Ja	Ja
microsoft.network/publicipprefixes	Ja	Ja
microsoft.network/trafficmanagerprofiles	Ja	Nej
microsoft.network/virtualnetworkgateways	Ja	Ja
microsoft.network/virtualnetworks	Ja	Nej
microsoft.network/vpngateways	Ja	Nej
microsoft.networkanalytics/dataproducts	Ja	Ja
microsoft.networkcloud/baremetalmachines	Ja	Nej
microsoft.networkcloud/clusters	Ja	Nej
microsoft.networkcloud/lagringsenheter	Ja	Nej
microsoft.networkfunction/azuretrafficcollectors	Ja	Nej
microsoft.notificationhubs/namespaces	Ja	Ja
microsoft.notificationhubs/namespaces/notificationhubs	Ja	Ja
microsoft.openenergyplattform/energitjänster	Ja	Nej
microsoft.operationalinsights/workspaces	Ja	Ja
microsoft.powerbi/tenants/workspaces	Ja	Nej
microsoft.powerbidedicated/kapaciteter	Ja	Nej
microsoft.purview/konton	Ja	Ja
microsoft.recoveryservices/vaults	Ja	Nej
microsoft.relay/namnområden	Ja	Nej
microsoft.sök/söktjänster	Ja	Ja
microsoft.servicebus/namnområden	Ja	Ja
microsoft.servicenetworking/trafikkontroller	Ja	Nej
microsoft.signalrservice/signalr	Ja	Ja
microsoft.signalrservice/webpubsub	Ja	Ja
microsoft.sql/managedinstances	Ja	Ja
microsoft.sql/managedinstances/databases	Ja	Nej
microsoft.sql/servers/databases	Ja	Ja
microsoft.storagecache/caches	Ja	Nej
microsoft.storagemover/storagemovers	Ja	Nej
microsoft.streamanalytics/streamingjobs	Ja	Nej
microsoft.synapse/workspaces	Ja	Ja
microsoft.synapse/workspaces/bigdatapools	Ja	Ja
microsoft.synapse/workspaces/kustopools	Ja	Ja
microsoft.synapse/workspaces/scopepools	Ja	Ja
microsoft.synapse/workspaces/sqlpools	Ja	Ja
microsoft.timeseriesinsights/environments	Ja	Nej
microsoft.timeseriesinsights/environments/eventsources	Ja	Nej
microsoft.videoindexer/konton	Ja	Nej
microsoft.web/hostingenvironments	Ja	Ja
microsoft.workloads/sapvirtualinstances	Ja	Ja

Nästa steg

Feedback

Var den här sidan till hjälp?