你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用内置 Azure 策略大规模创建诊断设置

2025-07-22

Azure Policy 提供了一种简单的方法，可以通过 Azure Monitor 的诊断设置启用大规模日志记录。本文介绍如何使用一组内置策略将支持的资源的资源日志定向到 Log Analytics 工作区、事件中心和存储帐户。若要为没有内置策略的资源类型创建自定义策略定义，请参阅使用 Azure 策略和计划大规模创建诊断设置。

策略和计划

计划是策略的集合。您可以分配一个包含您需要的不同策略的单个计划，而不是将多个策略分配到一个范围。以后可以向此计划添加策略，而无需更改分配。

现有一组内置策略，可帮助您为不同的目的地应用诊断设置。针对每种目的地类型和allLogsaudit类别组，均有独特的举措。每个计划都包含受支持资源的所有内置策略集。

创建分配

使用以下方法之一为诊断设置部署内置计划或策略。

Azure 门户
PowerShell
CLI

使用以下步骤通过 Azure 门户实施方案或策略。

在 Azure 门户中的“策略”页中，选择“ 定义”。
设置以下筛选器：
1. 对于“类别”，选择“监视”。
2. 对于 定义类型，请选择“ 计划 ”或“ 策略”。
找到并选择要分配的计划或策略。
1. 对于计划，请在“搜索”字段中键入“audit”或“allLogs”，然后选择目标计划。
2. 对于策略，请在 “搜索” 字段中键入资源类型的名称，然后选择资源类型和目标的策略。以下示例将密钥保管库数据发送到 Log Analytics 工作区。
在定义页中，选择“分配举措”。
设置范围用于分配。范围可以是管理组、订阅或资源组。计划或策略应用于范围内的所有资源。
选择“ 参数 ”选项卡，然后选择要在其中发送日志的特定目标。这些详细信息因每个目标类型而异。有关每个目标类型的参数的详细信息，请参阅 “参数 ”。
选择 “修正 ”选项卡。这会将策略应用于作用域中的现有资源。如果没有修正任务，计划或策略分配仅适用于分配后创建的新资源。
启用“ 创建修正任务 ”复选框，并确保已启用 “创建托管标识 ”。在“托管标识类型”下，选择“系统分配的托管标识”。
依次选择“查看 + 创建”、“创建”。

使用 New-AzPolicyAssignment 命令为倡议或策略创建分配。以下示例展示了如何指派任务以将 audit 类别组日志发送到 Log Analytics 工作区。

设置环境变量

$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnalyticsWorkspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;

使用 Get-AzPolicySetDefinition 倡议或 Get-AzPolicyDefinition 政策获取定义。

# Initiative
$definition = Get-AzPolicySetDefinition | Where-Object {$_.DisplayName -eq 'Enable allLogs category group resource logging for supported resources to Log Analytics'}

# Policy
$definition = Get-AzPolicyDefinition | Where-Object {$_.DisplayName -eq 'Enable logging by category group for Key vaults (microsoft.keyvault/vaults) to Log Analytics'}

设置分配名称并配置参数。对于此示例，参数包括 Log Analytics 工作区 ID。有关其他目标类型的参数的详细信息，请参阅 “参数 ”。

$assignmentName = <your assignment name>;
$params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}

使用参数创建分配。

$policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus

将 Contributor 角色分配到系统分配的托管标识。对于其他计划，检查哪些角色是必需的。

 New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor

检查策略合规性。 Start-AzPolicyComplianceScan 命令需要几分钟才能返回
```
Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
```

通过调用 Get-AzPolicyState 获取要修正的资源列表和所需参数

$assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
$policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
$policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;

对于具有不合规资源的每种资源类型，请启动修正任务。

    $policyDefinitionReferenceIds | ForEach-Object {
          $referenceId = $_
          Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
    }

检查修正任务完成时的合规性状态。

Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID

使用以下命令通过 CLI 应用策略。有关使用 CLI 分配策略的详细信息，请参阅 Azure CLI 参考 - az policy assignment。

使用 az policy assignment create 创建策略分配。这需要计划或策略定义的名称或 ID，而不需要显示名称。

# Initiative        
az policy assignment create --name <policy assignment name>  --policy-set-definition "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID>\"}}" --mi-system-assigned --location <location>

# Policy
az policy assignment create --name <policy assignment name>  --policy "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>

将所需角色分配给为策略分配创建的标识。通过搜索 roleDefinitionIds 在策略定义中查找角色

   ...},
      "roleDefinitionIds": [
        "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
      ],
      "deployment": {
        "properties": {...

使用 az policy assignment identity assign 分配所需的角色：

az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>

例如：

az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg001 --name policy-assignment-1

为项目中的策略创建修正任务。

修正任务按策略创建。每个任务针对特定 definition-reference-id，在计划中指定为 policyDefinitionReferenceId。若要查找 definition-reference-id 参数，请使用以下命令：

az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId

使用 az policy remediation create 对资源进行修正

az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance

例如：

az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance

若要为计划中的所有策略创建修正任务，请使用以下示例：

for policyDefinitionReferenceId in $(az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
do 
    az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
done

使用 az policy state trigger-scan 触发扫描以查找现有资源。
```
az policy state trigger-scan --resource-group rg-001
```

使用 az policy remediation create 创建修正任务以将策略应用于现有资源。

az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name>

例如，

az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1

修正任务

创建新资源时，策略将应用于这些资源。使用修正任务将策略应用到现有资源。对于每个倡议，必须为倡议中的每个策略创建修正任务。上述每个过程都包含在分配计划或策略时创建修正任务的步骤。还可以在创建分配后创建修正任务。

在 Azure 门户中，选择 “修正 ”，然后选择策略。单击“ 修正”。有关修正任务的详细信息，请参阅修正不符合资源。

选择 “修正 ”，然后在“策略修正”页的 “修正任务 ”选项卡中跟踪修正任务的状态。

参数

通用参数

下表描述了创建诊断设置的每个策略和计划集的常见参数。

参数	DESCRIPTION	有效值	违约
效果	启用或禁用策略执行	DeployIfNotExists， AuditIfNotExists，已禁用	DeployIfNotExists
diagnosticSettingName	诊断设置名称		setByPolicy-{LogAnalytics\|EventHubs\|Storage}
categoryGroup	诊断类别组	无，审核， allLogs	审核
资源类型列表	对于计划，需要评估的资源类型列表，以确定诊断设置是否存在。	支持的资源	所有支持的资源

Log Analytics 参数

下表描述了将 Log Analytics 用作目标的每个策略和计划集的参数。

参数	DESCRIPTION	有效值	违约
resourceLocationList	用于将日志发送到附近 Log Analytics 的资源位置列表。 “*”选择所有位置	支持的位置	*
logAnalytics	Log Analytics 工作区

事件中心参数

下表描述了将事件中心用作目标的每个策略和计划集的参数。

参数	DESCRIPTION	有效值	违约
resourceLocation	资源位置必须与事件中心命名空间的位置相同	支持的位置
eventHubAuthorizationRuleId	事件中心授权规则 ID。授权规则位于事件中心命名空间级别。例如 /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	事件中心名称		监测

存储帐户策略参数

下表描述了将存储帐户用作目标的每个策略和计划集的参数。

参数	DESCRIPTION	有效值	违约
resourceLocation	资源位置必须与存储帐户位于同一位置	支持的位置
storageAccount	存储帐户 resourceId

支持的资源

Log Analytics 工作区、事件中心和存储帐户的内置所有日志和审核日志策略都适用于以下资源：

资源类型	所有日志	审核日志
microsoft.aad/domainservices	是的	是的
microsoft.agfoodplatform/farmbeats	是的	是的
Microsoft 分析服务/服务器	是的	否
microsoft.apimanagement/service	是的	是的
microsoft.app/managedenvironments	是的	是的
microsoft.appconfiguration/configurationstores	是的	是的
microsoft.appplatform/spring	是的	否
microsoft.attestation/attestationproviders	是的	是的
microsoft.automation/automationaccounts	是的	是的
微软.自主开发平台/工作区	是的	否
microsoft.avs/privateclouds	是的	是的
microsoft.azureplaywrightservice/accounts	是的	是的
microsoft.azuresphere/catalogs	是的	是的
microsoft.batch/batchaccounts	是的	是的
microsoft.botservice/botservices	是的	否
microsoft.cache/redis（微软缓存/Redis）	是的	是的
microsoft.cache/redisenterprise/databases	是的	是的
microsoft.cdn/cdnwebapplicationfirewallpolicies	是的	否
microsoft.cdn/profiles	是的	是的
microsoft.cdn/profiles/endpoints	是的	否
microsoft.chaos/experiments	是的	是的
microsoft.classicnetwork/networksecuritygroups	是的	否
microsoft.cloudtest/hostedpools	是的	否
microsoft.codesigning/codesigningaccounts	是的	是的
microsoft.cognitiveservices/accounts	是的	是的
微软通信/通信服务	是的	否
microsoft.community/communitytrainings	是的	是的
microsoft.confidentialledger/managedccfs	是的	是的
microsoft.connectedcache/enterprisemcccustomers	是的	否
microsoft.connectedcache/ispcustomers	是的	否
microsoft.containerinstance/containergroups	是的	否
microsoft.containerregistry/registries	是的	是的
microsoft.customproviders/resourceproviders	是的	否
microsoft.d365customerinsights/instances	是的	否
microsoft.dashboard/grafana	是的	是的
microsoft.databricks/workspaces	是的	否
microsoft.datafactory/factories	是的	否
microsoft.datalakeanalytics/accounts	是的	否
microsoft.datalakestore/accounts	是的	否
microsoft.dataprotection/backupvaults	是的	否
microsoft.datashare/accounts	是的	否
microsoft.dbformariadb/servers	是的	否
microsoft.dbformysql/flexibleservers	是的	是的
microsoft.dbformysql/servers	是的	否
microsoft.dbforpostgresql/flexibleservers	是的	是的
microsoft.dbforpostgresql/servergroupsv2	是的	否
microsoft.dbforpostgresql/servers	是的	否
微软桌面虚拟化/应用组	是的	否
微软桌面虚拟化/主机池	是的	否
microsoft.desktopvirtualization/scalingplans	是的	否
Microsoft 桌面虚拟化/工作空间	是的	否
microsoft.devcenter/devcenters	是的	是的
microsoft.devices/iothubs	是的	是的
microsoft.devices/provisioningservices	是的	否
microsoft.digitaltwins/digitaltwinsinstances	是的	否
microsoft.documentdb/cassandraclusters	是的	是的
microsoft.documentdb/databaseaccounts	是的	是的
microsoft.documentdb/mongoclusters	是的	是的
microsoft.eventgrid/domains	是的	是的
Microsoft.EventGrid/合作命名空间	是的	是的
microsoft.eventgrid/partnertopics	是的	否
microsoft.eventgrid/systemtopics	是的	否
microsoft.eventgrid/topics	是的	是的
Microsoft.EventHub/命名空间	是的	是的
microsoft.experimentation/experimentworkspaces	是的	否
Microsoft 医疗健康 API/服务 (microsoft.healthcareapis/services)	是的	否
microsoft.healthcareapis/workspaces/dicomservices	是的	否
microsoft.healthcareapis/workspaces/fhirservices	是的	否
microsoft.healthcareapis/workspaces/iotconnectors	是的	否
microsoft.insights/autoscalesettings	是的	否
microsoft.insights/components	是的	否
microsoft.insights/数据收集规则	是的	否
microsoft.keyvault/managedhsms	是的	是的
microsoft.keyvault/vaults	是的	是的
microsoft.kusto/clusters	是的	是的
microsoft.loadtestservice/loadtests	是的	是的
microsoft.logic/integrationaccounts	是的	否
microsoft.logic/workflows	是的	否
Microsoft 机器学习服务/注册表	是的	是的
microsoft.machinelearningservices/workspaces (微软机器学习服务/工作空间)	是的	是的
microsoft.machinelearningservices/workspaces/onlineendpoints	是的	否
microsoft.managednetworkfabric/networkdevices	是的	否
microsoft.media/mediaservices	是的	是的
microsoft.media/mediaservices/liveevents	是的	是的
microsoft.media/mediaservices/streamingendpoints	是的	是的
microsoft.netapp/netappaccounts/capacitypools/volumes	是的	是的
microsoft.network/applicationgateways	是的	否
microsoft.network/azurefirewalls	是的	否
microsoft.network/bastionhosts	是的	是的
microsoft.network/dnsresolverpolicies	是的	否
microsoft.network/expressroutecircuits	是的	否
microsoft.network/frontdoors	是的	是的
microsoft.network/loadbalancers	是的	否
microsoft.network/networkmanagers	是的	是的
microsoft.network/networkmanagers/ipampools	是的	是的
microsoft.network/networksecuritygroups	是的	否
microsoft.network/networksecurityperimeters	是的	否
microsoft.network/p2svpngateways	是的	是的
microsoft.network/publicipaddresses	是的	是的
微软网络/公共IP前缀 (microsoft.network/publicipprefixes)	是的	是的
microsoft.network/trafficmanagerprofiles	是的	否
microsoft.network/virtualnetworkgateways	是的	是的
microsoft.network/virtualnetworks	是的	否
microsoft.network/vpngateways	是的	否
microsoft.networkanalytics/dataproducts	是的	是的
microsoft.networkcloud/baremetalmachines	是的	否
microsoft.networkcloud/clusters	是的	否
微软.网络云/存储设备	是的	否
Microsoft 网络功能/Azure 流量收集器	是的	否
microsoft.notificationhubs/namespaces	是的	是的
microsoft.notificationhubs/namespaces/notificationhubs	是的	是的
微软.开放能源平台/能源服务	是的	否
microsoft.operationalinsights/workspaces	是的	是的
microsoft.powerbi/tenants/workspaces	是的	否
microsoft.powerbidedicated/capacities	是的	否
microsoft.purview/accounts	是的	是的
microsoft.recoveryservices/vaults	是的	否
microsoft.relay/namespaces	是的	否
microsoft.search/searchservices	是的	是的
microsoft.servicebus/namespaces	是的	是的
microsoft.servicenetworking/trafficcontrollers	是的	否
microsoft.signalrservice/signalr	是的	是的
microsoft.signalrservice/webpubsub（微软 SignalR 服务/WebPubSub）	是的	是的
microsoft.sql/managedinstances	是的	是的
microsoft.sql/managedinstances/databases	是的	否
microsoft.sql/servers/databases	是的	是的
microsoft.storagecache/caches	是的	否
microsoft.storagemover/storagemovers	是的	否
microsoft.streamanalytics/streamingjobs	是的	否
microsoft.synapse/workspaces	是的	是的
microsoft.synapse/workspaces/bigdatapools	是的	是的
microsoft.synapse/workspaces/kustopools	是的	是的
microsoft.synapse/workspaces/scopepools	是的	是的
microsoft.synapse/workspaces/sqlpools	是的	是的
microsoft.timeseriesinsights/environments	是的	否
microsoft.timeseriesinsights/environments/eventsources	是的	否
microsoft.videoindexer/accounts	是的	否
microsoft.web/hostingenvironments	是的	是的
microsoft.workloads/sapvirtualinstances	是的	是的

后续步骤

反馈

此页面是否有帮助？