我正在寻找自定义策略以将活动/审核日志从 Azure 连接并获取到 Log Analytics 工作区。对此没有内置策略,因此需要使用自定义策略来完成。有没有人因为我找不到而创建或看到了这种政策?策略应为 AuditIfNotExists,并且应将 Log Analytics 工作区作为参数。我不是政策专家,所以找到政策会很有帮助。
【问题讨论】:
标签: azure logging policy azure-log-analytics
没有设置它的政策,但可以设置它。我从这个tutorial得到这个信息:
“Azure 策略合规性状态记录在 Azure 订阅的活动日志中。Azure Log Analytics 工作区可以配置为从同一租户中的任何订阅收集 Azure 活动日志。然后可以创建 Azure Monitor 警报规则来执行查询在 Log Analytics 工作区中按计划进行,并在查询检测到不合规的资源时生成警报。"
下面是一个 kusto 查询示例,用于从单个策略中获取不合规资源的列表(以“audit-resources-without-tags-policyDef”定义为例): 让 policyDefId = '审计资源-无标签-policyDef'; Azure活动 |其中 Category == 'Policy' 和 Level != 'Informal' |扩展 p=todynamic(属性) |扩展政策=动态(tostring(p.policies))| mvexpand 政策 = 政策 |其中 policy.policyDefinitionName in (policyDefId) |不同的 ResourceId
【讨论】: