我正在寻找自定义策略来连接和获取从Azure到Log Analytics工作区的活动/审核日志。没有内置策略,因此需要使用自定义策略来完成。是否有人因为找不到而创建或看到了这种政策?策略应为AuditIfNotExists,并且应将Log Analytics工作区作为参数。我不是政策专家,因此找到政策会有所帮助。
答案 0 :(得分:0)
没有设置策略,但是可以设置。我从tutorial处获得了以下信息:
“ Azure策略合规性状态记录在Azure订阅的活动日志中。可以将Azure Log Analytics工作区配置为从同一租户中的任何订阅中收集Azure活动日志。然后可以创建Azure Monitor警报规则以执行查询按计划在Log Analytics工作区中运行,并在查询检测到不合规资源时生成警报。“
以下是kusto查询的示例,该查询用于从单个策略获取不符合要求的资源列表(以“ audit-resources-without-tags-policyDef”定义为例): 让policyDefId ='audit-resources-without-tags-policyDef'; AzureActivity |其中Category =='Policy'和Level!='Informational'|扩展p = todynamic(属性)|扩展策略= todynamic(tostring(p.policies))| mvexpand策略=策略| (policyDefId)中的policy.policyDefinitionName |不同的ResourceId