#azure #azure-log-analytics #azure-monitoring
Вопрос:
Мне нужно записывать журналы в целях соблюдения требований безопасности. Есть ли в Azure способ создать политику, чтобы она автоматически включала сбор журналов для любого текущего ресурса и нового ресурса в группе ресурсов? В нем будут такие ресурсы, как keyvault, учетная запись хранения, виртуальные машины, хранилище резервных копий и т. Д. Я думаю, что политика Azure Monitor по умолчанию действительно так делает, но она сохраняет журналы только в течение 3 месяцев. Мне нужно сохранить его подольше. И, следовательно, нужна новая политика. ИЛИ другой более простой способ включить сбор журналов, так как мы будем удалять и повторно создавать ресурсы с помощью автоматизации в этой группе ресурсов каждые несколько месяцев. ИЛИ для каждого из этих типов ресурсов доступны модули/ код Terraform, чтобы перенаправление журналов стало частью автоматизации.
Ответ №1:
Спасибо тебе, квичек. Опубликуйте свое предложение в качестве ответа, чтобы помочь другим членам сообщества.
Используйте платформу, разработанную JimGBritt, для создания политик, обеспечивающих сбор диагностических параметров из ресурсов.
Журналы из ОС виртуальной машины-это совсем другая история. Вам нужно подключить агент, работающий в операционной системе, к рабочему пространству, а затем то, что собирается, зависит от конфигурации там.
Хранение-это настройка рабочего пространства. Вы можете установить его для каждой таблицы, используя сохранение на уровне таблицы.
Чтобы установить хранение по умолчанию для вашей рабочей области:
- На портале Azure в рабочей области выберите Использование и сметные расходы на левой панели.
- На странице Использование и предполагаемые затраты выберите Хранение данных в верхней части страницы.
- На панели переместите ползунок, чтобы увеличить или уменьшить количество дней, а затем нажмите кнопку ОК. Если вы находитесь на бесплатном уровне, вы не можете изменить срок хранения данных; вам необходимо перейти на платный уровень, чтобы управлять этим параметром.
Также можно указать различные параметры хранения для отдельных типов данных от 4 до 730 дней (за исключением рабочих областей в устаревшем ценовом уровне бесплатной пробной версии), которые переопределяют хранение по умолчанию на уровне рабочей области. Каждый тип данных является подресурсом рабочей области. Например, таблица SecurityEvent может быть адресована в диспетчере ресурсов Azure следующим образом:
GET /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2017-04-26-preview
Чтобы установить срок хранения определенного типа данных (в данном примере SecurityEvent) равным 730 дням, используйте:
PUT /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/MyResourceGroupName/providers/Microsoft.OperationalInsights/workspaces/MyWorkspaceName/Tables/SecurityEvent?api-version=2017-04-26-preview
{
"properties":
{
"retentionInDays": 730
}
}
Вы можете обратиться к Azure Log Analytics — Хранение данных по типу в реальной жизни и Хранение по типу данных
Поскольку вы уже начали это обсуждение вопросов и ответов MS и Reddit/Azure, добавьте ссылки, чтобы помочь другим членам сообщества.