Azure Policy는 Azure Monitor에 대한 진단 설정을 사용하여 대규모로 로깅을 사용하도록 설정하는 간단한 방법을 제공합니다. 이 문서에서는 기본 제공 정책 집합을 사용하여 지원되는 리소스에 대한 리소스 로그를 Log Analytics 작업 영역, Event Hubs 및 스토리지 계정으로 전송하는 방법을 설명합니다. 기본 제공 정책이 없는 리소스 종류에 대한 사용자 지정 정책 정의를 만들려면 Azure 정책 및 이니셔티브를 사용하여 대규모 진단 설정 만들기를 참조하세요.
정책 및 이니셔티브
이니셔티브는 정책의 컬렉션입니다. 범위에 여러 정책을 할당하는 대신 필요한 다양한 정책을 포함하는 단일 이니셔티브를 할당할 수 있습니다. 나중에 할당을 변경하지 않고 이 이니셔티브에 정책을 추가할 수 있습니다.
다양한 대상에 대한 진단 설정을 적용하는 데 도움이 되는 기본 제공 이니셔티브 집합을 사용할 수 있습니다. 각 대상 유형과 allLogs 및 audit 범주 그룹에 고유한 이니셔티브가 있습니다. 각 이니셔티브에는 지원되는 리소스에 대한 모든 기본 제공 정책 집합이 포함됩니다.
할당 만들기
다음 방법 중 하나를 사용하여 진단 설정에 대한 기본 제공 이니셔티브 또는 정책을 배포합니다.
다음 단계를 사용하여 Azure Portal을 사용하여 이니셔티브 또는 정책을 적용합니다.
Azure Portal의 정책 페이지에서 정의를 선택합니다.
다음 필터를 설정합니다.
- 범주에 대해 모니터링을 선택합니다.
- 정의 형식에 대해 이니셔티브 또는 정책을 선택합니다.
할당하려는 이니셔티브 또는 정책을 찾아 선택합니다.
이니셔티브의 경우 검색 필드에 감사 또는 allLogs를 입력한 다음 대상에 대한 이니셔티브를 선택합니다.
정책의 경우 검색 필드에 리소스 유형의 이름을 입력한 다음 리소스 종류 및 대상에 대한 정책을 선택합니다. 아래 샘플에서는 Key Vault 데이터를 Log Analytics 작업 영역으로 보냅니다.
정의 페이지에서 이니셔티브 할당을 선택합니다.
할당에 대한 범위를 설정합니다. 범위는 관리 그룹, 구독 또는 리소스 그룹일 수 있습니다. 이니셔티브 또는 정책은 범위 내의 모든 리소스에 적용됩니다.
매개 변수 탭을 선택한 다음 로그를 보낼 특정 대상을 선택합니다. 이러한 세부 정보는 각 대상 유형에 따라 달라집니다. 각 대상 형식의 매개 변수 에 대한 자세한 내용은 매개 변수를 참조하세요.
수정 탭을 선택합니다. 그러면 범위의 기존 리소스에 정책이 적용됩니다. 수정 작업이 없으면 이니셔티브 또는 정책 할당은 할당 후에 만든 새 리소스에만 적용됩니다.
수정 작업 만들기 확인란을 사용하도록 설정한 다음 관리 ID 만들기가 사용하도록 설정되어 있는지 확인합니다. 관리 ID 유형에서 시스템이 할당한 관리 ID를 선택합니다.
검토 + 만들기를 선택한 다음 만들기를 선택합니다.
수정 작업
정책은 만들어질 때 새 리소스에 적용됩니다. 수정 작업을 사용하여 기존 리소스에 정책을 적용합니다. 이니셔티브의 경우 이니셔티브의 각 정책에 대한 수정 작업을 만들어야 합니다. 위의 각 프로세스에는 이니셔티브 또는 정책을 할당할 때 수정 작업을 만드는 단계가 포함되어 있습니다. 할당을 만든 후에 수정 작업을 만들 수도 있습니다.
Azure Portal에서 수정 을 선택한 다음, 정책을 선택합니다. 수정을 클릭합니다. 수정 작업에 대한 자세한 내용은 비준수 리소스 수정을 참조하세요.
수정을 선택한 다음, 정책 수정 페이지의 수정 작업 탭에서 수정 작업의 상태를 추적합니다.
매개 변수
일반 매개 변수
다음 표에서는 진단 설정을 만드는 각 정책 및 이니셔티브 집합에 대한 일반적인 매개 변수를 설명합니다.
| 매개 변수 | 설명 | 유효한 값 | 기본값 |
|---|---|---|---|
| 영향 | 정책 실행 사용 또는 사용 안 함 | DeployIfNotExists, AuditIfNotExists, 사용 안 함 |
DeployIfNotExists |
| 진단설정이름 | 진단 설정 이름 | 정책에 의해 설정됨-{LogAnalytics|EventHubs|Storage} | |
| categoryGroup | 진단 범주 그룹 | 없음, 감사, allLogs |
감사 |
| resourceTypeList(리소스타입리스트) | 이니셔티브의 경우 진단 설정 존재에 대해 평가할 리소스 종류 목록입니다. | 지원되는 리소스 | 지원되는 모든 리소스 |
Log Analytics 매개 변수
다음 표에서는 Log Analytics를 대상으로 사용하는 각 정책 및 이니셔티브 집합에 대한 매개 변수를 설명합니다.
| 매개 변수 | 설명 | 유효한 값 | 기본값 |
|---|---|---|---|
| resourceLocationList | 근처 Log Analytics에 로그를 보낼 리소스 위치 목록입니다. "*"는 모든 위치를 선택합니다. |
지원되는 위치 | * |
| logAnalytics | Log Analytics 작업 영역 |
Event Hubs 매개 변수
다음 표에서는 이벤트 허브를 대상으로 사용하는 각 정책 및 이니셔티브 집합에 대한 매개 변수를 설명합니다.
| 매개 변수 | 설명 | 유효한 값 | 기본값 |
|---|---|---|---|
| 리소스 위치 | 리소스 위치는 이벤트 허브 네임스페이스와 동일한 위치여야 합니다. | 지원되는 위치 | |
| 이벤트허브인증규칙ID | 이벤트 허브 권한 부여 규칙 ID입니다. 권한 부여 규칙은 이벤트 허브 네임스페이스 수준에 있습니다. 예: /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule} | ||
| 이벤트 허브 이름 | 이벤트 허브 이름 | 모니터링 |
스토리지 계정 정책 매개 변수
다음 표에서는 스토리지 계정을 대상으로 사용하는 각 정책 및 이니셔티브 집합에 대한 매개 변수를 설명합니다.
| 매개 변수 | 설명 | 유효한 값 | 기본값 |
|---|---|---|---|
| 리소스 위치 | 리소스 위치는 스토리지 계정과 동일한 위치에 있어야 합니다. | 지원되는 위치 | |
| 저장소 계정 | 스토리지 계정 resourceId |
지원되는 리소스
Log Analytics 작업 영역, Event Hubs 및 스토리지 계정에 대한 기본 제공 모든 로그 및 감사 로그 정책은 다음 리소스에 대해 존재합니다.
| 리소스 종류 | 모든 로그 | 감사 로그 |
|---|---|---|
| microsoft.aad/domainservices | 예 | 예 |
| microsoft.agfoodplatform/farmbeats | 예 | 예 |
| 마이크로소프트 분석서비스/서버 | 예 | 아니오 |
| microsoft.apimanagement/service | 예 | 예 |
| microsoft.app/managedenvironments | 예 | 예 |
| microsoft.appconfiguration/configurationstores | 예 | 예 |
| microsoft.appplatform/spring | 예 | 아니오 |
| 마이크로소프트.인증/인증제공자 | 예 | 예 |
| microsoft.automation/automationaccounts | 예 | 예 |
| microsoft.autonomousdevelopmentplatform/workspaces | 예 | 아니오 |
| microsoft.avs/privateclouds | 예 | 예 |
| microsoft.azureplaywrightservice/accounts | 예 | 예 |
| microsoft.azuresphere/catalogs | 예 | 예 |
| microsoft.batch/batchaccounts | 예 | 예 |
| microsoft.botservice/botservices (마이크로소프트 봇서비스/봇서비스) | 예 | 아니오 |
| microsoft.cache/redis | 예 | 예 |
| microsoft.cache/redisenterprise/databases | 예 | 예 |
| microsoft.cdn/cdnwebapplicationfirewallpolicies | 예 | 아니오 |
| microsoft.cdn/profiles | 예 | 예 |
| microsoft.cdn/profiles/endpoints | 예 | 아니오 |
| microsoft.chaos/experiments | 예 | 예 |
| microsoft.classicnetwork/networksecuritygroups (마이크로소프트 클래식 네트워크/네트워크 보안 그룹) | 예 | 아니오 |
| microsoft.cloudtest/hostedpools | 예 | 아니오 |
| microsoft.codesigning/codesigningaccounts | 예 | 예 |
| microsoft.cognitiveservices/accounts | 예 | 예 |
| 마이크로소프트 통신/커뮤니케이션서비스 | 예 | 아니오 |
| microsoft.community/communitytrainings | 예 | 예 |
| microsoft.confidentialledger/managedccfs | 예 | 예 |
| microsoft.connectedcache/enterprisemcccustomers | 예 | 아니오 |
| microsoft.connectedcache/ispcustomers | 예 | 아니오 |
| microsoft.containerinstance/containergroups | 예 | 아니오 |
| microsoft.containerregistry/registries | 예 | 예 |
| microsoft.customproviders/resourceproviders | 예 | 아니오 |
| Microsoft Dynamics 365 고객 인사이트/인스턴스 (microsoft.d365customerinsights/instances) | 예 | 아니오 |
| 마이크로소프트 대시보드/그라파나 | 예 | 예 |
| 마이크로소프트 데이터브릭스 워크스페이스 (microsoft.databricks/workspaces) | 예 | 아니오 |
| microsoft.datafactory/factories (마이크로소프트 데이터 팩토리/공장) | 예 | 아니오 |
| 데이터레이크애널리틱스 계정 - microsoft.datalakeanalytics/accounts | 예 | 아니오 |
| microsoft.datalakestore/accounts | 예 | 아니오 |
| microsoft.dataprotection/backupvaults | 예 | 아니오 |
| microsoft.datashare/accounts | 예 | 아니오 |
| microsoft.dbformariadb/servers | 예 | 아니오 |
| microsoft.dbformysql/flexibleservers | 예 | 예 |
| microsoft.dbformysql/servers | 예 | 아니오 |
| microsoft.dbforpostgresql/flexibleservers | 예 | 예 |
| microsoft.dbforpostgresql/servergroupsv2 | 예 | 아니오 |
| microsoft.dbforpostgresql/servers | 예 | 아니오 |
| 마이크로소프트 데스크톱 가상화/응용 프로그램 그룹 | 예 | 아니오 |
| Microsoft 데스크톱 가상화/호스트 풀 | 예 | 아니오 |
| microsoft.desktopvirtualization/scalingplans | 예 | 아니오 |
| 마이크로소프트.데스크탑가상화/업무공간 | 예 | 아니오 |
| microsoft.devcenter/devcenters | 예 | 예 |
| microsoft.devices/iothubs | 예 | 예 |
| Microsoft 디바이스/프로비저닝 서비스 | 예 | 아니오 |
| microsoft.digitaltwins/digitaltwinsinstances | 예 | 아니오 |
| microsoft.documentdb/cassandraclusters | 예 | 예 |
| 마이크로소프트.다큐먼트DB/데이터베이스계정 | 예 | 예 |
| microsoft.documentdb/mongoclusters | 예 | 예 |
| microsoft.eventgrid/domains | 예 | 예 |
| microsoft.eventgrid/partnernamespaces (마이크로소프트 이벤트 그리드/파트너 네임스페이스) | 예 | 예 |
| microsoft.eventgrid/partnertopics | 예 | 아니오 |
| microsoft.eventgrid/systemtopics | 예 | 아니오 |
| 마이크로소프트.이벤트그리드/토픽스 | 예 | 예 |
| microsoft.eventhub/namespaces | 예 | 예 |
| microsoft.experimentation/experimentworkspaces | 예 | 아니오 |
| microsoft.healthcareapis/services | 예 | 아니오 |
| microsoft.healthcareapis/workspaces/dicomservices | 예 | 아니오 |
| microsoft.healthcareapis/workspaces/fhirservices | 예 | 아니오 |
| microsoft.healthcareapis/workspaces/iotconnectors | 예 | 아니오 |
| microsoft.insights/autoscalesettings | 예 | 아니오 |
| 마이크로소프트.인사이트/구성요소 | 예 | 아니오 |
| microsoft.insights/datacollectionrules | 예 | 아니오 |
| microsoft.keyvault/managedhsms | 예 | 예 |
| microsoft.keyvault/vaults | 예 | 예 |
| microsoft.kusto/clusters | 예 | 예 |
| microsoft.loadtestservice/loadtests | 예 | 예 |
| microsoft.logic/integrationaccounts | 예 | 아니오 |
| microsoft.logic/workflows | 예 | 아니오 |
| 마이크로소프트.머신러닝서비스/레지스트리 | 예 | 예 |
| 마이크로소프트.기계학습서비스/작업공간 | 예 | 예 |
| microsoft.machinelearningservices/workspaces/onlineendpoints | 예 | 아니오 |
| microsoft.managednetworkfabric/networkdevices | 예 | 아니오 |
| microsoft.media/mediaservices | 예 | 예 |
| microsoft.media/mediaservices/liveevents | 예 | 예 |
| microsoft.media/mediaservices/스트리밍엔드포인트 | 예 | 예 |
| microsoft.netapp/netappaccounts/capacitypools/volumes | 예 | 예 |
| microsoft.network/applicationgateways | 예 | 아니오 |
| microsoft.network/azurefirewalls | 예 | 아니오 |
| microsoft.network/bastionhosts | 예 | 예 |
| microsoft.network/dnsresolverpolicies | 예 | 아니오 |
| microsoft.network/expressroutecircuits | 예 | 아니오 |
| microsoft.network/frontdoors | 예 | 예 |
| microsoft.network/loadbalancers (마이크로소프트 네트워크/로드 밸런서) | 예 | 아니오 |
| microsoft.network/networkmanagers | 예 | 예 |
| 마이크로소프트.네트워크/네트워크매니저/아이피앰풀 | 예 | 예 |
| microsoft.network/networksecuritygroups (Microsoft 네트워크 보안 그룹) | 예 | 아니오 |
| microsoft.network/네트워크보안경계 | 예 | 아니오 |
| microsoft.network/p2svpngateways | 예 | 예 |
| Microsoft 네트워크/공개 IP 주소 (microsoft.network/publicipaddresses) | 예 | 예 |
| microsoft.network/publicipprefixes | 예 | 예 |
| microsoft.network/trafficmanagerprofiles | 예 | 아니오 |
| microsoft.network/virtualnetworkgateways | 예 | 예 |
| microsoft.network/virtualnetworks | 예 | 아니오 |
| microsoft.network/vpngateways | 예 | 아니오 |
| microsoft.networkanalytics/dataproducts | 예 | 예 |
| microsoft.networkcloud/baremetalmachines (베어 메탈 머신) | 예 | 아니오 |
| microsoft.networkcloud/clusters | 예 | 아니오 |
| 마이크로소프트 네트워크 클라우드/스토리지 어플라이언스 | 예 | 아니오 |
| microsoft.networkfunction/azuretrafficcollectors (마이크로소프트 네트워크 기능/애저 트래픽 컬렉터) | 예 | 아니오 |
| microsoft.notificationhubs/namespaces | 예 | 예 |
| microsoft.notificationhubs/namespaces/notificationhubs | 예 | 예 |
| 마이크로소프트 오픈에너지플랫폼/에너지서비스 | 예 | 아니오 |
| microsoft.operationalinsights/workspaces (운영 정보 인사이트/작업 공간) | 예 | 예 |
| microsoft.powerbi/tenants/workspaces | 예 | 아니오 |
| microsoft.powerbidedicated/capacities | 예 | 아니오 |
| microsoft.purview/accounts | 예 | 예 |
| microsoft.recoveryservices/vaults | 예 | 아니오 |
| microsoft.relay/namespaces | 예 | 아니오 |
| microsoft.search/searchservices | 예 | 예 |
| 마이크로소프트 서비스버스/네임스페이스 | 예 | 예 |
| microsoft.servicenetworking/trafficcontrollers | 예 | 아니오 |
| microsoft.signalrservice/signalr | 예 | 예 |
| microsoft.signalrservice/webpubsub | 예 | 예 |
| microsoft.sql/managedinstances | 예 | 예 |
| Microsoft SQL/관리되는 인스턴스/데이터베이스 | 예 | 아니오 |
| microsoft.sql/servers/databases (마이크로소프트 SQL/서버/데이터베이스) | 예 | 예 |
| microsoft.storagecache/caches | 예 | 아니오 |
| microsoft.storagemover/storagemovers | 예 | 아니오 |
| 마이크로소프트 스트림애널리틱스/스트리밍잡 | 예 | 아니오 |
| microsoft.synapse/workspaces | 예 | 예 |
| microsoft.synapse/workspaces/bigdatapools | 예 | 예 |
| microsoft.synapse/workspaces/kustopools | 예 | 예 |
| microsoft.synapse/workspaces/scopepools | 예 | 예 |
| microsoft.synapse/workspaces/sqlpools | 예 | 예 |
| microsoft.timeseriesinsights/environments | 예 | 아니오 |
| microsoft.timeseriesinsights/environments/eventsources | 예 | 아니오 |
| microsoft.videoindexer/accounts | 예 | 아니오 |
| microsoft.web/hostingenvironments | 예 | 예 |
| microsoft.workloads/sapvirtualinstances | 예 | 예 |