Criar configurações de diagnóstico em escala usando Políticas do Azure internas

2025-07-19

Azure Policy fornece um método simples para habilitar o registo em escala com configurações de diagnóstico para o Azure Monitor. Este artigo descreve como usar um conjunto de políticas internas para direcionar logs de recursos suportados para espaços de trabalho do Log Analytics, Hubs de Eventos e Contas de Armazenamento. Para criar uma definição de política personalizada para um tipo de recurso que não tenha uma política interna, consulte Criar configurações de diagnóstico em escala usando Políticas e Iniciativas do Azure.

Políticas e iniciativas

Uma iniciativa é um conjunto de políticas. Em vez de atribuir várias políticas a um escopo, você pode atribuir uma única iniciativa que inclua as diferentes políticas necessárias. Mais tarde, você pode adicionar políticas a essa iniciativa sem alterar a atribuição.

Um conjunto de iniciativas integradas está disponível para ajudá-lo a aplicar configurações de diagnóstico para diferentes destinos. Há uma iniciativa única para cada tipo de destino para os grupos de categorias allLogs e audit. Cada iniciativa contém todo o conjunto de políticas internas para os recursos suportados.

Criar atribuição

Implante uma iniciativa ou política interna para configurações de diagnóstico usando um dos seguintes métodos.

Use as etapas a seguir para aplicar uma iniciativa ou política usando o portal do Azure.

Na página Política no portal do Azure, selecione Definições.
Defina o seguinte filtro:
1. Para a Categoria, selecione Monitoramento.
2. Para o tipo de definição, selecione Iniciativa ou Política.
Localize e selecione a iniciativa ou política que deseja atribuir.
1. Para iniciativas, digite audit ou allLogs no campo Pesquisar e selecione a iniciativa para o seu destino.
2. Para políticas, digite o nome do tipo de recurso no campo Pesquisar e selecione a política para o tipo de recurso e o destino. O exemplo abaixo envia dados do cofre de chaves para um espaço de trabalho do Log Analytics.
Na página de definição, selecione Atribuir iniciativa.
Defina um Escopo para a atribuição. O escopo pode ser um grupo de gerenciamento, assinatura ou grupo de recursos. A iniciativa ou política é aplicada a todos os recursos dentro do âmbito.
Selecione a guia Parâmetros e, em seguida, selecione o destino específico para onde deseja enviar os logs. Esses detalhes variam para cada tipo de destino. Consulte Parâmetros para obter mais informações sobre os parâmetros para cada tipo de destino.
Selecione a guia Remediação . Isso aplicará a política aos recursos existentes no escopo. Sem uma tarefa de correção, a iniciativa ou atribuição de política só se aplica a novos recursos criados após a atribuição.
Habilite a caixa de seleção Criar uma tarefa de correção e verifique se Criar uma Identidade Gerenciada está habilitado. Em Tipo de Identidade Gerenciada, selecione Identidade Gerenciada atribuída ao Sistema.
Selecione Rever + criar e, em seguida, selecione Criar.

Use o comando New-AzPolicyAssignment para criar uma atribuição para uma iniciativa ou política. O exemplo a seguir mostra como atribuir a iniciativa de enviar audit logs de grupo de categorias para um espaço de trabalho do Log Analytics.

Configurar as variáveis de ambiente

$subscriptionId = <your subscription ID>;
$rg = Get-AzResourceGroup -Name <your resource group name>;
Select-AzSubscription $subscriptionId;
$logAnalyticsWorkspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;

Obtenha a definição utilizando Get-AzPolicySetDefinition para iniciativas ou Get-AzPolicyDefinition para políticas.

# Initiative
$definition = Get-AzPolicySetDefinition | Where-Object {$_.DisplayName -eq 'Enable allLogs category group resource logging for supported resources to Log Analytics'}

# Policy
$definition = Get-AzPolicyDefinition | Where-Object {$_.DisplayName -eq 'Enable logging by category group for Key vaults (microsoft.keyvault/vaults) to Log Analytics'}

Defina um nome de atribuição e configure parâmetros. Neste exemplo, os parâmetros incluem o ID do espaço de trabalho do Log Analytics. Consulte Parâmetros para obter mais informações sobre os parâmetros para outros tipos de destino.
```
$assignmentName = <your assignment name>;
$params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
```

Crie a atribuição usando os parâmetros.

$policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus

Atribua a Contributor função à Identidade Gerenciada atribuída ao sistema. Para outras iniciativas, verifique quais funções são necessárias.
```
 New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor
```
Analise a conformidade com a política. O Start-AzPolicyComplianceScan comando leva alguns minutos para retornar
```
Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
```

Obtenha uma lista de recursos para corrigir e os parâmetros necessários chamando Get-AzPolicyState

$assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
$policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
$policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;

Para cada tipo de recurso com recursos não compatíveis, inicie uma tarefa de correção.

    $policyDefinitionReferenceIds | ForEach-Object {
          $referenceId = $_
          Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
    }

Verifique o estado de conformidade quando as tarefas de correção forem concluídas.

Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID

Use os comandos a seguir para aplicar uma política usando a CLI. Para obter mais informações sobre a atribuição de políticas usando a CLI, consulte Referência da CLI do Azure - az policy assignment.

Crie uma atribuição de política usando az policy assignment create. Isso requer o nome ou ID da iniciativa ou definição de política em vez do nome para exibição.

# Initiative        
az policy assignment create --name <policy assignment name>  --policy-set-definition "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID>\"}}" --mi-system-assigned --___location <___location>

# Policy
az policy assignment create --name <policy assignment name>  --policy "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --___location <___location>

Atribua a função necessária à identidade criada para a atribuição de política. Encontre a função na definição de política pesquisando roleDefinitionIds

   ...},
      "roleDefinitionIds": [
        "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
      ],
      "deployment": {
        "properties": {...

Atribua a função necessária usando az policy assignment identity assign:

az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>

Por exemplo:

az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/rg001 --name policy-assignment-1

Crie tarefas de correção para as políticas da iniciativa.

As tarefas de correção são criadas para cada política. Cada tarefa destina-se a um definition-reference-id, especificado na iniciativa como policyDefinitionReferenceId. Para localizar o definition-reference-id parâmetro, use o seguinte comando:

az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId

Mitigar os recursos usando az policy remediation create

az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance

Por exemplo:

az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance

Para criar uma tarefa de correção para todas as políticas da iniciativa, use o seguinte exemplo:

for policyDefinitionReferenceId in $(az policy set-definition show --name a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
do 
    az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
done

Inicie uma verificação para localizar recursos existentes utilizando az policy state trigger-scan.
```
az policy state trigger-scan --resource-group rg-001
```

Crie uma tarefa de correção para aplicar a política aos recursos existentes usando az policy remediation create.

az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name>

Por exemplo

az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1

Tarefas de remediação

As políticas são aplicadas a novos recursos quando são criadas. Use uma tarefa de correção para aplicar a política aos recursos existentes. Para uma iniciativa, você deve criar uma tarefa de correção para cada política na iniciativa. Cada um dos processos acima inclui as etapas para criar uma tarefa de correção quando você atribui a iniciativa ou política. Você também pode criar uma tarefa de correção após a atribuição ser criada.

No portal do Azure, selecione Correção e, em seguida, selecione sua política. Clique em Remediar. Para obter mais informações sobre tarefas de correção, consulte Remediar recursos não compatíveis.

Selecione Corrigir e, em seguida, acompanhe o status da sua tarefa de correção na guia Tarefas de correção da página Correção de política.

Parâmetros

Parâmetros comuns

A tabela a seguir descreve os parâmetros comuns para cada conjunto de políticas e iniciativas que criam configurações de diagnóstico.

Parâmetro	Descrição	Valores válidos	Predefinido
efeito	Ativar ou desativar a execução da política	DeployIfNotExists, AuditoriaSeNãoExistir Desabilitado	ImplementarSeNãoExistir
NomeDefiniçãoDiagnóstico	Nome da configuração de diagnóstico		setByPolicy-{LogAnalytics\|EventHubs\|Armazenamento}
CategoriaGrupo	Grupo de categorias de diagnóstico	nenhuma, auditoria, allLogs	auditoria
listaDeTiposDeRecursos	Para iniciativas, uma lista de tipos de recursos a serem avaliados para a existência de configuração de diagnóstico.	Recursos suportados	Todos os recursos suportados

Parâmetros do Log Analytics

A tabela a seguir descreve os parâmetros para cada conjunto de políticas e iniciativas que usam o Log Analytics como destino.

Parâmetro	Descrição	Valores válidos	Predefinido
listaDeLocalizaçãoDeRecursos	Lista de Localização de Recursos para enviar logs para o Log Analytics próximo. "*" seleciona todos os locais	Localizações suportadas	*
logAnalytics	Espaço de trabalho do Log Analytics

Parâmetros dos Hubs de Eventos

A tabela a seguir descreve os parâmetros para cada conjunto de políticas e iniciativas que usam hubs de eventos como destino.

Parâmetro	Descrição	Valores válidos	Predefinido
LocalizaçãoDoRecurso	O Local do Recurso deve ser o mesmo local que o Namespace do hub de eventos	Localizações suportadas
eventHubAuthorizationRuleId	ID da Regra de Autorização do hub de eventos. A regra de autorização está no nível do namespace do hub de eventos. Por exemplo, /subscriptions/{subscription ID}/resourceGroups/{resource group}/providers/Microsoft.EventHub/namespaces/{Event Hub namespace}/authorizationrules/{authorization rule}
eventHubName	Nome do hub de eventos		Monitorização

Parâmetros da política de Contas de Armazenamento

A tabela a seguir descreve os parâmetros para cada conjunto de políticas e iniciativas que usam contas de armazenamento como destino.

Parâmetro	Descrição	Valores válidos	Predefinido
LocalizaçãoDoRecurso	O Local do Recurso deve estar no mesmo local da Conta de Armazenamento	Localizações suportadas
conta de armazenamento	Conta de armazenamento resourceId

Recursos suportados

Todas as políticas internas de logs e logs de auditoria para espaços de trabalho do Log Analytics, Hubs de Eventos e Contas de Armazenamento existem para os seguintes recursos:

Tipo de Recurso	Todos os registos	Registos de Auditoria
Microsoft.aad/DomainServices	Yes	Yes
Aceda ao site microsoft.agfoodplatform/farmbeats	Yes	Yes
Microsoft.AnalysisServices/Servidores	Yes	Não
microsoft.apimanagement/service	Yes	Yes
microsoft.app/managedenvironments	Yes	Yes
Microsoft.AppConfiguration/LojasDeConfiguração	Yes	Yes
Microsoft.AppPlatform/Spring	Yes	Não
microsoft.attestation/fornecedores de atestado	Yes	Yes
microsoft.automation/contasdeautomação	Yes	Yes
microsoft.autonomousdevelopmentplatform/workspaces	Yes	Não
microsoft.avs/nuvens privadas	Yes	Yes
microsoft.azureplaywrightservice/contas	Yes	Yes
microsoft.azuresphere/catálogos	Yes	Yes
microsoft.batch/batchaccounts	Yes	Yes
microsoft.botservice/botservices	Yes	Não
microsoft.cache/redis	Yes	Yes
microsoft.cache/redisenterprise/bancos de dados	Yes	Yes
microsoft.cdn/cdnwebapplicationfirewallpolicies	Yes	Não
microsoft.cdn/profiles	Yes	Yes
microsoft.cdn/perfis/terminais	Yes	Não
microsoft.caos/experimentos	Yes	Yes
microsoft.classicnetwork/networksecuritygroups	Yes	Não
Microsoft.CloudTest/HostedPools	Yes	Não
microsoft.codesigning/codesigncontas	Yes	Yes
microsoft.cognitiveservices/accounts	Yes	Yes
Microsoft.Comunicação/Serviços de Comunicação	Yes	Não
microsoft.comunidade/formações-da-comunidade	Yes	Yes
Microsoft.ConfidentialLedger/ManageDCCFS	Yes	Yes
Microsoft.ConnectedCache/EnterpriseMcCCustomers	Yes	Não
Microsoft.ConnectedCache/ISPPcustomers	Yes	Não
Microsoft.ContainerInstance/ContainerGroups	Yes	Não
microsoft.containerregistry/registries	Yes	Yes
Microsoft.CustomProviders/ResourceProviders	Yes	Não
microsoft.d365customerinsights/instâncias	Yes	Não
microsoft.dashboard/grafana	Yes	Yes
microsoft.databricks/espaços_de_trabalho	Yes	Não
microsoft.datafactory/factories	Yes	Não
microsoft.datalakeanalytics/contas	Yes	Não
microsoft.datalakestore/contas	Yes	Não
Microsoft.DataProtection/BackupVaults	Yes	Não
microsoft.datashare/contas	Yes	Não
microsoft.dbformariadb/servidores	Yes	Não
Microsoft.dbformysql/flexibleservers	Yes	Yes
Microsoft.dbformysql/servidores	Yes	Não
Microsoft.dbforpostgresql/flexibleservers	Yes	Yes
microsoft.dbforpostgresql/servergroupsv2	Yes	Não
Microsoft.dbforpostgresql/servers	Yes	Não
Microsoft.VirtualizaçãoDeDesktop/GruposDeAplicações	Yes	Não
microsoft.desktopvirtualization/hostpools	Yes	Não
microsoft.desktopvirtualization/planosdeescala	Yes	Não
microsoft.desktopvirtualization/espaços_de_trabalho	Yes	Não
Microsoft.CentroDeDesenvolvimento/CentrosDeDesenvolvimento	Yes	Yes
Microsoft.Devices/IoTHubs	Yes	Yes
Microsoft.Dispositivos/ServiçosDeProvisionamento	Yes	Não
Microsoft.DigitalTwins/DigitalTwinsInstances	Yes	Não
Microsoft.DocumentDB/CassandraClusters	Yes	Yes
Microsoft.DocumentDB/DatabaseAccounts	Yes	Yes
Microsoft.DocumentDB/MongoClusters	Yes	Yes
Microsoft.EventGrid/domínios	Yes	Yes
Microsoft.EventGrid/PartnerNamespaces	Yes	Yes
Microsoft.EventGrid/PartnerTopics	Yes	Não
Microsoft.EventGrid/SystemTopics	Yes	Não
Microsoft.EventGrid/Tópicos	Yes	Yes
microsoft.eventhub/namespaces	Yes	Yes
microsoft.experimentação/áreasdeexperimentação	Yes	Não
Microsoft.APIsDeSaúde/Serviços	Yes	Não
microsoft.healthcareapis/workspaces/dicomservices	Yes	Não
microsoft.healthcareapis/workspaces/fhirservices	Yes	Não
Microsoft.HealthAPIS/workspaces/iotConnectors	Yes	Não
Microsoft.Insights/AutoScaleSettings	Yes	Não
microsoft.insights/componentes	Yes	Não
Microsoft.Insights/RegrasDeColetaDeDados	Yes	Não
Microsoft.KeyVault/ManagedHSMS	Yes	Yes
microsoft.keyvault/vaults	Yes	Yes
microsoft.kusto/clusters	Yes	Yes
Microsoft.LoadTestService/LoadTests	Yes	Yes
microsoft.logic/contasdeintegração	Yes	Não
microsoft.logic/fluxos de trabalho	Yes	Não
Serviços de Aprendizagem de Máquina da Microsoft/Registos	Yes	Yes
Microsoft.ServiçosDeAprendizagemAutomática/ÁreasDeTrabalho	Yes	Yes
microsoft.machinelearningservices/workspaces/onlineendpoints	Yes	Não
Microsoft.FabricadeRedeGerida/DispositivosdeRede	Yes	Não
microsoft.media/mediaservices	Yes	Yes
microsoft.media/mediaservices/liveevents	Yes	Yes
microsoft.media/mediaservices/streamingendpoints	Yes	Yes
Microsoft.NetApp/NetAppAccounts/CapacityPools/Volumes	Yes	Yes
Microsoft.Network/ApplicationGateways	Yes	Não
microsoft.network/azurefirewalls	Yes	Não
microsoft.network/bastionhosts	Yes	Yes
microsoft.network/dnsresolverpolicies	Yes	Não
Microsoft.Network/ExpressRouteCircuits	Yes	Não
microsoft.network/frontdoors	Yes	Yes
microsoft.network/loadbalancers	Yes	Não
Microsoft.Network/NetworkManagers	Yes	Yes
microsoft.network/networkmanagers/ipampools	Yes	Yes
microsoft.rede/gruposdesegurançadarede	Yes	Não
microsoft.network/perímetrosdesegurançadenarede	Yes	Não
microsoft.network/p2svpngateways	Yes	Yes
microsoft.network/publicipaddresses	Yes	Yes
microsoft.network/publicipprefixes	Yes	Yes
Microsoft.Network/TrafficManagerProfiles	Yes	Não
Microsoft.Network/VirtualNetworkGateways	Yes	Yes
microsoft.network/virtualnetworks	Yes	Não
microsoft.network/vpngateways	Yes	Não
Microsoft.NetworkAnalytics/DataProducts	Yes	Yes
microsoft.networkcloud/baremetalmachines	Yes	Não
microsoft.networkcloud/clusters	Yes	Não
microsoft.networkcloud/aparelhos-de-armazenamento	Yes	Não
Microsoft.NetworkFunction/AzureTrafficCollectors	Yes	Não
microsoft.notificationhubs/namespaces	Yes	Yes
microsoft.notificationhubs/namespaces/notificationhubs	Yes	Yes
Microsoft.OpenEnergyPlatform/EnergyServices	Yes	Não
Microsoft.OperationalInsights/Workspaces	Yes	Yes
microsoft.powerbi/inquilinos/áreas de trabalho	Yes	Não
microsoft.powerbidedicated/capacidades	Yes	Não
microsoft.purview/accounts	Yes	Yes
Microsoft.RecoveryServices/Vaults	Yes	Não
microsoft.relay/namespaces	Yes	Não
microsoft.search/serviçosdebusca	Yes	Yes
microsoft.servicebus/namespaces	Yes	Yes
Microsoft.ServiceNetworking/ControladoresdeTráfego	Yes	Não
Microsoft.SignalRService/SignalR	Yes	Yes
Microsoft.SignalrService/WebPubSub	Yes	Yes
microsoft.sql/instâncias gerenciadas	Yes	Yes
microsoft.sql/instâncias gerenciadas/bancos de dados	Yes	Não
microsoft.sql/servidores/bancos de dados	Yes	Yes
microsoft.storagecache/caches	Yes	Não
Microsoft.StorageMover/StorageMovers	Yes	Não
Microsoft.StreamAnalytics/StreamingJobs	Yes	Não
microsoft.synapse/workspaces	Yes	Yes
microsoft.synapse/workspaces/bigdatapools	Yes	Yes
microsoft.synapse/workspaces/kustopools	Yes	Yes
microsoft.synapse/workspaces/scopepools	Yes	Yes
microsoft.synapse/workspaces/sqlpools	Yes	Yes
microsoft.timeseriesinsights/environments	Yes	Não
Microsoft.TimeSeriesInsights/Environments/EventSources	Yes	Não
microsoft.videoindexer/accounts	Yes	Não
microsoft.web/hostingenvironments	Yes	Yes
microsoft.workloads/sapvirtualinstances	Yes	Yes