Псевдоним для журнала активности лазурного

Я пытаюсь создать политику Azure, которая отслеживает определенный тип события (создание или обновление правила безопасности) в журнале активности портала Azure.

Взгляд на json для этого события подтвердил, что он имеет тип 'Administrative' и имеет действие 'Microsoft.Network/networkSecurityGroups/securityRules/write', как показано:


    "authorization": {
        "action": "Microsoft.Network/networkSecurityGroups/securityRules/delete",
        "scope": "/subscriptions/xxxx/resourceGroups/xxxx/providers/Microsoft.Network/networkSecurityGroups/xxx/securityRules/xxxx"
    },

Я надеюсь использовать эти детали, чтобы отличить это событие от остальных. Однако сначала мне нужен псевдоним, который позволяет мне получить к ним доступ и не может найти подходящий из тех, которые показаны:

Get-AzPolicyAlias -NamespaceMatch 'microsoft.insights' | select -ExpandProperty Aliases | select -Property Name -ExpandProperty Paths

который дает:

Name                                                                     Path                                          ApiVersions
----                                                                     ----                                          -----------
Microsoft.Insights/logProfiles/storageAccountId                          properties.storageAccountId                   {2016-03-01}
Microsoft.Insights/logProfiles/serviceBusRuleId                          properties.serviceBusRuleId                   {2016-03-01}
Microsoft.Insights/logProfiles/locations                                 properties.locations                          {2016-03-01}
Microsoft.Insights/logProfiles/locations[*]                              properties.locations[*]                       {2016-03-01}
Microsoft.Insights/logProfiles/categories                                properties.categories                         {2016-03-01}
Microsoft.Insights/logProfiles/categories[*]                             properties.categories[*]                      {2016-03-01}
Microsoft.Insights/logProfiles/retentionPolicy                           properties.retentionPolicy                    {2016-03-01}
Microsoft.Insights/logProfiles/retentionPolicy.enabled                   properties.retentionPolicy.enabled            {2016-03-01}
Microsoft.Insights/logProfiles/retentionPolicy.days                      properties.retentionPolicy.days               {2016-03-01}
Microsoft.Insights/alertRules/isEnabled                                  properties.isEnabled                          {2016-03-01, 2015-04-01, 2014-04-01}
Microsoft.Insights/alertRules/condition.dataSource.resourceUri           properties.condition.dataSource.resourceUri   {2016-03-01, 2015-04-01, 2014-04-01}
Microsoft.Insights/alertRules/condition.dataSource.metricName            properties.condition.dataSource.metricName    {2016-03-01, 2015-04-01, 2014-04-01}
Microsoft.Insights/alertRules/condition.operator                         properties.condition.operator                 {2016-03-01, 2015-04-01, 2014-04-01}
Microsoft.Insights/alertRules/condition.threshold                        properties.condition.threshold                {2016-03-01, 2015-04-01, 2014-04-01}
Microsoft.Insights/alertRules/condition.windowSize                       properties.condition.windowSize               {2016-03-01, 2015-04-01, 2014-04-01}
Microsoft.Insights/alertRules/condition.timeAggregation                  properties.condition.timeAggregation          {2016-03-01, 2015-04-01, 2014-04-01}
Microsoft.Insights/alertRules/condition.dataSource.odata.type            properties.condition.dataSource.odata.type    {2016-03-01, 2015-04-01, 2014-04-01}
Microsoft.Insights/alertRules/actions[*].odata.type                      properties.action.odata.type                  {2015-04-01, 2014-04-01}
Microsoft.Insights/alertRules/actions[*].odata.type                      properties.actions[*].odata.type              {2016-03-01}
Microsoft.Insights/alertRules/actions[*].sendToServiceOwners             properties.action.sendToServiceOwners         {2015-04-01, 2014-04-01}
Microsoft.Insights/alertRules/actions[*].sendToServiceOwners             properties.actions[*].sendToServiceOwners     {2016-03-01}
Microsoft.Insights/alertRules/actions[*].customEmails                    properties.action.customEmails                {2015-04-01, 2014-04-01}
Microsoft.Insights/alertRules/actions[*].customEmails                    properties.actions[*].customEmails            {2016-03-01}
Microsoft.Insights/alertRules/actions[*].customEmails[*]                 properties.action.customEmails[*]             {2015-04-01, 2014-04-01}
Microsoft.Insights/alertRules/actions[*].customEmails[*]                 properties.actions[*].customEmails[*]         {2016-03-01}
Microsoft.Insights/alertRules/actions[*].serviceUri                      properties.action.serviceUri                  {2015-04-01, 2014-04-01}
Microsoft.Insights/alertRules/actions[*].serviceUri                      properties.actions[*].serviceUri              {2016-03-01}
Microsoft.Insights/diagnosticSettings/logs.enabled                       properties.logs[*].enabled                    {2017-05-01-preview, 2016-09-01, 2015…
Microsoft.Insights/diagnosticSettings/metrics.enabled                    properties.metrics[*].enabled                 {2017-05-01-preview, 2016-09-01, 2015…
Microsoft.Insights/diagnosticSettings/storageAccountId                   properties.storageAccountId                   {2017-05-01-preview, 2016-09-01, 2015…
Microsoft.Insights/diagnosticSettings/workspaceId                        properties.workspaceId                        {2017-05-01-preview, 2016-09-01, 2015…
Microsoft.Insights/diagnosticSettings/eventHubAuthorizationRuleId        properties.eventHubAuthorizationRuleId        {2017-05-01-preview, 2016-09-01, 2015…
Microsoft.Insights/diagnosticSettings/eventHubName                       properties.eventHubName                       {2017-05-01-preview, 2016-09-01, 2015…
Microsoft.Insights/diagnosticSettings/metrics[*].retentionPolicy.enabled properties.metrics[*].retentionPolicy.enabled {2017-05-01-preview, 2016-09-01, 2015…
Microsoft.Insights/diagnosticSettings/metrics[*].retentionPolicy.days    properties.metrics[*].retentionPolicy.days    {2017-05-01-preview, 2016-09-01, 2015…
Microsoft.Insights/diagnosticSettings/metrics[*].category                properties.metrics[*].category                {2017-05-01-preview, 2016-09-01, 2015…
Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.enabled    properties.logs[*].retentionPolicy.enabled    {2017-05-01-preview, 2016-09-01, 2015…
Microsoft.Insights/diagnosticSettings/logs[*].retentionPolicy.days       properties.logs[*].retentionPolicy.days       {2017-05-01-preview, 2016-09-01, 2015…
Microsoft.Insights/diagnosticSettings/logs[*].category                   properties.logs[*].category                   {2017-05-01-preview, 2016-09-01, 2015…
Microsoft.Insights/ActivityLogAlerts/scopes                              properties.scopes                             {2018-09-01, 2017-04-01, 2017-03-01-p…
Microsoft.Insights/ActivityLogAlerts/scopes[*]                           properties.scopes[*]                          {2018-09-01, 2017-04-01, 2017-03-01-p…
Microsoft.Insights/ActivityLogAlerts/condition                           properties.condition                          {2018-09-01, 2017-04-01, 2017-03-01-p…
Microsoft.Insights/ActivityLogAlerts/condition.allOf                     properties.condition.allOf                    {2018-09-01, 2017-04-01, 2017-03-01-p…
Microsoft.Insights/ActivityLogAlerts/condition.allOf[*]                  properties.condition.allOf[*]                 {2018-09-01, 2017-04-01, 2017-03-01-p…
Microsoft.Insights/ActivityLogAlerts/condition.allOf[*].field            properties.condition.allOf[*].field           {2018-09-01, 2017-04-01, 2017-03-01-p…
Microsoft.Insights/ActivityLogAlerts/condition.allOf[*].equals           properties.condition.allOf[*].equals          {2018-09-01, 2017-04-01, 2017-03-01-p…
Microsoft.Insights/ActivityLogAlerts/condition.allOf[*].containsAny      properties.condition.allOf[*].containsAny     {2018-09-01, 2017-04-01, 2017-03-01-p…
Microsoft.Insights/ActivityLogAlerts/enabled                             properties.enabled                            {2018-09-01, 2017-04-01, 2017-03-01-p…

Пожалуйста, помогите мне определить правильный псевдоним

azure azure-policy

Laiba Abid 20.10.2020 источник

Ответы (1)

arrow_upward
0
arrow_downward

Я не верю, что можно написать политику против самих событий журнала активности. Однако вы можете использовать политику Azure, чтобы принудительно перенаправить журналы активности в концентратор событий, а затем написать приложение-функцию для отслеживания и реагирования на них.

Rob S. 20.10.2020

Псевдоним для журнала активности лазурного

Ответы (1)

Вопросы по теме