一條Azure Policy合規性檢查

在Azure的原則中有一條合規性檢查叫稽核診斷設定,對應的英文是Audit diagnostic setting。

此規則針對一般服務就是在其服務當中啟用“診斷設定”,但對於Azure SQLdatabase有些特別,預設在資料庫的診斷設定當中就只有下面的內容可以勾選

20200523h-jZ

在Log的部分有9種log可以記錄,但提交查核後結果是不通過的,可以看到當前值是9個true,有2個false

20200524h-jW

要查詢2個false是對應到什麼

可以看到結果兩個false對應到DevOpsOperationsAudit和SQLSecurityAuditEvents

20200528h-nN

雖然官方的說明在這裏

https://docs.microsoft.com/zh-tw/azure/azure-monitor/samples/resource-manager-diagnostic-settings#diagnostic-setting-for-azure-sql-database

但其實并沒有前面2條記録,按照官方的說明用指令部署,當前一次檢查可以通過,但下一次還是會被覆蓋,解決方式是官方的腳本要修改一下,改為下面的內容,只有設定Log Analytics 工作區,取消儲存體和Event Hub
定義文件例如azure-monitor-deploy.json

參數文件,例如azure-monitor-deploy.parameters.json,裡面變量變為自己的

然後在本地powershell中執行,是套用在資源群組中,參數根據實際變更

這樣部署後就可以看到可以勾選的log,最終也可以通過合規性檢查。

20200542h-K4

當然這因該不是標準的方式,標準的方式,SQLSecurityAuditEvents和DevOpsOperationsAudit是要開啟SQL的稽核功能才可以出現

20200527h-En

這樣設定之後,因為這個稽核是從伺服器層別啟用,開啟之後所有的資料庫都會啟用,打開資料庫的診斷設定就可以出現了SQLSecurityAuditEvents,但仍然找不到DevOpsOperationsAudit的啟用方式,上述的啟用之後,DevOpsOperationsAudit是顯示在Master資料庫中(從監控中定位),但文件有提及此資料庫是不會被原則檢驗的,所以最終的解套方式就是自己修改腳本直接讓這兩項在診斷記錄中顯示出來。