Aktivieren von VM Insights mithilfe von Azure Policy

  • Artikel

Mit Azure Policy können Sie Anforderungen für alle von Ihnen neu erstellten und geänderten Ressourcen festlegen und erzwingen. VM Insights-Richtlinieninitiativen, bei denen es sich um vordefinierte Richtliniensätze handelt, die für VM Insights erstellt wurden, installieren die für VM Insights erforderlichen Agents und ermöglichen die Überwachung auf allen neuen VMs in Ihrer Azure-Umgebung.

In diesem Artikel wird erläutert, wie VM Insights für Azure-VMs, VM-Skalierungsgruppen und Hybrid-VMs, die mit Azure Arc verbunden sind, mithilfe vordefinierter VM Insights-Richtlinieninitiativen aktiviert wird.

Hinweis

Informationen zur Verwendung von Azure Policy mit Azure-VM-Skalierungsgruppen sowie zur direkten Verwendung von Azure Policy zum Aktivieren von Azure-VMs finden Sie unter Bedarfsorientiertes Bereitstellen von Azure Monitor mithilfe von Azure Policy.

VM Insights-Initiativen

VM Insights-Richtlinieninitiativen installieren den Azure Monitor-Agent und den Dependency-Agent auf neuen VMs in Ihrer Azure-Umgebung. Weisen Sie diese Initiativen einer Verwaltungsgruppe, einem Abonnement oder einer Ressourcengruppe zu, um die Agents automatisch auf Azure-VMs mit Windows oder Linux im definierten Bereich zu installieren.

Die Initiativen gelten für von Ihnen neu erstellte und geänderte Computer, aber nicht für vorhandene VMs.

Name Beschreibung
Aktivieren von Azure Monitor für VMs mit Azure Monitoring-Agent Installiert den Azure Monitor-Agent und den Dependency-Agent auf Azure-VMs.
Aktivieren von Azure Monitor für VM-Skalierungsgruppen mit Azure Monitoring-Agent Installiert den Azure Monitor-Agent und den Dependency-Agent in VM-Skalierungsgruppen.
Aktivieren von Azure Monitor für Hybrid-VMs mit Azure Monitoring-Agent Installiert den Azure Monitor-Agent und den Dependency-Agent auf Hybrid-VMs, die mit Azure Arc verbunden sind.
Legacy: Azure Monitor für VMs aktivieren Installiert den Log Analytics-Agent und den Dependency-Agent in der VM-Skalierungsgruppe.
Legacy: Azure Monitor für VM-Skalierungsgruppen aktivieren Installiert den Log Analytics-Agent und den Dependency-Agent in der VM-Skalierungsgruppe.

Wichtig

Der bisherige Protokollanalyse-Agentwird ab August 2024 veraltet sein. Nach diesem Datum bietet Microsoft keine Unterstützung mehr für den Log Analytics-Agent. Migrieren Sie vor August 2024 zum Azure Monitor-Agent, um weiterhin Daten erfassen zu können.

Unterstützung für benutzerdefinierte Images

Auf dem Azure Monitor-Agent basierende Richtlinien- und Initiativendefinitionen von VM Insights verfügen über einen scopeToSupportedImages-Parameter, der standardmäßig auf true festgelegt ist, um das Onboarding des Dependency-Agents nur für unterstützte Images zu ermöglichen. Legen Sie diesen Parameter auf false fest, um das Onboarding des Dependency-Agents für benutzerdefinierte Images zuzulassen.

Zuweisen einer VM Insights-Richtlinieninitiative

Führen Sie die folgenden Schritte aus, um einem Abonnement oder einer Verwaltungsgruppe eine VM Insights-Richtlinieninitiative über das Azure-Portal zuzuweisen:

  1. Suchen und öffnen Sie Policy.

  2. Wählen Sie Zuweisungen>Initiative zuweisen aus.

    Screenshot that shows the Policy Assignments screen with the Assign initiative button highlighted.

    Der Bildschirm Initiative zuweisen wird angezeigt.

    Screenshot that shows Assign initiative.

  3. Konfigurieren Sie die Initiativenzuweisung:

    1. Wählen Sie im Feld Bereich die Verwaltungsgruppe oder das Abonnement aus, der bzw. dem Sie die Initiative zuweisen möchten.

    2. (Optional) Wählen Sie Ausschlüsse aus, um bestimmte Ressourcen von der Initiativenzuweisung auszuschließen. Wenn Sie beispielsweise eine Verwaltungsgruppe als Bereich verwenden, können Sie ein Abonnement in dieser Verwaltungsgruppe angeben, das von der Zuweisung ausgeschlossen werden soll.

    3. Klicken Sie auf die Auslassungspunkte (...) neben Initiativzuweisung, um die Auswahl der Richtliniendefinition zu starten. Wählen Sie eine der Initiativen für VM-Erkenntnisse aus.

    4. (Optional) Ändern Sie den Eintrag im Feld Zuweisungsname, und fügen Sie eine Beschreibung hinzu.

    5. Wählen Sie auf der Registerkarte Parameter einen Log Analytics-Arbeitsbereich aus, an den alle VMs in der Zuweisung Daten senden. Damit VMs Daten an verschiedene Arbeitsbereiche senden können, erstellen Sie mehrere Zuweisungen mit jeweils einem eigenen Bereich.

      Screenshot that shows a workspace.

      Hinweis

      Bei Auswahl eines Arbeitsbereichs, der außerhalb des Bereichs der Zuweisung liegt, erteilen Sie der Prinzipal-ID der Richtlinienzuweisung Berechtigungen vom Typ Log Analytics-Mitwirkender. Andernfalls wird Ihnen möglicherweise ein Bereitstellungsfehler wie folgender angezeigt:

      The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...

  4. Wählen Sie Überprüfen + erstellen aus, um die Details der Initiativenzuweisung zu überprüfen. Wählen Sie Erstellen aus, um die Zuweisung zu erstellen.

    Erstellen Sie zu diesem Zeitpunkt keinen Wartungstask. Wahrscheinlich benötigen Sie mehrere Wartungstasks, um vorhandene VMs zu aktivieren. Weitere Informationen zum Erstellen von Wartungstasks finden Sie unter Behandeln von Konformitätsproblemen.

Überprüfen der Konformität für eine VM Insights-Richtlinieninitiative

Nachdem Sie eine Initiative zugewiesen haben, können Sie die Konformität für die Initiative in Ihren Verwaltungsgruppen und Abonnements überprüfen und verwalten.

Ermitteln Sie anhand der folgenden Schritte, wie viele VMs in den einzelnen Verwaltungsgruppen und Abonnements vorhanden sind und welchen Konformitätsstatus sie aufweisen:

  1. Suchen und öffnen Sie Azure Monitor.

  2. Wählen Sie Virtuelle Computer>Übersicht>Weitere Onboardingoptionen aus. Wählen Sie dann unter Über Richtlinie aktivieren die Option Aktivieren aus.

    Screenshot that shows other onboarding options page of VM insights with the Enable using policy option.

    Die Seite Azure Monitor für VMs-Richtlinienabdeckung wird angezeigt.

    Screenshot that shows the VM insights Azure Monitor for VMs Policy Coverage page.

    In der folgenden Tabelle werden die auf der Seite Azure Monitor für VMs-Richtlinienabdeckung angezeigten Konformitätsinformationen beschrieben.

    Funktion BESCHREIBUNG
    Umfang Verwaltungsgruppe oder Abonnement, für die bzw. das die Initiative gilt.
    Meine Rolle Ihre Rolle im Bereich. Die Rolle kann Leser, Besitzer, Mitwirkender oder leer sein, wenn Sie Zugriff auf das Abonnement, aber nicht auf die Verwaltungsgruppe haben, der es angehört. Ihre Rolle bestimmt, welche Daten Ihnen angezeigt werden und ob Sie Richtlinien oder Initiativen zuweisen (Besitzer), bearbeiten oder die Konformität anzeigen können.
    VMs gesamt Gesamtzahl der VMs im Bereich (unabhängig vom Status). Für eine Verwaltungsgruppe ist diese Zahl die Summe der VMs in allen zugehörigen Abonnements oder untergeordneten Verwaltungsgruppen.
    Zuweisungsabdeckung Prozentsatz der VMs, die von der Initiative abgedeckt sind. Wenn Sie die Initiative zuweisen, kann der von Ihnen in der Zuweisung ausgewählte Bereich der aufgelistete Bereich oder eine Teilmenge davon sein. Wenn Sie beispielsweise eine Zuweisung für ein Abonnement (Initiativenbereich) und nicht für eine Verwaltungsgruppe (Abdeckungsbereich) erstellen, gibt der Wert der Zuweisungsabdeckung die VMs im Initiativenbereich dividiert durch die VMs im Abdeckungsbereich an. In einem anderen Fall könnten Sie einige VMs, Ressourcengruppen oder ein Abonnement aus dem Richtlinienbereich ausschließen. Wenn der Wert leer ist, bedeutet dies, dass entweder die Richtlinie oder Initiative nicht vorhanden ist oder Sie keine Berechtigung haben.
    Zuweisungsstatus Erfolg: Der Azure Monitor-Agent oder der Log Analytics-Agent und der Dependency-Agent sind auf allen Computern im Bereich bereitgestellt.
    Warnung: Das Abonnement gehört zu keiner Verwaltungsgruppe.
    Nicht gestartet: Eine neue Zuweisung wurde hinzugefügt.
    Sperre: Sie haben nicht genügend Rechte für die Verwaltungsgruppe.
    Leer: Es sind keine VMs vorhanden, oder es wurde keine Richtlinie zugewiesen.
    Konforme VMs Anzahl der VMs, auf denen sowohl der Azure Monitor-Agent oder der Log Analytics-Agent sowie der Dependency-Agent installiert sind. Dieses Feld ist leer, wenn keine Zuweisungen vorhanden sind, keine VMs im Bereich existieren oder Sie nicht über die relevanten Berechtigungen verfügen.
    Compliance Der Gesamtwert für die Konformität ist die Summe der einzelnen konformen Ressourcen geteilt durch die Summe aller einzelnen Ressourcen.
    Konformitätszustand Konform: Auf allen VMs im Bereich sind der Azure Monitor-Agent oder der Log Analytics-Agent und der Dependency-Agent bereitgestellt bzw. neue VMs im Bereich wurden noch nicht ausgewertet.
    Nicht konform: Es sind VMs vorhanden, die nicht aktiviert sind und möglicherweise gewartet werden müssen.
    Nicht gestartet: Eine neue Zuweisung wurde hinzugefügt.
    Sperre: Sie haben nicht genügend Rechte für die Verwaltungsgruppe.
    Leer: Keine Richtlinie zugewiesen.

  3. Wählen Sie die Auslassungspunkte (...) >Konformität anzeigen aus.

    Screenshot that shows View Compliance.

    Die Seite Konformität wird angezeigt. Auf ihr werden Zuweisungen aufgelistet, die dem angegebenen Filter entsprechen, und angegeben wird, ob sie konform sind.

    Screenshot that shows Policy compliance for Azure VMs.

  4. Wählen Sie eine Zuweisung aus, um die jeweiligen Details anzuzeigen. Die Seite Initiativkonformität wird angezeigt. Sie listet die Richtliniendefinitionen in der Initiative auf und zeigt den Konformitätsstatus an.

    Screenshot that shows Compliance details.

    Richtliniendefinitionen gelten in folgenden Fällen als nicht konform:

    • Azure Monitor-Agent, der Log Analytics-Agent oder der Dependency-Agent wurden nicht bereitgestellt. Erstellen Sie einen Wartungstask, um das Problem zu behandeln.
    • Das VM-Image (Betriebssystem) wird in der Richtliniendefinition nicht identifiziert. Richtlinien können nur bekannte Azure-VM-Images überprüfen. Überprüfen Sie anhand der Dokumentation, ob das Betriebssystem der VM unterstützt wird.
    • Einige VMs im Bereich der Initiative sind mit einem anderen Log Analytics-Arbeitsbereich verbunden als dem, der in der Richtlinienzuweisung angegeben ist.

  5. Wählen Sie eine Richtliniendefinition aus, um die Seite Richtlinienkonformität zu öffnen.

Erstellen eines Wartungstask

Wenn für Ihre Zuweisung keine Konformität von 100 % ermittelt wird, erstellen Sie Wartungstasks, um vorhandene VMs auszuwerten und zu aktivieren. Wahrscheinlich müssen Sie mehrere Wartungstasks erstellen (einen Task pro Richtliniendefinition). Es ist nicht möglich, einen Wartungstask für eine Initiative zu erstellen.

Führen Sie die folgenden Schritte aus, um einen Wartungstask zu erstellen:

  1. Wählen Sie auf der Seite Initiativenkonformität die Option Wartungstask erstellen aus.

    Screenshot that shows Policy compliance details.

    Die Seite Neuer Wiederherstellungstask wird angezeigt.

    Screenshot that shows the New remediation task page.

  2. Überprüfen Sie die Wartungseinstellungen und Zu korrigierende Ressourcen und passen Sie sie bei Bedarf an. Wählen Sie dann Korrigieren aus, um die Aufgabe zu erstellen.

    Nach Abschluss der Wartungstasks sollten Ihre VMs konform sein. Die Agents sollten installiert und für VM Insights aktiviert sein.

Nachverfolgen von Wartungstasks

Zum Nachverfolgen des Fortschritts von Wartungstasks wählen Sie im Menü Richtlinie die Option Wartung ausführen und dann die Registerkarte Wartungstasks aus.

Screenshot that shows the Policy Remediation page for Monitor | Virtual Machines.

Nächste Schritte

In diesem Artikel werden folgende Themen erläutert: