VM-inzichten inschakelen met behulp van Azure Policy

  • Artikel

Met Azure Policy kunt u vereisten instellen en afdwingen voor alle nieuwe resources die u maakt en resources die u wijzigt. VM Insights-beleidsinitiatieven, die vooraf gedefinieerde sets beleidsregels zijn die zijn gemaakt voor VM-inzichten, de agents installeren die nodig zijn voor VM-inzichten en bewaking inschakelen op alle nieuwe virtuele machines in uw Azure-omgeving.

In dit artikel wordt uitgelegd hoe u VM-inzichten inschakelt voor virtuele Azure-machines, virtuele-machineschaalsets en hybride virtuele machines die zijn verbonden met Azure Arc door gebruik te maken van vooraf gedefinieerd VM-inzichtenbeleid.

Notitie

Zie Azure Monitor op schaal implementeren met behulp van Azure Policy voor informatie over het gebruik van Azure Policy met virtuele-machineschaalsets en hoe u rechtstreeks met Azure Policy kunt werken om virtuele Azure-machines in te schakelen.

INITIATIEVEN voor VM-inzichten

Initiatieven voor vm-inzichtenbeleid installeren Azure Monitor Agent en de afhankelijkheidsagent op nieuwe virtuele machines in uw Azure-omgeving. Wijs deze initiatieven toe aan een beheergroep, abonnement of resourcegroep om de agents automatisch te installeren op virtuele Windows- of Linux Azure-machines in het gedefinieerde bereik.

De initiatieven zijn van toepassing op nieuwe machines die u maakt en machines die u wijzigt, maar niet op bestaande VM's.

Name Beschrijving
Azure Monitor voor VM's inschakelen met Azure Monitoring Agent Installeert de Azure Monitor-agent en de afhankelijkheidsagent op azure-VM's.
Azure Monitor inschakelen voor virtuele-machineschaalsets met Azure Monitoring Agent Hiermee worden Azure Monitor Agent en de afhankelijkheidsagent op virtuele-machineschaalsets geïnstalleerd.
Azure Monitor inschakelen voor hybride VM's met Azure Monitoring Agent Hiermee worden Azure Monitor Agent en Dependency Agent geïnstalleerd op hybride VM's die zijn verbonden met Azure Arc.
Verouderd: Azure Monitor inschakelen voor VM's Hiermee installeert u de Log Analytics-agent en de afhankelijkheidsagent op virtuele-machineschaalsets.
Verouderd: Azure Monitor inschakelen voor virtuele-machineschaalsets Hiermee installeert u de Log Analytics-agent en de afhankelijkheidsagent op virtuele-machineschaalsets.

Belangrijk

De verouderde Log Analytics-agentwordt in augustus 2024 afgeschaft. Na deze datum biedt Microsoft geen ondersteuning meer voor de Log Analytics-agent. Migreer vóór augustus 2024 naar de Azure Monitor-agent om door te gaan met het opnemen van gegevens.

Ondersteuning voor aangepaste installatiekopieën

Op agents gebaseerde VM-inzichtenbeleid en initiatiefdefinities van Azure Monitor hebben een scopeToSupportedImages parameter die standaard is ingesteld true om onboarding Dependency Agent alleen in te schakelen op ondersteunde installatiekopieën. Stel deze parameter in om onboarding Dependency Agent toe te falsestaan voor aangepaste installatiekopieën.

Een initiatief voor het beleid voor VM-inzichten toewijzen

Een initiatief voor het beleid voor VM-inzichten toewijzen aan een abonnement of beheergroep vanuit De Azure-portal:

  1. Zoek en open Beleid.

  2. Selecteer Het initiatief Toewijzingen>toewijzen.

    Screenshot that shows the Policy Assignments screen with the Assign initiative button highlighted.

    Het scherm Initiatief toewijzen wordt weergegeven.

    Screenshot that shows Assign initiative.

  3. Configureer de initiatieftoewijzing:

    1. Selecteer in het veld Bereik de beheergroep of het abonnement waaraan u het initiatief toewijst.

    2. (Optioneel) Selecteer Uitsluitingen om specifieke resources uit te sluiten van de initiatieftoewijzing. Als uw bereik bijvoorbeeld een beheergroep is, kunt u een abonnement in die beheergroep opgeven dat moet worden uitgesloten van de toewijzing.

    3. Selecteer het beletselteken (...) naast initiatieftoewijzing om de beleidsdefinitiekiezer te starten. Selecteer een van de VM-inzichteninitiatieven.

    4. (Optioneel) Wijzig de naam van de toewijzing en voeg een beschrijving toe.

    5. Selecteer op het tabblad Parameters een Log Analytics-werkruimte waarnaar alle virtuele machines in de toewijzing gegevens verzenden. Voor virtuele machines om gegevens naar verschillende werkruimten te verzenden, maakt u meerdere toewijzingen, elk met een eigen bereik.

      Screenshot that shows a workspace.

      Notitie

      Als u een werkruimte selecteert die niet binnen het bereik van de toewijzing valt, verleent u Log Analytics-inzender machtigingen aan de principal-id van de beleidstoewijzing. Anders krijgt u mogelijk een implementatiefout, zoals:

      The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...

  4. Selecteer Beoordelen en maken om de details van de initiatieftoewijzing te bekijken. Selecteer Maken om de opdracht te maken.

    Maak op dit moment geen hersteltaak, omdat u waarschijnlijk meerdere hersteltaken nodig hebt om bestaande virtuele machines in te schakelen. Zie Nalevingsresultaten herstellen voor meer informatie over het maken van hersteltaken.

Naleving controleren voor een initiatief voor het beleid voor VM-inzichten

Nadat u een initiatief hebt toegewezen, kunt u de naleving voor het initiatief voor uw beheergroepen en abonnementen controleren en beheren.

Als u wilt zien hoeveel virtuele machines er bestaan in elk van de beheergroepen of abonnementen en de bijbehorende nalevingsstatus:

  1. Zoek en open Azure Monitor.

  2. Selecteer Overzicht>van virtuele machines>Andere onboardingopties. Selecteer Vervolgens onder Inschakelen met beleid de optie Inschakelen.

    Screenshot that shows other onboarding options page of VM insights with the Enable using policy option.

    De pagina Beleidsdekking van Azure Monitor voor VM's wordt weergegeven.

    Screenshot that shows the VM insights Azure Monitor for VMs Policy Coverage page.

    In de volgende tabel worden de nalevingsgegevens beschreven die worden weergegeven op de pagina Beleidsdekking van Azure Monitor voor VM's.

    Functie Beschrijving
    Scope Beheergroep of abonnement waarop het initiatief van toepassing is.
    Mijn rol Uw rol in het bereik. De rol kan lezer, eigenaar, inzender of leeg zijn als u toegang hebt tot het abonnement, maar niet tot de beheergroep waartoe het behoort. Uw rol bepaalt welke gegevens u kunt zien en of u beleidsregels of initiatieven (eigenaar) kunt toewijzen, bewerken of naleving kunt bekijken.
    Totaal aantal VM's Het totale aantal VM's in het bereik, ongeacht de status. Voor een beheergroep is dit aantal het totaal van vm's in alle gerelateerde abonnementen of onderliggende beheergroepen.
    Toewijzingsdekking Percentage vm's dat wordt gedekt door het initiatief. Wanneer u het initiatief toewijst, kan het bereik dat u in de toewijzing selecteert, het bereik zijn dat wordt vermeld of een subset ervan. Als u bijvoorbeeld een toewijzing maakt voor een abonnement (initiatiefbereik) en niet een beheergroep (dekkingsbereik), geeft de waarde van Toewijzingsdekking de VM's in het initiatiefbereik aan, gedeeld door de VM's in dekkingsbereik. In een ander geval kunt u sommige VM's, resourcegroepen of een abonnement uitsluiten van het beleidsbereik. Als de waarde leeg is, geeft dit aan dat het beleid of initiatief niet bestaat of dat u geen machtiging hebt.
    Toewijzingsstatus Geslaagd: Azure Monitor Agent of de Log Analytics-agent en afhankelijkheidsagent die zijn geïmplementeerd op alle computers binnen het bereik.
    Waarschuwing: het abonnement valt niet onder een beheergroep.
    Niet gestart: er is een nieuwe opdracht toegevoegd.
    Vergrendeling: U beschikt niet over voldoende bevoegdheden voor de beheergroep.
    Leeg: er bestaan geen VM's of er is geen beleid toegewezen.
    Compatibele VM's Het aantal VM's waarop zowel de Azure Monitor-agent als de Log Analytics-agent en de afhankelijkheidsagent zijn geïnstalleerd. Dit veld is leeg als er geen toewijzingen zijn, geen VM's in het bereik of als u niet over de relevante machtigingen beschikt.
    Naleving Het totale nalevingsnummer is de som van afzonderlijke compatibele resources, gedeeld door de som van alle afzonderlijke resources.
    Nalevingsstatus Compatibel: op alle VM's in het bereik zijn Azure Monitor Agent of de Log Analytics-agent en afhankelijkheidsagent geïmplementeerd, of er zijn nog geen nieuwe VM's in het bereik geëvalueerd.
    Niet-compatibel: er zijn VM's die niet zijn ingeschakeld en die mogelijk herstel nodig hebben.
    Niet gestart: er is een nieuwe opdracht toegevoegd.
    Vergrendeling: U beschikt niet over voldoende bevoegdheden voor de beheergroep.
    Leeg: er is geen beleid toegewezen.

  3. Selecteer het beletselteken (...) >Naleving weergeven.

    Screenshot that shows View Compliance.

    De pagina Naleving wordt weergegeven. Het bevat toewijzingen die overeenkomen met het opgegeven filter en geeft aan of ze compatibel zijn.

    Screenshot that shows Policy compliance for Azure VMs.

  4. Selecteer een opdracht om de details ervan weer te geven. De pagina Initiatiefnaleving wordt weergegeven. Hierin worden de beleidsdefinities in het initiatief vermeld en wordt aangegeven of elk beleid in overeenstemming is.

    Screenshot that shows Compliance details.

    Beleidsdefinities worden beschouwd als niet-compatibel als:

    • De Azure Monitor-agent, de Log Analytics-agent of de afhankelijkheidsagent worden niet geïmplementeerd. Maak een hersteltaak om dit te verhelpen.
    • VM-installatiekopieën (OS) worden niet geïdentificeerd in de beleidsdefinitie. Beleidsregels kunnen alleen bekende Azure VM-installatiekopieën verifiëren. Raadpleeg de documentatie om te zien of het VM-besturingssysteem wordt ondersteund.
    • Sommige VM's in het initiatiefbereik zijn verbonden met een andere Log Analytics-werkruimte dan de werkruimte die is opgegeven in de beleidstoewijzing.

  5. Selecteer een beleidsdefinitie om de pagina Beleidsnaleving te openen.

Een hersteltaak maken

Als in uw toewijzing geen naleving van 100% wordt weergegeven, maakt u hersteltaken om bestaande VM's te evalueren en in te schakelen. Waarschijnlijk moet u meerdere hersteltaken maken, één voor elke beleidsdefinitie. U kunt geen hersteltaak maken voor een initiatief.

Een hersteltaak maken:

  1. Selecteer Op de pagina Initiatiefnaleving de optie Hersteltaak maken.

    Screenshot that shows Policy compliance details.

    De pagina Nieuwe hersteltaak wordt weergegeven.

    Screenshot that shows the New remediation task page.

  2. Controleer de herstelinstellingen en resources om deze indien nodig te herstellen en te wijzigen. Selecteer Vervolgens Herstellen om de taak te maken.

    Nadat de hersteltaken zijn voltooid, moeten uw VM's compatibel zijn met agents die zijn geïnstalleerd en ingeschakeld voor VM-inzichten.

Hersteltaken bijhouden

Als u de voortgang van hersteltaken wilt bijhouden, selecteert u Herstel in het menu Beleid en selecteert u het tabblad Hersteltaken.

Screenshot that shows the Policy Remediation page for Monitor | Virtual Machines.

Volgende stappen

Leer hoe u het volgende doet: