Hantera uppdateringar och korrigeringar för dina virtuella datorer

  • Artikel

Varning

Den här artikeln refererar till CentOS, en Linux-distribution som närmar sig EOL-status (End Of Life). Överväg att använda och planera i enlighet med detta. Mer information finns i CentOS End Of Life-vägledningen.

Programuppdateringar i Azure Automation Update Management innehåller en uppsättning verktyg och resurser som kan hjälpa dig att hantera den komplexa uppgiften att spåra och tillämpa programuppdateringar på datorer i Azure och hybridmoln. En effektiv process för hantering av programuppdateringar är nödvändig för att upprätthålla driftseffektivitet, lösa säkerhetsproblem och minska riskerna för ökade cybersäkerhetshot. Men på grund av teknikens föränderliga karaktär och det ständiga utseendet på nya säkerhetshot kräver effektiv programuppdateringshantering konsekvent och kontinuerlig uppmärksamhet.

Kommentar

Uppdateringshantering stöder distribution av uppdateringar från första part och förhämtning av dem. Det här stödet kräver ändringar i de system som uppdateras. Se Konfigurera Windows Update-inställningar för Azure Automation Update Management för att lära dig hur du konfigurerar de här inställningarna på dina system.

Innan du försöker hantera uppdateringar för dina virtuella datorer kontrollerar du att du har aktiverat Uppdateringshantering på dem med någon av följande metoder:

Begränsa omfånget för distributionen

Uppdateringshantering använder en omfångskonfiguration på arbetsytan för att rikta in sig på datorerna för att ta emot uppdateringar. Mer information finns i Begränsa distributionsomfånget för uppdateringshantering.

Efterlevnadsbedömning

Innan du distribuerar programuppdateringar till dina datorer bör du granska resultatet av utvärderingen av uppdateringsefterlevnad för aktiverade datorer. För varje programuppdatering registreras dess efterlevnadstillstånd och när utvärderingen är klar samlas den in och vidarebefordras i bulk till Azure Monitor-loggar.

På en Windows-dator körs kompatibilitetsgenomsökningen var 12:e timme som standard och initieras inom 15 minuter efter att Log Analytics-agenten för Windows har startats om. Utvärderingsdata vidarebefordras sedan till arbetsytan och uppdaterar tabellen Uppdateringar. Före och efter installationen av uppdateringen utförs en genomsökning av uppdateringsefterlevnad för att identifiera saknade uppdateringar, men resultaten används inte för att uppdatera utvärderingsdata i tabellen.

Det är viktigt att granska våra rekommendationer om hur du konfigurerar Windows Update-klienten med Uppdateringshantering för att undvika problem som förhindrar att den hanteras korrekt.

På en Linux-dator utförs kompatibilitetssökningen en gång i timmen som standard. Om Log Analytics-agenten för Linux startas om initieras en efterlevnadsgenomsökning inom 15 minuter.

Efterlevnadsresultaten visas i Uppdateringshantering för varje dator som utvärderas. Det kan ta upp till 30 minuter innan instrumentpanelen visar uppdaterade data från en ny dator som är aktiverad för hantering.

Granska övervaka programuppdateringar för att lära dig hur du visar kompatibilitetsresultat.

Distribuera uppdateringar

När du har granskat kompatibilitetsresultaten är distributionsfasen för programuppdatering processen för att distribuera programuppdateringar. Om du vill installera uppdateringar schemalägger du en distribution som överensstämmer med ditt versionsschema och tjänstfönster. Du kan välja vilka uppdateringstyper som ska tas med i distributionen. Du kan till exempel ta med kritiska uppdateringar eller säkerhetsuppdateringar och exkludera samlade uppdateringar.

Läs distribuera programuppdateringar för att lära dig hur du schemalägger en uppdateringsdistribution.

Exkludera uppdateringar

På vissa Linux-varianter, till exempel Red Hat Enterprise Linux, kan uppgraderingar på OS-nivå ske via paket. Detta kan leda till att Uppdateringshantering körs där operativsystemets versionsnummer ändras. Eftersom Uppdateringshantering använder samma metoder för att uppdatera paket som en administratör använder lokalt på en Linux-dator är det här beteendet avsiktligt.

Om du vill undvika att uppdatera operativsystemets version via distributioner av uppdateringshantering använder du funktionen Exkludering .

I Red Hat Enterprise Linux är paketnamnet som ska undantas redhat-release-server.x86_64.

Linux-uppdateringsklassificeringar

När du distribuerar uppdateringar till en Linux-dator kan du välja uppdateringsklassificeringar. Det här alternativet filtrerar de uppdateringar som uppfyller de angivna kriterierna. Det här filtret tillämpas lokalt på datorn när uppdateringen distribueras.

Eftersom Uppdateringshantering utför uppdateringsberikning i molnet kan du flagga vissa uppdateringar i Uppdateringshantering som säkerhetspåverkande, även om den lokala datorn inte har den informationen. Om du tillämpar kritiska uppdateringar på en Linux-dator kan det finnas uppdateringar som inte har markerats som säkerhetspåverkande på den datorn och därför inte tillämpas. Uppdateringshantering kan dock fortfarande rapportera datorn som inkompatibel eftersom den har ytterligare information om den relevanta uppdateringen.

Distribution av uppdateringar efter uppdateringsklassificering fungerar inte på RTM-versioner av CentOS. Om du vill distribuera uppdateringar för CentOS korrekt väljer du alla klassificeringar för att se till att uppdateringar tillämpas. För SUSE kan du välja ENDAST Andra uppdateringar eftersom klassificeringen kan installera vissa andra säkerhetsuppdateringar om de är relaterade till zypper (pakethanteraren) eller om dess beroenden krävs först. Det här beteendet är en begränsning av zypper. I vissa fall kan du behöva köra uppdateringsdistributionen igen och sedan verifiera distributionen via uppdateringsloggen.

Granska uppdateringsdistributioner

När distributionen är klar granskar du processen för att fastställa om uppdateringsdistributionen har slutförts per dator eller målgrupp. Se granska distributionsstatus för att lära dig hur du kan övervaka distributionsstatusen.

Nästa steg