通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

大规模配置 Azure 服务器管理服务

  • 项目

必须完成以下两项任务才能将 Azure 服务器管理服务加入服务器:

  • 将服务代理部署到服务器。
  • 启用管理解决方案。

本文将介绍完成这些任务所需的三个过程:

  1. 使用 Azure Policy 将所需的代理部署到 Azure VM。
  2. 将所需的代理部署到本地服务器。
  3. 启用并配置解决方案。

注意

在将虚拟机加入 Azure 服务器管理服务之前,请创建所需的 Log Analytics 工作区和 Azure 自动化帐户

使用 Azure Policy 将扩展部署到 Azure VM

Azure 管理工具和服务中讨论的所有管理解决方案都要求在 Azure 中的虚拟机和本地服务器上安装 Log Analytics 代理。 可以使用 Azure Policy 大规模加入 Azure VM。 分配策略以确保代理安装在 Azure VM 上并连接到正确的 Log Analytics 工作区。

Azure Policy 具有内置策略计划,其中包括用于 VM 的 Azure Monitor 所需的 Log Analytics 代理和 Microsoft Dependency Agent

注意

要详细了解监视 Azure 的各种代理,请参阅 Azure 监视代理概述

分配策略

分配上一部分中所述的策略:

  1. 在 Azure 门户中,转到“策略”>“分配”>“分配计划”

    Screenshot of the portal's policy interface with the Assignments option and Assign initiative option called out.

  2. 在“分配策略”页上,通过选择省略号 (…) 然后选择管理组或订阅,设置“范围”。 或者,请选择一个资源组。 然后选择“范围”页底部的“选择”。 范围决定将策略分配给哪些资源或资源组。

  3. 选择“策略定义”旁边的省略号 (…) 以打开可用定义的列表。 若要筛选计划定义,请在“搜索”框中输入 Azure Monitor

    Screenshot of the Enable Azure Monitor for V M initiative definition.

  4. “分配名称”中自动填充了所选的策略名称,但可以更改它。 你还可以添加可选描述来提供有关此策略分配的详细信息。 系统会根据登录的用户自动填充“分配者”字段。 此字段是可选的,它支持自定义值。

  5. 对于此策略,请为要关联的 Log Analytics 代理选择 Log Analytics 工作区

    Screenshot of the Log Analytics workspace option.

  6. 选中“托管标识位置”复选框。 如果此策略的类型为 DeployIfNotExists,则需要使用托管标识来部署策略。 在门户中,将根据选中的复选框的指示创建帐户。

  7. 选择分配

完成该向导后,策略分配将部署到环境中。 此策略可能需要长达 30 分钟才能生效。 若要测试此策略,请在 30 分钟后创建新的 VM,并检查是否在 VM 上默认启用了 Log Analytics 代理。

在本地服务器上安装代理

注意

在将 Azure 服务器管理服务加入服务器之前,请创建所需的 Log Analytics 工作区和 Azure 自动化帐户

对于本地服务器,需要手动下载并安装 Log Analytics 代理和 Microsoft Dependency Agent,并将其配置为连接到正确的工作区。 必须指定工作区 ID 和密钥信息。 若要获取该信息,请转到 Azure 门户中的 Log Analytics 工作区,并选择“设置”>“高级设置”

Screenshot of Log Analytics workspace advanced settings in the Azure portal

启用和配置解决方案

若要启用解决方案,需配置 Log Analytics 工作区。 加入的 Azure VM 和本地服务器会从其连接到的 Log Analytics 工作区获取解决方案。

更新管理

更新管理解决方案以及更改跟踪和清单解决方案都需要 Log Analytics 工作区和 Azure 自动化帐户。 若要确保正确配置这些资源,建议你通过自动化帐户进行加入。 有关详细信息,请参阅加入更新管理解决方案以及更改跟踪和清单解决方案

建议为所有服务器启用更新管理解决方案。 Azure VM 和本地服务器可免费使用更新管理。 如果通过自动化帐户启用更新管理,则会在工作区中创建范围配置。 手动更新范围,以包含更新管理解决方案覆盖的计算机。

若要覆盖现有服务器以及将来的服务器,则需要删除范围配置。 为此,请查看 Azure 门户中的自动化帐户。 选择“更新管理”>“管理计算机”>“对所有可用和将来的计算机启用”。 此设置允许所有连接到工作区的 Azure VM 使用更新管理。

Screenshot of Update Management in the Azure portal

更改跟踪和清单解决方案

若要加入更改跟踪和清单解决方案,请按照与更新管理相同的步骤进行操作。 要详细了解如何通过自动化帐户加入这些解决方案,请参阅加入更新管理解决方案以及更改跟踪和清单解决方案

对于 Azure VM,可免费使用更改跟踪和清单解决方案;对于本地服务器,费用为每个节点 6 美元/月。 此费用涉及更改跟踪、清单和 Desired State Configuration。 如果只想注册特定的本地服务器,可选择加入这些服务器。 建议你将所有生产服务器都加入。

通过 Azure 门户选择加入

  1. 转到已启用更改跟踪和清单的自动化帐户。
  2. 选择更改跟踪
  3. 在右上窗格中选择“管理计算机”
  4. 选择“在所选计算机上启用”。 然后选择计算机名称旁边的“添加”
  5. 选择“启用”,为这些计算机启用解决方案

Screenshot of Change Tracking in the Azure portal

可使用保存的搜索选择加入

也可将范围配置配置为选择加入本地服务器。 范围配置使用保存的搜索。

若要创建或修改保存的搜索,请执行以下步骤:

  1. 转到与你在先前步骤中配置的自动化帐户关联的 Log Analytics 工作区。

  2. 在“常规”下,选择“保存的搜索”

  3. 在“筛选器”框中,输入“更改跟踪”以筛选已保存搜索的列表。 在结果中,选择“MicrosoftDefaultComputerGroup”

  4. 输入计算机名或 VMUUID 以包含要为更改跟踪和清单选择的计算机。

Heartbeat
| where AzureEnvironment=~"Azure" or Computer in~ ("list of the on-premises server names", "server1")
| distinct Computer

注意

服务器名称必须与表达式中的值完全一致,而且不应包含域名后缀。

  1. 选择“保存”。 范围配置默认链接到 MicrosoftDefaultComputerGroup 已保存的搜索。 它将自动更新。

Azure 活动日志

Azure 活动日志也是 Azure Monitor 的一部分。 它提供对 Azure 中发生的订阅级事件的见解。

实现此解决方案:

  1. 在 Azure 门户中,打开“所有服务”,然后选择“管理 + 治理”解决方案”>
  2. 在“解决方案”视图中,选择“添加”
  3. 搜索 Activity Log Analytics 并将其选中
  4. 选择创建

对于你在上一节中创建的启用了解决方案的工作区,需要为其指定工作区名称

Azure Log Analytics 代理运行状况

Azure Log Analytics 代理运行状况解决方案可以报告 Windows 和 Linux 服务器的运行状况、性能和可用性。

实现此解决方案:

  1. 在 Azure 门户中,打开“所有服务”,然后选择“管理 + 治理”解决方案”>
  2. 在“解决方案”视图中,选择“添加”
  3. 搜索 Azure Log Analytics 代理运行状况,并将其选中
  4. 选择创建

对于你在上一节中创建的启用了解决方案的工作区,需要为其指定工作区名称

创建完成后,选择“查看”>“解决方案”,工作区资源实例随即将显示 AgentHealthAssessment

反恶意软件评估

反恶意软件评估解决方案有助于识别受感染的服务器或受恶意软件感染风险增加的服务器。

实现此解决方案:

  1. 在 Azure 门户中,打开“所有服务”,选择“管理 + 治理”解决方案”>
  2. 在“解决方案”视图中,选择“添加”
  3. 搜索“反恶意软件评估”并将其选中
  4. 选择创建

对于你在上一节中创建的启用了解决方案的工作区,需要为其指定工作区名称

创建完成后,选择“查看”>“解决方案”,工作区资源实例随即将显示“AntiMalware”

用于 VM 的 Azure Monitor

可通过 VM 实例的“视图”页启用用于 VM 的 Azure Monitor,如在单个 VM 上启用管理服务以进行评估中所述。 不应像本文中所述的其他解决方案那样,直接从“解决方案”页启用解决方案。 对于大规模部署,使用自动化在工作区中启用正确的解决方案可能会更容易。

Microsoft Defender for Cloud

建议将所有服务器至少加入到 Microsoft Defender for Cloud 的免费层。 此选项为你的环境提供基本安全评估和切实可行的安全建议。 标准层提供额外的权益。 有关详细信息,请参阅 Microsoft Defender for Cloud 定价

若要启用 Microsoft Defender for Cloud 的免费层,请执行以下步骤:

  1. 转到 Defender for Cloud 门户页
  2. 在“策略和符合性”下,选择“安全策略”。
  3. 在右侧窗格中查找创建的 Log Analytics 工作区资源。
  4. 选择该工作区的“编辑设置”
  5. 选择“定价层”。
  6. 选择“免费”选项
  7. 选择“保存”。

后续步骤

了解如何使用自动化来加入服务器并创建警报。

自动加入和警报配置