大規模設定 Azure 伺服器管理服務
您必須完成這兩項工作,才能將 Azure 伺服器管理服務上架到您的伺服器:
- 將服務代理程式部署至您的伺服器。
- 啟用管理解決方案。
本文涵蓋完成這些工作所需的三個程式:
- 使用 Azure 原則 將必要的代理程式部署至 Azure VM。
- 將必要的代理程式部署至內部部署伺服器。
- 啟用和設定解決方案。
注意
將虛擬機上線至 Azure 伺服器管理服務之前,請先建立必要的 Log Analytics 工作區和 Azure 自動化 帳戶。
使用 Azure 原則 將擴充功能部署至 Azure VM
Azure 管理工具和服務中討論的所有管理解決方案都需要將 Log Analytics 代理程式安裝在 Azure 中的虛擬機和內部部署伺服器上。 您可以使用 Azure 原則 大規模上線 Azure VM。 指派原則以確保代理程式已安裝在 Azure VM 上,並連線到正確的 Log Analytics 工作區。
Azure 原則 具有內建原則計劃,其中包含Log Analytics代理程式和 Microsoft Dependency Agent,這是 適用於 VM 的 Azure 監視器的必要專案。
注意
如需監視 Azure 之各種代理程式的詳細資訊,請參閱 Azure 監視代理程式概觀。
指派原則
若要指派上一節所述的原則:
在 Azure 入口網站 中,移至 [原則>指派指派>] 方案。
在 [指派原則] 頁面上,選取省略號 (...),然後選取管理群組或訂用帳戶,以設定 [範圍]。 選擇性地選取資源群組。 然後選擇 [範圍] 頁面底部的 [選取]。 範圍會決定原則指派給哪些資源或資源群組。
選取 [原則定義] 旁的省略號 (...),以開啟可用的定義清單。 若要篩選計劃定義,請在 [搜尋] 方塊中輸入 Azure 監視器:
指派 名稱 會自動填入您選取的原則名稱,但您可以加以變更。 您也可以新增選擇性描述,以提供此原則指派的詳細資訊。 [ 指派者] 欄位會根據登入的人員自動填入。 此欄位是選擇性欄位,而且支援自訂值。
針對此原則,選取 [Log Analytics] 工作區 ,讓 Log Analytics 代理程式產生關聯。
選取 [ 受控識別位置 ] 複選框。 如果此原則的類型為
DeployIfNotExists
,則需要受控識別才能部署原則。 在入口網站中,將會建立帳戶,如複選框選取專案所指示。選取指派。
完成精靈之後,原則指派將會部署到環境。 原則最多可能需要 30 分鐘才會生效。 若要進行測試,請在 30 分鐘後建立新的 VM,並檢查 VM 上是否已啟用 Log Analytics 代理程式。
在內部部署伺服器上安裝代理程式
注意
將 Azure 伺服器管理服務上架至伺服器之前,請先建立必要的 Log Analytics 工作區和 Azure 自動化 帳戶。
針對內部部署伺服器,您必須手動下載並安裝 Log Analytics代理程式和 Microsoft Dependency Agent ,並將其設定為聯機到正確的工作區。 您必須指定工作區識別碼和金鑰資訊。 若要取得該資訊,請移至 Azure 入口網站 中的Log Analytics工作區,然後選取 [設定>][進階設定]。
啟用和設定解決方案
若要啟用解決方案,您必須設定Log Analytics 工作區。 上線的 Azure VM 和內部部署伺服器會從其連線的 Log Analytics 工作區取得解決方案。
更新管理
更新管理解決方案和 變更追蹤和清查 解決方案需要 Log Analytics 工作區和 Azure 自動化 帳戶。 為了確保這些資源已正確設定,建議您透過自動化帳戶上線。 如需詳細資訊,請參閱將更新管理解決方案和 變更追蹤和清查 解決方案上線。
建議您為所有伺服器啟用更新管理解決方案。 Azure VM 和內部部署伺服器的更新管理是免費的。 如果您透過自動化帳戶啟用更新管理, 則會在工作區中建立範圍 設定。 手動更新範圍,以包含更新管理解決方案所涵蓋的計算機。
若要涵蓋現有的伺服器和未來的伺服器,您需要移除範圍設定。 若要這樣做,請在 Azure 入口網站 中檢視您的自動化帳戶。 選取 [更新管理>管理機器>][在所有可用和未來的計算機上啟用]。 此設定可讓連線到工作區的所有 Azure VM 使用更新管理。
變更追蹤和清查解決方案
若要將 變更追蹤和清查 解決方案上線,請遵循與更新管理相同的步驟。 如需如何從自動化帳戶上線這些解決方案的詳細資訊,請參閱將更新管理解決方案和 變更追蹤和清查解決方案上線。
變更追蹤和清查 解決方案免費供 Azure VM 使用,內部部署伺服器每月每節點費用為 $6 美元。 此成本涵蓋變更追蹤、清查和 Desired 狀態設定。 如果您想要只註冊特定的內部部署伺服器,您可以選擇加入這些伺服器。 建議您將所有生產伺服器上線。
透過 Azure 入口網站 選擇加入
- 移至已啟用 變更追蹤和清查 的自動化帳戶。
- 選取 [ 變更追蹤]。
- 選取 右上方窗格中的 [管理機器 ]。
- 在選取的電腦上選取 [啟用]。 然後選取 [計算機名稱] 旁的 [新增 ]。
- 選取 [ 啟用 ] 以啟用這些機器的解決方案。
使用已儲存的搜尋選擇加入
或者,您可以設定範圍設定以選擇加入內部部署伺服器。 範圍設定會使用已儲存的搜尋。
若要建立或修改儲存的搜尋,請遵循下列步驟:
移至已連結至您在上述步驟中設定的自動化帳戶的Log Analytics工作區。
在 [一般] 下,選取 [已儲存的搜尋]。
在 [篩選] 方塊中,輸入 變更追蹤 來篩選已儲存的搜尋清單。 在結果中,選取 [MicrosoftDefaultComputerGroup]。
輸入電腦名稱或 VMUUID,以包含您想要加入 變更追蹤和清查 的電腦。
Heartbeat
| where AzureEnvironment=~"Azure" or Computer in~ ("list of the on-premises server names", "server1")
| distinct Computer
注意
伺服器名稱必須完全符合表示式中的值,而且不應該包含功能變數名稱後綴。
- 選取 [儲存]。 根據預設,範圍設定會連結至 MicrosoftDefaultComputerGroup 儲存的搜尋。 它會自動更新。
Azure 活動記錄
Azure 活動記錄 也是 Azure 監視器的一部分。 其提供 Azure 中發生的訂用帳戶層級事件的深入解析。
若要實作此解決方案:
- 在 Azure 入口網站 中,開啟 [所有服務],然後選取 [管理 + 治理>解決方案]。
- 在 [ 解決方案] 檢視中,選取 [ 新增]。
- 搜尋 活動Log Analytics 並加以選取。
- 選取 建立。
您必須指定 您在上一節中建立之工作區的工作區名稱 ,其中已啟用解決方案。
Azure Log Analytics 代理程式健康情況
Azure Log Analytics 代理程式健康情況解決方案會報告 Windows 和 Linux 伺服器的健康情況、效能和可用性。
若要實作此解決方案:
- 在 Azure 入口網站 中,開啟 [所有服務],然後選取 [管理 + 治理>解決方案]。
- 在 [ 解決方案] 檢視中,選取 [ 新增]。
- 搜尋 Azure Log Analytics 代理程式健康情況 ,然後加以選取。
- 選取 建立。
您必須指定 您在上一節中建立之工作區的工作區名稱 ,其中已啟用解決方案。
建立完成後,當您選取 [檢視>解決方案] 時,工作區資源實例會顯示 AgentHealthAssessment。
反惡意代碼評估
反惡意代碼評估解決方案可協助您識別受到惡意代碼感染或感染風險增加的伺服器。
若要實作此解決方案:
- 在 Azure 入口網站 中,開啟 [所有服務],選取 [管理 + 治理>解決方案]。
- 在 [ 解決方案] 檢視中,選取 [ 新增]。
- 搜尋 ,然後選取 [反惡意代碼評估]。
- 選取 建立。
您必須指定 您在上一節中建立之工作區的工作區名稱 ,其中已啟用解決方案。
建立完成後,當您選取 [檢視>解決方案] 時,工作區資源實例會顯示 AntiMalware。
適用於 VM 的 Azure 監視器
您可以透過 VM 實例的檢視頁面啟用 適用於 VM 的 Azure 監視器,如在單一 VM 上啟用管理服務以進行評估中所述。 您不應該直接從 [解決方案 ] 頁面啟用解決方案,就像本文中所述的其他解決方案一樣。 針對大規模的部署,使用 自動化 功能在工作區中啟用正確的解決方案可能比較容易。
適用於雲端的 Microsoft Defender
建議您至少將所有伺服器上架到免費層 適用於雲端的 Microsoft Defender。 此選項提供您環境的基本安全性評量和可採取動作的安全性建議。 標準層提供額外的優點。 如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender 定價。
若要啟用免費層 適用於雲端的 Microsoft Defender,請遵循下列步驟:
- 移至 適用於雲端的 Defender 入口網站頁面。
- 在 [原則與合規性] 底下,選取 [安全策略]。
- 尋找您在右側窗格中建立的Log Analytics工作區資源。
- 選取 該工作區的 [編輯設定 ]。
- 選取 [定價層]。
- 選擇 [ 免費] 選項。
- 選取 [儲存]。
下一步
瞭解如何使用自動化將伺服器上線並建立警示。