使用 Azure 原則 啟用 VM 深入解析
Azure 原則可讓您設定並強制執行您所建立之所有新資源的需求,以及您修改的資源。 VM 深入解析原則計劃,這是針對 VM 深入解析建立的預先定義原則集、安裝 VM 深入解析所需的代理程式,以及在 Azure 環境中的所有新虛擬機上啟用監視。
本文說解釋如何使用預先定義的 VM 深入解析原則方案,針對 Azure 虛擬機、虛擬機擴展集,以及與 Azure Arc 連線的混合式虛擬機啟用 VM 深入解析。
必要條件
您必須先建立 VM 深入解析 DCR,才能使用 Azure 原則 啟用 VM 深入解析。 DCR 會指定要從代理程式收集哪些數據,以及其處理方式。 如需建立此 DCR 的詳細資訊,請參閱 VM 深入解析 DCR 。
VM 深入解析方案
VM 深入解析原則計劃會在 Azure 環境中的新虛擬機上安裝 Azure 監視器代理程式和相依性代理程式。 將這些方案指派給管理群組、訂用帳戶或資源群組,以在自動定義範圍內的 Windows 或 Linux Azure 虛擬機器上安裝代理程式。
注意
下列 VM 深入解析方案不會使用 Azure 監視代理程式設定來更新 VM 上已存在的相依性代理程式延伸模組。 部署這些方案之前,請務必先從 VM 解除安裝相依性代理程式延伸模組。
使用 Azure 監視代理程式啟用適用於 VM 的 Azure 監視器 使用 Azure 監視器代理程式啟用適用於虛擬機器擴展集的 Azure 監視器 使用 Azure 監視代理程式啟用適用於混合式 VM 的 Azure 監視器
這些計劃適用於您所建立的新機器,以及您修改的機器,但不適用於現有的 VM。
原則倡議名稱 | 描述 |
---|---|
使用 Azure 監視代理程式啟用適用於 VM 的 Azure 監視器 | 在 Azure VM 上安裝 Azure 監視器代理程式和相依性代理程式。 |
使用 Azure 監視器代理程式啟用適用於虛擬機器擴展集的 Azure 監視器 | 在虛擬機器擴展集安裝 Azure 監視器代理程式和相依性代理程式。 |
使用 Azure 監視代理程式啟用適用於混合式 VM 的 Azure 監視器 | 在與 Azure Arc 連線的混合式 VM 安裝 Azure 監視器代理程式和相依性代理程式。 |
舊版:啟用適用於 VM 的 Azure 監視器 | 在虛擬機器擴展集上安裝 Log Analytics 代理程式和相依性代理程式。 |
舊版:啟用適用於虛擬機器擴展集的 Azure 監視器 | 在虛擬機器擴展集上安裝 Log Analytics 代理程式和相依性代理程式。 |
重要
舊版 Log Analytics 代理程式 自 2024 年 8 月 31 日起已淘汰。 Microsoft 將不再提供對 Log Analytics 代理程式的任何支援。 如果您使用 Log Analytics 代理程式來將資料內嵌至 Azure 監視器,請立即移轉至 Azure 監視器代理程式。
支援自訂影像
Azure 監視器代理程式型 VM 深入解析原則和方案定義具有一個 scopeToSupportedImages
參數,預設會設定為 true
,只允許在支援映射的上線相依性代理程式。 將此參數設定為 false
,以允許在自定義映像上上架相依性代理程式。
指派 VM 深入解析原則方案
若要從 Azure 入口網站將 VM 深入解析原則方案指派給訂用帳戶或管理群組:
搜尋並開啟 [原則]。
選取 [指派]>[指派方案]。
[指派方案] 畫面隨即出現。
設定方案指派:
- 在 [範圍] 字段中,選取您要為其指派計劃的管理群組或訂用帳戶。
- (選擇性) 選取 [排除],以排除計劃指派中的特定資源。 例如,假設您的範圍是某個管理群組,您可能要在該管理群組中指定要從指派中排除哪個訂用帳戶。
- 選取 [方案指派] 旁的省略號 (...),以啟動原則定義選擇器。 選取其中一個 VM 深入解析方案。
- (選擇性) 變更 [指派名稱] 並新增 [描述]。
- 在 [參數] 索引標籤上,選取指派中所有虛擬機器要傳送資料的 [Log Analytics 工作區]。 若要讓虛擬機將資料傳送至不同的工作區,請建立多個指派,每個指派都有自己的範圍。 此步驟會根據您當時使用的原則倡議,有不同的參數。
注意
如果您選取的工作區不在指派範圍之外,請將 [Log Analytics 參與者] 權限授與原則指派的主體識別碼。 否則,您可能會收到部署失敗,例如:
The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...
選取 [檢閱 + 建立] 檢閱方案指派詳細資料。 選取 [建立] 以建立指派。
此時請勿建立補救工作,因為您可能需要多個補救工作才能啟用現有的虛擬機器。 如需如何建立補救工作的詳細資訊,請參閱補救合規性結果。
檢閱 VM 深入解析原則方案的合規性
指派方案之後,您可以檢閱和管理整個管理群組和訂用帳戶之計劃的合規性。
若要檢視每個管理群組或訂用帳戶中有多少部虛擬機器,以及其合規性狀態:
搜尋並開啟 [Azure 監視器]。
選取 [虛擬機] > [概觀] > [其他上線選項]。 然後在 [使用原則啟用] 底下,選取 [啟用]。
出現適用於 VM 的 Azure 監視器原則涵蓋範圍頁面。
下表說明適用於 VM 的 Azure 監視器原則涵蓋範圍頁面上顯示的合規性資訊。
函式 描述 範圍 方案適用的管理群組或訂用帳戶。 我的角色 您在範圍中的角色。 如果您有訂用帳戶的存取權,但沒有其所屬管理群組的存取權,角色可能是讀取者、擁有者、參與者或空白。 您的角色會決定您可以看到哪些資料,以及您是否可以指派原則或計劃 (擁有者)、編輯原則或檢視合規性。 VM 總數 該範圍中的 VM 總數 (不論 VM 的狀態為何)。 對於管理群組,數字是訂用帳戶或子管理群組所有相關巢狀 VM 的總和。 指派涵蓋範圍 方案涵蓋的 VM 百分比。 當您指派方案時,在指派中選取的範圍可以是列出的範圍或指派的子集。 例如,如果您為訂用帳戶 (方案範圍) 而不是管理群組 (涵蓋範圍) 建立指派,指派涵蓋範圍的值表示方案範圍中的 VM 除以涵蓋範圍中的 VM。 在另一種情況下,您可能從原則範圍排除了某些 VM、資源群組或訂用帳戶。 如果值為空白,則表示原則或方案不存在,或您沒有權限。 指派狀態 成功:Azure 監視器代理程式或部署在範圍內所有機器上的 Log Analytics 代理程式和相依性代理程式。
警告:訂用帳戶不在管理群組之下。
未啟動:已新增一項新的指派。
鎖定:您沒有足夠的管理群組權限。
空白:沒有 VM 存在或未指派原則。符合規範的 VM 這是安裝了 Azure 監視器或 Log Analytics 代理程式和相依性代理程式的 VM 數目。 如果沒有指派、範圍中沒有 VM,或沒有相關權限,則此欄位為空白。 合規性 整體的合規性數字是符合規範的不同資源總和除以所有不同資源的總和。 合規性狀態 符合規範 - 範圍中的所有 VM 都已部署 Azure 監視器或 Log Analytics 代理程式和相依性代理程式,或有任何範圍中的新 VM 尚未經過評估。
不符合規範:未啟用且可能需要補救的 VM。
未啟動:已新增一項新的指派。
鎖定:您沒有足夠的管理群組權限。
空白:未指派任何原則。選取省略號 (...) >檢視合規性。
[合規性] 頁面隨即出現。 這會列出符合指定篩選條件的指派,以及指出這些指派是否符合規範。
選取指派即可檢視其詳細資料。 [方案合規性] 頁面隨即出現。 這會列出計畫中的原則定義,以及每個原則是否符合規範。
如果下列條件,原則定義會被視為不符合規範:
- 未部署 Azure 監視器代理程式、Log Analytics 代理程式或相依性代理程式。 建立補救工作以減輕問題。
- 在原則定義中找不到 VM 映像 (OS)。 原則只能驗證已知的 Azure VM 映像。 請參閱文件以了解 VM OS 是否受到支援。
- 計畫範圍內的部分 VM 連線到了未在原則指派中指定的 Log Analytics 工作區。
選取原則定義,以開啟原則合規性頁面。
建立補救工作
如果您的指派未顯示 100% 的合規性,請建立補救工作來評估和啟用現有的 VM。 您很可能必須建立多個補救工作,為每個原則定義都建立一個。 您無法為方案建立補救工作。
若要建立補救工作:
在 [方案合規性] 頁面上,選取 [建立補救工作]。
便會出現 [新的補救工作] 頁面。
檢閱 [補救設定] 和 [資源],視需要補救和修改。 然後選取 [補救] 建立工作。
補救工作完成後,您的 VM 應該就會符合為了 VM 深入解析而安裝和啟用的代理程式。
追蹤補救工作
若要追蹤補救工作的進度,請在 [原則] 功能表上,選取 [補救],然後選取 [補救工作] 索引標籤。
下一步
了解如何:
- 檢視 VM 深入解析對應 以檢視應用程式相依性。
- 檢視 Azure VM 效能識別 VM 效能的瓶頸與整體使用率。