Solución Update Management de AzureUpdate Management solution in Azure

Puede usar la solución Update Management de Azure Automation para administrar las actualizaciones del sistema operativo de los equipos Windows y Linux de Azure, en entornos locales o en otros proveedores de nube.You can use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers in Azure, in on-premises environments, or in other cloud providers. Puede evaluar rápidamente el estado de las actualizaciones disponibles en todos los equipos agente y administrar el proceso de instalación de las actualizaciones necesarias para los servidores.You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

Update Management se puede habilitar en máquinas virtuales directamente desde una cuenta de Azure Automation.You can enable Update Management for virtual machines directly from your Azure Automation account. Para aprender a habilitar Update Management en máquinas virtuales desde una cuenta de Automation, consulte Administración de actualizaciones para varias máquinas virtuales.To learn how to enable Update Management for virtual machines from your Automation account, see Manage updates for multiple virtual machines. También puede habilitar Update Management para una máquina virtual desde la página de la máquina virtual en Azure Portal.You can also enable Update Management for a virtual machine from the virtual machine page in the Azure portal. Este escenario está disponible para máquinas virtuales Linux y Windows.This scenario is available for Linux and Windows virtual machines.

Nota

La solución de Update Management requiere vincular un área de trabajo de Log Analytics a la cuenta de Automation.The Update Management solution requires linking a Log Analytics workspace to your Automation account. Para ver una lista definitiva de regiones admitidas, consulte Asignaciones de áreas de trabajo.For a definitive list of supported regions, see Azure Workspace mappings. Las asignaciones de regiones no afectan a la capacidad de administrar máquinas virtuales en una región independiente de la cuenta de Automation.The region mappings do not affect the ability to manage virtual machines in a separate region than your Automation account.

Nota

Este artículo se ha actualizado recientemente para usar el término registros de Azure Monitor en lugar de Log Analytics.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Los datos de registro siguen almacenándose en un área de trabajo de Log Analytics y siguen recopilándose y analizándose por el mismo servicio de Log Analytics.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Estamos actualizando la terminología para reflejar mejor el rol de los registros de Azure Monitor.We are updating the terminology to better reflect the role of logs in Azure Monitor. Consulte Azure Monitor terminology changes (Cambios en la terminología de Azure Monitor) para obtener más información.See Azure Monitor terminology changes for details.

Información general de la soluciónSolution overview

Los equipos administrados por Update Management usan las siguientes configuraciones para evaluar e implementar actualizaciones:Computers that are managed by Update Management use the following configurations to perform assessment and update deployments:

  • Microsoft Monitoring Agent (MMA) para Windows o LinuxMicrosoft Monitoring Agent (MMA) for Windows or Linux
  • Extensión DSC (configuración de estado deseado) de PowerShell para LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Hybrid Runbook Worker de AutomationAutomation Hybrid Runbook Worker
  • Microsoft Update o Windows Server Update Services (WSUS) para equipos WindowsMicrosoft Update or Windows Server Update Services (WSUS) for Windows computers

El siguiente diagrama muestra una vista conceptual del comportamiento y un flujo de datos con el modo en que la solución evalúa y aplica las actualizaciones de seguridad a todos los equipos Windows Server y Linux conectados en un área de trabajo:The following diagram shows a conceptual view of the behavior and data flow with how the solution assesses and applies security updates to all connected Windows Server and Linux computers in a workspace:

Flujo del proceso de Update Management

Se puede utilizar Update Management para incorporar de forma nativa máquinas en varias suscripciones en el mismo inquilino.Update Management can be used to natively onboard machines in multiple subscriptions in the same tenant.

Una vez que se publique un paquete, la revisión tarda de 2 a 3 horas en aparecer en las máquinas Linux para su evaluación.Once a package is released, it takes 2-3 hours for the patch to show up for Linux machines for assessment. Para las máquinas Windows, la revisión tarda de 12 a 15 horas en aparecer para su evaluación tras su publicación.For Windows machines, it takes 12-15 hours for the patch to show up for assessment after it has been released.

Después de que un equipo completa un examen de cumplimiento de las actualizaciones, el agente reenvía la información de forma masiva a los registros de Azure Monitor.After a computer completes a scan for update compliance, the agent forwards the information in bulk to Azure Monitor logs. En un equipo Windows, el examen de cumplimiento se ejecuta cada 12 horas de forma predeterminada.On a Windows computer, the compliance scan is run every 12 hours by default.

Además del examen programado, el examen de cumplimiento de las actualizaciones se inicia a los 15 minutos del reinicio de MMA, así como antes y después de la instalación de actualizaciones.In addition to the scan schedule, the scan for update compliance is initiated within 15 minutes of the MMA being restarted, before update installation, and after update installation.

En un equipo Linux, el examen de cumplimiento se realiza cada hora de manera predeterminada.For a Linux computer, the compliance scan is performed every hour by default. Si se reinicia el agente MMA, se inicia un examen de cumplimiento al cabo de 15 minutos.If the MMA agent is restarted, a compliance scan is initiated within 15 minutes.

La solución informa del grado de actualización del equipo en función del origen configurado para la sincronización.The solution reports how up-to-date the computer is based on what source you're configured to sync with. Si el equipo Windows está configurado para informar a WSUS, en función de cuándo WSUS se sincronizó por última vez con Microsoft Update, los resultados pueden diferir de lo que se muestra en Microsoft Updates.If the Windows computer is configured to report to WSUS, depending on when WSUS last synced with Microsoft Update, the results might differ from what Microsoft Updates shows. Este comportamiento es el mismo para los equipos Linux que están configurados para informar a un repositorio local en lugar de a uno público.This behavior is the same for Linux computers that are configured to report to a local repo instead of to a public repo.

Nota

Para informar correctamente al servicio, Update Management requiere la habilitación de ciertas direcciones URL y puertos.To properly report to the service, Update Management requires certain URLs and ports to be enabled. Para más información sobre estos requisitos, consulte Planeamiento de red para Hybrid Worker.To learn more about these requirements, see Network planning for Hybrid Workers.

Puede implementar e instalar las actualizaciones de software en equipos que requieren las actualizaciones mediante la creación de una implementación programada.You can deploy and install software updates on computers that require the updates by creating a scheduled deployment. Las actualizaciones clasificadas como Opcional no se incluyen en el ámbito de implementación en equipos Windows.Updates classified as Optional aren't included in the deployment scope for Windows computers. Solo se incluyen las actualizaciones necesarias.Only required updates are included in the deployment scope.

La implementación programada define qué equipos de destino reciben las actualizaciones aplicables, ya sea mediante la especificación explícita de los equipos o por medio de la selección de un grupo de equipos que se basa en las búsquedas de registros de un conjunto determinado de equipos, o una consulta de Azure que selecciona dinámicamente máquinas virtuales de Azure en función de los criterios especificados.The scheduled deployment defines what target computers receive the applicable updates, either by explicitly specifying computers or by selecting a computer group that's based on log searches of a specific set of computers, or an Azure query that dynamically selects Azure VMs based on specified criteria. Estos grupos son diferentes de la configuración de ámbito, que solo se usa para determinar qué máquinas obtienen los módulos de administración que habilitan la solución.These groups are different from Scope Configuration, which is only used to determine what machines get the management packs that enable the solution.

También se especifica una programación para aprobar y establecer un período de tiempo durante el que se pueden instalar actualizaciones.You also specify a schedule to approve and set a period of time during which updates can be installed. Este período de tiempo se denomina ventana de mantenimiento.This period of time is called the maintenance window. Diez minutos de la ventana de mantenimiento se reservan para reinicios, en caso de que sea necesario reiniciar y que haya seleccionado la opción de reinicio adecuada.Ten minutes of the maintenance window is reserved for reboots if a reboot is needed and you selected the appropriate reboot option. Si la aplicación de revisiones tarda más de lo esperado y la ventana de mantenimiento dura menos de diez minutos, no se producirá un reinicio.If patching takes longer than expected and there is less than ten minutes in the maintenance window, a reboot will not occur.

Los Runbooks instalan las actualizaciones en Azure Automation.Updates are installed by runbooks in Azure Automation. No puede ver estos runbooks, y los runbooks no requieren ninguna configuración.You can't view these runbooks, and the runbooks don’t require any configuration. Cuando se crea una implementación de actualizaciones, esta crea una programación que inicia un runbook de actualización maestro a la hora especificada para los equipos incluidos.When an update deployment is created, the update deployment creates a schedule that starts a master update runbook at the specified time for the included computers. El runbook maestro inicia un runbook secundario en cada agente para instalar las actualizaciones necesarias.The master runbook starts a child runbook on each agent to install the required updates.

En la fecha y hora especificadas en la implementación de actualizaciones, los equipos de destino ejecutan la implementación en paralelo.At the date and time specified in the update deployment, the target computers execute the deployment in parallel. Antes de la instalación, se ejecuta un examen para comprobar que las actualizaciones siguen siendo necesarias.Before installation, a scan is run to verify that the updates are still required. En los equipos cliente WSUS, si no se aprueban las actualizaciones en WSUS, se produce un error en la implementación de actualizaciones.For WSUS client computers, if the updates aren't approved in WSUS, the update deployment fails.

No se admite tener registrada una máquina para Update Management en más de un área de trabajo de Log Analytics (hospedaje múltiple).Having a machine registered for Update Management in more than one Log Analytics workspaces (multi-homing) isn't supported.

ClientesClients

Tipos de cliente admitidosSupported client types

En la tabla siguiente se muestra una lista de sistemas operativos compatibles:The following table shows a list of supported operating systems:

Sistema operativoOperating system NotasNotes
Windows Server 2008, Windows Server 2008 R2 RTMWindows Server 2008, Windows Server 2008 R2 RTM Solo admite evaluaciones de actualización.Supports only update assessments.
Windows Server 2008 R2 SP1 y posterior.Windows Server 2008 R2 SP1 and later. Se requiere .NET Framework 4.5.1 o cualquier versión posterior..NET Framework 4.5.1 or later is required. (Descargar .NET Framework)(Download .NET Framework)
Se requiere Windows PowerShell 4.0 o posterior.Windows PowerShell 4.0 or later is required. (Descargar WMF 4.0)(Download WMF 4.0)
Se recomienda Windows PowerShell 5.1 para aumentar la confiabilidad.Windows PowerShell 5.1 is recommended for increased reliability. (Descargar WMF 5.1)(Download WMF 5.1)
CentOS 6 (x86/x64) y 7 (x64)CentOS 6 (x86/x64) and 7 (x64) Los agentes de Linux deben tener acceso a un repositorio de actualización.Linux agents must have access to an update repository. La aplicación de revisiones basada en la clasificación requiere "yum" para devolver los datos de seguridad que CentOS no tiene de forma nativa.Classification-based patching requires 'yum' to return security data which CentOS doesn't have out of the box. Para más información sobre la aplicación de revisiones basadas en clasificaciones en CentOS, consulte Actualización de clasificaciones en Linux.For more information on classification-based patching on CentOS, see Update classifications on Linux
Red Hat Enterprise (x86/x64) 6 y 7 (x64)Red Hat Enterprise 6 (x86/x64) and 7 (x64) Los agentes de Linux deben tener acceso a un repositorio de actualización.Linux agents must have access to an update repository.
SUSE Linux Enterprise Server 11 (x86/x64) y 12 (x64)SUSE Linux Enterprise Server 11 (x86/x64) and 12 (x64) Los agentes de Linux deben tener acceso a un repositorio de actualización.Linux agents must have access to an update repository.
Ubuntu 14.04 LTS, 16.04 LTS y 18.04 (x86/x64)Ubuntu 14.04 LTS, 16.04 LTS, and 18.04 (x86/x64) Los agentes de Linux deben tener acceso a un repositorio de actualización.Linux agents must have access to an update repository.

Nota

Los conjuntos de escalado de máquinas virtuales de Azure se pueden administrar con Update Management.Azure virtual machine scale sets can be managed with Update Management. Update Management funciona en las propias instancias y no en la imagen base.Update Management works on the instances themselves and not the base image. Deberá programar las actualizaciones de forma incremental, para no actualizar todas las instancias de la máquina virtual a la vez.You'll need to schedule the updates in an incremental way, as to not update all VM instances at once. Se pueden agregar nodos VMSS siguiendo los pasos descritos en Incorporación de una máquina que no es de Azure.VMSS Nodes can be added by following the steps under Onbaord a non-Azure machine.

Tipos de cliente no admitidosUnsupported client types

En la tabla siguiente se enumeran los sistemas operativos no admitidos:The following table lists operating systems that aren't supported:

Sistema operativoOperating system NotasNotes
Cliente WindowsWindows client No se admiten sistemas operativos cliente (por ejemplo, Windows 7 y Windows 10).Client operating systems (such as Windows 7 and Windows 10) aren't supported.
Windows Server 2016 Nano ServerWindows Server 2016 Nano Server No compatible.Not supported.
Nodos de Azure Kubernetes ServiceAzure Kubernetes Service Nodes No compatible.Not supported. Use el proceso de aplicación de revisiones descrito en Aplicación de actualizaciones de kernel y seguridad en los nodos de Linux en Azure Kubernetes Service (AKS)Use the patching process detailed in Apply security and kernel updates to Linux nodes in Azure Kubernetes Service (AKS)

Requisitos del clienteClient requirements

WindowsWindows

Los agentes de Windows deben estar configurados para comunicarse con un servidor de WSUS o tener acceso a Microsoft Update.Windows agents must be configured to communicate with a WSUS server or they must have access to Microsoft Update. Puede usar Update Management con System Center Configuration Manager.You can use Update Management with System Center Configuration Manager. Para más información sobre escenarios de integración, consulte Integración de System Center Configuration Manager con Update Management.To learn more about integration scenarios, see Integrate System Center Configuration Manager with Update Management. El agente de Windows es necesario.The Windows agent is required. Este agente se instala automáticamente si va a incorporar una máquina virtual de Azure.The agent is installed automatically if you're onboarding an Azure virtual machine.

Nota

Un usuario puede modificar la directiva de grupo para que los reinicios del equipo solo los pueda realizar el usuario, no el sistema.It is possible for a user to modify Group Policy so that machine reboots can only performed by the user, not by the system. Es posible que las máquinas administradas se bloqueen si Update Management no tiene derechos para reiniciar la máquina sin la intervención manual del usuario.Managed machines may get stuck, if Update Management does not have rights to reboot the machine without manual interaction from the user.

Para obtener más información, consulte Configuración de directivas de grupo para actualizaciones automáticas.For more information, see Configure Group Policy Settings for Automatic Updates.

LinuxLinux

En Linux, la máquina debe tener acceso a un repositorio de actualización.For Linux, the machine must have access to an update repository. El repositorio de actualización puede ser público o privado.The update repository can be private or public. Se requiere TLS 1.1 o TLS 1.2 para interactuar con Update Management.TLS 1.1 or TLS 1.2 is required to interact with Update Management. Esta solución no es compatible con un agente de Log Analytics para Linux que esté configurado para informar a varias áreas de trabajo de Log Analytics.A Log Analytics Agent for Linux that's configured to report to more than one Log Analytics workspaces isn't supported with this solution.

Para más información sobre cómo instalar el agente de Log Analytics para Linux y descargar la versión más reciente, consulte Agente de Log Analytics para Linux.For information about how to install the Log Analytics Agent for Linux and to download the latest version, see Log Analytics Agent for Linux. Para más información sobre cómo instalar el agente de Log Analytics para Windows, consulte Microsoft Monitoring Agent para Windows.For information about how to install the Log Analytics Agent for Windows, see Microsoft Monitoring Agent for Windows.

PermisosPermissions

Para crear y administrar implementaciones de actualizaciones, necesita permisos concretos.To create and manage update deployments, you need specific permissions. Para más información sobre estos permisos, consulte Acceso basado en rol: Update Management.To learn about these permissions, see Role-based access - Update Management.

Componentes de solucionesSolution components

La solución consta de los siguientes recursos.The solution consists of the following resources. Los recursos se agregan a la cuenta de Automation.The resources are added to your Automation account. Estos son agentes directamente conectados o están en un grupo de administración conectado por Operations Manager.They're either directly connected agents or in an Operations Manager-connected management group.

Grupos de Hybrid WorkerHybrid Worker groups

Después de habilitar esta solución, los equipos Windows conectados directamente al área de trabajo de Log Analytics se configurarán automáticamente como Hybrid Runbook Worker para admitir los runbooks que se incluyen en esta solución.After you enable this solution, any Windows computer that's directly connected to your Log Analytics workspace is automatically configured as a Hybrid Runbook Worker to support the runbooks that are included in this solution.

Cada equipo Windows administrado por la solución se muestra en el panel Grupos de Hybrid Worker como un grupo Hybrid Worker del sistema para la cuenta de Automation.Each Windows computer that's managed by the solution is listed in the Hybrid worker groups pane as a System hybrid worker group for the Automation account. Las soluciones usan la convención de nomenclatura FQDN_GUID de nombre de host.The solutions use the naming convention Hostname FQDN_GUID. No puede usar estos grupos como destino con runbooks de su cuenta.You can't target these groups with runbooks in your account. Si lo hace, generarán un error.They fail if you try. Estos grupos están diseñados únicamente para admitir la solución de administración.These groups are intended to support only the management solution.

Puede agregar equipos Windows a un grupo de Hybrid Runbook Worker en la cuenta de Automation para admitir runbooks de Automation si usa la misma cuenta para la solución y la pertenencia a grupos de Hybrid Runbook Worker.You can add the Windows computers to a Hybrid Runbook Worker group in your Automation account to support Automation runbooks if you use the same account for both the solution and the Hybrid Runbook Worker group membership. Esta funcionalidad se agregó en la versión 7.2.12024.0 de Hybrid Runbook Worker.This functionality was added in version 7.2.12024.0 of the Hybrid Runbook Worker.

Módulos de administraciónManagement packs

Si el grupo de administración de System Center Operations Manager está conectado a un área de trabajo de Log Analytics, se instalarán los siguientes módulos de administración en Operations Manager.If your System Center Operations Manager management group is connected to a Log Analytics workspace, the following management packs are installed in Operations Manager. Estos módulos de administración también se instalan en equipos Windows directamente conectados después de agregar esta solución.These management packs are also installed on directly connected Windows computers after you add the solution. No es necesario configurar ni administrar dichos módulos.You don't need to configure or manage these management packs.

  • Intelligence Pack Update Assessment de Microsoft System Center Advisor (Microsoft.IntelligencePacks.UpdateAssessment)Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Módulo de administración de Update DeploymentUpdate Deployment MP

Nota

Si tiene un grupo de administración de Operations Manager 1807 con agentes configurados en el nivel de grupo de administración que se va a asociar a un área de trabajo, la solución actual para conseguir que se muestren es reemplazar IsAutoRegistrationEnabled por True en la regla Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.If you have an Operations Manager 1807 Management Group with agents configured at the Management Group level to be associated to a workspace, the current workaround to get them to show up is to override IsAutoRegistrationEnabled to True in the Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init rule.

Para más información sobre cómo se actualizan los módulos de administración de soluciones, consulte Conexión de Operations Manager con registros de Azure Monitor.For more information about how solution management packs are updated, see Connect Operations Manager to Azure Monitor logs.

Nota

Para los sistemas con Operations Manager Agent, se debe actualizar el agente a Microsoft Monitoring Agent para que Update Management pueda administrarlo por completo.For systems with the Operations Manger Agent, to be able to be fully managed by Update Management, the agent needs to be updated to the Microsoft Monitoring Agent. Para aprender a actualizar el agente, consulte Actualización de Operations Manager Agent.To learn how to update the agent, see How to upgrade an Operations Manager agent. Para entornos que usan Operations Manager, se requiere la ejecución de System Center Operations Manager 2012 R2 UR 14 o posterior.For environments using Operations Manager, it is required that you are running System Center Operations Manager 2012 R2 UR 14 or later.

Habilitar Update ManagementEnable Update Management

Para empezar a aplicar revisiones a sistemas, debe habilitar la solución Update Management.To begin patching systems, you need to enable the Update Management solution. Hay muchas maneras de incorporar máquinas a Update Management.There are many ways to onboard machines to Update Management. Las siguientes son las recomendadas y admiten maneras de incorporar la solución:The following are the recommended and supported ways to onboard the solution:

Confirmación de que las máquinas que no son de Azure están incorporadasConfirm that non-Azure machines are onboarded

Para confirmar que las máquinas conectadas directamente se comunican con los registros de Azure Monitor, después de unos minutos, puede ejecutar una de las siguientes búsquedas de registros.To confirm that directly connected machines are communicating with Azure Monitor logs, after a few minutes, you can run one the following log searches.

LinuxLinux

Heartbeat
| where OSType == "Linux" | summarize arg_max(TimeGenerated, *) by SourceComputerId | top 500000 by Computer asc | render table

WindowsWindows

Heartbeat
| where OSType == "Windows" | summarize arg_max(TimeGenerated, *) by SourceComputerId | top 500000 by Computer asc | render table

En un equipo Windows, puede revisar la siguiente información para comprobar la conectividad del agente con los registros de Azure Monitor:On a Windows computer, you can review the following information to verify agent connectivity with Azure Monitor logs:

  1. En el Panel de Control, abra Microsoft Monitoring Agent.In Control Panel, open Microsoft Monitoring Agent. En la pestaña Azure Log Analytics, el agente muestra el mensaje siguiente: Microsoft Monitoring Agent se ha conectado correctamente a Log Analytics.On the Azure Log Analytics tab, the agent displays the following message: The Microsoft Monitoring Agent has successfully connected to Log Analytics.
  2. Abra el registro de eventos de Windows.Open the Windows Event Log. Vaya a Application and Services Logs\Operations Manager y busque los identificadores de evento 3000 y 5002 desde el Conector de servicio de origen.Go to Application and Services Logs\Operations Manager and search for Event ID 3000 and Event ID 5002 from the source Service Connector. Estos eventos indican que el equipo se ha registrado con el área de trabajo de Log Analytics y está recibiendo la configuración.These events indicate that the computer has registered with the Log Analytics workspace and is receiving configuration.

Si el agente no puede comunicarse con los registros de Azure Monitor y está configurado para comunicarse con Internet mediante un firewall o un servidor proxy, confirme que estos están configurados correctamente.If the agent can't communicate with Azure Monitor logs and the agent is configured to communicate with the internet through a firewall or proxy server, confirm the firewall or proxy server is properly configured. Para aprender a comprobar que un firewall o un servidor proxy estén correctamente configurados, consulte Configuración de red para el agente Windows o Configuración de red para el agente de Linux.To learn how to verify the firewall or proxy server is properly configured, see Network configuration for Windows agent or Network configuration for Linux agent.

Nota

Si los sistemas Linux están configurados para comunicarse con un servidor proxy o una puerta de enlace de Log Analytics y va a incorporar esta solución, actualice los permisos proxy.conf para conceder al grupo omiuser permiso de lectura sobre este archivo mediante la ejecución de los siguientes comandos:If your Linux systems are configured to communicate with a proxy or Log Analytics Gateway and you're onboarding this solution, update the proxy.conf permissions to grant the omiuser group read permission on the file by using the following commands:

sudo chown omsagent:omiusers /etc/opt/microsoft/omsagent/proxy.conf sudo chmod 644 /etc/opt/microsoft/omsagent/proxy.conf

Los agentes de Linux recién agregados muestran un estado Actualizado después de haber realizado una evaluación.Newly added Linux agents show a status of Updated after an assessment has been performed. Este proceso puede tardar hasta 6 horas.This process can take up to 6 hours.

Para confirmar que un grupo de administración de Operations Manager se comunica con los registros de Azure Monitor, consulte Validación de la integración de Operations Manager con los registros de Azure Monitor.To confirm that an Operations Manager management group is communicating with Azure Monitor logs, see Validate Operations Manager integration with Azure Monitor logs.

Colección de datosData collection

Agentes admitidosSupported agents

En la tabla siguiente se describen los orígenes conectados que son compatibles con esta solución:The following table describes the connected sources that are supported by this solution:

Origen conectadoConnected source CompatibleSupported DESCRIPCIÓNDescription
Agentes de WindowsWindows agents Yes La solución recopila información sobre las actualizaciones del sistema de los agentes de Windows e inicia a continuación la instalación de las actualizaciones necesarias.The solution collects information about system updates from Windows agents and then initiates installation of required updates.
Agentes de LinuxLinux agents Yes La solución recopila información sobre las actualizaciones del sistema de los agentes de Linux e inicia a continuación la instalación de las actualizaciones necesarias en las distribuciones admitidas.The solution collects information about system updates from Linux agents and then initiates installation of required updates on supported distributions.
Grupo de administración de Operations ManagerOperations Manager management group Yes La solución recopila información acerca de las actualizaciones del sistema de agentes en un grupo de administración conectado.The solution collects information about system updates from agents in a connected management group.
No se requiere ninguna conexión directa entre el agente de Operations Manager y los registros de Azure Monitor.A direct connection from the Operations Manager agent to Azure Monitor logs isn't required. Los datos se reenvían desde el grupo de administración al área de trabajo de Log Analytics.Data is forwarded from the management group to the Log Analytics workspace.

Frecuencia de recopilaciónCollection frequency

Para cada equipo Windows administrado, se realiza un examen dos veces al día.A scan is performed twice per day for each managed Windows computer. Cada 15 minutos, se llama a la API de Windows para consultar la hora de la última actualización y determinar si ha cambiado el estado.Every 15 minutes, the Windows API is called to query for the last update time to determine whether the status has changed. Si ha cambiado el estado, se inicia un examen de cumplimiento.If the status has changed, a compliance scan is initiated.

Para cada equipo Linux administrado se realiza un examen cada hora.A scan is performed every hour for each managed Linux computer.

Puede que transcurran entre 30 minutos y 6 horas antes de que se muestren los datos actualizados de los equipos administrados.It can take between 30 minutes and 6 hours for the dashboard to display updated data from managed computers.

El uso medio de datos de los registros de Azure Monitor para una máquina con Update Management es aproximadamente de 25 MB al mes.The average Azure Monitor logs data usage for a machine using Update Management is approximately 25MB per month. Este valor es solo una aproximación y está sujeto a cambios en función de su entorno.This value is only an approximation and is subject to change based on your environment. Se recomienda que supervise el entorno para ver el uso exacto que tiene.It's recommended that you monitor your environment to see the exact usage that you have.

Visualización de la evaluación de actualizaciónView update assessments

En la cuenta de Automation, seleccione Update Management para ver el estado de sus máquinas.In your Automation account, select Update Management to view the status of your machines.

Esta vista proporciona información sobre las máquinas, las actualizaciones que faltan, las implementaciones de actualizaciones y las implementaciones de actualizaciones programadas.This view provides information about your machines, missing updates, update deployments, and scheduled update deployments. En la columna Cumplimiento, puede ver la última vez que se evaluó la máquina.In the COMPLIANCE COLUMN, you can see the last time the machine was assessed. En la columna Preparación de actualizaciones del agente, puede ver el estado del agente de actualización.In the UPDATE AGENT READINESS column, you can see if the health of the update agent. Si hay un problema, seleccione el vínculo para dirigirse a la documentación de solución de problemas, que le ayudará a conocer los pasos que debe realizar para corregirlo.If there's an issue, select the link to go to troubleshooting documentation that can help you learn what steps to take to correct the problem.

Para ejecutar una búsqueda de registros que devuelva información sobre la máquina, las actualizaciones o las implementaciones, seleccione el elemento de la lista.To run a log search that returns information about the machine, update, or deployment, select the item in the list. Se abre el panel Búsqueda de registros con una consulta para el elemento seleccionado:The Log Search pane opens with a query for the item selected:

Vista predeterminada de Update Management

Instalación de actualizacionesInstall updates

Una vez que se han evaluado las actualizaciones de todos los equipos Linux y Windows del área de trabajo, puede instalar las actualizaciones necesarias mediante la creación de una implementación de actualizaciones.After updates are assessed for all the Linux and Windows computers in your workspace, you can install required updates by creating an update deployment. Para crear una implementación de actualizaciones, debe tener acceso de escritura a la cuenta de Automation y acceso de escritura a todas las máquinas virtuales de Azure que se usan como destino de la implementación.To create an Update Deployment, you must have write access to the Automation Account and write access to the any Azure VMs that are targeted in the deployment. Una implementación de actualizaciones es una instalación programada de actualizaciones necesarias en uno o más equipos.An update deployment is a scheduled installation of required updates for one or more computers. Se especifica la fecha y la hora de la implementación y el equipo o el grupo de equipos que se incluirán en el ámbito de esta.You specify the date and time for the deployment and a computer or group of computers to include in the scope of a deployment. Para más información sobre grupos de equipos, consulte Grupos de equipos de los registros de Azure Monitor.To learn more about computer groups, see Computer groups in Azure Monitor logs.

Al incluir grupos de equipos en la implementación de actualizaciones, la pertenencia al grupo se evalúa solo en el momento de la creación de la programación.When you include computer groups in your update deployment, group membership is evaluated only once, at the time of schedule creation. Los cambios posteriores en un grupo no se reflejan.Subsequent changes to a group aren't reflected. Para solucionarlo, use grupos dinámicos. Estos grupos se resuelven en tiempo de implementación y se definen mediante una consulta en el caso de máquinas virtuales de Azure o mediante una búsqueda guardada si no se trata de máquinas virtuales de Azure.To get around this use Dynamic groups, these groups are resolved at deployment time and are defined by a query for Azure VMs or a saved search for Non-Azure VMs.

Nota

Las máquinas virtuales Windows implementadas desde Azure Marketplace se establecen de forma predeterminada para recibir actualizaciones automáticas del servicio Windows Update.Windows virtual machines that are deployed from the Azure Marketplace by default are set to receive automatic updates from Windows Update Service. Este comportamiento no cambia cuando se agrega esta solución o se agregan máquinas virtuales Windows al área de trabajo.This behavior doesn't change when you add this solution or add Windows virtual machines to your workspace. Si no administra activamente las actualizaciones mediante esta solución, se aplica el comportamiento predeterminado (las actualizaciones se aplican automáticamente).If you don't actively manage updates by using this solution, the default behavior (to automatically apply updates) applies.

Para evitar que las actualizaciones se apliquen fuera de una ventana de mantenimiento en Ubuntu, vuelva a configurar el paquete de actualizaciones desatendidas para deshabilitar las actualizaciones automáticas.To avoid updates being applied outside of a maintenance window on Ubuntu, reconfigure the Unattended-Upgrade package to disable automatic updates. Para más información sobre cómo configurar el paquete, consulte el tema Actualizaciones automáticas en la Guía de Ubuntu Server.For information about how to configure the package, see Automatic Updates topic in the Ubuntu Server Guide.

Las máquinas virtuales que se crearon a partir de las imágenes a petición de Red Hat Enterprise Linux (RHEL) que están disponibles en Azure Marketplace están registradas para acceder a la instancia de Red Hat Update Infrastructure (RHUI) implementada en Azure.Virtual machines that were created from the on-demand Red Hat Enterprise Linux (RHEL) images that are available in the Azure Marketplace are registered to access the Red Hat Update Infrastructure (RHUI) that's deployed in Azure. Cualquier otra distribución de Linux se debe actualizar desde el repositorio de archivos en línea de la distribución en cuestión según los métodos admitidos por esta.Any other Linux distribution must be updated from the distribution's online file repository by following the distribution's supported methods.

Para crear una nueva implementación de actualizaciones, seleccione Programar implementación de actualizaciones.To create a new update deployment, select Schedule update deployment. Se abre la página Nueva implementación de actualización.The New Update Deployment page opens. Escriba valores para las propiedades descritas en la tabla siguiente y haga clic en Crear:Enter values for the properties described in the following table and then click Create:

PropiedadProperty DescripciónDescription
NOMBREName Nombre único para identificar la implementación de actualizaciones.Unique name to identify the update deployment.
Sistema operativoOperating System Linux o WindowsLinux or Windows
Grupos que se deben actualizarGroups to update Para las máquinas de Azure, defina una consulta basada en una combinación de suscripción, grupos de recursos, ubicaciones y etiquetas para crear un grupo dinámico de máquinas virtuales de Azure e incluirlo en la implementación.For Azure machines, define a query based on a combination of subscription, resource groups, locations, and tags to build a dynamic group of Azure VMs to include in your deployment.
Para las máquinas que no son de Azure, seleccione una búsqueda guardada ya existente para seleccionar un grupo de esas máquinas e incluirlo en la implementación.For Non-Azure machines, select an existing saved search to select a group of Non-Azure machines to include in the deployment.

Para más información, consulte los grupos dinámicos.To learn more, see Dynamic Groups
Máquinas para actualizarMachines to update Seleccione una búsqueda guardada, un grupo importado o elija la máquina en la lista desplegable y seleccione equipos individuales.Select a Saved search, Imported group, or pick Machine from the drop-down and select individual machines. Si elige Máquinas, la preparación de la máquina se muestra en la columna PREPARACIÓN DE ACTUALIZACIONES DEL AGENTE.If you choose Machines, the readiness of the machine is shown in the UPDATE AGENT READINESS column.
Para información sobre los distintos métodos de creación de grupos de equipos en los registros de Azure Monitor, consulte el artículo sobre los Grupos de equipos en los registros de Azure MonitorTo learn about the different methods of creating computer groups in Azure Monitor logs, see Computer groups in Azure Monitor logs
Clasificaciones de actualizacionesUpdate classifications Seleccione todas las clasificaciones de actualizaciones que necesiteSelect all the update classifications that you need
Incluir o excluir actualizacionesInclude/exclude updates Se abrirá la página Incluir/Excluir.This opens the Include/Exclude page. Las actualizaciones que se incluirán o excluirán están en pestañas independientes.Updates to be included or excluded are on separate tabs. Para más información sobre cómo se controla la inclusión, consulte la sección Comportamiento de inclusión.For more information on how inclusion is handled, see inclusion behavior
Configuración de programaciónSchedule settings Seleccione la hora de inicio y seleccione Una vez o de manera periódica para la periodicidadSelect the time to start, and select either Once or recurring for the recurrence
Scripts previos + scripts posterioresPre-scripts + Post-scripts Seleccione los scripts que se ejecutarán antes y después de la implementación.Select the scripts to run before and after your deployment
Ventana de mantenimientoMaintenance window Número de minutos establecido para las actualizaciones.Number of minutes set for updates. El valor no puede ser inferior a 30 minutos ni más de 6 horasThe value can't be less than 30 minutes and no more than 6 hours
Control de reinicioReboot control Determina cómo se deben controlar los reinicios.Determines how reboots should be handled. Las opciones disponibles son la siguientes:Available options are:
Reboot if required (Default) [Reiniciar si es necesario (predeterminada)]Reboot if required (Default)
Always reboot (Reiniciar siempre)Always reboot
Never reboot (No reiniciar nunca)Never reboot
Only reboot (solo reiniciar), no se instalarán las actualizacionesOnly reboot - will not install updates

Las implementaciones de actualizaciones también se pueden crear mediante programación.Update Deployments can also be created programmatically. Para información sobre cómo crear una implementación de actualizaciones con la API de REST, consulte Software Update Configurations - Create (Configuraciones de actualización de software: Creación).To learn how to create an Update Deployment with the REST API, see Software Update Configurations - Create. También hay un runbook de ejemplo que puede usarse para crear una implementación de actualizaciones semanal.There is also a sample runbook that can be used to create a weekly Update Deployment. Para más información acerca de este runbook, consulte Create a weekly update deployment for one or more VMs in a resource group (Crear una implementación de actualización semanal para una o más VM en un grupo de recursos).To learn more about this runbook, see Create a weekly update deployment for one or more VMs in a resource group.

Implementaciones de actualizaciones entre inquilinosCross-tenant Update Deployments

Si tiene máquinas en otro inquilino de Azure que informen a Update Management de que necesita una revisión, tendrá que usar la solución alternativa siguiente para programarlas.If you have machines in another Azure tenant reporting to Update Management that you need to patch, you'll need to use the following workaround to get them scheduled. Puede usar el cmdlet New-AzureRmAutomationSchedule con el modificador -ForUpdate para crear una programación y usar el cmdlet New-AzureRmAutomationSoftwareUpdateConfiguration y pasar las máquinas del otro inquilino al parámetro -NonAzureComputer.You can use the New-AzureRmAutomationSchedule cmdlet with the switch -ForUpdate to create a schedule, and use the New-AzureRmAutomationSoftwareUpdateConfiguration cmdlet and pass the machines in the other tenant to the -NonAzureComputer parameter. En el ejemplo siguiente se muestra cómo hacerlo:The following example shows an example on how to do this:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$sched = New-AzureRmAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdate

New-AzureRmAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName <automationAccountName> -Schedule $sched -Windows -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Visualización de actualizaciones que faltanView missing updates

Haga clic en Actualizaciones que faltan para ver la lista de actualizaciones que faltan en las máquinas.Select Missing updates to view the list of updates that are missing from your machines. Se muestran todas las actualizaciones, y se pueden seleccionar.Each update is listed and can be selected. Aparece información sobre el número de máquinas que requieren la actualización, el sistema operativo y un vínculo para más información.Information about the number of machines that require the update, the operating system, and a link for more information is shown. El panel Búsqueda de registros muestra más información sobre las actualizaciones.The Log search pane shows more details about the updates.

Visualización de implementaciones de actualizacionesView update deployments

Seleccione la pestaña Implementaciones de actualizaciones para ver la lista de implementaciones de actualizaciones existentes.Select the Update Deployments tab to view the list of existing update deployments. Seleccione cualquiera de las implementaciones de actualizaciones de la tabla para abrir el panel Actualizar la ejecución de implementación para esa implementación de actualizaciones.Select any of the update deployments in the table to open the Update Deployment Run pane for that update deployment. Los registros de trabajo se almacenan durante 30 días como máximo.Job logs are stored for a max of 30 days.

Información general de los resultados de la implementación de actualizaciones

Para ver una implementación de actualizaciones de la API de REST, consulte Software Update Configuration Runs (Ejecuciones de configuración de actualización de software).To view an update deployment from the REST API, see Software Update Configuration Runs.

Clasificaciones de actualizacionesUpdate classifications

En las siguientes tablas se muestran las clasificaciones de actualizaciones en Update Management, junto con una definición de cada clasificación.The following tables list the update classifications in Update Management, with a definition for each classification.

WindowsWindows

clasificaciónClassification DESCRIPCIÓNDescription
Actualizaciones críticasCritical updates Actualización para un problema específico que resuelve un error crítico no relacionado con la seguridad.An update for a specific problem that addresses a critical, non-security-related bug.
Actualizaciones de seguridadSecurity updates Actualización para un problema específico del producto relacionado con la seguridad.An update for a product-specific, security-related issue.
Paquetes acumulativos de actualizacionesUpdate rollups Conjunto acumulativo de revisiones que se empaquetan para facilitar la implementación.A cumulative set of hotfixes that are packaged together for easy deployment.
Feature PacksFeature packs Nuevas características del producto que se distribuyen fuera de una versión del producto.New product features that are distributed outside a product release.
Service PacksService packs Un conjunto acumulativo de revisiones que se aplican a una aplicación.A cumulative set of hotfixes that are applied to an application.
Actualizaciones de definicionesDefinition updates Una actualización de archivos de definiciones de virus o de otra índole.An update to virus or other definition files.
HerramientasTools Utilidad o característica que ayuda a realizar una o más tareas.A utility or feature that helps complete one or more tasks.
ActualizacionesUpdates Actualización de una aplicación o archivo que están instalados actualmente.An update to an application or file that currently is installed.

LinuxLinux

clasificaciónClassification DESCRIPCIÓNDescription
Actualizaciones críticas y de seguridadCritical and security updates Actualizaciones para un problema específico o un problema de un producto específico relacionado con la seguridad.Updates for a specific problem or a product-specific, security-related issue.
Otras actualizacionesOther updates Todas las demás actualizaciones que ni son críticas por naturaleza ni son actualizaciones de seguridad.All other updates that aren't critical in nature or aren't security updates.

En Linux, Update Management puede distinguir entre actualizaciones críticas y de seguridad en la nube y mostrar al mismo tiempo datos de evaluación debido al enriquecimiento de datos en la nube.For Linux, Update Management can distinguish between critical and security updates in the cloud while displaying assessment data due to data enrichment in the cloud. Para aplicar revisiones, Update Management se basa en los datos de clasificación disponibles en la máquina.For patching, Update Management relies on classification data available on the machine. A diferencia de otras distribuciones, CentOS no dispone de esta información de forma nativa.Unlike other distributions, CentOS does not have this information available out of the box. Si tiene máquinas de CentOS configuradas para devolver datos de seguridad para el siguiente comando, Update Management podrá aplicar revisiones basadas en clasificaciones.If you have CentOS machines configured in a way to return security data for the following command, Update Management will be able to patch based on classifications.

sudo yum -q --security check-update

Actualmente no hay ningún método compatible para habilitar la disponibilidad de datos de clasificación nativos en CentOS.There's currently no method supported method to enable native classification-data availability on CentOS. En este momento, solo se proporciona soporte técnico a clientes que pueden haber habilitado esto por su cuenta.At this time, only best-effort support is provided to customers who may have enabled this on their own.

Configuración avanzadaAdvanced settings

Update Management se basa en Windows Update para descargar e instalar las actualizaciones de Windows.Update Management relies on Windows Update to download and install Windows Updates. Como resultado, se respetan muchas de las configuraciones usadas por Windows Update.As a result, we respect many of the settings used by Windows Update. Si usa la configuración para habilitar las actualizaciones que no son de Windows, Update Management también administrará dichas actualizaciones.If you use settings to enable non-Windows updates, Update Management will manage those updates as well. Si desea habilitar la descarga de actualizaciones antes de que se lleve a cabo la implementación de la actualización, las implementaciones de las actualizaciones pueden ejecutarse más rápido con menos probabilidades de exceder la ventana de mantenimiento.If you want to enable downloading updates before an update deployment occurs, update deployments can go faster and be less likely to exceed the maintenance window.

Actualizaciones de descarga previaPre download updates

Para configurar la descarga automática de actualizaciones en la directiva de grupo, puede establecer la opción Configurar actualizaciones automáticas en 3.To configure automatically downloading updates in Group Policy, you can set the Configure Automatic Updates setting to 3. De esta forma se descargan las actualizaciones necesarias en segundo plano, pero no se instalan.This downloads the updates needed in the background, but doesn't install them. Esto permite que Update Management controle las programaciones, pero permite que las actualizaciones se descarguen fuera de la ventana de mantenimiento de Update Management.This keeps Update Management in control of schedules but allow updates to download outside of the Update Management maintenance window. Esto puede evitar errores Ventana de mantenimiento superada en Update Management.This can prevent Maintenance window exceeded errors in Update Management.

También puede configurar esto con PowerShell, con la ejecución del siguiente comando de PowerShell en un sistema en el que desee descargar las actualizaciones automáticamente.You can also set this with PowerShell, run the following PowerShell on a system that you want to auto-download updates.

$WUSettings = (New-Object -com "Microsoft.Update.AutoUpdate").Settings
$WUSettings.NotificationLevel = 3
$WUSettings.Save()

Deshabilitar la instalación automáticaDisable automatic installation

Las máquinas virtuales de Azure tienen la instalación automática habilitada de forma predeterminada.Azure VMs have Automatic installation of updates enabled by default. Esto puede provocar que las actualizaciones se instalen antes de que programe su instalación por medio de Update Management.This can cause updates to be installed before you schedule them to be installed by Update Management. Puede deshabilitar este comportamiento estableciendo la clave del Registro NoAutoUpdate en 1.You can disable this behavior by setting the NoAutoUpdate registry key to 1. El siguiente fragmento de código de PowerShell muestra una forma de hacerlo.The following PowerShell snippet shows you one way to do this.

$AutoUpdatePath = "HKLM:SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU"
Set-ItemProperty -Path $AutoUpdatePath -Name NoAutoUpdate -Value 1

Habilitar actualizaciones de otros productos de MicrosoftEnable updates for other Microsoft products

De forma predeterminada, Windows Update solo proporciona actualizaciones para Windows.By default, Windows Update only provides updates for Windows. Si habilita Ofrecerme actualizaciones para otros productos de Microsoft cuando actualice Windows, se proporcionan las actualizaciones para otros productos, incluidas las revisiones de seguridad de SQL Server u otro software propio.If you enable Give me updates for other Microsoft products when I update Windows, you're provided with updates for other products, including security patches for SQL Server or other first party software. Esta opción no se puede configurar mediante la directiva de grupo.This option can't be configured by Group Policy. Ejecute el siguiente comando de PowerShell en los sistemas en los que desea habilitar otras revisiones propias, y Update Management respetará esta configuración.Run the following PowerShell on the systems that you wish to enable other first party patches on, and Update Management will honor this setting.

$ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager")
$ServiceManager.Services
$ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d"
$ServiceManager.AddService2($ServiceId,7,"")

Revisiones de aplicaciones de terceros en WindowsThird-party patches on Windows

Update Management se basa en el repositorio de actualización configurado localmente para aplicar revisiones a sistemas de Windows compatibles.Update Management relies on the locally configured update repository to patch supported Windows systems. Este es WSUS o Windows Update.This is either WSUS or Windows Update. Herramientas como System Center Updates Publisher (Updates Publisher) le permiten publicar actualizaciones personalizadas en WSUS.Tools like System Center Updates Publisher (Updates Publisher) allow you to publish custom updates into WSUS. Este escenario permite que Update Management revise las máquinas que usan System Center Configuration Manager como repositorio de actualizaciones con software de terceros.This scenario allows Update Management to patch machines that use System Center Configuration Manager as their update repository with third-party software. Para obtener información sobre cómo configurar Updates Publisher, consulte Instalar Updates Publisher.To learn how to configure Updates Publisher, see Install Updates Publisher.

Planeamiento de redNetwork Planning

Las direcciones siguientes se requieren específicamente para Update Management.The following addresses are required specifically for Update Management. La comunicación con estas direcciones se realiza a través del puerto 443.Communication to these addresses occurs over port 443.

Azure PublicAzure Public Azure GovernmentAzure Government
* .ods.opinsights.azure.com*.ods.opinsights.azure.com *.ods.opinsights.azure.us*.ods.opinsights.azure.us
* .oms.opinsights.azure.com*.oms.opinsights.azure.com *.oms.opinsights.azure.us*.oms.opinsights.azure.us
* .blob.core.windows.net*.blob.core.windows.net *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
* .azure-automation.net*.azure-automation.net *.azure-automation.us*.azure-automation.us

En el caso de máquinas Windows, también debe permitir el tráfico a los puntos de conexión que necesita Windows Update.For Windows Machines, you must also allow traffic to any endpoints required by Windows Update. Puede encontrar una lista actualizada de los puntos de conexión necesarios en el artículo sobre problemas relacionados con HTTP/Proxy.You can find an updated list of required endoints in Issues related to HTTP/Proxy. Si tiene un servidor de Windows Update local, también debe permitir el tráfico al servidor especificado en la clave de WSUS.If you have a local Windows Update Server, you must also allow traffic to the server specified in your WSUS Key.

En el caso de máquinas de Red Hat Linux, consulte las direcciones IP de los servidores de entrega de contenido de RHUI de los puntos de conexión necesarios.For Red Hat Linux Machines, please refer to The IPs for the RHUI content delivery servers for required endpoints. Para otras distribuciones de Linux, consulte la documentación del proveedor.For other Linux Distributions, refer to provider documentation.

Para más información sobre los puertos que necesita Hybrid Runbook Worker, consulte los puertos de roles de Hybrid Worker.For more information about ports that the Hybrid Runbook Worker requires, see Hybrid Worker role ports.

Se recomienda utilizar las direcciones mostradas al definir las excepciones.It's recommended to use the addresses listed when defining exceptions. Puede descargar los intervalos de direcciones IP del centro de datos de Microsoft Azure.For IP addresses you can download the Microsoft Azure Datacenter IP Ranges. Este archivo se actualiza semanalmente y refleja los intervalos implementados en ese momento y los próximos cambios en los intervalos de direcciones.This file is updated weekly, and reflects the currently deployed ranges and any upcoming changes to the IP ranges.

Búsqueda de registrosSearch logs

Además de los detalles que se proporcionan en Azure Portal, se pueden realizar búsquedas en los registros.In addition to the details that are provided in the Azure portal, you can do searches against the logs. En la página de la solución, seleccione Log Analytics.On the solution pages, select Log Analytics. Se abre el panel Búsqueda de registros.The Log Search pane opens.

También puede aprender a personalizar las consultas o a usarlas desde diferentes clientes, entre otras cosas visitando: Documentación de Log Analytics Search API.You can also learn how to customize the queries or use them from different clients and more by visiting: Log Analytics search API documentation.

Consultas de ejemploSample queries

En las secciones siguientes se proporcionan ejemplos de consultas de registros para los registros de actualizaciones recopilados por esta solución:The following sections provide sample log queries for update records that are collected by this solution:

Consultas individuales de evaluación de Azure VM (Windows)Single Azure VM Assessment queries (Windows)

Reemplace el valor de VMUUID con el GUID de la máquina virtual en la que va a realizar la consulta.Replace the VMUUID value with the VM GUID of the virtual machine you're querying. Para encontrar el VMUUID que se debe usar, ejecute la siguiente consulta en los registros de Azure Monitor: Update | where Computer == "<machine name>" | summarize by Computer, VMUUIDYou can find the VMUUID that should be used by running the following query in Azure Monitor logs: Update | where Computer == "<machine name>" | summarize by Computer, VMUUID

Falta resumen de actualizacionesMissing updates summary
Update
| where TimeGenerated>ago(14h) and OSType!="Linux" and (Optional==false or Classification has "Critical" or Classification has "Security") and VMUUID=~"b08d5afa-1471-4b52-bd95-a44fea6e4ca8"
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Approved) by Computer, SourceComputerId, UpdateID
| where UpdateState=~"Needed" and Approved!=false
| summarize by UpdateID, Classification
| summarize allUpdatesCount=count(), criticalUpdatesCount=countif(Classification has "Critical"), securityUpdatesCount=countif(Classification has "Security"), otherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security")
Falta lista de actualizacionesMissing updates list
Update
| where TimeGenerated>ago(14h) and OSType!="Linux" and (Optional==false or Classification has "Critical" or Classification has "Security") and VMUUID=~"8bf1ccc6-b6d3-4a0b-a643-23f346dfdf82"
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Title, KBID, PublishedDate, Approved) by Computer, SourceComputerId, UpdateID
| where UpdateState=~"Needed" and Approved!=false
| project-away UpdateState, Approved, TimeGenerated
| summarize computersCount=dcount(SourceComputerId, 2), displayName=any(Title), publishedDate=min(PublishedDate), ClassificationWeight=max(iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1))) by id=strcat(UpdateID, "_", KBID), classification=Classification, InformationId=strcat("KB", KBID), InformationUrl=iff(isnotempty(KBID), strcat("https://support.microsoft.com/kb/", KBID), ""), osType=2
| sort by ClassificationWeight desc, computersCount desc, displayName asc
| extend informationLink=(iff(isnotempty(InformationId) and isnotempty(InformationUrl), toobject(strcat('{ "uri": "', InformationUrl, '", "text": "', InformationId, '", "target": "blank" }')), toobject('')))
| project-away ClassificationWeight, InformationId, InformationUrl

Consultas individuales de evaluación de Azure VM (Linux)Single Azure VM assessment queries (Linux)

En algunas distribuciones de Linux hay una falta de concordancia de la codificación Endiannes con el valor de VMUUID que proviene de Azure Resource Manager y lo que se almacena en los registros de Azure Monitor.For some Linux distros, there is a endianness mismatch with the VMUUID value that comes from Azure Resource Manager and what is stored in Azure Monitor logs. La siguiente consulta busca una concordancia en cualquier codificación Endiannes.The following query checks for a match on either endianness. Reemplace los valores de VMUUID por el formato de big-endian y little-endian del GUID para devolver correctamente los resultados.Replace the VMUUID values with the big-endian and little-endian format of the GUID to properly return the results. Para encontrar el VMUUID que se debe usar, ejecute la siguiente consulta en los registros de Azure Monitor: Update | where Computer == "<machine name>" | summarize by Computer, VMUUIDYou can find the VMUUID that should be used by running the following query in Azure Monitor logs: Update | where Computer == "<machine name>" | summarize by Computer, VMUUID

Falta resumen de actualizacionesMissing updates summary
Update
| where TimeGenerated>ago(5h) and OSType=="Linux" and (VMUUID=~"625686a0-6d08-4810-aae9-a089e68d4911" or VMUUID=~"a0865662-086d-1048-aae9-a089e68d4911")
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification) by Computer, SourceComputerId, Product, ProductArch
| where UpdateState=~"Needed"
| summarize by Product, ProductArch, Classification
| summarize allUpdatesCount=count(), criticalUpdatesCount=countif(Classification has "Critical"), securityUpdatesCount=countif(Classification has "Security"), otherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security")
Falta lista de actualizacionesMissing updates list
Update
| where TimeGenerated>ago(5h) and OSType=="Linux" and (VMUUID=~"625686a0-6d08-4810-aae9-a089e68d4911" or VMUUID=~"a0865662-086d-1048-aae9-a089e68d4911")
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, BulletinUrl, BulletinID) by Computer, SourceComputerId, Product, ProductArch
| where UpdateState=~"Needed"
| project-away UpdateState, TimeGenerated
| summarize computersCount=dcount(SourceComputerId, 2), ClassificationWeight=max(iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1))) by id=strcat(Product, "_", ProductArch), displayName=Product, productArch=ProductArch, classification=Classification, InformationId=BulletinID, InformationUrl=tostring(split(BulletinUrl, ";", 0)[0]), osType=1
| sort by ClassificationWeight desc, computersCount desc, displayName asc
| extend informationLink=(iff(isnotempty(InformationId) and isnotempty(InformationUrl), toobject(strcat('{ "uri": "', InformationUrl, '", "text": "', InformationId, '", "target": "blank" }')), toobject('')))
| project-away ClassificationWeight, InformationId, InformationUrl

Consultas de evaluación de máquinas virtuales múltiplesMulti-VM assessment queries

Resumen de equiposComputers summary
Heartbeat
| where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId
| join kind=leftouter
(
    Update
    | where TimeGenerated>ago(14h) and OSType!="Linux"
    | summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Approved, Optional, Classification) by SourceComputerId, UpdateID
    | distinct SourceComputerId, Classification, UpdateState, Approved, Optional
    | summarize WorstMissingUpdateSeverity=max(iff(UpdateState=~"Needed" and (Optional==false or Classification has "Critical" or Classification has "Security") and Approved!=false, iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1)), 0)) by SourceComputerId
)
on SourceComputerId
| extend WorstMissingUpdateSeverity=coalesce(WorstMissingUpdateSeverity, -1)
| summarize computersBySeverity=count() by WorstMissingUpdateSeverity
| union (Heartbeat
| where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId
| join kind=leftouter
(
    Update
    | where TimeGenerated>ago(5h) and OSType=="Linux"
    | summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification) by SourceComputerId, Product, ProductArch
    | distinct SourceComputerId, Classification, UpdateState
    | summarize WorstMissingUpdateSeverity=max(iff(UpdateState=~"Needed", iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1)), 0)) by SourceComputerId
)
on SourceComputerId
| extend WorstMissingUpdateSeverity=coalesce(WorstMissingUpdateSeverity, -1)
| summarize computersBySeverity=count() by WorstMissingUpdateSeverity)
| summarize assessedComputersCount=sumif(computersBySeverity, WorstMissingUpdateSeverity>-1), notAssessedComputersCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==-1), computersNeedCriticalUpdatesCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==4), computersNeedSecurityUpdatesCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==2), computersNeedOtherUpdatesCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==1), upToDateComputersCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==0)
| summarize assessedComputersCount=sum(assessedComputersCount), computersNeedCriticalUpdatesCount=sum(computersNeedCriticalUpdatesCount),  computersNeedSecurityUpdatesCount=sum(computersNeedSecurityUpdatesCount), computersNeedOtherUpdatesCount=sum(computersNeedOtherUpdatesCount), upToDateComputersCount=sum(upToDateComputersCount), notAssessedComputersCount=sum(notAssessedComputersCount)
| extend allComputersCount=assessedComputersCount+notAssessedComputersCount


Falta resumen de actualizacionesMissing updates summary
Update
| where TimeGenerated>ago(5h) and OSType=="Linux" and SourceComputerId in ((Heartbeat
| where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification) by Computer, SourceComputerId, Product, ProductArch
| where UpdateState=~"Needed"
| summarize by Product, ProductArch, Classification
| union (Update
| where TimeGenerated>ago(14h) and OSType!="Linux" and (Optional==false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((Heartbeat
| where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Approved) by Computer, SourceComputerId, UpdateID
| where UpdateState=~"Needed" and Approved!=false
| summarize by UpdateID, Classification )
| summarize allUpdatesCount=count(), criticalUpdatesCount=countif(Classification has "Critical"), securityUpdatesCount=countif(Classification has "Security"), otherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security")
Lista de equiposComputers list
Heartbeat
| where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions, Computer, ResourceId, ComputerEnvironment, VMUUID) by SourceComputerId
| where Solutions has "updates"
| extend vmuuId=VMUUID, azureResourceId=ResourceId, osType=1, environment=iff(ComputerEnvironment=~"Azure", 1, 2), scopedToUpdatesSolution=true, lastUpdateAgentSeenTime=""
| join kind=leftouter
(
    Update
    | where TimeGenerated>ago(5h) and OSType=="Linux" and SourceComputerId in ((Heartbeat
    | where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
    | summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Product, Computer, ComputerEnvironment) by SourceComputerId, Product, ProductArch
    | summarize Computer=any(Computer), ComputerEnvironment=any(ComputerEnvironment), missingCriticalUpdatesCount=countif(Classification has "Critical" and UpdateState=~"Needed"), missingSecurityUpdatesCount=countif(Classification has "Security" and UpdateState=~"Needed"), missingOtherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security" and UpdateState=~"Needed"), lastAssessedTime=max(TimeGenerated), lastUpdateAgentSeenTime="" by SourceComputerId
    | extend compliance=iff(missingCriticalUpdatesCount > 0 or missingSecurityUpdatesCount > 0, 2, 1)
    | extend ComplianceOrder=iff(missingCriticalUpdatesCount > 0 or missingSecurityUpdatesCount > 0 or missingOtherUpdatesCount > 0, 1, 3)
)
on SourceComputerId
| project id=SourceComputerId, displayName=Computer, sourceComputerId=SourceComputerId, scopedToUpdatesSolution=true, missingCriticalUpdatesCount=coalesce(missingCriticalUpdatesCount, -1), missingSecurityUpdatesCount=coalesce(missingSecurityUpdatesCount, -1), missingOtherUpdatesCount=coalesce(missingOtherUpdatesCount, -1), compliance=coalesce(compliance, 4), lastAssessedTime, lastUpdateAgentSeenTime, osType=1, environment=iff(ComputerEnvironment=~"Azure", 1, 2), ComplianceOrder=coalesce(ComplianceOrder, 2)
| union(Heartbeat
| where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions, Computer, ResourceId, ComputerEnvironment, VMUUID) by SourceComputerId
| where Solutions has "updates"
| extend vmuuId=VMUUID, azureResourceId=ResourceId, osType=2, environment=iff(ComputerEnvironment=~"Azure", 1, 2), scopedToUpdatesSolution=true, lastUpdateAgentSeenTime=""
| join kind=leftouter
(
    Update
    | where TimeGenerated>ago(14h) and OSType!="Linux" and SourceComputerId in ((Heartbeat
    | where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
    | summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Title, Optional, Approved, Computer, ComputerEnvironment) by Computer, SourceComputerId, UpdateID
    | summarize Computer=any(Computer), ComputerEnvironment=any(ComputerEnvironment), missingCriticalUpdatesCount=countif(Classification has "Critical" and UpdateState=~"Needed" and Approved!=false), missingSecurityUpdatesCount=countif(Classification has "Security" and UpdateState=~"Needed" and Approved!=false), missingOtherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security" and UpdateState=~"Needed" and Optional==false and Approved!=false), lastAssessedTime=max(TimeGenerated), lastUpdateAgentSeenTime="" by SourceComputerId
    | extend compliance=iff(missingCriticalUpdatesCount > 0 or missingSecurityUpdatesCount > 0, 2, 1)
    | extend ComplianceOrder=iff(missingCriticalUpdatesCount > 0 or missingSecurityUpdatesCount > 0 or missingOtherUpdatesCount > 0, 1, 3)
)
on SourceComputerId
| project id=SourceComputerId, displayName=Computer, sourceComputerId=SourceComputerId, scopedToUpdatesSolution=true, missingCriticalUpdatesCount=coalesce(missingCriticalUpdatesCount, -1), missingSecurityUpdatesCount=coalesce(missingSecurityUpdatesCount, -1), missingOtherUpdatesCount=coalesce(missingOtherUpdatesCount, -1), compliance=coalesce(compliance, 4), lastAssessedTime, lastUpdateAgentSeenTime, osType=2, environment=iff(ComputerEnvironment=~"Azure", 1, 2), ComplianceOrder=coalesce(ComplianceOrder, 2) )
| order by ComplianceOrder asc, missingCriticalUpdatesCount desc, missingSecurityUpdatesCount desc, missingOtherUpdatesCount desc, displayName asc
| project-away ComplianceOrder
Falta lista de actualizacionesMissing updates list
Update
| where TimeGenerated>ago(5h) and OSType=="Linux" and SourceComputerId in ((Heartbeat
| where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, BulletinUrl, BulletinID) by SourceComputerId, Product, ProductArch
| where UpdateState=~"Needed"
| project-away UpdateState, TimeGenerated
| summarize computersCount=dcount(SourceComputerId, 2), ClassificationWeight=max(iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1))) by id=strcat(Product, "_", ProductArch), displayName=Product, productArch=ProductArch, classification=Classification, InformationId=BulletinID, InformationUrl=tostring(split(BulletinUrl, ";", 0)[0]), osType=1
| union(Update
| where TimeGenerated>ago(14h) and OSType!="Linux" and (Optional==false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((Heartbeat
| where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Title, KBID, PublishedDate, Approved) by Computer, SourceComputerId, UpdateID
| where UpdateState=~"Needed" and Approved!=false
| project-away UpdateState, Approved, TimeGenerated
| summarize computersCount=dcount(SourceComputerId, 2), displayName=any(Title), publishedDate=min(PublishedDate), ClassificationWeight=max(iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1))) by id=strcat(UpdateID, "_", KBID), classification=Classification, InformationId=strcat("KB", KBID), InformationUrl=iff(isnotempty(KBID), strcat("https://support.microsoft.com/kb/", KBID), ""), osType=2)
| sort by ClassificationWeight desc, computersCount desc, displayName asc
| extend informationLink=(iff(isnotempty(InformationId) and isnotempty(InformationUrl), toobject(strcat('{ "uri": "', InformationUrl, '", "text": "', InformationId, '", "target": "blank" }')), toobject('')))
| project-away ClassificationWeight, InformationId, InformationUrl

Uso de grupos dinámicosUsing dynamic groups

Update Management permite tener como destino un grupo dinámico de máquinas virtuales de Azure (o de máquinas virtuales que no sean de Azure) para implementaciones de actualizaciones.Update Management provides the ability to target a dynamic group of Azure or Non-Azure VMs for update deployments. Estos grupos se evalúan en tiempo de implementación, por lo que no tiene que editar la implementación para agregar máquinas.These groups are evaluated at deployment time so you do not have to edit your deployment to add machines.

Nota

Debe tener los permisos adecuados al crear una implementación de actualizaciones.You must have the proper permissions when creating an update deployment. Para más información, consulte Instalación de actualizaciones.To learn more, see Install Updates.

Máquinas de AzureAzure machines

Estos grupos se definen mediante una consulta, cuando se inicia una implementación de actualizaciones, se evalúan los miembros de ese grupo.These groups are defined by a query, when an update deployment begins, the members of that group are evaluated. Los grupos dinámicos no funcionan con máquinas virtuales clásicas.Dynamic groups do not work with classic VMs. Al definir la consulta, se pueden usar los siguientes elementos juntos para rellenar el grupo dinámicoWhen defining your query, the following items can be used together to populate the dynamic group

  • SubscriptionSubscription
  • Grupos de recursosResource groups
  • UbicacionesLocations
  • EtiquetasTags

Selección de grupos

Para obtener una vista previa de los resultados de un grupo dinámico, haga clic en el botón Vista previa.To preview the results of a dynamic group, click the Preview button. Esta vista previa muestra la pertenencia al grupo en ese momento; en este ejemplo, estamos buscando máquinas con la etiqueta Role es igual a BackendServer.This preview shows the group membership at that time, in this example, we are searching for machines with the tag Role is equal to BackendServer. Si se ha agregado esta etiqueta a varias máquinas, se agregarán a las implementaciones futuras en ese grupo.If more machines have this tag added, they will be added to any future deployments against that group.

vista previa de grupos

Máquinas que no son de AzureNon-Azure machines

En el caso de las máquinas que no son de Azure, las búsquedas guardadas, a las que también se hace referencia como grupos de equipos, se usan para crear el grupo dinámico.For Non-Azure machines, saved searches also referred to as computer groups are used to create the dynamic group. Para aprender a crear una búsqueda guardada, consulte Creación de un grupo de equipos.To learn how to create a saved search, see Creating a computer group. Una vez creado el grupo puede seleccionarlo en la lista de búsquedas guardadas.Once your group is created you can select it from the list of saved searches. Haga clic en Vista previa para obtener una vista previa de los equipos de la búsqueda guardada en ese momento.Click Preview to preview the computers in the saved search at that time.

Selección de grupos

Integración con System Center Configuration ManagerIntegrate with System Center Configuration Manager

Los clientes que han invertido en System Center Configuration Manager para administrar equipos, servidores y dispositivos móviles también dependen de la fuerza y la madurez de Configuration Manager para ayudarles a administrar actualizaciones de software.Customers who have invested in System Center Configuration Manager for managing PCs, servers, and mobile devices also rely on the strength and maturity of Configuration Manager to help them manage software updates. Configuration Manager es parte de su ciclo de administración de actualizaciones de software (SUM).Configuration Manager is part of their software update management (SUM) cycle.

Para aprender a integrar la solución de administración con System Center Configuration Manager, consulte Integración de System Center Configuration Manager con Update Management.To learn how to integrate the management solution with System Center Configuration Manager, see Integrate System Center Configuration Manager with Update Management.

Comportamiento de inclusiónInclusion behavior

Inclusión de actualizaciones le permite especificar las actualizaciones específicas que quiere aplicar.Update inclusion allows you to specify specific updates to apply. Se instalan las revisiones o los paquetes que se incluyen.Patches or packages that are included are installed. Cuando se incluyen revisiones o paquetes y, además, se selecciona una clasificación, se instalan tanto los elementos incluidos como los elementos que cumplen la clasificación.When Patches or packages are included and a classification is selected as well, both the included items and items that meet the classification are installed.

Es importante saber que las exclusiones invalidan las inclusiones.It is important to know that exclusions override inclusions. Por ejemplo, si define una regla de exclusión de *, no se instalan revisiones ni paquetes, ya que se excluyen todas.For instance, if you define an exclusion rule of *, then no patches or packages are installed as they are all excluded. Las revisiones excluidas aparecen todavía como que faltan en la máquina.Excluded patches still show as missing from the machine. Para las máquinas Linux, si se incluye un paquete, pero tiene un paquete dependiente que se ha excluido, el paquete no se instala.For Linux machines if a package is included but has a dependant package that was excluded, the package is not installed.

Aplicación de revisiones en máquinas LinuxPatch Linux machines

Las siguientes secciones explican posibles problemas con la aplicación de revisiones de Linux.The following sections explain potential issues with Linux patching.

Actualizaciones de nivel de sistema operativo inesperadasUnexpected OS-level upgrades

En algunas variantes de Linux, como Red Hat Enterprise Linux, las actualizaciones de nivel de sistema operativo pueden producirse mediante paquetes.On some Linux variants, such as Red Hat Enterprise Linux, OS-level upgrades might occur via packages. Esto puede llevar a ejecuciones de Update Management en las que cambia el número de versión del sistema operativo.This might lead to Update Management runs where the OS version number changes. Puesto que Update Management usa los mismos métodos para actualizar paquetes que un administrador utilizaría localmente en el equipo Linux, este comportamiento es deliberado.Because Update Management uses the same methods to update packages that an administrator would use locally on the Linux computer, this behavior is intentional.

Para evitar la actualización de la versión del sistema operativo con las ejecuciones de Update Management, use la característica Exclusión.To avoid updating the OS version via Update Management runs, use the Exclusion feature.

En Red Hat Enterprise Linux, el nombre del paquete para excluir sería: redhat-release-server.x86_64.In Red Hat Enterprise Linux, the package name to exclude is redhat-release-server.x86_64.

Paquetes que se van a excluir para Linux

No se aplican las revisiones críticas y de seguridadCritical / security patches aren't applied

Al implementar actualizaciones en una máquina Linux, puede seleccionar clasificaciones de actualizaciones.When you deploy updates to a Linux machine, you can select update classifications. Esto filtra las actualizaciones que se aplican a la máquina que cumple los criterios especificados.This filters the updates that are applied to the machine that meet the specified criteria. Este filtro se aplica localmente en el equipo cuando se implementa la actualización.This filter is applied locally on the machine when the update is deployed.

Dado que Update Management realiza enriquecimiento de actualizaciones en la nube, algunas actualizaciones pueden marcarse en Update Management como de impacto para la seguridad, aunque la máquina local no tenga esa información.Because Update Management performs update enrichment in the cloud, some updates can be flagged in Update Management as having security impact, even though the local machine doesn't have that information. Como resultado, si aplica actualizaciones críticas a una máquina Linux, puede haber actualizaciones que no estén marcadas como de impacto para la seguridad en esa máquina y no se apliquen.As a result, if you apply critical updates to a Linux machine, there might be updates that aren't marked as having security impact on that machine and the updates aren't applied.

Sin embargo, es posible que Update Management todavía notifique que esa máquina no es compatible porque tiene información adicional acerca de la actualización pertinente.However, Update Management might still report that machine as being non-compliant because it has additional information about the relevant update.

La implementación de actualizaciones mediante la clasificación de actualizaciones no funciona en CentOS de forma nativa.Deploying updates by update classification doesn't work on CentOS out of the box. Para implementar correctamente actualizaciones para CentOS, seleccione todas las clasificaciones para asegurarse de que se aplican las actualizaciones.To properly deploy updates for CentOS, select all classifications to ensure updates are applied. En SUSE, al seleccionar solo "Otras actualizaciones" como clasificación, puede dar lugar a que se instalen también algunas actualizaciones de seguridad si primero se requieren actualizaciones de seguridad relacionadas con zypper (administrador de paquetes) o sus dependencias.For SUSE, selecting only 'Other updates' as the classification may result in some security updates also being installed if security updates related to zypper (package manager) or its dependencies are required first. Este comportamiento es una limitación de zypper.This behavior is a limitation of zypper. En algunos casos, puede que se le pida volver a ejecutar la implementación de actualizaciones.In some cases, you may be required to rerun the update deployment. Para ello, compruebe el registro de actualizaciones.To verify, check the update log.

Eliminación de una máquina virtual de Update ManagementRemove a VM from Update Management

Para quitar una VM de Update Management:To remove a VM from Update Management:

  • En el área de trabajo de Log Analytics, quite la VM de la búsqueda guardada con la configuración de ámbito MicrosoftDefaultScopeConfig-Updates.In your Log Analytics workspace, remove the VM from the saved search for the Scope Configuration MicrosoftDefaultScopeConfig-Updates. Las búsquedas guardadas se pueden encontrar en la sección General del área de trabajo.Saved searches can be found under General in your workspace.
  • Quite Microsoft Monitoring Agent o el agente de Log Analytics para Linux.Remove the Microsoft Monitoring agent or the Log Analytics agent for Linux.

Pasos siguientesNext steps

Continúe con el tutorial para aprender a administrar actualizaciones de máquinas virtuales Windows.Continue to the tutorial to learn how to manage updates for your Windows virtual machines.