Habilitación de Azure Monitor para VM mediante Azure PolicyEnable Azure Monitor for VMs by using Azure Policy

En este artículo se explica cómo habilitar Azure Monitor para VM para máquinas virtuales de Azure o máquinas virtuales híbridas conectadas con Azure Arc (versión preliminar) mediante Azure Policy.This article explains how to enable Azure Monitor for VMs for Azure virtual machines or hybrid virtual machine connected with Azure Arc (preview) using Azure Policy. Azure Policy permite asignar definiciones de directivas que instalan los agentes necesarios para Azure Monitor para VM en el entorno de Azure y habilitan automáticamente la supervisión de las máquinas virtuales cuando se crea cada máquina virtual.Azure Policy allows you to assign policy definitions that install the required agents for Azure Monitor for VMs across your Azure environment and automatically enable monitoring for VMs as each virtual machine is created. Azure Monitor para VM ofrece una característica que permite detectar y corregir VM no compatibles en el entorno.Azure Monitor for VMs provides a feature that allows you to discover and remediate noncompliant VMs in your environment. Use esta característica en lugar de trabajar directamente con Azure Policy.Use this feature instead of working directly with Azure Policy.

Si no está familiarizado con Azure Policy, obtenga una breve introducción en Implementación de Azure Monitor a escala mediante Azure Policy.If you're not familiar with Azure Policy, get a brief introduction at Deploy Azure Monitor at scale using Azure Policy.

Nota

Para usar Azure Policy con conjuntos de escalado de máquinas virtuales de Azure o para trabajar con Azure Policy directamente para habilitar las máquinas virtuales de Azure, vea Implementación de Azure Monitor a escala mediante Azure Policy.To use Azure Policy with Azure virtual machine scale sets, or to work with Azure Policy directly to enable Azure virtual machines, see Deploy Azure Monitor at scale using Azure Policy.

Requisitos previosPrerequisites

Iniciativa de Azure Monitor para VMAzure Monitor for VMs initiative

Azure Monitor para VM proporciona definiciones de directivas integradas para instalar el agente de Log Analytics y Dependency Agent en máquinas virtuales de Azure.Azure Monitor for VMs provides builtin policy definitions to install the Log Analytics agent and Dependency agent on Azure virtual machines. La iniciativa Habilitar Azure Monitor para VM incluye cada una de estas definiciones de directiva.The initiative Enable Azure Monitor for VMs includes each of these policy definitions. Asigne esta iniciativa a un grupo de administración, una suscripción o un grupo de recursos para instalar automáticamente los agentes en cualquier máquina virtual Windows o Linux de Azure en ese ámbito.Assign this initiative to a management group, subscription, or resource group to automatically install the agents on any Windows or Linux Azure virtual machines in that scope.

Acceso a la característica Cobertura de directivaOpen Policy Coverage feature

Para acceder a Cobertura de directiva de Azure Monitor para VM, vaya a Máquinas virtuales en el menú Azure Monitor de Azure Portal.To access Azure Monitor for VMs Policy Coverage, go the Virtual machines in the Azure Monitor menu in the Azure portal. Seleccione Otras opciones de incorporación y Habilitar en Habilitar mediante directiva.Select Other onboarding options and then Enable under Enable using policy.

Azure Monitor desde la pestaña Primeros pasos de las VMAzure Monitor from VMs Get Started tab

Creación de una asignaciónCreate new assignment

Si aún no tiene una asignación, haga clic en Asignar directiva para crear una.If you don't already have an assignment, create a new one by clicking Assign Policy.

Crear asignaciónCreate assignment

Se trata de la misma página utilizada para asignar una iniciativa en Azure Policy, con la excepción de que está codificada con el ámbito seleccionado y la definición de la iniciativa Habilitar Azure Monitor para VM.This is the same page to assign an initiative in Azure Policy except that it's hardcoded with the scope that you selected and the Enable Azure Monitor for VMs initiative definition. Opcionalmente, puede cambiar el Nombre de asignación y agregar una Descripción.You can optionally change the Assignment name and add a Description. Seleccione Exclusiones si desea proporcionar una exclusión en el ámbito.Select Exclusions if you want to provide an exclusion to the scope. Por ejemplo, el ámbito puede ser un grupo de administración, y se puede especificar una suscripción en ese grupo de administración para que se excluya de la asignación.For example, your scope could be a management group, and you could specify a subscription in that management group to be excluded from the assignment.

Iniciativa de asignaciónAssign initiative

En la página Parámetros, seleccione un Área de trabajo de Log Analytics que usarán todas las máquinas virtuales de la asignación.On the Parameters page, select a Log Analytics workspace to be used by all virtual machines in the assignment. Si desea especificar diferentes áreas de trabajo para distintas máquinas virtuales, debe crear varias asignaciones, cada una con su propio ámbito.If you want to specify different workspaces for different virtual machines, then you must create multiple assignments, each with their own scope.

Nota

Si el área de trabajo está fuera del ámbito de la asignación, conceda los permisos de colaborador de Log Analytics al identificador de la entidad de seguridad. de la asignación de la directiva.If the workspace is beyond the scope of the assignment, grant Log Analytics Contributor permissions to the policy assignment's Principal ID. Si no lo hace, es posible que vea un error de implementación, como The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ....If you don't do this, you might see a deployment failure like The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...

Área de trabajoWorkspace

Haga clic en Revisar y crear para revisar los detalles de la asignación antes de hacer clic en Crear para crearla.Click Review + Create to review the details of the assignment before clicking Create to create it. No cree una tarea de corrección en este momento, ya que lo más probable es que necesite varias tareas de corrección para habilitar las máquinas virtuales existentes.Don't create a remediation task at this point since you will most likely need multiple remediation tasks to enable existing virtual machines. Vea Corrección de los resultados de cumplimiento a continuación.See Remediate compliance results below.

Revisión del cumplimientoReview compliance

Una vez creada una asignación, puede revisar y administrar la cobertura de la iniciativa Habilitar Azure Monitor para VM en los grupos de administración y las suscripciones.Once an assignment is created, you can review and manage coverage for the Enable Azure Monitor for VMs initiative across your management groups and subscriptions. Esto mostrará cuántas máquinas virtuales existen en cada suscripción o grupo de administración y su estado de cumplimiento.This will show how many virtual machines exist in each of the management groups or subscriptions and their compliance status.

Página de administración de directivas de Azure Monitor para VMAzure Monitor for VMs Manage Policy page

En la tabla siguiente se proporciona una descripción de la información de esta vista.The following table provides a description of the information in this view.

FunciónFunction DescripciónDescription
ÁmbitoScope Grupo de administración y suscripciones a las que tenga o haya heredado el acceso con capacidad de explorar en profundidad la jerarquía de grupos de administración.Management group and subscriptions that you have or inherited access to with ability to drill down through the management group hierarchy.
RolRole Su rol en el ámbito, que debe ser lector, propietario o colaborador.Your role in the scope, which might be reader, owner, or contributor. Estará en blanco si tiene acceso a la suscripción, pero no al grupo de administración al que esta pertenece.This will be blank if you have access to the subscription but not to the management group it belongs to. El rol determina qué datos puede ver y qué acciones puede realizar en cuanto a la asignación de directivas e iniciativas (propietario), editarlas o ver el cumplimiento.This role determines what data you can see and actions you can perform in terms of assigning policies or initiatives (owner), editing them, or viewing compliance.
TOTAL DE VMTotal VMs Número total de máquinas virtuales en ese ámbito, independientemente de su estado.Total number of VMs in that scope regardless of their status. Para un grupo de administración, es una suma total de las VM anidadas bajo las suscripciones o los grupos de administración secundarios.For a management group, this is a sum total of VMs nested under the subscriptions or child management groups.
Cobertura de la asignaciónAssignment Coverage Porcentaje de VM que están cubiertas por la iniciativa.Percent of VMs that are covered by the initiative.
Estado de la asignaciónAssignment Status Correcto: todas las VM del ámbito tienen los agentes de Log Analytics y Dependency Agent implementados en ellas.Success - All VMs in the scope have the Log Analytics and Dependency agents deployed to them.
Advertencia: la suscripción no está en un grupo de administración.Warning - The subscription isn't under a management group.
No iniciado: se ha agregado una nueva asignación.Not Started - A new assignment was added.
Bloqueo: no tiene suficientes privilegios para el grupo de administración.Lock - You don't have sufficient privileges to the management group.
En blanco: no existe ninguna VM o no se ha asignado una directiva.Blank - No VMs exist or a policy isn't assigned.
Máquinas virtuales compatiblesCompliant VMs Número de máquinas virtuales compatibles, que es el número de máquinas virtuales que tienen el agente de Log Analytics y Dependency Agent instalados.Number of VMs that are compliant, which is the number of VMs that have both Log Analytics agent and Dependency agent installed. Estará en blanco si no hay ninguna asignación, ninguna máquina virtual en el ámbito o no tiene los permisos adecuados.This will be blank if there are no assignments, no VMs in the scope, or not proper permissions.
Cumplimiento normativoCompliance La cifra de cumplimiento general es la suma de los distintos recursos que son Conforme dividida por la suma de todos los recursos distintos.The overall compliance number is the sum of distinct resources that are compliant divided by the sum of all distinct resources.
Estado de cumplimientoCompliance State Compatible: todas las máquinas virtuales del ámbito tienen el agente de Log Analytics y Dependency Agent implementados en ellas, o aún no se ha evaluado ninguna máquina virtual nueva del ámbito sujeta a la asignación.Compliant - All VMs in the scope virtual machines have the Log Analytics and Dependency agents deployed to them or any new VMs in the scope subject to the assignment have not yet been evaluated.
No compatible: hay máquinas virtuales que se han evaluado pero que no están habilitadas y que pueden requerir corrección.Non-compliant - There are VMs that have been evaluated but are not enabled and may require remediation.
No iniciado: se ha agregado una nueva asignación.Not Started - A new assignment was added.
Bloqueo: no tiene suficientes privilegios para el grupo de administración.Lock - You don't have sufficient privileges to the management group.
En blanco: no se ha asignado ninguna directiva.Blank - No policy is assigned.

Al asignar la iniciativa, el ámbito seleccionado en la asignación podría ser el ámbito que se muestra o un subconjunto del mismo.When you assign the initiative, the scope selected in the assignment could be the scope listed or a subset of it. Por ejemplo, es posible que haya creado una asignación para una suscripción (ámbito de la directiva) y no un grupo de administración (ámbito de la cobertura).For instance, you might have created an assignment for a subscription (policy scope) and not a management group (coverage scope). En este caso, el valor de cobertura de la asignación indica el número de VM del ámbito de la iniciativa dividido entre las VM del ámbito de la cobertura.In this case, the value of Assignment Coverage indicates the VMs in the initiative scope divided by the VMs in coverage scope. En otro caso, es posible que haya excluido algunas VM, grupos de recursos o una suscripción del ámbito de la directiva.In another case, you might have excluded some VMs, resource groups, or a subscription from policy scope. Si el valor está en blanco, indica que la directiva o la iniciativa no existe o no tiene permiso.If the value is blank, it indicates that either the policy or initiative doesn't exist or you don't have permission. Se proporciona información en Estado de asignación.Information is provided under Assignment Status.

Corrección de los resultados de cumplimientoRemediate compliance results

La iniciativa se aplicará a las máquinas virtuales a medida que se creen o modifiquen, pero no se aplicarán a las máquinas virtuales existentes.The initiative will be applied to virtual machines as they're created or modified, but it won't be applied to existing VMs. Si la asignación no muestra el cumplimiento total, cree tareas de corrección para evaluar y habilitar las máquinas virtuales existentes y seleccione Ver compatibilidad seleccionando los puntos suspensivos (...).If your assignment doesn't show 100% compliance, create remediation tasks to evaluate and enable existing VMs, select View Compliance by selecting the ellipsis (...).

Ver compatibilidadView compliance

En la página Cumplimiento se enumeran las asignaciones que coinciden con el filtro especificado y se indica si son compatibles.The Compliance page lists assignments matching the specified filter and whether they're compliant. Haga clic en una asignación para ver sus detalles.Click on an assignment to view its details.

Cumplimiento de directivas en máquinas virtuales de AzurePolicy compliance for Azure VMs

En la página Compatibilidad de iniciativas, se enumeran las definiciones de directiva de la iniciativa y si cada una de ellas es compatible.The Initiative compliance page lists the policy definitions in the initiative and whether each is in compliance.

Detalles de cumplimientoCompliance details

Haga clic en una definición de directiva para ver sus detalles.Click on a policy definition to view its details. Entre los escenarios en los que se mostrarán las definiciones de directiva como no compatibles se incluyen los siguientes:Scenarios that policy definitions will show as out of compliance include the following:

  • No están implementados los agentes de Log Analytics o Dependency Agent.Log Analytics agent or Dependency agent isn't deployed. Cree una tarea de corrección para la mitigación.Create a remediation task to mitigate.
  • La imagen de la máquina virtual (SO) no está identificada en la definición de la directiva.VM image (OS) isn't identified in the policy definition. Los criterios de la directiva de implementación solo incluyen las máquinas virtuales que se implementan a partir de imágenes de máquina virtual de Azure conocidas.The criteria of the deployment policy include only VMs that are deployed from well-known Azure VM images. Consulte en la documentación si el sistema operativo de VM es compatible.Check the documentation to see whether the VM OS is supported.
  • Las máquinas virtuales no inician sesión en el área de trabajo de Log Analytics especificada.VMs aren't logging to the specified Log Analytics workspace. Algunas máquinas virtuales en el ámbito de la iniciativa están conectadas a un área de trabajo de Log Analytics distinta de la que se especifica en la asignación de directiva.Some VMs in the initiative scope are connected to a Log Analytics workspace other than the one that's specified in the policy assignment.

Detalles de cumplimiento de directivaPolicy compliance details

Para crear una tarea de corrección para mitigar los problemas de cumplimiento, haga clic en Crear tarea de corrección.To create a remediation task to mitigate compliance issues, click Create Remediation Task.

Nueva tarea de correcciónNew remediation task

Haga clic en Corregir para crear la tarea de corrección y, a continuación, en Corregir para iniciarla.Click Remediate to create the remediation task and then Remediate to start it. Lo más probable es que necesite crear varias tareas de corrección, una para cada definición de directiva.You will most likely need to create multiple remediation tasks, one for each policy definition. No se puede crear una tarea de corrección para una iniciativa.You can't create a remediation task for an initiative.

Captura de pantalla que muestra el panel de corrección de directivas para Monitor | Virtual Machines.Screenshot shows the Policy Remediation pane for Monitor | Virtual Machines.

Una vez completadas las tareas de corrección, las máquinas virtuales deben ser compatibles con los agentes instalados y habilitados para Azure Monitor para VM.Once the remediation tasks are complete, your VMs should be compliant with agents installed and enabled for Azure Monitor for VMs.

Pasos siguientesNext steps

Ahora que la supervisión está habilitada para las máquinas virtuales, esta información está disponible para analizarse con Azure Monitor para VM.Now that monitoring is enabled for your virtual machines, this information is available for analysis with Azure Monitor for VMs.