Habilitación de VM Insights mediante Azure Policy

  • Artículo

Azure Policy le permite establecer y aplicar requisitos para todos los recursos nuevos que cree y los que modifique. Las iniciativas de directiva de VM Insights, que son conjuntos definidos previamente de directivas creadas para VM Insights, instalan los agentes necesarios para VM Insights y habilitan la supervisión en todas las máquinas virtuales nuevas del entorno de Azure.

En este artículo se explica cómo habilitar VM Insights para máquinas virtuales de Azure, conjunto de escalado de máquinas virtuales y máquinas virtuales híbridas conectadas con Azure Arc mediante la directiva definida previamente de VM Insights.

Nota:

Para obtener más información sobre cómo usar Azure Policy con conjuntos de escalado de máquinas virtuales de Azure y sobre cómo trabajar con Azure Policy directamente para habilitar las máquinas virtuales de Azure, consulte Implementación de Azure Monitor a escala mediante Azure Policy.

Iniciativas de VM Insights

Las iniciativas de directivas de VM Insights instalan el agente de Azure Monitor y Dependency Agent en las nuevas máquinas virtuales del entorno de Azure. Asigne estas iniciativas a un grupo de administración, una suscripción o un grupo de recursos para instalar los agentes en máquinas virtuales Windows o Linux de Azure en ese ámbito automáticamente.

Las iniciativas se aplican a las máquinas que cree y a las máquinas que modifique, pero no a las máquinas virtuales que ya existen.

Nombre Descripción
Habilita Azure Monitor para VM con el agente de Azure Monitoring Instala el agente de Azure Monitor y Dependency Agent en máquinas virtuales de Azure.
Habilita Azure Monitor para conjuntos de escalado de máquinas virtuales con el agente de supervisión de Azure Instala el agente de Azure Monitor y Dependency Agent en Virtual Machine Scale Sets.
Habilita Azure Monitor para VM híbrido con el agente de Azure Monitoring Instala el agente de Azure Monitor y Dependency Agent en VM híbridas conectadas a Azure Arc.
Heredado: Habilitar Azure Monitor para VM Instala el agente de Log Analytics y Dependency Agent en los conjuntos de escalado de máquinas virtuales.
Heredado: Habilitar Azure Monitor para Virtual Machine Scale Sets Instala el agente de Log Analytics y Dependency Agent en los conjuntos de escalado de máquinas virtuales.

Importante

El agente de Log Analyticsheredado quedará en desuso en agosto de 2024. Después de esta fecha, Microsoft ya no proporcionará soporte técnico para el agente de Log Analytics. Migre al agente de Azure Monitor antes de agosto de 2024 para continuar con la ingesta de datos.

Compatibilidad con imágenes personalizadas

Las definiciones de iniciativas y directivas de VM Insights basadas en el agente de Azure Monitor tienen un parámetro scopeToSupportedImages establecido en true de forma predeterminada para habilitar la incorporación de Dependency Agent solo en imágenes compatibles. Establezca este parámetro en false para permitir la incorporación de Dependency Agent en imágenes personalizadas.

Asignación de una iniciativa de directiva de VM Insights

Para asignar una iniciativa de directiva de VM Insights a una suscripción o grupo de administración desde Azure Portal:

  1. Busque y abra Policy.

  2. Seleccione Asignaciones>Asignar iniciativa.

    Screenshot that shows the Policy Assignments screen with the Assign initiative button highlighted.

    Aparece la pantalla Asignar iniciativa.

    Screenshot that shows Assign initiative.

  3. Configuración de la asignación de iniciativa:

    1. En el campo Ámbito, seleccione el grupo de administración o la suscripción a los que asignará la iniciativa.

    2. (Opcional) Seleccione Exclusiones para excluir recursos específicos de la asignación de iniciativa. Por ejemplo, si el ámbito es un grupo de administración, puede especificar una suscripción en ese grupo de administración para que se excluya de la asignación.

    3. Seleccione los puntos suspensivos () junto a la asignación de iniciativa para iniciar el selector de definiciones de directivas. Seleccione una de las iniciativas de VM Insights.

    4. (Opcional) Cambie el Nombre de asignación y agregue una Descripción.

    5. En la pestaña Parámetros, seleccione un área de trabajo de Log Analytics a la que todas las máquinas virtuales de la asignación enviarán datos. Para que las máquinas virtuales envíen datos a diferentes áreas de trabajo, cree varias asignaciones, cada una con su propio ámbito.

      Screenshot that shows a workspace.

      Nota:

      Si selecciona un área de trabajo que está fuera del ámbito de la asignación, conceda los permisos de colaborador de Log Analytics al identificador de la entidad de seguridad de la asignación de la directiva. De lo contrario, podría obtener un error de implementación como:

      The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...

  4. Seleccione Revisar y crear para revisar los detalles de la asignación de iniciativa. Seleccione Crear para crear la asignación.

    No cree una tarea de corrección en este momento, ya que probablemente necesite varias tareas de corrección para habilitar las máquinas virtuales existentes. Para obtener más información sobre la creación de tareas de corrección, consulte Corrección de los resultados de cumplimiento.

Revisión del cumplimiento de una iniciativa de directiva de VM Insights

Después de asignar una iniciativa, puede revisar y administrar el cumplimiento de la iniciativa en todos los grupos de administración y suscripciones.

Para saber cuántas máquinas virtuales existen en cada suscripción o grupo de administración y su estado de cumplimiento:

  1. Busque y abra Azure Monitor.

  2. SeleccioneMáquinas virtuales>Resumen>Otras opciones de incorporación. A continuación, en Habilitar mediante directiva, seleccione Habilitar.

    Screenshot that shows other onboarding options page of VM insights with the Enable using policy option.

    Aparece la página Cobertura de directiva de Azure Monitor para VM.

    Screenshot that shows the VM insights Azure Monitor for VMs Policy Coverage page.

    En la tabla siguiente se describe la información de cumplimiento presentada en la página cobertura de directiva de Azure Monitor para VM.

    Función Descripción
    Ámbito Grupo de administración o suscripción a la que se aplica la iniciativa.
    Mi rol El rol en el ámbito. El rol puede ser Lector, Propietario, Colaborador o ninguno si tiene acceso a la suscripción, pero no al grupo de administración al que pertenece. El rol determina qué datos puede ver y si puede asignar directivas o iniciativas (propietario), editarlas o ver el cumplimiento.
    TOTAL DE VM Número total de máquinas virtuales en el ámbito, independientemente de su estado. Para un grupo de administración, este número es la suma total de las VM en todas las suscripciones o los grupos de administración secundarios relacionados.
    Cobertura de la asignación Porcentaje de VM cubiertas por la iniciativa. Al asignar la iniciativa, el ámbito seleccionado en la asignación podría ser el ámbito que se muestra o un subconjunto del mismo. Por ejemplo, si crea una asignación para una suscripción (ámbito de iniciativa) y no un grupo de administración (ámbito de cobertura), el valor de Cobertura de asignación indica las máquinas virtuales del ámbito de iniciativa divididas por las máquinas virtuales en el ámbito de cobertura. En otro caso, es posible que haya excluido algunas VM, grupos de recursos o una suscripción del ámbito de la directiva. Si el valor está en blanco, indica que la directiva o la iniciativa no existe o no tiene permiso.
    Estado de la asignación Correcto: agente de Azure Monitor o agente de Log Analytics, y Dependency Agent implementados en todos los equipos del ámbito.
    Advertencia: la suscripción no está en un grupo de administración.
    No iniciado: se ha agregado una nueva asignación.
    Bloqueo: no tiene suficientes privilegios para el grupo de administración.
    En blanco: no existe ninguna VM o no se ha asignado una directiva.
    Máquinas virtuales compatibles Número de máquinas virtuales que tienen instalado el agente de Azure Monitor o de Log Analytics, y Dependency Agent. Este campo no aparece ningún valor si no hay ninguna asignación, si no hay ninguna máquina virtual en el ámbito o si no tiene los permisos pertinentes.
    Cumplimiento normativo La cifra de cumplimiento general es la suma de los distintos recursos compatibles dividida por la suma de todos los recursos distintos.
    Estado de cumplimiento Compatible: todas las máquinas virtuales del ámbito tienen el agente de Azure Monitor o Log Analytics y Dependency Agent implementados en ellas, o aún no se ha evaluado ninguna máquina virtual nueva.
    No compatible: hay máquinas virtuales que no están habilitadas y pueden necesitar corrección.
    No iniciado: se ha agregado una nueva asignación.
    Bloqueo: no tiene suficientes privilegios para el grupo de administración.
    En blanco: no se ha asignado ninguna directiva.

  3. Seleccione los puntos suspensivos () >Ver cumplimiento.

    Screenshot that shows View Compliance.

    Aparece la página Cumplimiento. Muestra las asignaciones que coinciden con el filtro especificado e indica si son compatibles.

    Screenshot that shows Policy compliance for Azure VMs.

  4. Seleccione una asignación para ver los detalles. Aparece la página Cumplimiento de iniciativa. Se enumeran las definiciones de directiva de la iniciativa y si cada una de ellas es compatible.

    Screenshot that shows Compliance details.

    Las definiciones de directiva se consideran no compatibles si:

    • El agente de Azure Monitor, el agente de Log Analytics o Dependency Agent no se implementan. Cree una tarea de corrección para la mitigación.
    • La imagen de la máquina virtual (SO) no está identificada en la definición de la directiva. Las directivas solo pueden comprobar imágenes conocidas de máquina virtual de Azure. Consulte en la documentación si el sistema operativo de VM es compatible.
    • Algunas máquinas virtuales en el ámbito de la iniciativa están conectadas a un área de trabajo de Log Analytics distinta de la que se especifica en la asignación de directiva.

  5. Seleccione una definición de directiva para abrir la página Cumplimiento de directivas.

Crear una tarea de corrección

Si la asignación no muestra el cumplimiento total, cree tareas de corrección para evaluar y habilitar las máquinas virtuales existentes. Lo más probable es que necesite crear varias tareas de corrección, una para cada definición de directiva. No se puede crear una tarea de corrección para una iniciativa.

Para crear una tarea de corrección, siga estos pasos:

  1. En la página Cumplimiento de iniciativas, seleccione Crear tarea de corrección.

    Screenshot that shows Policy compliance details.

    Aparece la página Nueva tarea de corrección.

    Screenshot that shows the New remediation task page.

  2. Revise la configuración de corrección y los recursos para corregir y modificar según sea necesario. A continuación, seleccione Corregir para crear la tarea.

    Después de acabar las tareas de corrección, las máquinas virtuales deben ser compatibles con los agentes instalados y habilitados para VM Insights.

Supervisión de tareas de corrección

Para realizar un seguimiento del progreso de las tareas de corrección, en el menú Directivas, seleccione Corrección y seleccione la pestaña Tareas de corrección.

Screenshot that shows the Policy Remediation page for Monitor | Virtual Machines.

Pasos siguientes

Obtenga información sobre cómo: