Configuración de servicios de administración de servidores de Azure a escala

  • Artículo

Debe completar estas dos tareas para incorporar los servicios de administración de servidores de Azure en sus servidores:

  • Implementar los agentes de servicio en los servidores
  • Habilitar las soluciones de administración

En este artículo se tratan los siguientes tres procesos necesarios para realizar estas tareas:

  1. Implementar los agentes necesarios en las VM de Azure mediante Azure Policy
  2. Implementar los agentes necesarios en servidores locales
  3. Habilitar y configurar las soluciones

Nota:

Cree el área de trabajo de Log Analytics y la cuenta de Azure Automation necesarias antes de incorporar máquinas virtuales a los servicios de administración de servidores de Azure.

Uso de Azure Policy para implementar extensiones en VM de Azure

Todas las soluciones de administración descritas en el artículo sobre servicios y herramientas de administración de Azure requieren que el agente de Log Analytics esté instalado en las máquinas virtuales de Azure y en los servidores locales. Puede incorporar sus máquinas virtuales de Azure a escala mediante Azure Policy. Asigne una directiva para asegurarse de que el agente esté instalado en sus VM de Azure y conectado al área de trabajo de Log Analytics correcta.

Azure Policy tiene una iniciativa de directiva integrada que incluye el agente de Log Analytics y Microsoft Dependency Agent, que necesita Azure Monitor para VM.

Nota:

Para más información sobre distintos agentes de supervisión de Azure, consulte Introducción a los agentes de supervisión de Azure.

Asignación de directivas

Para asignar las directivas que se describen en la sección anterior:

  1. En Azure Portal, vaya a Directiva>Asignaciones>Asignar iniciativa.

    Screenshot of the portal's policy interface with the Assignments option and Assign initiative option called out.

  2. En la página Asignar directiva, seleccione los puntos suspensivos ( ... ) para establecer la opción Ámbito y seleccione una suscripción o un grupo de administración. Opcionalmente, seleccione un grupo de recursos. Luego elija Seleccionar en la parte inferior de la página Ámbito. El ámbito determina los recursos o el grupo de recursos a los que se asigna la directiva.

  3. Seleccione los puntos suspensivos ( ... ) que aparecen junto a Definición de directiva para abrir la lista de definiciones disponibles. Para filtrar las definiciones de iniciativa, escriba Azure Monitor en el cuadro de búsqueda:

    Screenshot of the Enable Azure Monitor for V M initiative definition.

  4. Nombre de asignación se rellena automáticamente con el nombre de directiva seleccionado, pero puede cambiarlo. También puede agregar una descripción opcional para proporcionar más información sobre esta asignación de directiva. El campo Asignado por se rellena automáticamente en función de quién inicie sesión. Este campo es opcional y admite valores personalizados.

  5. Para esta directiva, seleccione Área de trabajo de Log Analytics como agente de Log Analytics que se va a asociar.

    Screenshot of the Log Analytics workspace option.

  6. Seleccione la casilla Ubicación de la identidad administrada. Si esta directiva es de tipo DeployIfNotExists, se necesitará una identidad administrada para implementar la directiva. En el portal, la cuenta se creará como se indica mediante la selección de la casilla.

  7. Seleccione Asignar.

Después de completar el asistente, la asignación de directiva se implementará en el entorno. La directiva puede tardar hasta 30 minutos en surtir efecto. Para probarla, cree nuevas máquinas virtuales después de 30 minutos y compruebe si el agente de Log Analytics está habilitado en la máquina virtual de forma predeterminada.

Instalación de los agentes en servidores locales

Nota:

Cree el área de trabajo de Log Analytics y la cuenta de Azure Automation necesarias antes de incorporar los servicios de administración de servidores de Azure en los servidores.

En el caso de los servidores locales, debe descargar e instalar manualmente el agente de Log Analytics y Microsoft Dependency Agent, y configurarlos para que se conecten al área de trabajo correcta. Debe especificar el identificador del área de trabajo y la información de clave. Para obtener esa información, vaya al área de trabajo de Log Analytics en Azure Portal y, a continuación, seleccione Configuración>Configuración avanzada.

Screenshot of Log Analytics workspace advanced settings in the Azure portal

Habilitación y configuración de soluciones

Para habilitar las soluciones, tiene que configurar el área de trabajo Log Analytics. Las VM de Azure y los servidores locales incorporados obtendrán las soluciones de las áreas de trabajo de Log Analytics a las que se han conectado.

Administración de actualizaciones

La soluciones Update Management y Seguimiento de cambios e inventario requieren un área de trabajo de Log Analytics y una cuenta de Azure Automation. Para asegurarse de que estos recursos están configurados correctamente, se recomienda realizar la incorporación a través de la cuenta de Automation. Para más información, consulte Incorporación de las soluciones Update Management y Seguimiento de cambios e inventario.

Se recomienda habilitar la solución Update Management para todos los servidores. Update Management es gratis para las máquinas virtuales de Azure y los servidores locales. Si habilita Update Management a través de su cuenta de Automation, se creará una configuración de ámbito en el área de trabajo. Actualice manualmente el ámbito para incluir las máquinas que cubre la solución Update Management.

Para cubrir los servidores existentes, así como los futuros, debe quitar la configuración de ámbito. Para hacerlo, consulte la cuenta de Automation en Azure Portal. Seleccione Update Management>Administrar máquinas>Habilitar en todas las máquinas disponibles y futuras. Es opción permite que todas las VM de Azure conectadas al área de trabajo usen Update Management.

Screenshot of Update Management in the Azure portal

Soluciones Change Tracking e Inventory

Para incorporar soluciones de Change Tracking e Inventory, siga los mismos pasos que para Update Management. Para más información sobre cómo incorporar estas soluciones desde su cuenta de Automation, consulte Incorporación de las soluciones Update Management y Seguimiento de cambios e inventario.

La solución Seguimiento de cambios e inventario es gratuita para las máquinas virtuales de Azure y cuesta 6 USD por nodo al mes para los servidores locales. Este costo cubre Seguimiento de cambios e inventario y Desired State Configuration. Si solo quiere inscribir determinados servidores locales, puede participar en esos servidores. Se recomienda que incorpore todos los servidores de producción.

Participación a través de Azure Portal

  1. Vaya a la cuenta de Automation que tiene Change Tracking e Inventory habilitada.
  2. Seleccione Seguimiento de cambios.
  3. Seleccione Administrar máquinas en el panel superior derecho.
  4. Seleccione Habilitar en las máquinas seleccionadas. A continuación, seleccione Agregar junto al nombre de la máquina.
  5. Seleccione Habilitar para habilitar la solución para esas máquinas.

Screenshot of Change Tracking in the Azure portal

Participación mediante búsquedas guardadas

También puede establecer la configuración de ámbito para participar en servidores locales. La configuración de ámbito usa búsquedas guardadas.

Para crear o modificar la búsqueda guardada, siga estos pasos:

  1. Vaya al área de trabajo de Log Analytics que está vinculada a la cuenta de Automation que configuró en los pasos anteriores.

  2. En General, seleccione Búsquedas guardadas.

  3. En el cuadro Filtro, escriba Change Tracking para filtrar la lista de búsquedas guardadas. En los resultados, seleccione MicrosoftDefaultComputerGroup.

  4. Escriba el VMUUID o el nombre del equipo para incluir los equipos en los que quiere participar con Seguimiento de cambios e inventario.

Heartbeat
| where AzureEnvironment=~"Azure" or Computer in~ ("list of the on-premises server names", "server1")
| distinct Computer

Nota:

El nombre del servidor debe coincidir exactamente con el valor de la expresión y no debe contener ningún sufijo de nombre de dominio.

  1. Seleccione Guardar. De forma predeterminada, la configuración de ámbito está vinculada a la búsqueda guardada de MicrosoftDefaultComputerGroup. Se actualizará automáticamente.

Registro de actividades de Azure

Registro de actividad de Azure es una de las secciones de Azure Monitor. Proporciona información sobre los eventos de nivel de suscripción que se producen en Azure.

Para implementar esta solución:

  1. En Azure Portal, abra Todos los servicios y, a continuación, seleccione Administración y gobernanza>Soluciones.
  2. En la vista Soluciones, seleccione Agregar.
  3. Busque Activity Log Analytics y selecciónela.
  4. Seleccione Crear.

Debe especificar el nombre del área de trabajo que creó en la sección anterior donde está habilitada la solución.

Agent Health para Azure Log Analytics

La solución Agent Health para Azure Log Analytics ofrece información sobre el mantenimiento, el rendimiento y la disponibilidad de los servidores Windows y Linux.

Para implementar esta solución:

  1. En Azure Portal, abra Todos los servicios y, a continuación, seleccione Administración y gobernanza>Soluciones.
  2. En la vista Soluciones, seleccione Agregar.
  3. Busque Agent Health para Azure Log Analytics y selecciónela.
  4. Seleccione Crear.

Debe especificar el nombre del área de trabajo que creó en la sección anterior donde está habilitada la solución.

Una vez completada la creación, la instancia de recurso del área de trabajo muestra AgentHealthAssessment al seleccionar Vista>Soluciones.

Evaluación de antimalware

La solución Antimalware Assessment le ayuda a identificar los servidores que están infectados o que presentan mayor riesgo de infección por malware.

Para implementar esta solución:

  1. En Azure Portal, abra Todos los servicios y, a continuación, seleccione Administración y gobernanza>Soluciones.
  2. En la vista Soluciones, seleccione Agregar.
  3. Busque la opción Antimalware Assessment y selecciónela.
  4. Seleccione Crear.

Debe especificar el nombre del área de trabajo que creó en la sección anterior donde está habilitada la solución.

Una vez completada la creación, la instancia de recurso del área de trabajo muestra AntiMalware al seleccionar Vista>Soluciones.

Azure Monitor para máquinas virtuales

Puede habilitar Azure Monitor para VM a través de la página de vista de la instancia de VM, tal y como se describe en Habilitar los servicios de administración en una única máquina virtual para su evaluación. No debe habilitar soluciones directamente desde la página Soluciones como hizo con las otras soluciones que se describen en este artículo. Para implementaciones a gran escala, puede ser más fácil usar automatización para habilitar las soluciones correctas en el área de trabajo.

Microsoft Defender for Cloud

Se recomienda que incorpore todos los servidores como mínimo en el nivel Gratis de Microsoft Defender for Cloud. Esta opción le ofrece evaluaciones de seguridad básicas y recomendaciones de seguridad prácticas para su entorno. El nivel Estándar proporciona ventajas adicionales. Para obtener más información, consulte los precios de Microsoft Defender for Cloud.

Para habilitar el nivel Gratis de Microsoft Defender for Cloud, siga estos pasos:

  1. Vaya a la página del portal Defender for Cloud.
  2. En POLICY & COMPLIANCE (DIRECTIVA Y CUMPLIMIENTO), seleccione Directiva de seguridad.
  3. Busque el recurso del área de trabajo de Log Analytics que ha creado en el panel de la derecha.
  4. Seleccione Editar configuración para esa área de trabajo.
  5. Seleccione Plan de tarifa.
  6. Seleccione la opción Gratis.
  7. Seleccione Guardar.

Pasos siguientes

Aprenda a usar la automatización para incorporar servidores y crear alertas.

Automatización de la incorporación y configuración de alertas