A virtuális gépek bepillantást tesznek a Azure Policy használatávalEnable VM insights by using Azure Policy

Ez a cikk bemutatja, hogyan engedélyezheti a VM-ismereteket az Azure-beli virtuális gépekhez vagy az Azure arc (előzetes verzió) szolgáltatással összekapcsolt hibrid virtuális géphez Azure Policy használatával.This article explains how to enable VM insights for Azure virtual machines or hybrid virtual machine connected with Azure Arc (preview) using Azure Policy. Azure Policy lehetővé teszi, hogy olyan szabályzat-definíciókat rendeljen hozzá, amelyek a szükséges ügynököket telepítik az Azure-környezetben lévő virtuális gépekhez, és automatikusan engedélyezik a virtuális gépek figyelését minden egyes virtuális gép létrehozásakor.Azure Policy allows you to assign policy definitions that install the required agents for VM insights across your Azure environment and automatically enable monitoring for VMs as each virtual machine is created. A VM-alapú adatáttekintések lehetővé teszik a nem megfelelő virtuális gépek felderítését és szervizelését a környezetben.VM insights provides a feature that allows you to discover and remediate noncompliant VMs in your environment. Használja ezt a funkciót ahelyett, hogy közvetlenül a Azure Policy használatával kellene dolgoznia.Use this feature instead of working directly with Azure Policy.

Ha még nem ismeri a Azure Policyt, rövid bevezetést kaphat a Azure monitor üzembe helyezéséről a Azure Policy használatával.If you're not familiar with Azure Policy, get a brief introduction at Deploy Azure Monitor at scale using Azure Policy.

Megjegyzés

Ha Azure Policyt szeretne használni az Azure-beli virtuálisgép-méretezési csoportokkal, vagy közvetlenül az Azure-beli virtuális gépeket engedélyező Azure Policy szeretne dolgozni, tekintse meg a Azure monitor üzembe helyezése méretezéssel Azure Policy használatávalTo use Azure Policy with Azure virtual machine scale sets, or to work with Azure Policy directly to enable Azure virtual machines, see Deploy Azure Monitor at scale using Azure Policy.

ElőfeltételekPrerequisites

VM-bepillantást kezdeményező kezdeményezésVM insights initiative

A virtuálisgép-bepillantást a Log Analytics-ügynök és a függőségi ügynök Azure-beli virtuális gépekre való telepítéséhez beépített szabályzat-definíciók biztosítják.VM insights provides builtin policy definitions to install the Log Analytics agent and Dependency agent on Azure virtual machines. A kezdeményezés lehetővé teszi , hogy a virtuális gépek elemzése tartalmazza ezeket a szabályzat-definíciókat.The initiative Enable VM insights includes each of these policy definitions. Ezt a kezdeményezést hozzárendelheti egy felügyeleti csoporthoz, előfizetéshez vagy erőforráscsoporthoz, hogy automatikusan telepítse az ügynököket az adott hatókörben lévő Windows vagy Linux rendszerű Azure-beli virtuális gépekre.Assign this initiative to a management group, subscription, or resource group to automatically install the agents on any Windows or Linux Azure virtual machines in that scope.

Házirend-lefedettségi funkció megnyitásaOpen Policy Coverage feature

A virtuálisgép- bepillantást biztosító házirend-lefedettség eléréséhez nyissa meg a Azure Portal Azure monitor menüjében található virtuális gépeket .To access VM insights Policy Coverage, go the Virtual machines in the Azure Monitor menu in the Azure portal. Válassza a további bevezetési Beállítások lehetőséget , majd engedélyezze az Engedélyezés lehetőséget a házirend használata beállításnál.Select Other onboarding options and then Enable under Enable using policy.

Azure Monitor virtuális gépekről – első lépések lapAzure Monitor from VMs Get Started tab

Új hozzárendelés létrehozásaCreate new assignment

Ha még nem rendelkezik hozzárendeléssel, akkor a házirend hozzárendelése elemre kattintva hozzon létre egy újat.If you don't already have an assignment, create a new one by clicking Assign Policy.

Hozzárendelés létrehozásaCreate assignment

Ez ugyanaz a lap, amellyel Azure Policy-kezdeményezést rendelhet hozzá, azzal a különbséggel, hogy a kiválasztott hatókörrel hardcoded, és a virtuális gépek elemzésének engedélyezése kezdeményezési definícióját.This is the same page to assign an initiative in Azure Policy except that it's hardcoded with the scope that you selected and the Enable VM insights initiative definition. Igény szerint módosíthatja a hozzárendelés nevét , és hozzáadhat egy leírást.You can optionally change the Assignment name and add a Description. Válassza a kizárások lehetőséget, ha kizárást szeretne biztosítani a hatókörhöz.Select Exclusions if you want to provide an exclusion to the scope. A hatókör lehet például egy felügyeleti csoport, és megadhat egy előfizetést az adott felügyeleti csoportban a hozzárendelésből való kizáráshoz.For example, your scope could be a management group, and you could specify a subscription in that management group to be excluded from the assignment.

Kezdeményezés kiosztásaAssign initiative

A Parameters (paraméterek ) lapon válasszon ki egy log Analytics munkaterületet , amelyet a hozzárendelésben szereplő összes virtuális gép használni fog.On the Parameters page, select a Log Analytics workspace to be used by all virtual machines in the assignment. Ha különböző munkaterületeket szeretne megadni a különböző virtuális gépekhez, több hozzárendelést kell létrehoznia, amelyek mindegyike saját hatókörrel rendelkezik.If you want to specify different workspaces for different virtual machines, then you must create multiple assignments, each with their own scope.

Megjegyzés

Ha a munkaterület a hozzárendelés hatókörén kívül esik, adja meg log Analytics közreműködői engedélyeit a szabályzat-HOZZÁRENDELÉS elsődleges azonosítójához.If the workspace is beyond the scope of the assignment, grant Log Analytics Contributor permissions to the policy assignment's Principal ID. Ha ezt nem teszi meg, előfordulhat, hogy az üzembe helyezési hiba például a következő: The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...If you don't do this, you might see a deployment failure like The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...

MunkaterületWorkspace

A létrehozás gombra kattintva tekintse át a hozzárendelés részleteit, és kattintson a Create (létrehozás) gombra.Click Review + Create to review the details of the assignment before clicking Create to create it. Ne hozzon létre szervizelési feladatot ezen a ponton, mivel valószínűleg több szervizelési feladatra lesz szüksége a meglévő virtuális gépek engedélyezéséhez.Don't create a remediation task at this point since you will most likely need multiple remediation tasks to enable existing virtual machines. Lásd a megfelelőségi eredmények szervizelését alább.See Remediate compliance results below.

Megfelelőség áttekintéseReview compliance

A hozzárendelés létrehozása után áttekintheti és kezelheti a virtuális gépek bevezetésének engedélyezése kezdeményezést a felügyeleti csoportok és előfizetések között.Once an assignment is created, you can review and manage coverage for the Enable VM insights initiative across your management groups and subscriptions. Ez azt mutatja, hogy hány virtuális gép létezik az egyes felügyeleti csoportokban vagy előfizetésekben, valamint a megfelelőségi állapotukban.This will show how many virtual machines exist in each of the management groups or subscriptions and their compliance status.

A virtuális gépekkel kapcsolatos irányelvek kezelése lapVM insights Manage Policy page

A következő táblázat az ebben a nézetben található információk leírását tartalmazza.The following table provides a description of the information in this view.

FüggvényFunction LeírásDescription
HatókörScope Felügyeleti csoport és előfizetések, amelyekkel a felügyeleti csoport hierarchiáján keresztül lehatolhat, vagy örökölt a hozzáférés.Management group and subscriptions that you have or inherited access to with ability to drill down through the management group hierarchy.
SzerepkörRole A hatókörben lévő szerepkör, amely lehet olvasó, tulajdonos vagy közreműködő.Your role in the scope, which might be reader, owner, or contributor. Ez üresen marad, ha rendelkezik hozzáféréssel az előfizetéshez, de nem ahhoz a felügyeleti csoporthoz, amelyhez tartozik.This will be blank if you have access to the subscription but not to the management group it belongs to. Ez a szerepkör határozza meg, hogy milyen adatok láthatók és milyen műveleteket végezhet el a szabályzatok vagy kezdeményezések (tulajdonos), a Szerkesztés vagy a megfelelőség megtekintése szempontjából.This role determines what data you can see and actions you can perform in terms of assigning policies or initiatives (owner), editing them, or viewing compliance.
Összes virtuális gépTotal VMs A hatókörben lévő virtuális gépek teljes száma, függetlenül azok állapotától.Total number of VMs in that scope regardless of their status. Felügyeleti csoport esetén ez az előfizetések vagy a alárendelt felügyeleti csoportok alá beágyazott virtuális gépek teljes összege.For a management group, this is a sum total of VMs nested under the subscriptions or child management groups.
Hozzárendelések lefedettségeAssignment Coverage A kezdeményezés által érintett virtuális gépek százalékos aránya.Percent of VMs that are covered by the initiative.
Hozzárendelés állapotaAssignment Status Sikeres – a hatókörben lévő összes virtuális gép rendelkezik a rájuk telepített log Analytics és függőségi ügynökökkel.Success - All VMs in the scope have the Log Analytics and Dependency agents deployed to them.
Figyelmeztetés – az előfizetés nem felügyeleti csoportban van.Warning - The subscription isn't under a management group.
Nincs elindítva – új hozzárendelés lett hozzáadva.Not Started - A new assignment was added.
Zárolás – nem rendelkezik megfelelő jogosultsággal a felügyeleti csoport számára.Lock - You don't have sufficient privileges to the management group.
Üres – nem léteznek virtuális gépek, vagy nincs hozzárendelve szabályzat.Blank - No VMs exist or a policy isn't assigned.
Megfelelő virtuális gépekCompliant VMs A megfelelő virtuális gépek száma, amely a Log Analytics ügynökkel és függőségi ügynökkel rendelkező virtuális gépek száma.Number of VMs that are compliant, which is the number of VMs that have both Log Analytics agent and Dependency agent installed. Ez üresen marad, ha nincsenek hozzárendelések, sem a hatókörben lévő virtuális gépek, sem a megfelelő engedélyek.This will be blank if there are no assignments, no VMs in the scope, or not proper permissions.
MegfelelőségCompliance A teljes megfelelőségi szám a különböző erőforrások összegével megosztható különálló erőforrások összege.The overall compliance number is the sum of distinct resources that are compliant divided by the sum of all distinct resources.
Megfelelőségi állapotCompliance State Megfelelő – a hatókörben lévő virtuális gépeken lévő összes virtuális gép rendelkezik a rájuk telepített log Analytics és függőségi ügynökökkel, illetve a hozzárendelés hatálya alá tartozó hatókörben lévő összes új virtuális gépre még nincs kiértékelve.Compliant - All VMs in the scope virtual machines have the Log Analytics and Dependency agents deployed to them or any new VMs in the scope subject to the assignment have not yet been evaluated.
Nem megfelelő – vannak olyan virtuális gépek, amelyek ki lettek értékelve, de nem engedélyezettek, és szervizelést igényelhetnek.Non-compliant - There are VMs that have been evaluated but are not enabled and may require remediation.
Nincs elindítva – új hozzárendelés lett hozzáadva.Not Started - A new assignment was added.
Zárolás – nem rendelkezik megfelelő jogosultsággal a felügyeleti csoport számára.Lock - You don't have sufficient privileges to the management group.
Üres – nincs hozzárendelve szabályzat.Blank - No policy is assigned.

A kezdeményezés hozzárendelésekor a hozzárendelésben kiválasztott hatókör lehet a felsorolt hatókör vagy annak egy részhalmaza.When you assign the initiative, the scope selected in the assignment could be the scope listed or a subset of it. Előfordulhat például, hogy létrehozott egy előfizetéshez tartozó hozzárendelést (házirend hatóköre), és nem felügyeleti csoportot (lefedettségi hatókör).For instance, you might have created an assignment for a subscription (policy scope) and not a management group (coverage scope). Ebben az esetben a hozzárendelési lefedettség értéke azt jelzi, hogy a kezdeményezési hatókörben lévő virtuális gépek a hatókörben lévő virtuális gépekkel vannak osztva.In this case, the value of Assignment Coverage indicates the VMs in the initiative scope divided by the VMs in coverage scope. Egy másik esetben előfordulhat, hogy kizárta néhány virtuális gépet, erőforráscsoportot vagy előfizetést a házirend hatókörből.In another case, you might have excluded some VMs, resource groups, or a subscription from policy scope. Ha az érték üres, akkor azt jelzi, hogy a házirend vagy a kezdeményezés nem létezik, vagy Önnek nincs megfelelő engedélye.If the value is blank, it indicates that either the policy or initiative doesn't exist or you don't have permission. Az információk a hozzárendelés állapota alatt vannak megadva.Information is provided under Assignment Status.

A megfelelőségi eredmények szervizeléseRemediate compliance results

A kezdeményezés a létrehozott vagy módosított virtuális gépekre lesz alkalmazva, de a rendszer nem alkalmazza a meglévő virtuális gépekre.The initiative will be applied to virtual machines as they're created or modified, but it won't be applied to existing VMs. Ha a hozzárendelés nem jeleníti meg a 100%-os megfelelőséget, hozzon létre szervizelési feladatokat a meglévő virtuális gépek kiértékeléséhez és engedélyezéséhez, válassza a megfelelőség megtekintése elemet a három pont (...) gombra kattintvaIf your assignment doesn't show 100% compliance, create remediation tasks to evaluate and enable existing VMs, select View Compliance by selecting the ellipsis (...).

Megfelelőség megtekintéseView compliance

A megfelelőség lap felsorolja a megadott szűrőnek megfelelő hozzárendeléseket, és hogy azok megfelelőek-e.The Compliance page lists assignments matching the specified filter and whether they're compliant. Kattintson egy hozzárendelésre a részleteinek megtekintéséhez.Click on an assignment to view its details.

Azure-beli virtuális gépek szabályzatának megfelelőségePolicy compliance for Azure VMs

A kezdeményezés megfelelősége lap felsorolja a kezdeményezésben szereplő szabályzat-definíciókat, valamint azt, hogy az egyes megfelelőségi állapotú-e.The Initiative compliance page lists the policy definitions in the initiative and whether each is in compliance.

Megfelelőség részleteiCompliance details

Kattintson a házirend-definícióra a részleteinek megtekintéséhez.Click on a policy definition to view its details. Azok a forgatókönyvek, amelyeknek a szabályzat-definíciók a megfelelőséget mutatják, a következők:Scenarios that policy definitions will show as out of compliance include the following:

  • Log Analytics ügynök vagy függőségi ügynök nincs telepítve.Log Analytics agent or Dependency agent isn't deployed. Hozzon létre egy szervizelési feladatot a mérsékléshez.Create a remediation task to mitigate.
  • A virtuálisgép-rendszerkép (operációs rendszer) nincs azonosítva a házirend-definícióban.VM image (OS) isn't identified in the policy definition. A központi telepítési házirend feltételei csak a jól ismert Azure VM-rendszerképekből üzembe helyezett virtuális gépekre vonatkoznak.The criteria of the deployment policy include only VMs that are deployed from well-known Azure VM images. A dokumentációban megtekintheti, hogy támogatott-e a virtuális gép operációs rendszere.Check the documentation to see whether the VM OS is supported.
  • A virtuális gépek nem jelentkeznek be a megadott Log Analytics munkaterületre.VMs aren't logging to the specified Log Analytics workspace. A kezdeményezési hatókör egyes virtuális gépei a szabályzat-hozzárendelésben megadotttől eltérő Log Analytics-munkaterülethez csatlakoznak.Some VMs in the initiative scope are connected to a Log Analytics workspace other than the one that's specified in the policy assignment.

Szabályzat-megfelelőség részleteiPolicy compliance details

A megfelelőségi problémák enyhítésére szolgáló szervizelési feladat létrehozásához kattintson a szervizelési feladat létrehozása elemre.To create a remediation task to mitigate compliance issues, click Create Remediation Task.

Új szervizelési feladatNew remediation task

Kattintson a szervizelés elemre a Szervizelési feladat létrehozásához , majd az elindításához.Click Remediate to create the remediation task and then Remediate to start it. Valószínűleg több szervizelési feladatot is létre kell hoznia, egyet az egyes szabályzat-definíciók esetében.You will most likely need to create multiple remediation tasks, one for each policy definition. Egy kezdeményezéshez nem hozható létre szervizelési feladat.You can't create a remediation task for an initiative.

Képernyőfelvétel: a szabályzat szervizelési panelje a figyeléshez | Virtual Machines.Screenshot shows the Policy Remediation pane for Monitor | Virtual Machines.

A Szervizelési feladatok befejezését követően a virtuális gépeknek meg kell felelniük a VM-adatokhoz telepített és engedélyezett ügynököknek.Once the remediation tasks are complete, your VMs should be compliant with agents installed and enabled for VM insights.

Következő lépésekNext steps

Most, hogy a figyelés engedélyezve van a virtuális gépek számára, ezek az információk a VM-elemzések révén érhetők el.Now that monitoring is enabled for your virtual machines, this information is available for analysis with VM insights.