Configurare i servizi di gestione dei server di Azure su larga scala

  • Articolo

È necessario completare queste due attività per eseguire l'onboarding dei servizi di gestione dei server di Azure nei server:

  • Distribuire gli agenti di servizio ai server.
  • Abilitare le soluzioni di gestione.

Questo articolo illustra i tre processi necessari per completare queste attività:

  1. Distribuire gli agenti necessari alle macchine virtuali di Azure usando Criteri di Azure.
  2. Distribuire gli agenti necessari ai server locali.
  3. Abilitare e configurare le soluzioni.

Nota

Creare l'area di lavoro Log Analytics e l'account di Automazione di Azure richiesti, poi eseguire l'onboarding delle macchine virtuali nei servizi di gestione dei server di Azure.

Usare Criteri di Azure per distribuire le estensioni alle macchine virtuali di Azure

Tutte le soluzioni di gestione descritte in Strumenti e servizi di gestione di Azure richiedono che l'agente di Log Analytics sia installato nelle macchine virtuali in Azure e nei server locali. È possibile eseguire l'onboarding delle macchine virtuali di Azure su larga scala usando Criteri di Azure. Assegnare criteri per assicurarsi che l'agente sia installato nelle macchine virtuali di Azure e connesso all'area di lavoro Log Analytics corretta.

Criteri di Azure comprende un'iniziativa di criteri predefinita che include l'agente di Log Analytics e Microsoft Dependency Agent, richiesto da Monitoraggio di Azure per le macchine virtuali.

Nota

Per altre informazioni sui vari agenti per il monitoraggio di Azure, vedere Panoramica degli agenti di monitoraggio di Azure.

Assegnare criteri

Per assegnare i criteri descritti nella sezione precedente:

  1. Nel portale di Azure passare a Criterio>Assegnazioni>Assegna iniziativa.

    Screenshot of the portal's policy interface with the Assignments option and Assign initiative option called out.

  2. Nella pagina Assegna criteri impostare l'ambito selezionando i puntini di sospensione (...), quindi scegliendo un gruppo di gestione o una sottoscrizione. Facoltativamente, selezionare un gruppo di risorse. Scegliere quindi Seleziona nella parte inferiore della pagina Ambito. L'ambito determina a quali risorse o gruppo di risorse è assegnato il criterio.

  3. Selezionare i puntini di sospensione (...) accanto a Definizione criteri per aprire l'elenco delle definizioni disponibili. Per filtrare le definizioni dell'iniziativa, immettere Monitoraggio di Azure nella casella Cerca:

    Screenshot of the Enable Azure Monitor for V M initiative definition.

  4. Il campo Nome assegnazione viene popolato automaticamente con il nome dei criteri selezionato, ma può essere modificato. È anche possibile aggiungere una descrizione facoltativa per fornire altre informazioni su questa assegnazione di criteri. Il campo Assegnato da viene compilato automaticamente in base all'utente che ha eseguito l'accesso. Questo campo è facoltativo e supporta valori personalizzati.

  5. Per questo criterio, selezionare Area di lavoro Log Analytics per l'agente di Log Analytics da associare.

    Screenshot of the Log Analytics workspace option.

  6. Selezionare la casella di controllo Località identità gestita. Se questo criterio è di tipo DeployIfNotExists, sarà necessaria un'identità gestita per distribuire i criteri. Nel portale verrà creato l'account come indicato dalla selezione della casella di controllo.

  7. Seleziona Assegna.

Dopo il completamento della procedura guidata, verrà distribuita nell'ambiente l'assegnazione dei criteri. Perché il criterio abbia effetto possono essere necessari fino a 30 minuti. Per testarlo, creare nuove macchine virtuali dopo 30 minuti e verificare se l'agente di Log Analytics è abilitato nella macchina virtuale per impostazione predefinita.

Installare gli agenti nei server locali

Nota

Creare l'area di lavoro Log Analytics e l'account di Automazione di Azure richiesti, poi eseguire l'onboarding dei servizi di gestione dei server di Azure nei server.

Per i server locali, è necessario scaricare e installare manualmente l'agente di Log Analytics e Microsoft Dependency Agent e configurarli in modo che si connettano all'area di lavoro corretta. È necessario specificare le informazioni chiave e l'ID dell'area di lavoro. Per ottenere queste informazioni, passare all'area di lavoro Log Analytics nel portale di Azure, quindi selezionare Impostazioni>Impostazioni avanzate.

Screenshot of Log Analytics workspace advanced settings in the Azure portal

Abilitare e configurare le soluzioni

Per abilitare le soluzioni, è necessario configurare l'area di lavoro Log Analytics. Dopo l'onboarding, le macchine virtuali di Azure e i server locali otterranno le soluzioni dalle aree di lavoro Log Analytics a cui sono connessi.

Gestione degli aggiornamenti

Gestione aggiornamenti e Rilevamento modifiche e inventario richiedono sia un'area di lavoro Log Analytics che un account di Automazione di Azure. Per assicurarsi che queste risorse siano configurate correttamente, è consigliabile eseguire l'onboarding tramite l'account di Automazione. Per altre informazioni, vedere Eseguire l'onboarding di Gestione aggiornamenti e Rilevamento modifiche e inventario.

È consigliabile abilitare la soluzione Gestione aggiornamenti per tutti i server. La soluzione Gestione aggiornamenti è gratuita per le macchine virtuali di Azure e i server locali. Se si abilita Gestione aggiornamenti tramite l'account di Automazione, viene creata una configurazione dell'ambito nell'area di lavoro. Aggiornare manualmente l'ambito in modo da includere i computer coperti dalla soluzione Gestione aggiornamenti.

Per coprire i server esistenti e quelli futuri, è necessario rimuovere la configurazione dell'ambito. A questo scopo, visualizzare l'account di Automazione nel portale di Azure. Selezionare Gestione aggiornamenti>Gestisci computer>Abilita in tutti i computer disponibili e futuri. Questa impostazione consente a tutte le macchine virtuali di Azure connesse all'area di lavoro di usare Gestione aggiornamenti.

Screenshot of Update Management in the Azure portal

Soluzioni Rilevamento modifiche e inventario

Per eseguire l'onboarding delle soluzioni Rilevamento modifiche e inventario, seguire la stessa procedura descritta per Gestione aggiornamenti. Per altre informazioni su come eseguire l'onboarding di queste soluzioni dall'account di Automazione, vedere Eseguire l'onboarding di Gestione aggiornamenti e Rilevamento modifiche e inventario.

La soluzione Rilevamento modifiche e inventario è gratuita per le macchine virtuali di Azure, mentre costa $ 6 per nodo al mese per i server locali. Questo costo copre il rilevamento delle modifiche, l'inventario e Desired State Configuration. Se si desidera registrare solo server locali specifici, è possibile acconsentire esplicitamente a tali server. È consigliabile eseguire l'onboarding di tutti i server di produzione.

Acconsentire esplicitamente tramite il portale di Azure

  1. Passare all'account di Automazione in cui è abilitata la soluzione Rilevamento modifiche e inventario.
  2. Selezionare Rilevamento modifiche.
  3. Selezionare Gestisci computer nel riquadro in alto a destra.
  4. Selezionare Abilita nei computer selezionati. Quindi selezionare Aggiungi accanto al nome del computer.
  5. Selezionare Abilita per abilitare la soluzione per tali computer.

Screenshot of Change Tracking in the Azure portal

Acconsentire esplicitamente usando le ricerche salvate

In alternativa, è possibile configurare la configurazione dell'ambito per acconsentire esplicitamente ai server locali. La configurazione dell'ambito usa le ricerche salvate.

Per creare o modificare la ricerca salvata, seguire questa procedura:

  1. Passare all'area di lavoro Log Analytics collegata all'account di Automazione configurato nei passaggi precedenti.

  2. In Generale selezionare Ricerche salvate.

  3. Nella casella Filtro immettere Rilevamento modifiche per filtrare l'elenco delle ricerche salvate. Nei risultati selezionare MicrosoftDefaultComputerGroup.

  4. Immettere il nome del computer o l'elemento VMUUID per includere i computer a cui si vuole acconsentire esplicitamente per Rilevamento modifiche e inventario.

Heartbeat
| where AzureEnvironment=~"Azure" or Computer in~ ("list of the on-premises server names", "server1")
| distinct Computer

Nota

Il nome del server deve corrispondere esattamente al valore nell'espressione e non deve contenere un suffisso di nome di dominio.

  1. Seleziona Salva. Per impostazione predefinita, la configurazione dell'ambito è collegata alla ricerca salvata MicrosoftDefaultComputerGroup. L'aggiornamento sarà automatico.

Finestra Log attività di Azure

Anche il log attività di Azure fa parte di Monitoraggio di Azure. Fornisce informazioni dettagliate sugli eventi a livello di sottoscrizione che si verificano in Azure.

Per implementare questa soluzione:

  1. Nel portale di Azure aprire Tutti i servizi, quindi selezionare Gestione e governance>Soluzioni.
  2. Nella vista Soluzioni selezionare Aggiungi.
  3. Cercare Analisi log attività e selezionarlo.
  4. Seleziona Crea.

È necessario specificare il nome dell'area di lavoro creata nella sezione precedente in cui è abilitata la soluzione.

Integrità agente di Azure Log Analytics

La soluzione Integrità agente di Azure Log Analytics offre informazioni su integrità, prestazioni e disponibilità dei server Windows e Linux.

Per implementare questa soluzione:

  1. Nel portale di Azure aprire Tutti i servizi, quindi selezionare Gestione e governance>Soluzioni.
  2. Nella vista Soluzioni selezionare Aggiungi.
  3. Cercare Integrità agente di Azure Log Analytics e selezionarlo.
  4. Seleziona Crea.

È necessario specificare il nome dell'area di lavoro creata nella sezione precedente in cui è abilitata la soluzione.

Al termine della creazione, l'istanza della risorsa dell'area di lavoro visualizza AgentHealthAssessment quando si seleziona Visualizza>Soluzioni.

Antimalware Assessment

La soluzione di valutazione antimalware consente di identificare i server infettati o a maggior rischio di essere infettati da malware.

Per implementare questa soluzione:

  1. Nel portale di Azure aprire Tutti i servizi, selezionare Gestione e governance>Soluzioni.
  2. Nella vista Soluzioni selezionare Aggiungi.
  3. Cercare e selezionare Valutazione antimalware.
  4. Seleziona Crea.

È necessario specificare il nome dell'area di lavoro creata nella sezione precedente in cui è abilitata la soluzione.

Al termine della creazione, l'istanza della risorsa dell'area di lavoro visualizza AntiMalware quando si seleziona Visualizza>Soluzioni.

Monitoraggio di Azure per le macchine virtuali

È possibile abilitare Monitoraggio di Azure per le macchine virtuali tramite la pagina di visualizzazione per l'istanza della macchina virtuale, come descritto in Abilitare i servizi di gestione in una singola macchina virtuale per la valutazione. Non abilitare le soluzioni direttamente dalla pagina Soluzioni come per le altre soluzioni descritte in questo articolo. Per le distribuzioni su larga scala, potrebbe essere più semplice usare l'automazione per abilitare le soluzioni corrette nell'area di lavoro.

Microsoft Defender for Cloud

È consigliabile eseguire l'onboarding di tutti i server almeno al livello Gratuito di Microsoft Defender for Cloud. Questa opzione offre valutazioni di sicurezza di base e consigli di sicurezza attuabili per l'ambiente. Il livello Standard offre vantaggi aggiuntivi. Per altre informazioni, vedere Prezzi di Microsoft Defender for Cloud.

Per abilitare il livello Gratuito di Microsoft Defender for Cloud, seguire questa procedura:

  1. Passare alla pagina Defender for Cloud del portale.
  2. In CRITERI e CONFORMITÀ selezionare Criteri di sicurezza.
  3. Nel riquadro a destra trovare la risorsa dell'area di lavoro Log Analytics creata.
  4. Selezionare Modifica impostazioni per l'area di lavoro.
  5. Selezionare Piano tariffario.
  6. Scegliere l'opzione Gratuita.
  7. Seleziona Salva.

Passaggi successivi

Informazioni su come usare l'automazione per eseguire l'onboarding dei server e creare avvisi.

Automatizzare l'onboarding e la configurazione degli avvisi