Lösningen för uppdateringshantering i AzureUpdate Management solution in Azure

Du kan använda lösningen för uppdateringshantering i Azure Automation för att hantera uppdateringar av operativsystemet för dina Windows- och Linux-datorer i Azure, lokala miljöer eller andra molnleverantörer.You can use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers in Azure, in on-premises environments, or in other cloud providers. Du kan snabbt bedöma status för tillgängliga uppdateringar på alla agentdatorer och hantera installationsprocessen för nödvändiga uppdateringar för servrar.You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

Du kan aktivera uppdateringshantering för virtuella datorer direkt från Azure Automation-kontot.You can enable Update Management for virtual machines directly from your Azure Automation account. Information om hur du aktiverar uppdateringshantering för virtuella datorer från ditt Automation-konto, se hantera uppdateringar för flera virtuella datorer.To learn how to enable Update Management for virtual machines from your Automation account, see Manage updates for multiple virtual machines. Du kan också aktivera uppdateringshantering för en virtuell dator från sidan virtuell dator i Azure-portalen.You can also enable Update Management for a virtual machine from the virtual machine page in the Azure portal. Det här scenariot är tillgänglig för Linux och Windows virtuella datorer.This scenario is available for Linux and Windows virtual machines.

Anteckning

Den här artikeln har nyligen uppdaterats för att använda termen Azure Monitor-loggar i stället för Log Analytics.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Loggdata som lagras i en Log Analytics-arbetsyta och fortfarande samlas in och analyseras av samma Log Analytics-tjänsten.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Vi uppdaterar terminologi för att bättre återspegla rollen loggar i Azure Monitor.We are updating the terminology to better reflect the role of logs in Azure Monitor. Se Azure Monitor terminologi ändringar mer information.See Azure Monitor terminology changes for details.

LösningsöversiktSolution overview

Datorer som hanteras av uppdateringshantering Använd följande konfigurationer för att utföra utvärdering och uppdatera distribueringar:Computers that are managed by Update Management use the following configurations to perform assessment and update deployments:

  • Microsoft Monitoring Agent (MMA) för Windows eller LinuxMicrosoft Monitoring Agent (MMA) for Windows or Linux
  • Önskad PowerShell-tillståndskonfiguration (DSC) för LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Automation Hybrid Runbook WorkerAutomation Hybrid Runbook Worker
  • Microsoft Update eller Windows Server Update Services (WSUS) för Windows-datorerMicrosoft Update or Windows Server Update Services (WSUS) for Windows computers

Följande diagram visar en konceptuell vy över beteende och dataflöde över hur lösningen utvärderar och tillämpar säkerhetsuppdateringar till alla anslutna Windows Server och Linux-datorer i en arbetsyta:The following diagram shows a conceptual view of the behavior and data flow with how the solution assesses and applies security updates to all connected Windows Server and Linux computers in a workspace:

Uppdatera processflöde för hantering

Hantering av uppdateringar kan användas för att internt registrera datorer i flera prenumerationer i samma klientorganisation.Update Management can be used to natively onboard machines in multiple subscriptions in the same tenant.

När ett paket släpps, tar 2 – 3 timmar innan uppdateringen att visas för Linux-datorer för utvärdering.Once a package is released, it takes 2-3 hours for the patch to show up for Linux machines for assessment. För Windows-datorer tar den 12 – 15 timmar för uppdatering ska visas för utvärderingen efter att det har släppts.For Windows machines, it takes 12-15 hours for the patch to show up for assessment after it has been released.

När en dator är klar en sökning efter uppdateringskompatibilitet vidarebefordrar agenten informationen gruppvis till Azure Monitor-loggar.After a computer completes a scan for update compliance, the agent forwards the information in bulk to Azure Monitor logs. På en Windows-dator körs kompatibilitetsgenomsökningen var 12: e timme som standard.On a Windows computer, the compliance scan is run every 12 hours by default.

Förutom genomsökningsschemat initieras sökningen för uppdateringskompatibilitet inom 15 minuter från MMA startas innan installationen av uppdateringen och efteråt.In addition to the scan schedule, the scan for update compliance is initiated within 15 minutes of the MMA being restarted, before update installation, and after update installation.

För en Linux-dator utförs kompatibilitetsgenomsökningen varje timme som standard.For a Linux computer, the compliance scan is performed every hour by default. Om MMA-agenten startas initieras en kompatibilitetsgenomsökning inom 15 minuter.If the MMA agent is restarted, a compliance scan is initiated within 15 minutes.

Lösningen rapporterar hur uppdaterad datorn är utifrån vilken källa du är konfigurerad för att synkronisera med.The solution reports how up-to-date the computer is based on what source you're configured to sync with. Om Windows-datorn är konfigurerad för att rapportera till WSUS, beroende på när WSUS senast synkroniserad med Microsoft Update kan resultatet skiljer sig från vad Microsoft Updates visar.If the Windows computer is configured to report to WSUS, depending on when WSUS last synced with Microsoft Update, the results might differ from what Microsoft Updates shows. Det här beteendet är samma för Linux-datorer som är konfigurerade att rapportera till en lokal lagringsplats i stället för till en offentlig repo.This behavior is the same for Linux computers that are configured to report to a local repo instead of to a public repo.

Anteckning

För att korrekt rapportera till tjänsten, hantering av uppdateringar som kräver vissa webbadresser och portar som ska aktiveras.To properly report to the service, Update Management requires certain URLs and ports to be enabled. Mer information om dessa krav finns Network planera för Hybrid Worker-arbeten.To learn more about these requirements, see Network planning for Hybrid Workers.

Du kan distribuera och installera programuppdateringar på datorer som kräver uppdateringarna genom att skapa en schemalagd distribution.You can deploy and install software updates on computers that require the updates by creating a scheduled deployment. Uppdateringar som klassificeras som valfritt ingår inte i distributionsomfattningen för Windows-datorer.Updates classified as Optional aren't included in the deployment scope for Windows computers. Endast nödvändiga uppdateringar som ingår i distributionsomfattningen.Only required updates are included in the deployment scope.

En schemalagd distribution definierar vilka måldatorer som får tillämpliga uppdateringar, antingen genom att uttryckligen ange datorer eller genom att välja en datorgrupp som baseras på loggsökningar för en specifik uppsättning datorer, eller en Azure fråga som dynamiskt väljer Azure virtuella datorer baserat på angivna kriterier.The scheduled deployment defines what target computers receive the applicable updates, either by explicitly specifying computers or by selecting a computer group that's based on log searches of a specific set of computers, or an Azure query that dynamically selects Azure VMs based on specified criteria. Dessa grupper skiljer sig från Omfattningskonfigurationen, som endast används för att avgöra vilka datorer få de hanteringspaket som aktiverar du lösningen.These groups are different from Scope Configuration, which is only used to determine what machines get the management packs that enable the solution.

Du kan även ange ett schema för att godkänna och ange en viss tidsperiod under vilken du kan installera uppdateringar.You also specify a schedule to approve and set a period of time during which updates can be installed. Den här tidsperioden kallas underhållsfönstret.This period of time is called the maintenance window. Tio minuter i underhållsperioden är reserverad för omstarter om en omstart krävs och du har valt alternativet lämplig omstart.Ten minutes of the maintenance window is reserved for reboots if a reboot is needed and you selected the appropriate reboot option. Om uppdatering tar längre tid än förväntat och det finns mindre än tio minuterna i underhållsperioden, utförs inte en omstart.If patching takes longer than expected and there is less than ten minutes in the maintenance window, a reboot will not occur.

Uppdateringar installeras av runbooks i Azure Automation.Updates are installed by runbooks in Azure Automation. Du kan inte visa dessa runbooks och runbooks kräver inte någon konfigurering.You can't view these runbooks, and the runbooks don’t require any configuration. När en uppdateringsdistribution skapas, skapar ett schema som startar en masteruppdaterings-runbook vid den angivna tidpunkten för datorerna som ingår i uppdateringsdistributionen.When an update deployment is created, the update deployment creates a schedule that starts a master update runbook at the specified time for the included computers. Master-runbook startar en underordnad runbook på varje agent så att installera nödvändiga uppdateringar.The master runbook starts a child runbook on each agent to install the required updates.

Vid det datum och tid som anges i uppdateringsdistributionen kör måldatorerna distributionen parallellt.At the date and time specified in the update deployment, the target computers execute the deployment in parallel. Innan du installerar görs en sökning för att verifiera att uppdateringarna fortfarande är nödvändiga.Before installation, a scan is run to verify that the updates are still required. Om uppdateringarna som inte godkänts i WSUS, för WSUS-klientdatorer misslyckas distributionen av uppdateringen.For WSUS client computers, if the updates aren't approved in WSUS, the update deployment fails.

Med en dator som har registrerats för uppdateringshantering i mer än en Log Analytics-arbetsytor (flera värdar) stöds inte.Having a machine registered for Update Management in more than one Log Analytics workspaces (multi-homing) isn't supported.

KlienterClients

Stöds klienttyperSupported client types

I följande tabell visas en lista över operativsystem som stöds:The following table shows a list of supported operating systems:

OperativsystemOperating system AnteckningarNotes
Windows Server 2008, Windows Server 2008 R2 RTMWindows Server 2008, Windows Server 2008 R2 RTM Stöder bara uppdatera utvärderingar.Supports only update assessments.
Windows Server 2008 R2 SP1 och senare (inklusive Windows Server 2012 och 2016)Windows Server 2008 R2 SP1 and later (Including Windows Server 2012 and 2016) .NET framework 4.5.1 eller senare krävs..NET Framework 4.5.1 or later is required. (Hämta .NET Framework)(Download .NET Framework)
Windows PowerShell 4.0 eller senare krävs.Windows PowerShell 4.0 or later is required. (Hämta WMF 4.0)(Download WMF 4.0)
Windows PowerShell 5.1 rekommenderas för ökad tillförlitlighet.Windows PowerShell 5.1 is recommended for increased reliability. (Hämta WMF 5.1)(Download WMF 5.1)
CentOS 6 (x86/x64) och 7 (x64)CentOS 6 (x86/x64) and 7 (x64) Linux-agenter måste ha åtkomst till en uppdateringslagringsplats.Linux agents must have access to an update repository. 'Yum' kräver klassificeringsbaserad uppdatering för att returnera säkerhetsdata som CentOS inte har direkt.Classification-based patching requires 'yum' to return security data which CentOS doesn't have out of the box. Läs mer på klassificeringsbaserad korrigeringar på CentOS, Uppdateringsklassificeringar på LinuxFor more information on classification-based patching on CentOS, see Update classifications on Linux
Red Hat Enterprise 6 (x86/x64) och 7 (x64)Red Hat Enterprise 6 (x86/x64) and 7 (x64) Linux-agenter måste ha åtkomst till en uppdateringslagringsplats.Linux agents must have access to an update repository.
SUSE Linux Enterprise Server 11 (x86/x64) och 12 (x64)SUSE Linux Enterprise Server 11 (x86/x64) and 12 (x64) Linux-agenter måste ha åtkomst till en uppdateringslagringsplats.Linux agents must have access to an update repository.
Ubuntu 14.04 LTS, 16.04 LTS och 18.04 (x86/x64)Ubuntu 14.04 LTS, 16.04 LTS, and 18.04 (x86/x64) Linux-agenter måste ha åtkomst till en uppdateringslagringsplats.Linux agents must have access to an update repository.

Klientappar typerUnsupported client types

I följande tabell visas operativsystem som inte stöds:The following table lists operating systems that aren't supported:

OperativsystemOperating system AnteckningarNotes
Windows-klientWindows client Klientoperativsystem (till exempel Windows 7 och Windows 10) stöds inte.Client operating systems (such as Windows 7 and Windows 10) aren't supported.
Windows Server 2016 Nano ServerWindows Server 2016 Nano Server Stöds ej.Not supported.

KlientkravClient requirements

WindowsWindows

Windows-agenter måste konfigureras för att kommunicera med en WSUS-server eller de måste ha åtkomst till Microsoft Update.Windows agents must be configured to communicate with a WSUS server or they must have access to Microsoft Update. Du kan använda hantering av uppdateringar med System Center Configuration Manager.You can use Update Management with System Center Configuration Manager. Läs mer om integrationsscenarier i integrera System Center Configuration Manager med uppdateringshantering.To learn more about integration scenarios, see Integrate System Center Configuration Manager with Update Management. Den Windows-agenten krävs.The Windows agent is required. Agenten installeras automatiskt om du är onboarding virtuella Azure-datorer.The agent is installed automatically if you're onboarding an Azure virtual machine.

LinuxLinux

För Linux, måste datorn ha åtkomst till en uppdateringslagringsplats.For Linux, the machine must have access to an update repository. Uppdatera databasen kan vara privat eller offentlig.The update repository can be private or public. TLS 1.1 eller TLS 1.2 krävs för att interagera med hantering av uppdateringar.TLS 1.1 or TLS 1.2 is required to interact with Update Management. En Log Analytics-agenten för Linux som är konfigurerad att rapportera till fler än en Log Analytics-arbetsytor stöds inte med den här lösningen.A Log Analytics Agent for Linux that's configured to report to more than one Log Analytics workspaces isn't supported with this solution.

Information om hur du installerar Log Analytics-agenten för Linux och hämta den senaste versionen finns i Log Analytics-agenten för Linux.For information about how to install the Log Analytics Agent for Linux and to download the latest version, see Log Analytics Agent for Linux. Information om hur du installerar Log Analytics-agenten för Windows finns i Microsoft Monitoring Agent för Windows.For information about how to install the Log Analytics Agent for Windows, see Microsoft Monitoring Agent for Windows.

BehörigheterPermissions

Du behöver specifika behörigheter för att skapa och hantera distributioner av uppdateringar.To create and manage update deployments, you need specific permissions. Läs om dessa behörigheter i rollbaserad åtkomst - uppdateringshantering.To learn about these permissions, see Role-based access - Update Management.

LösningskomponenterSolution components

Lösningen består av följande resurser.The solution consists of the following resources. Resurserna som läggs till i ditt Automation-konto.The resources are added to your Automation account. De är antingen direkt anslutna agenter eller i en Operations Manager-ansluten hanteringsgrupp.They're either directly connected agents or in an Operations Manager-connected management group.

Hybrid Worker-grupperHybrid Worker groups

När du har aktiverat den här lösningen konfigureras automatiskt alla Windows-datorer som är direkt ansluten till Log Analytics-arbetsytan som en Hybrid Runbook Worker för att ge stöd för runbooks som ingår i den här lösningen.After you enable this solution, any Windows computer that's directly connected to your Log Analytics workspace is automatically configured as a Hybrid Runbook Worker to support the runbooks that are included in this solution.

Alla Windows-datorer som hanteras av lösningen visas i den Hybrid worker-grupper som en System hybrid worker-gruppen för Automation-kontot.Each Windows computer that's managed by the solution is listed in the Hybrid worker groups pane as a System hybrid worker group for the Automation account. Lösningarna använda namngivningskonventionen Hostname FQDN_GUID.The solutions use the naming convention Hostname FQDN_GUID. Du kan inte skicka dessa grupper med runbooks i ditt konto.You can't target these groups with runbooks in your account. De misslyckas om du försöker.They fail if you try. Dessa grupper är avsedda att stödja endast hanteringslösningen.These groups are intended to support only the management solution.

Du kan lägga till Windows-datorer till en Hybrid Runbook Worker-grupp i ditt Automation-konto för Automation-runbooks om du använder samma konto för både lösningen och Hybrid Runbook Worker-gruppmedlemskapet.You can add the Windows computers to a Hybrid Runbook Worker group in your Automation account to support Automation runbooks if you use the same account for both the solution and the Hybrid Runbook Worker group membership. Den här funktionen har lagts till i version 7.2.12024.0 av Hybrid Runbook Worker.This functionality was added in version 7.2.12024.0 of the Hybrid Runbook Worker.

HanteringspaketManagement packs

Om din hanteringsgrupp för System Center Operations Manager är ansluten till en Log Analytics-arbetsyta, installeras följande hanteringspaket i Operations Manager.If your System Center Operations Manager management group is connected to a Log Analytics workspace, the following management packs are installed in Operations Manager. Dessa hanteringspaket också har installerats på direktanslutna Windows-datorer när du lägger till lösningen.These management packs are also installed on directly connected Windows computers after you add the solution. Du behöver inte konfigurera eller hantera dessa hanteringspaket.You don't need to configure or manage these management packs.

  • Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)Microsoft System Center Advisor Update Assessment Intelligence Pack (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Uppdatera distributions-MPUpdate Deployment MP

Anteckning

Om du har en Hanteringsgrupp för Operations Manager 1807 med agenter som konfigurerats på nivån Hanteringsgrupp som ska kopplas till en arbetsyta, den aktuella lösning för att hämta dem för att visa är att åsidosätta IsAutoRegistrationEnabled till SANT i den Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init regeln.If you have an Operations Manager 1807 Management Group with agents configured at the Management Group level to be associated to a workspace, the current workaround to get them to show up is to override IsAutoRegistrationEnabled to True in the Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init rule.

Mer information om hur lösningens hanteringspaket uppdateras finns i ansluta Operations Manager till Azure Monitor loggar.For more information about how solution management packs are updated, see Connect Operations Manager to Azure Monitor logs.

Anteckning

För system med Operations Manager-agenten för att kunna hanteras helt av uppdateringshantering, måste agenten uppdateras till Microsoft Monitoring Agent.For systems with the Operations Manger Agent, to be able to be fully managed by Update Management, the agent needs to be updated to the Microsoft Monitoring Agent. Information om hur du uppdaterar agenten finns så här uppgraderar du en Operations Manager-agent.To learn how to update the agent, see How to upgrade an Operations Manager agent. För miljöer med Operations Manager, det krävs att du kör System Center Operations Manager 2012 R2 UR 14 eller senare.For environments using Operations Manager, it is required that you are running System Center Operations Manager 2012 R2 UR 14 or later.

Aktivera uppdateringshanteringEnable Update Management

Om du vill börja korrigeringar system, måste du aktivera lösningen för uppdateringshantering.To begin patching systems, you need to enable the Update Management solution. Det finns många sätt att registrera datorer till hantering av uppdateringar.There are many ways to onboard machines to Update Management. Följande är den rekommenderade och stöd för hur du publicerar lösningen:The following are the recommended and supported ways to onboard the solution:

Bekräfta att icke-Azure-datorer är integreratsConfirm that non-Azure machines are onboarded

Om du vill bekräfta att direkt anslutna datorer kommunicerar med Azure Monitor-loggar, efter ett par minuter kan du köra en följande sökningar i loggen.To confirm that directly connected machines are communicating with Azure Monitor logs, after a few minutes, you can run one the following log searches.

LinuxLinux

Heartbeat
| where OSType == "Linux" | summarize arg_max(TimeGenerated, *) by SourceComputerId | top 500000 by Computer asc | render table

WindowsWindows

Heartbeat
| where OSType == "Windows" | summarize arg_max(TimeGenerated, *) by SourceComputerId | top 500000 by Computer asc | render table

På en Windows-dator kan du granska följande information för att verifiera agentanslutning med Azure Monitor-loggar:On a Windows computer, you can review the following information to verify agent connectivity with Azure Monitor logs:

  1. På Kontrollpanelen, öppna Microsoft Monitoring Agent.In Control Panel, open Microsoft Monitoring Agent. På den Azure Log Analytics fliken agenten visas följande meddelande: Microsoft Monitoring Agent har anslutits till Log Analytics.On the Azure Log Analytics tab, the agent displays the following message: The Microsoft Monitoring Agent has successfully connected to Log Analytics.
  2. Öppna Windows-händelseloggen.Open the Windows Event Log. Gå till program- och tjänstloggar\operations Manager och Sök efter händelse-ID 3000 och 5002 för händelse-ID från källan tjänstanslutning.Go to Application and Services Logs\Operations Manager and search for Event ID 3000 and Event ID 5002 from the source Service Connector. Dessa händelser anger att datorn har registrerats med Log Analytics-arbetsytan och tar emot konfigurationen.These events indicate that the computer has registered with the Log Analytics workspace and is receiving configuration.

Om agenten inte kan kommunicera med Azure Monitor-loggar och agenten är konfigurerad för att kommunicera med internet genom en brandvägg eller proxyserver, bekräfta att brandväggen eller proxyservern har konfigurerats korrekt.If the agent can't communicate with Azure Monitor logs and the agent is configured to communicate with the internet through a firewall or proxy server, confirm the firewall or proxy server is properly configured. Läs hur du verifierar att brandväggen eller proxyservern har konfigurerats korrekt i nätverkskonfiguration för Windows-agenten eller nätverkskonfiguration för Linux-agenten.To learn how to verify the firewall or proxy server is properly configured, see Network configuration for Windows agent or Network configuration for Linux agent.

Anteckning

Om dina Linux-system har konfigurerats för att kommunicera med en proxy eller Log Analytics-Gateway och är onboarding den här lösningen, uppdatera den proxy.conf behörigheter som ska tilldelas den gruppen omiuser läsbehörighet för filen med hjälp av den följande kommandon:If your Linux systems are configured to communicate with a proxy or Log Analytics Gateway and you're onboarding this solution, update the proxy.conf permissions to grant the omiuser group read permission on the file by using the following commands:

sudo chown omsagent:omiusers /etc/opt/microsoft/omsagent/proxy.conf sudo chmod 644 /etc/opt/microsoft/omsagent/proxy.conf

Nyligen tillagda Linux-agenter visar statusen uppdaterad när en utvärdering har utförts.Newly added Linux agents show a status of Updated after an assessment has been performed. Den här processen kan ta upp till 6 timmar.This process can take up to 6 hours.

För att bekräfta att en Operations Manager-hanteringsgrupp kommunicerar med Azure Monitor-loggar, se verifiera Operations Manager-integrering med Azure Monitor-loggar.To confirm that an Operations Manager management group is communicating with Azure Monitor logs, see Validate Operations Manager integration with Azure Monitor logs.

DatainsamlingData collection

Agenter som stödsSupported agents

I följande tabell beskrivs de anslutna källor som stöds av den här lösningen:The following table describes the connected sources that are supported by this solution:

Ansluten källaConnected source StödsSupported BeskrivningDescription
Windows-agenterWindows agents JaYes Lösningen samlar in information om systemuppdateringar från Windows-agenter och initierar installationen av nödvändiga uppdateringar.The solution collects information about system updates from Windows agents and then initiates installation of required updates.
Linux-agenterLinux agents JaYes Lösningen samlar in information om systemuppdateringar från Linux-agenter och initierar installationen av nödvändiga uppdateringar för distributioner som stöds.The solution collects information about system updates from Linux agents and then initiates installation of required updates on supported distributions.
Operations Manager-hanteringsgruppOperations Manager management group JaYes Lösningen samlar in information om systemuppdateringar från agenter i en ansluten hanteringsgrupp.The solution collects information about system updates from agents in a connected management group.
En direktanslutning från Operations Manager-agenten till Azure Monitor-loggar krävs inte.A direct connection from the Operations Manager agent to Azure Monitor logs isn't required. Data vidarebefordras från hanteringsgruppen till Log Analytics-arbetsytan.Data is forwarded from the management group to the Log Analytics workspace.

InsamlingsfrekvensCollection frequency

Två gånger per dag för varje hanterad Windows-dator utförs en sökning.A scan is performed twice per day for each managed Windows computer. Var femtonde minut anropas Windows API att fråga efter den senaste uppdateringstiden att fastställa om statusen har ändrats.Every 15 minutes, the Windows API is called to query for the last update time to determine whether the status has changed. Om statusen har ändrats, har en fullständig genomsökning initierats.If the status has changed, a compliance scan is initiated.

En sökning utförs varje timme för varje hanterad Linux-dator.A scan is performed every hour for each managed Linux computer.

Det kan ta mellan 30 minuter och 6 timmar innan instrumentpanelen visar uppdaterade data från hanterade datorer.It can take between 30 minutes and 6 hours for the dashboard to display updated data from managed computers.

Genomsnittliga dataanvändning för Azure Monitor-loggar för en virtuell dator med uppdateringshantering är cirka 25MB per månad.The average Azure Monitor logs data usage for a machine using Update Management is approximately 25MB per month. Det här värdet är bara en uppskattning och kan komma att ändras baserat på din miljö.This value is only an approximation and is subject to change based on your environment. Vi rekommenderar att du övervakar din miljö för att se exakt användningen som du har.It's recommended that you monitor your environment to see the exact usage that you have.

Visa uppdatering utvärderingarView update assessments

I ditt Automation-konto väljer uppdateringshantering att visa status för dina datorer.In your Automation account, select Update Management to view the status of your machines.

Den här vyn visar information om dina datorer som saknar uppdateringar, uppdateringsdistributioner och schemalagda distributioner.This view provides information about your machines, missing updates, update deployments, and scheduled update deployments. I den efterlevnad kolumnen, du kan se den senaste gången datorn uppskattades.In the COMPLIANCE COLUMN, you can see the last time the machine was assessed. I den uppdatera AGENTBEREDSKAP kolumn, kan du se om hälsotillståndet för update-agenten.In the UPDATE AGENT READINESS column, you can see if the health of the update agent. Om det finns ett problem, väljer du länken som leder till Felsökningsdokumentation som kan hjälpa att du lär dig vilka steg för att åtgärda problemet.If there's an issue, select the link to go to troubleshooting documentation that can help you learn what steps to take to correct the problem.

Om du vill köra en loggsökning som returnerar information om datorn, uppdatering och distribution, markerar du objektet i listan.To run a log search that returns information about the machine, update, or deployment, select the item in the list. Den Loggsökning fönstret som öppnas med en fråga för det markerade objektet:The Log Search pane opens with a query for the item selected:

Standard över uppdateringshantering

Installera uppdateringarInstall updates

När uppdateringar utvärderas för alla Linux- och Windows-datorer i din arbetsyta, kan du installera nödvändiga uppdateringar genom att skapa en uppdateringsdistribution.After updates are assessed for all the Linux and Windows computers in your workspace, you can install required updates by creating an update deployment. Du måste ha skrivbehörighet till Automation-kontot och skrivåtkomst till alla virtuella Azure-datorer som är riktade i distributionen för att skapa en Uppdateringsdistribution.To create an Update Deployment, you must have write access to the Automation Account and write access to the any Azure VMs that are targeted in the deployment. En uppdateringsdistribution är en schemalagd installation av nödvändiga uppdateringar för en eller flera datorer.An update deployment is a scheduled installation of required updates for one or more computers. Du kan ange datum och tid för distributionen och en dator eller grupp av datorer som ska ingå i omfattningen för en distribution.You specify the date and time for the deployment and a computer or group of computers to include in the scope of a deployment. Läs mer om datorgrupper i datorgrupper i Azure Monitor-loggar.To learn more about computer groups, see Computer groups in Azure Monitor logs.

När du inkluderar datorgrupper i din distribution utvärderas gruppmedlemskap bara en gång när schemat skapas.When you include computer groups in your update deployment, group membership is evaluated only once, at the time of schedule creation. Efterföljande ändringar i en grupp syns inte.Subsequent changes to a group aren't reflected. Att komma runt denna dynamiska grupper, dessa grupper har lösts vid tidpunkten för distribution och definieras av en fråga för virtuella Azure-datorer eller en sparad sökning för icke-Azure virtuella datorer.To get around this use Dynamic groups, these groups are resolved at deployment time and are defined by a query for Azure VMs or a saved search for Non-Azure VMs.

Anteckning

Windows-datorer som distribueras från Azure Marketplace som standard är inställda på att ta emot automatiska uppdateringar från Windows Update-tjänsten.Windows virtual machines that are deployed from the Azure Marketplace by default are set to receive automatic updates from Windows Update Service. Det här beteendet ändras inte när du lägger till den här lösningen eller lägga till Windows-datorer i din arbetsyta.This behavior doesn't change when you add this solution or add Windows virtual machines to your workspace. Om du inte aktivt hantera uppdateringar med hjälp av den här lösningen, gäller standardbeteendet (för att automatiskt tillämpa uppdateringar).If you don't actively manage updates by using this solution, the default behavior (to automatically apply updates) applies.

Konfigurera om Unattended Upgrade-paketet om du vill inaktivera automatiska uppdateringar för att undvika att uppdateringar tillämpas utanför en underhållsperiod på Ubuntu.To avoid updates being applied outside of a maintenance window on Ubuntu, reconfigure the Unattended-Upgrade package to disable automatic updates. Information om hur du konfigurerar paketet finns i automatiska uppdateringar-avsnittet i handboken för Ubuntu Server.For information about how to configure the package, see Automatic Updates topic in the Ubuntu Server Guide.

Virtuella datorer som har skapats från Red Hat Enterprise Linux (RHEL) på begäran-avbildningar som är tillgängliga i Azure Marketplace är registrerade åtkomst till den Red Hat Update Infrastructure (RHUI) som har distribuerats i Azure.Virtual machines that were created from the on-demand Red Hat Enterprise Linux (RHEL) images that are available in the Azure Marketplace are registered to access the Red Hat Update Infrastructure (RHUI) that's deployed in Azure. Andra Linux-distribution måste du uppdatera från den distributionsplatsen online filens centrallager genom att följa distributionsmetoder som stöds.Any other Linux distribution must be updated from the distribution's online file repository by following the distribution's supported methods.

Om du vill skapa en ny uppdateringsdistribution, Välj distribution av schemauppdatering.To create a new update deployment, select Schedule update deployment. Den ny Uppdateringsdistribution öppnas.The New Update Deployment page opens. Ange värden för de egenskaper som beskrivs i följande tabell och klicka sedan på skapa:Enter values for the properties described in the following table and then click Create:

EgenskapProperty DescriptionDescription
NamnName Unikt namn som identifierar uppdateringsdistributionen.Unique name to identify the update deployment.
OperativsystemOperating System Linux eller WindowsLinux or Windows
Grupper för att uppdateraGroups to update För datorer i Azure, definierar du en fråga som baseras på en kombination av prenumeration, resursgrupper, platser och taggar för att skapa en dynamisk grupp med virtuella Azure-datorer ska ingå i din distribution.For Azure machines, define a query based on a combination of subscription, resource groups, locations, and tags to build a dynamic group of Azure VMs to include in your deployment.
För icke-Azure-datorer, väljer du en befintlig sparad sökning för att välja en grupp med icke-Azure-datorer som ska ingå i distributionen.For Non-Azure machines, select an existing saved search to select a group of Non-Azure machines to include in the deployment.

Mer information finns i Dynamiska grupperTo learn more, see Dynamic Groups
Datorer som ska uppdaterasMachines to update Välj en sparad sökning eller en importerad grupp, eller välj Dator i listrutan och välj enskilda datorer.Select a Saved search, Imported group, or pick Machine from the drop-down and select individual machines. Om du väljer Datorer visas beredskapen för datorn i kolumnen Uppdatera agentberedskap.If you choose Machines, the readiness of the machine is shown in the UPDATE AGENT READINESS column.
Information om de olika metoderna för att skapa datorgrupper i Azure Monitor-loggar finns i datorgrupper i Azure Monitor-loggarTo learn about the different methods of creating computer groups in Azure Monitor logs, see Computer groups in Azure Monitor logs
Uppdatera klassificeringarUpdate classifications Välj de uppdateringsklassificeringar som du behöverSelect all the update classifications that you need
Inkludera/exkludera uppdateringarInclude/exclude updates Då öppnas det ta med eller undanta sidan.This opens the Include/Exclude page. Uppdateringar som ska inkluderas eller exkluderas visas på en separat flik.Updates to be included or excluded are on separate tabs. Mer information om hur inkludering hanteras och finns i inkluderingsbeteendeFor more information on how inclusion is handled, see inclusion behavior
SchemainställningarSchedule settings Välj tid att starta och välj antingen en gång eller återkommande för upprepningenSelect the time to start, and select either Once or recurring for the recurrence
Förskript och efterskriptPre-scripts + Post-scripts Välj skript ska köras före och efter distributionenSelect the scripts to run before and after your deployment
UnderhållsperiodMaintenance window Antal minuter som angetts för uppdateringar.Number of minutes set for updates. Värdet får inte vara mindre än 30 minuter och högst 6 timmarThe value can't be less than 30 minutes and no more than 6 hours
Starta om kontrollReboot control Anger hur omstarter ska hanteras.Determines how reboots should be handled. De tillgängliga alternativen är:Available options are:
Starta om vid behov (standard)Reboot if required (Default)
Starta alltid omAlways reboot
Starta aldrig omNever reboot
Endast omstart – uppdateringar installeras inteOnly reboot - will not install updates

Distributioner av uppdateringar kan även skapas programmässigt.Update Deployments can also be created programmatically. Läs hur du skapar en distribution med REST API i programvarukonfigurationer för Update - skapa.To learn how to create an Update Deployment with the REST API, see Software Update Configurations - Create. Det finns också en exempel-runbook som kan användas för att skapa en distribution av varje vecka.There is also a sample runbook that can be used to create a weekly Update Deployment. Läs mer om denna runbook i skapa en veckovis uppdateringsdistribution för en eller flera virtuella datorer i en resursgrupp.To learn more about this runbook, see Create a weekly update deployment for one or more VMs in a resource group.

Distribution av flera klienterCross-tenant Update Deployments

Om du har datorer i en annan Azure-klient som rapporterar till hantering av uppdateringar som du behöver för att korrigera måste du använda följande lösning för att få dem schemalagda.If you have machines in another Azure tenant reporting to Update Management that you need to patch, you'll need to use the following workaround to get them scheduled. Du kan använda den New-AzureRmAutomationSchedule cmdlet med växeln -ForUpdate att skapa ett schema och använda den New AzureRmAutomationSoftwareUpdateConfiguration cmdlet och skicka den datorer i den andra klienten till den -NonAzureComputer parametern.You can use the New-AzureRmAutomationSchedule cmdlet with the switch -ForUpdate to create a schedule, and use the New-AzureRmAutomationSoftwareUpdateConfiguration cmdlet and pass the machines in the other tenant to the -NonAzureComputer parameter. I följande exempel visar ett exempel på hur du gör detta:The following example shows an example on how to do this:

$nonAzurecomputers = @("server-01", "server-02")

$startTime = ([DateTime]::Now).AddMinutes(10)

$sched = New-AzureRmAutomationSchedule -ResourceGroupName mygroup -AutomationAccountName myaccount -Name myupdateconfig -Description test-OneTime -OneTime -StartTime $startTime -ForUpdate

New-AzureRmAutomationSoftwareUpdateConfiguration  -ResourceGroupName $rg -AutomationAccountName <automationAccountName> -Schedule $sched -Windows -NonAzureComputer $nonAzurecomputers -Duration (New-TimeSpan -Hours 2) -IncludedUpdateClassification Security,UpdateRollup -ExcludedKbNumber KB01,KB02 -IncludedKbNumber KB100

Visa uppdateringar som saknasView missing updates

Välj saknade uppdateringar att visa en lista med uppdateringar som saknas från dina virtuella datorer.Select Missing updates to view the list of updates that are missing from your machines. Varje uppdatering visas och kan väljas.Each update is listed and can be selected. Information om hur många datorer som kräver uppdateringen, operativsystemet och en länk för mer information visas.Information about the number of machines that require the update, the operating system, and a link for more information is shown. Den loggsökning fönstret visar mer information om uppdateringarna.The Log search pane shows more details about the updates.

Visa uppdateringsdistributionerView update deployments

Välj den distributioner av uppdateringar fliken för att visa listan över befintliga uppdateringsdistributioner.Select the Update Deployments tab to view the list of existing update deployments. Välj någon av uppdateringsdistributioner i tabellen för att öppna den uppdatera distribution kör fönstret för den distributionen.Select any of the update deployments in the table to open the Update Deployment Run pane for that update deployment. Jobbloggar lagras i högst 30 dagar.Job logs are stored for a max of 30 days.

Översikt över uppdateringsdistributionens resultat

En uppdateringsdistribution från REST API finns programvara uppdatera konfigurationen körs.To view an update deployment from the REST API, see Software Update Configuration Runs.

Uppdatera klassificeringarUpdate classifications

I tabellerna nedan listas uppdateringsklassificeringar i uppdateringshantering, med en definition för varje klassificering.The following tables list the update classifications in Update Management, with a definition for each classification.

WindowsWindows

KlassificeringClassification BeskrivningDescription
Kritiska uppdateringarCritical updates En uppdatering för ett specifikt problem som åtgärdar en kritisk, ej säkerhetsrelaterad bugg.An update for a specific problem that addresses a critical, non-security-related bug.
SäkerhetsuppdateringarSecurity updates En uppdatering för en produktspecifik, säkerhetsrelaterad fråga.An update for a product-specific, security-related issue.
Samlade uppdateringarUpdate rollups En kumulativ uppsättning snabbkorrigeringar som är packade tillsammans för enkel distribution.A cumulative set of hotfixes that are packaged together for easy deployment.
FunktionspaketFeature packs Nya produktfunktioner som distribueras utanför en produktlansering.New product features that are distributed outside a product release.
Service packService packs En kumulativ uppsättning snabbkorrigeringar som tillämpas på ett program.A cumulative set of hotfixes that are applied to an application.
DefinitionsuppdateringarDefinition updates En uppdatering av virus eller andra definitionsfiler.An update to virus or other definition files.
VerktygTools Ett verktyg eller en funktion som hjälper dig att slutföra en eller flera uppgifter.A utility or feature that helps complete one or more tasks.
UppdateringarUpdates En uppdatering för ett program eller en fil som är installerad.An update to an application or file that currently is installed.

LinuxLinux

KlassificeringClassification BeskrivningDescription
Kritiska uppdateringar och säkerhetsuppdateringarCritical and security updates Uppdateringar för ett specifikt program eller en produktspecifik, säkerhetsrelaterad fråga.Updates for a specific problem or a product-specific, security-related issue.
Övriga uppdateringarOther updates Alla andra uppdateringar som inte är viktiga sin natur eller som inte är säkerhetsuppdateringar.All other updates that aren't critical in nature or aren't security updates.

För Linux, hantering av uppdateringar kan skilja mellan kritiska uppdateringar och säkerhetsuppdateringar i molnet när visades utvärdering av data på grund av databerikande i molnet.For Linux, Update Management can distinguish between critical and security updates in the cloud while displaying assessment data due to data enrichment in the cloud. För uppdatering, uppdateringshantering förlitar sig på data för klassificering som är tillgängliga på datorn.For patching, Update Management relies on classification data available on the machine. Till skillnad från andra distributioner, CentOS har inte denna information tillgänglig direkt.Unlike other distributions, CentOS does not have this information available out of the box. Om du har CentOS-datorer som konfigurerats på ett sätt att returnera säkerhetsdata för följande kommando, kommer hantering av uppdateringar att kunna patch baserat på klassificeringar.If you have CentOS machines configured in a way to return security data for the following command, Update Management will be able to patch based on classifications.

sudo yum -q --security check-update

Det finns för närvarande inga metoden stöds-metoden för att aktivera interna klassificering-data tillgängliga på CentOS.There's currently no method supported method to enable native classification-data availability on CentOS. För närvarande tillhandahålls endast mån support till kunder som kanske har aktiverat det på egen hand.At this time, only best-effort support is provided to customers who may have enabled this on their own.

Avancerade inställningarAdvanced settings

Hantering av uppdateringar är beroende av Windows Update för att hämta och installera Windows-uppdateringar.Update Management relies on Windows Update to download and install Windows Updates. Därför kan respekterar vi många av inställningarna som används av Windows Update.As a result, we respect many of the settings used by Windows Update. Om du använder inställningar för att aktivera icke-Windows-uppdateringar, hanterar uppdateringshantering även dessa uppdateringar.If you use settings to enable non-Windows updates, Update Management will manage those updates as well. Om du vill aktivera hämtar uppdateringar innan en uppdateringsdistribution sker distributioner gå snabbare och är mindre troligt att överskrida underhållsfönstret.If you want to enable downloading updates before an update deployment occurs, update deployments can go faster and be less likely to exceed the maintenance window.

Pre hämta uppdateringarPre download updates

Om du vill konfigurera automatiskt hämtar uppdateringar i en Grupprincip, kan du ange den inställningen Konfigurera automatiska uppdateringar till 3.To configure automatically downloading updates in Group Policy, you can set the Configure Automatic Updates setting to 3. Detta hämtar uppdateringar som behövs i bakgrunden, men installera inte dem.This downloads the updates needed in the background, but doesn't install them. Detta håller uppdateringshantering kontroll över scheman, men kan uppdateringar som hämtas utanför underhållsperioden uppdateringshantering.This keeps Update Management in control of schedules but allow updates to download outside of the Update Management maintenance window. Det här kan hindra underhållsperioden har överskridits fel i hantering av uppdateringar.This can prevent Maintenance window exceeded errors in Update Management.

Du kan också ange detta med PowerShell, kör följande PowerShell på ett system som du vill hämta uppdateringar automatiskt.You can also set this with PowerShell, run the following PowerShell on a system that you want to auto-download updates.

$WUSettings = (New-Object -com "Microsoft.Update.AutoUpdate").Settings
$WUSettings.NotificationLevel = 3
$WUSettings.Save()

Inaktivera automatisk installationDisable automatic installation

Virtuella Azure-datorer har automatisk installation av uppdateringar som är aktiverad som standard.Azure VMs have Automatic installation of updates enabled by default. Detta kan orsaka uppdateringar installeras innan du schemalägger dem ska kunna installeras med hantering av uppdateringar.This can cause updates to be installed before you schedule them to be installed by Update Management. Du kan inaktivera det här beteendet genom att ange den NoAutoUpdate registernyckeln till 1.You can disable this behavior by setting the NoAutoUpdate registry key to 1. Följande PowerShell-kodavsnitt visar ett sätt att göra detta.The following PowerShell snippet shows you one way to do this.

$AutoUpdatePath = "HKLM:SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU"
Set-ItemProperty -Path $AutoUpdatePath -Name NoAutoUpdate -Value 1

Aktivera uppdateringar för andra Microsoft-produkterEnable updates for other Microsoft products

Som standard innehåller Windows Update endast uppdateringar för Windows.By default, Windows Update only provides updates for Windows. Om du aktiverar hämta uppdateringar för andra Microsoft-produkter när jag uppdaterar Windows, får du uppdateringar för andra produkter, inklusive säkerhetskorrigeringar för SQL Server eller andra första tillverkare.If you enable Give me updates for other Microsoft products when I update Windows, you're provided with updates for other products, including security patches for SQL Server or other first party software. Det här alternativet kan inte konfigureras av en Grupprincip.This option can't be configured by Group Policy. Kör följande PowerShell på de system som du vill aktivera andra första part korrigeringsfiler på och uppdateringshantering följer den här inställningen.Run the following PowerShell on the systems that you wish to enable other first party patches on, and Update Management will honor this setting.

$ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager")
$ServiceManager.Services
$ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d"
$ServiceManager.AddService2($ServiceId,7,"")

Tredjeparts-korrigeringar i WindowsThird-party patches on Windows

Uppdateringshantering förlitar sig på lagringsplatsen lokalt konfigurerade uppdatering att korrigera Windows-system som stöds.Update Management relies on the locally configured update repository to patch supported Windows systems. Det här är antingen WSUS eller Windows Update.This is either WSUS or Windows Update. Verktyg som System Center Updates Publisher (Updates Publisher) gör att du kan publicera anpassade uppdateringar i WSUS.Tools like System Center Updates Publisher (Updates Publisher) allow you to publish custom updates into WSUS. Det här scenariot kan uppdateringshantering patch-datorer som använder System Center Configuration Manager som deras uppdateringslagringsplats med programvara från tredje part.This scenario allows Update Management to patch machines that use System Center Configuration Manager as their update repository with third-party software. Information om hur du konfigurerar Updates Publisher finns i installera Updates Publisher.To learn how to configure Updates Publisher, see Install Updates Publisher.

Planera för nätverkNetwork Planning

Följande adresser krävs för hantering av uppdateringar.The following addresses are required specifically for Update Management. Kommunikation till dessa adresser sker via port 443.Communication to these addresses occurs over port 443.

Azure PublicAzure Public Azure GovernmentAzure Government
*.ods.opinsights.azure.com*.ods.opinsights.azure.com *.ods.opinsights.azure.us*.ods.opinsights.azure.us
*.oms.opinsights.azure.com*.oms.opinsights.azure.com *.oms.opinsights.azure.us*.oms.opinsights.azure.us
*.blob.core.windows.net*.blob.core.windows.net *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
*.azure-automation.net*.azure-automation.net *.azure-automation.us*.azure-automation.us

Mer information om portar som kräver att Hybrid Runbook Worker finns Hybrid Worker-rollen portar.For more information about ports that the Hybrid Runbook Worker requires, see Hybrid Worker role ports.

Vi rekommenderar att du använder de adresser som anges när du definierar undantag.It's recommended to use the addresses listed when defining exceptions. För IP-adresser som du kan ladda ned den IP-intervall i Microsoft Azure Datacenter.For IP addresses you can download the Microsoft Azure Datacenter IP Ranges. Den här filen uppdateras varje vecka och återspeglar aktuella intervall och eventuella kommande ändringar till IP-adressintervall.This file is updated weekly, and reflects the currently deployed ranges and any upcoming changes to the IP ranges.

Sök i loggarSearch logs

Förutom den information som tillhandahålls i Azure-portalen, kan du göra sökningar mot loggarna.In addition to the details that are provided in the Azure portal, you can do searches against the logs. På sidorna för lösningen väljer Log Analytics.On the solution pages, select Log Analytics. Den Loggsökning öppnas fönstret.The Log Search pane opens.

Du kan också lära dig att anpassa frågorna eller använda dem från olika klienter och mer genom att besöka: Log Analytics Sök API-dokumentation.You can also learn how to customize the queries or use them from different clients and more by visiting: Log Analytics search API documentation.

ExempelfrågorSample queries

Följande avsnitt innehåller Exempelfrågor för loggen för uppdateringsposter som samlas in av den här lösningen:The following sections provide sample log queries for update records that are collected by this solution:

Enkel utvärdering av Virtuella Azure-frågor (Windows)Single Azure VM Assessment queries (Windows)

Ersätt värdet för VMUUID med VM-GUID för den virtuella datorn som du frågar.Replace the VMUUID value with the VM GUID of the virtual machine you're querying. Du kan hitta VMUUID som ska användas genom att köra följande fråga i Azure Monitor-loggar: Update | where Computer == "<machine name>" | summarize by Computer, VMUUIDYou can find the VMUUID that should be used by running the following query in Azure Monitor logs: Update | where Computer == "<machine name>" | summarize by Computer, VMUUID

Sammanfattning av uppdateringar som saknasMissing updates summary
Update
| where TimeGenerated>ago(14h) and OSType!="Linux" and (Optional==false or Classification has "Critical" or Classification has "Security") and VMUUID=~"b08d5afa-1471-4b52-bd95-a44fea6e4ca8"
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Approved) by Computer, SourceComputerId, UpdateID
| where UpdateState=~"Needed" and Approved!=false
| summarize by UpdateID, Classification
| summarize allUpdatesCount=count(), criticalUpdatesCount=countif(Classification has "Critical"), securityUpdatesCount=countif(Classification has "Security"), otherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security")
Saknade uppdateringar listaMissing updates list
Update
| where TimeGenerated>ago(14h) and OSType!="Linux" and (Optional==false or Classification has "Critical" or Classification has "Security") and VMUUID=~"8bf1ccc6-b6d3-4a0b-a643-23f346dfdf82"
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Title, KBID, PublishedDate, Approved) by Computer, SourceComputerId, UpdateID
| where UpdateState=~"Needed" and Approved!=false
| project-away UpdateState, Approved, TimeGenerated
| summarize computersCount=dcount(SourceComputerId, 2), displayName=any(Title), publishedDate=min(PublishedDate), ClassificationWeight=max(iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1))) by id=strcat(UpdateID, "_", KBID), classification=Classification, InformationId=strcat("KB", KBID), InformationUrl=iff(isnotempty(KBID), strcat("https://support.microsoft.com/kb/", KBID), ""), osType=2
| sort by ClassificationWeight desc, computersCount desc, displayName asc
| extend informationLink=(iff(isnotempty(InformationId) and isnotempty(InformationUrl), toobject(strcat('{ "uri": "', InformationUrl, '", "text": "', InformationId, '", "target": "blank" }')), toobject('')))
| project-away ClassificationWeight, InformationId, InformationUrl

Enskild virtuell dator i Azure-utvärdering frågor (Linux)Single Azure VM assessment queries (Linux)

För vissa Linux-distributioner finns en endianness inte överensstämmer med det VMUUID-värde som kommer från Azure Resource Manager och vad som lagras i Azure Monitor-loggar.For some Linux distros, there is a endianness mismatch with the VMUUID value that comes from Azure Resource Manager and what is stored in Azure Monitor logs. Följande fråga söker efter en matchning på antingen endianness.The following query checks for a match on either endianness. Ersätt värdena VMUUID med big endian och little endian formatering av GUID för att korrekt returnerar resultat.Replace the VMUUID values with the big-endian and little-endian format of the GUID to properly return the results. Du kan hitta VMUUID som ska användas genom att köra följande fråga i Azure Monitor-loggar: Update | where Computer == "<machine name>" | summarize by Computer, VMUUIDYou can find the VMUUID that should be used by running the following query in Azure Monitor logs: Update | where Computer == "<machine name>" | summarize by Computer, VMUUID

Sammanfattning av uppdateringar som saknasMissing updates summary
Update
| where TimeGenerated>ago(5h) and OSType=="Linux" and (VMUUID=~"625686a0-6d08-4810-aae9-a089e68d4911" or VMUUID=~"a0865662-086d-1048-aae9-a089e68d4911")
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification) by Computer, SourceComputerId, Product, ProductArch
| where UpdateState=~"Needed"
| summarize by Product, ProductArch, Classification
| summarize allUpdatesCount=count(), criticalUpdatesCount=countif(Classification has "Critical"), securityUpdatesCount=countif(Classification has "Security"), otherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security")
Saknade uppdateringar listaMissing updates list
Update
| where TimeGenerated>ago(5h) and OSType=="Linux" and (VMUUID=~"625686a0-6d08-4810-aae9-a089e68d4911" or VMUUID=~"a0865662-086d-1048-aae9-a089e68d4911")
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, BulletinUrl, BulletinID) by Computer, SourceComputerId, Product, ProductArch
| where UpdateState=~"Needed"
| project-away UpdateState, TimeGenerated
| summarize computersCount=dcount(SourceComputerId, 2), ClassificationWeight=max(iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1))) by id=strcat(Product, "_", ProductArch), displayName=Product, productArch=ProductArch, classification=Classification, InformationId=BulletinID, InformationUrl=tostring(split(BulletinUrl, ";", 0)[0]), osType=1
| sort by ClassificationWeight desc, computersCount desc, displayName asc
| extend informationLink=(iff(isnotempty(InformationId) and isnotempty(InformationUrl), toobject(strcat('{ "uri": "', InformationUrl, '", "text": "', InformationId, '", "target": "blank" }')), toobject('')))
| project-away ClassificationWeight, InformationId, InformationUrl

Frågor för multi-VM-utvärderingMulti-VM assessment queries

Sammanfattning av datorerComputers summary
Heartbeat
| where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId
| join kind=leftouter
(
    Update
    | where TimeGenerated>ago(14h) and OSType!="Linux"
    | summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Approved, Optional, Classification) by SourceComputerId, UpdateID
    | distinct SourceComputerId, Classification, UpdateState, Approved, Optional
    | summarize WorstMissingUpdateSeverity=max(iff(UpdateState=~"Needed" and (Optional==false or Classification has "Critical" or Classification has "Security") and Approved!=false, iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1)), 0)) by SourceComputerId
)
on SourceComputerId
| extend WorstMissingUpdateSeverity=coalesce(WorstMissingUpdateSeverity, -1)
| summarize computersBySeverity=count() by WorstMissingUpdateSeverity
| union (Heartbeat
| where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId
| join kind=leftouter
(
    Update
    | where TimeGenerated>ago(5h) and OSType=="Linux"
    | summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification) by SourceComputerId, Product, ProductArch
    | distinct SourceComputerId, Classification, UpdateState
    | summarize WorstMissingUpdateSeverity=max(iff(UpdateState=~"Needed", iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1)), 0)) by SourceComputerId
)
on SourceComputerId
| extend WorstMissingUpdateSeverity=coalesce(WorstMissingUpdateSeverity, -1)
| summarize computersBySeverity=count() by WorstMissingUpdateSeverity)
| summarize assessedComputersCount=sumif(computersBySeverity, WorstMissingUpdateSeverity>-1), notAssessedComputersCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==-1), computersNeedCriticalUpdatesCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==4), computersNeedSecurityUpdatesCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==2), computersNeedOtherUpdatesCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==1), upToDateComputersCount=sumif(computersBySeverity, WorstMissingUpdateSeverity==0)
| summarize assessedComputersCount=sum(assessedComputersCount), computersNeedCriticalUpdatesCount=sum(computersNeedCriticalUpdatesCount),  computersNeedSecurityUpdatesCount=sum(computersNeedSecurityUpdatesCount), computersNeedOtherUpdatesCount=sum(computersNeedOtherUpdatesCount), upToDateComputersCount=sum(upToDateComputersCount), notAssessedComputersCount=sum(notAssessedComputersCount)
| extend allComputersCount=assessedComputersCount+notAssessedComputersCount


Sammanfattning av uppdateringar som saknasMissing updates summary
Update
| where TimeGenerated>ago(5h) and OSType=="Linux" and SourceComputerId in ((Heartbeat
| where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification) by Computer, SourceComputerId, Product, ProductArch
| where UpdateState=~"Needed"
| summarize by Product, ProductArch, Classification
| union (Update
| where TimeGenerated>ago(14h) and OSType!="Linux" and (Optional==false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((Heartbeat
| where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Approved) by Computer, SourceComputerId, UpdateID
| where UpdateState=~"Needed" and Approved!=false
| summarize by UpdateID, Classification )
| summarize allUpdatesCount=count(), criticalUpdatesCount=countif(Classification has "Critical"), securityUpdatesCount=countif(Classification has "Security"), otherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security")
DatorlistaComputers list
Heartbeat
| where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions, Computer, ResourceId, ComputerEnvironment, VMUUID) by SourceComputerId
| where Solutions has "updates"
| extend vmuuId=VMUUID, azureResourceId=ResourceId, osType=1, environment=iff(ComputerEnvironment=~"Azure", 1, 2), scopedToUpdatesSolution=true, lastUpdateAgentSeenTime=""
| join kind=leftouter
(
    Update
    | where TimeGenerated>ago(5h) and OSType=="Linux" and SourceComputerId in ((Heartbeat
    | where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
    | summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Product, Computer, ComputerEnvironment) by SourceComputerId, Product, ProductArch
    | summarize Computer=any(Computer), ComputerEnvironment=any(ComputerEnvironment), missingCriticalUpdatesCount=countif(Classification has "Critical" and UpdateState=~"Needed"), missingSecurityUpdatesCount=countif(Classification has "Security" and UpdateState=~"Needed"), missingOtherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security" and UpdateState=~"Needed"), lastAssessedTime=max(TimeGenerated), lastUpdateAgentSeenTime="" by SourceComputerId
    | extend compliance=iff(missingCriticalUpdatesCount > 0 or missingSecurityUpdatesCount > 0, 2, 1)
    | extend ComplianceOrder=iff(missingCriticalUpdatesCount > 0 or missingSecurityUpdatesCount > 0 or missingOtherUpdatesCount > 0, 1, 3)
)
on SourceComputerId
| project id=SourceComputerId, displayName=Computer, sourceComputerId=SourceComputerId, scopedToUpdatesSolution=true, missingCriticalUpdatesCount=coalesce(missingCriticalUpdatesCount, -1), missingSecurityUpdatesCount=coalesce(missingSecurityUpdatesCount, -1), missingOtherUpdatesCount=coalesce(missingOtherUpdatesCount, -1), compliance=coalesce(compliance, 4), lastAssessedTime, lastUpdateAgentSeenTime, osType=1, environment=iff(ComputerEnvironment=~"Azure", 1, 2), ComplianceOrder=coalesce(ComplianceOrder, 2)
| union(Heartbeat
| where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions, Computer, ResourceId, ComputerEnvironment, VMUUID) by SourceComputerId
| where Solutions has "updates"
| extend vmuuId=VMUUID, azureResourceId=ResourceId, osType=2, environment=iff(ComputerEnvironment=~"Azure", 1, 2), scopedToUpdatesSolution=true, lastUpdateAgentSeenTime=""
| join kind=leftouter
(
    Update
    | where TimeGenerated>ago(14h) and OSType!="Linux" and SourceComputerId in ((Heartbeat
    | where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
    | summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
    | where Solutions has "updates"
    | distinct SourceComputerId))
    | summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Title, Optional, Approved, Computer, ComputerEnvironment) by Computer, SourceComputerId, UpdateID
    | summarize Computer=any(Computer), ComputerEnvironment=any(ComputerEnvironment), missingCriticalUpdatesCount=countif(Classification has "Critical" and UpdateState=~"Needed" and Approved!=false), missingSecurityUpdatesCount=countif(Classification has "Security" and UpdateState=~"Needed" and Approved!=false), missingOtherUpdatesCount=countif(Classification !has "Critical" and Classification !has "Security" and UpdateState=~"Needed" and Optional==false and Approved!=false), lastAssessedTime=max(TimeGenerated), lastUpdateAgentSeenTime="" by SourceComputerId
    | extend compliance=iff(missingCriticalUpdatesCount > 0 or missingSecurityUpdatesCount > 0, 2, 1)
    | extend ComplianceOrder=iff(missingCriticalUpdatesCount > 0 or missingSecurityUpdatesCount > 0 or missingOtherUpdatesCount > 0, 1, 3)
)
on SourceComputerId
| project id=SourceComputerId, displayName=Computer, sourceComputerId=SourceComputerId, scopedToUpdatesSolution=true, missingCriticalUpdatesCount=coalesce(missingCriticalUpdatesCount, -1), missingSecurityUpdatesCount=coalesce(missingSecurityUpdatesCount, -1), missingOtherUpdatesCount=coalesce(missingOtherUpdatesCount, -1), compliance=coalesce(compliance, 4), lastAssessedTime, lastUpdateAgentSeenTime, osType=2, environment=iff(ComputerEnvironment=~"Azure", 1, 2), ComplianceOrder=coalesce(ComplianceOrder, 2) )
| order by ComplianceOrder asc, missingCriticalUpdatesCount desc, missingSecurityUpdatesCount desc, missingOtherUpdatesCount desc, displayName asc
| project-away ComplianceOrder
Saknade uppdateringar listaMissing updates list
Update
| where TimeGenerated>ago(5h) and OSType=="Linux" and SourceComputerId in ((Heartbeat
| where TimeGenerated>ago(12h) and OSType=="Linux" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, BulletinUrl, BulletinID) by SourceComputerId, Product, ProductArch
| where UpdateState=~"Needed"
| project-away UpdateState, TimeGenerated
| summarize computersCount=dcount(SourceComputerId, 2), ClassificationWeight=max(iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1))) by id=strcat(Product, "_", ProductArch), displayName=Product, productArch=ProductArch, classification=Classification, InformationId=BulletinID, InformationUrl=tostring(split(BulletinUrl, ";", 0)[0]), osType=1
| union(Update
| where TimeGenerated>ago(14h) and OSType!="Linux" and (Optional==false or Classification has "Critical" or Classification has "Security") and SourceComputerId in ((Heartbeat
| where TimeGenerated>ago(12h) and OSType=~"Windows" and notempty(Computer)
| summarize arg_max(TimeGenerated, Solutions) by SourceComputerId
| where Solutions has "updates"
| distinct SourceComputerId))
| summarize hint.strategy=partitioned arg_max(TimeGenerated, UpdateState, Classification, Title, KBID, PublishedDate, Approved) by Computer, SourceComputerId, UpdateID
| where UpdateState=~"Needed" and Approved!=false
| project-away UpdateState, Approved, TimeGenerated
| summarize computersCount=dcount(SourceComputerId, 2), displayName=any(Title), publishedDate=min(PublishedDate), ClassificationWeight=max(iff(Classification has "Critical", 4, iff(Classification has "Security", 2, 1))) by id=strcat(UpdateID, "_", KBID), classification=Classification, InformationId=strcat("KB", KBID), InformationUrl=iff(isnotempty(KBID), strcat("https://support.microsoft.com/kb/", KBID), ""), osType=2)
| sort by ClassificationWeight desc, computersCount desc, displayName asc
| extend informationLink=(iff(isnotempty(InformationId) and isnotempty(InformationUrl), toobject(strcat('{ "uri": "', InformationUrl, '", "text": "', InformationId, '", "target": "blank" }')), toobject('')))
| project-away ClassificationWeight, InformationId, InformationUrl

Med dynamiska grupperUsing dynamic groups

Uppdateringshantering ger möjlighet att fokusera på en dynamisk grupp av Azure- eller icke-Azure-datorer för distributioner av uppdateringar.Update Management provides the ability to target a dynamic group of Azure or Non-Azure VMs for update deployments. Dessa grupper utvärderas vid tidpunkten för distributionen så att du inte behöver redigera din distribution för att lägga till datorer.These groups are evaluated at deployment time so you do not have to edit your deployment to add machines.

Anteckning

Du måste ha rätt behörigheter när du skapar en distribution.You must have the proper permissions when creating an update deployment. Mer information finns i installera uppdateringar.To learn more, see Install Updates.

Datorer i AzureAzure machines

De här grupperna definieras av en fråga, när en uppdateringsdistribution börjar medlemmar i gruppen utvärderas.These groups are defined by a query, when an update deployment begins, the members of that group are evaluated. Dynamiska grupper fungerar inte med klassiska virtuella datorer.Dynamic groups do not work with classic VMs. När du definierar din fråga måste kan följande objekt användas tillsammans att fylla i den dynamiska gruppenWhen defining your query, the following items can be used together to populate the dynamic group

  • PrenumerationSubscription
  • ResursgrupperResource groups
  • PlatserLocations
  • TagsTags

Välj grupper

Om du vill förhandsgranska resultaten av en dynamisk grupp klickar du på den förhandsversion knappen.To preview the results of a dynamic group, click the Preview button. Den här förhandsgranskningen visar gruppmedlemskapet vid den tiden, i det här exemplet vi söker efter datorer med taggen rollen är lika med BackendServer.This preview shows the group membership at that time, in this example, we are searching for machines with the tag Role is equal to BackendServer. Om flera virtuella datorer har den här taggen har lagts till, läggs de till alla framtida distributioner mot den gruppen.If more machines have this tag added, they will be added to any future deployments against that group.

förhandsversion av grupper

Icke-Azure-datorerNon-Azure machines

För icke-Azure-kallat datorer, sparade sökningar även datorgrupper används för att skapa den dynamiska gruppen.For Non-Azure machines, saved searches also referred to as computer groups are used to create the dynamic group. Läs hur du skapar en sparad sökning i skapar en datorgrupp.To learn how to create a saved search, see Creating a computer group. När gruppen har skapats kan du välja den från listan över sparade sökningar.Once your group is created you can select it from the list of saved searches. Klicka på förhandsversion att förhandsgranska datorerna i den sparade sökningen vid den tidpunkten.Click Preview to preview the computers in the saved search at that time.

Välj grupper

Integrera med System Center Configuration ManagerIntegrate with System Center Configuration Manager

Kunder som har investerat i System Center Configuration Manager för att hantera datorer, servrar och mobila enheter är också beroende av ett styrka och mognad av Configuration Manager som hjälper dem att hantera programuppdateringar.Customers who have invested in System Center Configuration Manager for managing PCs, servers, and mobile devices also rely on the strength and maturity of Configuration Manager to help them manage software updates. Configuration Manager är en del av sin cykel för hantering (SUM) programvara.Configuration Manager is part of their software update management (SUM) cycle.

Läs hur du integrerar hanteringslösningen med System Center Configuration Manager i integrera System Center Configuration Manager med uppdateringshantering.To learn how to integrate the management solution with System Center Configuration Manager, see Integrate System Center Configuration Manager with Update Management.

Inkludering beteendeInclusion behavior

Uppdatera inkludering kan du ange specifika uppdateringar tillämpas.Update inclusion allows you to specify specific updates to apply. Korrigeringsfiler eller paket som ingår är installerade.Patches or packages that are included are installed. När korrigeringsfiler eller paket ingår och en klassificering har markerats, installeras både inkluderade objekt och objekt som uppfyller klassificeringen.When Patches or packages are included and a classification is selected as well, both the included items and items that meet the classification are installed.

Det är viktigt att veta att undantag åsidosätta inkluderingar.It is important to know that exclusions override inclusions. Till exempel om du definierar en regel för exkludering av *, och sedan inga korrigeringar eller paket som är installerade som de är alla undantagna.For instance, if you define an exclusion rule of *, then no patches or packages are installed as they are all excluded. Exkluderade korrigeringar fortfarande visa som saknas från datorn.Excluded patches still show as missing from the machine. För Linux-datorer om ett paket som ingår men innehåller ett beroende paket som har undantagits är installeras paketet inte.For Linux machines if a package is included but has a dependant package that was excluded, the package is not installed.

Patch Linux-datorerPatch Linux machines

I följande avsnitt beskrivs potentiella problem med Linux-korrigering.The following sections explain potential issues with Linux patching.

Oväntat operativsystemsnivån uppgraderasUnexpected OS-level upgrades

På vissa Linux-varianter, till exempel Red Hat Enterprise Linux, kan OS-nivå uppgraderingar uppstå via paket.On some Linux variants, such as Red Hat Enterprise Linux, OS-level upgrades might occur via packages. Detta kan leda till uppdateringshantering körningar där OS-versionsnumret ändras.This might lead to Update Management runs where the OS version number changes. Det här beteendet är avsiktligt eftersom uppdateringshantering använder samma metoder för att uppdatera paket som en administratör använder lokalt på Linux-dator.Because Update Management uses the same methods to update packages that an administrator would use locally on the Linux computer, this behavior is intentional.

Undvik att uppdatera OS-version via hantering av uppdateringar körs, att använda den undantag funktionen.To avoid updating the OS version via Update Management runs, use the Exclusion feature.

I Red Hat Enterprise Linux är paketnamnet som ska undantas redhat-release-server.x86_64.In Red Hat Enterprise Linux, the package name to exclude is redhat-release-server.x86_64.

Paket som ska undantas för Linux

Kritiska / säkerhetsuppdateringar tillämpas inteCritical / security patches aren't applied

När du distribuerar uppdateringar till en Linux-dator kan välja du klassificeringar för uppdatering.When you deploy updates to a Linux machine, you can select update classifications. Detta filtrerar de uppdateringar som tillämpas på datorn som uppfyller de angivna kriterierna.This filters the updates that are applied to the machine that meet the specified criteria. Det här filtret tillämpas lokalt på datorn när uppdateringen distribueras.This filter is applied locally on the machine when the update is deployed.

Eftersom uppdateringshantering update-funktioner i molnet, kan vissa uppdateringar flaggas i uppdateringshantering som har betydelse för säkerhet, trots att den lokala datorn inte har den här informationen.Because Update Management performs update enrichment in the cloud, some updates can be flagged in Update Management as having security impact, even though the local machine doesn't have that information. Därmed, om du använder kritiska uppdateringar till en Linux-dator, kan det finnas uppdateringar som inte markeras som med Säkerhetspåverkan om att datorn och uppdateringarna inte tillämpas.As a result, if you apply critical updates to a Linux machine, there might be updates that aren't marked as having security impact on that machine and the updates aren't applied.

Uppdateringshantering kan dock fortfarande att rapportera den datorn som icke-kompatibel eftersom den innehåller ytterligare information om relevanta uppdateringen.However, Update Management might still report that machine as being non-compliant because it has additional information about the relevant update.

Distribuera uppdateringar med klassificeringen fungerar inte på CentOS direkt ur lådan.Deploying updates by update classification doesn't work on CentOS out of the box. För att korrekt distribuera uppdateringar för CentOS, Välj alla klassificeringar för att se till att uppdateringar tillämpas.To properly deploy updates for CentOS, select all classifications to ensure updates are applied. För SUSE, att välja endast andra uppdateringar som klassificeringen resultera i att vissa uppdateringar installeras även om säkerhetsuppdateringar rör zypper (package manager) eller dess beroenden krävs först.For SUSE, selecting only 'Other updates' as the classification may result in some security updates also being installed if security updates related to zypper (package manager) or its dependencies are required first. Det här beteendet är en begränsning av zypper.This behavior is a limitation of zypper. I vissa fall kan behöva du köra distributionen av uppdateringen.In some cases, you may be required to rerun the update deployment. Du kan kontrollera genom att kontrollera update-loggen.To verify, check the update log.

Ta bort en virtuell dator från hantering av uppdateringarRemove a VM from Update Management

Ta bort en virtuell dator från hantering av uppdateringar:To remove a VM from Update Management:

Nästa stegNext steps

Vill du fortsätta till självstudien om hur du hanterar uppdateringar för din Windows-datorer.Continue to the tutorial to learn how to manage updates for your Windows virtual machines.