Konfigurera Azure Server Management Services i stor skala

  • Artikel

Du måste utföra dessa två uppgifter för att registrera Azure Server Management Services på dina servrar:

  • Distribuera tjänstagenter till dina servrar.
  • Aktivera hanteringslösningarna.

Den här artikeln beskriver de tre processer som krävs för att utföra dessa uppgifter:

  1. Distribuera de agenter som krävs till virtuella Azure-datorer med hjälp av Azure Policy.
  2. Distribuera de agenter som krävs till lokala servrar.
  3. Aktivera och konfigurera lösningarna.

Kommentar

Skapa den nödvändiga Log Analytics-arbetsytan och Azure Automation-kontot innan du registrerar virtuella datorer till Azure Server Management Services.

Använda Azure Policy för att distribuera tillägg till virtuella Azure-datorer

Alla hanteringslösningar som beskrivs i Azure-hanteringsverktyg och -tjänster kräver att Log Analytics-agenten är installerad på virtuella datorer i Azure samt lokala servrar. Du kan registrera dina virtuella Azure-datorer i stor skala med hjälp av Azure Policy. Tilldela en princip för att säkerställa att agenten är installerad på dina virtuella Azure-datorer och ansluten till rätt Log Analytics-arbetsyta.

Azure Policy har ett inbyggt principinitiativ som innehåller Log Analytics-agenten och Microsoft Dependency Agent, vilket krävs av Azure Monitor för virtuella datorer.

Kommentar

Mer information om olika agenter för övervakning av Azure finns i Översikt över Azure-övervakningsagenterna.

Tilldela principer

Så här tilldelar du de principer som beskrivs i föregående avsnitt:

  1. Gå till Initiativet Tilldela principtilldelningar>>i Azure-portalen.

    Screenshot of the portal's policy interface with the Assignments option and Assign initiative option called out.

  2. På sidan Tilldela princip anger du Omfång genom att välja ellipsen (...) och sedan välja antingen en hanteringsgrupp eller prenumeration. Du kan även välja en resursgrupp. Välj sedan Välj längst ned på sidan Omfång . Omfånget avgör vilka resurser eller grupper av resurser som principen tilldelas till.

  3. Välj ellipsen (...) bredvid Principdefinition för att öppna listan över tillgängliga definitioner. Om du vill filtrera initiativdefinitionerna anger du Azure Monitor i sökrutan:

    Screenshot of the Enable Azure Monitor for V M initiative definition.

  4. Tilldelningsnamnet fylls automatiskt i med det principnamn som du har valt, men du kan ändra det. Du kan också lägga till en valfri beskrivning för att ge mer information om den här principtilldelningen. Fältet Tilldelad av fylls automatiskt baserat på vem som är inloggad. Det här fältet är valfritt och stöder anpassade värden.

  5. För den här principen väljer du Log Analytics-arbetsyta som Log Analytics-agenten ska associera.

    Screenshot of the Log Analytics workspace option.

  6. Markera kryssrutan Hanterad identitetsplats . Om den här principen är av typen DeployIfNotExistskrävs en hanterad identitet för att distribuera principen. I portalen skapas kontot enligt kryssrutan.

  7. Välj Tilldela.

När du har slutfört guiden distribueras principtilldelningen till miljön. Det kan ta upp till 30 minuter innan principen börjar gälla. Om du vill testa den skapar du nya virtuella datorer efter 30 minuter och kontrollerar om Log Analytics-agenten är aktiverad på den virtuella datorn som standard.

Installera agenter på lokala servrar

Kommentar

Skapa den nödvändiga Log Analytics-arbetsytan och Azure Automation-kontot innan du registrerar Azure Server Management Services på servrar.

För lokala servrar måste du ladda ned och installera Log Analytics-agenten och Microsoft Dependency Agent manuellt och konfigurera dem för att ansluta till rätt arbetsyta. Du måste ange arbetsytans ID och nyckelinformation. Om du vill hämta den informationen går du till Log Analytics-arbetsytan i Azure-portalen och väljer sedan Inställningar> Avancerade inställningar.

Screenshot of Log Analytics workspace advanced settings in the Azure portal

Aktivera och konfigurera lösningar

För att kunna aktivera lösningar måste du konfigurera Log Analytics-arbetsytan. Registrerade virtuella Azure-datorer och lokala servrar hämtar lösningarna från Log Analytics-arbetsytorna som de är anslutna till.

Uppdateringshantering

Lösningen uppdateringshantering och Ändringsspårning och inventering lösning kräver både en Log Analytics-arbetsyta och ett Azure Automation-konto. För att säkerställa att dessa resurser är korrekt konfigurerade rekommenderar vi att du registrerar dig via ditt Automation-konto. Mer information finns i Publicera lösningen för uppdateringshantering och Ändringsspårning och inventering lösning.

Vi rekommenderar att du aktiverar uppdateringshanteringslösningen för alla servrar. Uppdateringshantering är kostnadsfritt för virtuella Azure-datorer och lokala servrar. Om du aktiverar Uppdateringshantering via ditt Automation-konto skapas en omfångskonfiguration på arbetsytan. Uppdatera omfånget manuellt så att det omfattar datorer som omfattas av lösningen Uppdateringshantering.

För att täcka befintliga servrar och framtida servrar måste du ta bort omfångskonfigurationen. Det gör du genom att visa ditt Automation-konto i Azure-portalen. Välj Hantera dator>för uppdateringshantering>Aktivera på alla tillgängliga och framtida datorer. Med den här inställningen kan alla virtuella Azure-datorer som är anslutna till arbetsytan använda Uppdateringshantering.

Screenshot of Update Management in the Azure portal

Ändringsspårning och inventering lösningar

Följ samma steg som för Uppdateringshantering för att registrera Ändringsspårning och inventering lösningar. Mer information om hur du registrerar dessa lösningar från ditt Automation-konto finns i Registrera lösningen för uppdateringshantering och Ändringsspårning och inventering lösning.

Den Ändringsspårning och inventering lösningen är kostnadsfri för virtuella Azure-datorer och kostar 6 USD per nod per månad för lokala servrar. Den här kostnaden omfattar ändringsspårning, inventering och önskad tillståndskonfiguration. Om du bara vill registrera specifika lokala servrar kan du välja dessa servrar. Vi rekommenderar att du registrerar alla dina produktionsservrar.

Anmäl dig via Azure-portalen

  1. Gå till det Automation-konto som har Ändringsspårning och inventering aktiverat.
  2. Välj Ändringsspårning.
  3. Välj Hantera datorer i det övre högra fönstret.
  4. Välj Aktivera på valda datorer. Välj sedan Lägg till bredvid datornamnet.
  5. Välj Aktivera för att aktivera lösningen för dessa datorer.

Screenshot of Change Tracking in the Azure portal

Anmäl dig med hjälp av sparade sökningar

Du kan också konfigurera omfångskonfigurationen så att den väljer lokala servrar. Omfångskonfigurationen använder sparade sökningar.

Följ dessa steg för att skapa eller ändra den sparade sökningen:

  1. Gå till Log Analytics-arbetsytan som är länkad till det Automation-konto som du konfigurerade i föregående steg.

  2. Under Allmänt väljer du Sparade sökningar.

  3. I rutan Filter anger du Ändringsspårning för att filtrera listan över sparade sökningar. I resultatet väljer du MicrosoftDefaultComputerGroup.

  4. Ange datornamnet eller VMUUID för att inkludera de datorer som du vill anmäla dig för Ändringsspårning och inventering.

Heartbeat
| where AzureEnvironment=~"Azure" or Computer in~ ("list of the on-premises server names", "server1")
| distinct Computer

Kommentar

Servernamnet måste exakt matcha värdet i uttrycket och får inte innehålla ett domännamnssuffix.

  1. Välj Spara. Som standard är omfångskonfigurationen länkad till den sparade sökningen i MicrosoftDefaultComputerGroup . Den uppdateras automatiskt.

Azure-aktivitetslogg

Azure-aktivitetsloggen är också en del av Azure Monitor. Den ger insikter om händelser på prenumerationsnivå som inträffar i Azure.

Så här implementerar du den här lösningen:

  1. Öppna Alla tjänster i Azure-portalen och välj sedan Hantering + styrningslösningar>.
  2. I vyn Lösningar väljer du Lägg till.
  3. Sök efter Aktivitetslogganalys och välj den.
  4. Välj Skapa.

Du måste ange arbetsytans namn på den arbetsyta som du skapade i föregående avsnitt där lösningen är aktiverad.

Azure Log Analytics Agenthälsa

Azure Log Analytics Agent Health-lösningen rapporterar om hälsotillstånd, prestanda och tillgänglighet för dina Windows- och Linux-servrar.

Så här implementerar du den här lösningen:

  1. Öppna Alla tjänster i Azure-portalen och välj sedan Hantering + styrningslösningar>.
  2. I vyn Lösningar väljer du Lägg till.
  3. Sök efter Azure Log Analytics-agentens hälsa och välj den.
  4. Välj Skapa.

Du måste ange arbetsytans namn på den arbetsyta som du skapade i föregående avsnitt där lösningen är aktiverad.

När skapandet är klart visar arbetsytans resursinstans AgentHealthAssessment när du väljer Visa>lösningar.

Utvärdering av program mot skadlig kod

Utvärderingslösningen för program mot skadlig kod hjälper dig att identifiera servrar som är infekterade eller löper ökad risk för infektion av skadlig kod.

Så här implementerar du den här lösningen:

  1. Öppna Alla tjänster i Azure-portalen och välj Hantering + styrningslösningar>.
  2. I vyn Lösningar väljer du Lägg till.
  3. Sök efter och välj sedan Utvärdering av program mot skadlig kod.
  4. Välj Skapa.

Du måste ange arbetsytans namn på den arbetsyta som du skapade i föregående avsnitt där lösningen är aktiverad.

När skapandet är klart visar arbetsytans resursinstans AntiMalware när du väljer Visa>lösningar.

Azure Monitor för virtuella datorer

Du kan aktivera Azure Monitor för virtuella datorer via visningssidan för den virtuella datorinstansen enligt beskrivningen i Aktivera hanteringstjänster på en enda virtuell dator för utvärdering. Du bör inte aktivera lösningar direkt från sidan Lösningar som du gör för de andra lösningarna som beskrivs i den här artikeln. För storskaliga distributioner kan det vara enklare att använda automatisering för att aktivera rätt lösningar på arbetsytan.

Microsoft Defender for Cloud

Vi rekommenderar att du registrerar alla servrar åtminstone på den kostnadsfria nivån för Microsoft Defender för molnet. Det här alternativet innehåller grundläggande säkerhetsutvärderingar och åtgärdsbara säkerhetsrekommendationer för din miljö. Standardnivån ger ytterligare fördelar. Mer information finns i Microsoft Defender för molnet prissättning.

Följ dessa steg för att aktivera den kostnadsfria nivån för Microsoft Defender för molnet:

  1. Gå till sidan Defender för molnet portal.
  2. Under PRINCIP OCH EFTERLEVNAD väljer du Säkerhetsprincip.
  3. Leta reda på den Log Analytics-arbetsyteresurs som du skapade i fönstret till höger.
  4. Välj Redigera inställningar för arbetsytan.
  5. Välj Prisnivå.
  6. Välj alternativet Kostnadsfri.
  7. Välj Spara.

Nästa steg

Lär dig hur du använder automatisering för att registrera servrar och skapa aviseringar.

Automatisera konfiguration av registrering och aviseringar