Azure Ilkesi 'ni kullanarak Azure Izleyici 'yi ölçekli olarak dağıtma

Bazı Azure Izleyici özellikleri bir kez veya sınırlı sayıda yapılandırılmış olsa da, izlemek istediğiniz her kaynak için diğerlerinin tekrarlanması gerekir. Bu makalede Azure Izleyici 'yi ölçekli olarak uygulamak için Azure Ilkesi kullanma yöntemleri açıklanmaktadır. Amaç, izlemenin tüm Azure kaynaklarınız için tutarlı ve doğru şekilde yapılandırıldığından emin olmaktır.

Örneğin, tüm mevcut Azure kaynaklarınız için ve oluşturduğunuz her yeni kaynak için bir tanılama ayarı oluşturmanız gerekir. Ayrıca, her bir sanal makine oluşturduğunuzda bir aracının yüklenmiş ve yapılandırılmış olması gerekir. Bu yöntemleri Azure Izleyici 'nin tüm özellikleri için kullanılabilir olduğundan, bu eylemleri gerçekleştirmek için PowerShell veya Azure CLı gibi yöntemleri kullanabilirsiniz. Ancak, Azure Ilkesi 'ni kullanarak bir kaynağı her oluşturduğunuzda veya değiştirdiğinizde uygun yapılandırmayı otomatik olarak gerçekleştirecek mantığa sahip olabilirsiniz.

Azure İlkesi

Bu bölümde, Azure ilkesinekısa bir giriş sunulmaktadır. Azure Ilke hizmeti 'ni kullanarak Azure aboneliğinizdeki veya yönetim grubunuzun tamamında en az çabayla kurumsal standartları değerlendirebilir ve zorunlu kılabilirsiniz. Tüm ayrıntılar için bkz. Azure ilkesi belgeleri.

Azure Ilkesi ile, oluşturulan tüm kaynaklar için yapılandırma gereksinimlerini belirtebilir ve bu eylemlerden birini gerçekleştirebilirsiniz:

  • Uyumsuz kaynakları belirler.
  • Kaynakların oluşturulmasını engelleyin.
  • Gerekli yapılandırmayı ekleyin.

Azure Ilkesi, yeni bir kaynak oluşturmak veya var olan bir kaynağı değiştirmek için kesintiye uğratan çağrılar tarafından kullanılır. Bir ilke tanımında beklenen özelliklerle eşleşmiyorsa isteği reddetme, uyumsuzluk için bayrak atama veya ilgili bir kaynağı dağıtma gibi bu etkilerle yanıt verebilir. Mevcut kaynakları bir Deployifnotexists ile düzeltebilir veya ilke tanımı ' nı değiştirebilirsiniz .

Azure Ilkesi, aşağıdaki tablodaki nesnelerden oluşur. Her birinin daha ayrıntılı bir açıklaması için bkz. Azure ilke nesneleri.

Öğe Açıklama
İlke tanımı Bu nesne, kaynak uyumluluk koşullarını ve bir koşul karşılanırsa gerçekleştirilecek etkiyi açıklar. Belirli bir türdeki kaynaklar veya yalnızca belirli özelliklerle eşleşen kaynaklar olabilir. Bu efekt, kaynağı uyumluluk için veya ilgili bir kaynağı dağıtmaya yönelik olarak işaretlemek olabilir. İlke tanımları, Azure ilke tanımı yapısıbölümünde AÇıKLANDıĞı gibi JSON dilinde yazılır. Etkileri Azure ilke efektlerini anlamabölümünde açıklanmaktadır.
İlke girişimi Birlikte uygulanması gereken bir ilke tanımları grubuna bir girişim denir. Örneğin, kaynak günlüklerini bir Log Analytics çalışma alanına göndermek için bir ilke tanımınız olabilir ve kaynak günlüklerini bir olay hub 'ına gönderebilirsiniz. Her iki ilke tanımını da içeren bir girişim oluşturun ve bireysel ilke tanımları yerine girişimi kaynaklara uygulayın. Girişimler, Azure Policy Initiative yapısıbölümünde AÇıKLANDıĞı gibi JSON dilinde yazılır.
Atama Bir ilke tanımı veya girişimi bir kapsama atanıncaya kadar etkili olmaz. Örneğin, bu kaynakta oluşturulan tüm kaynaklara uygulamak için bir kaynak grubuna ilke atayın veya bu aboneliği Bu abonelikteki tüm kaynaklara uygulamak için bir aboneliğe atayın. Daha fazla bilgi için bkz. Azure ilke atama yapısı.

Azure Izleyici için yerleşik ilke tanımları

Azure Ilkesi, Azure Izleyici ile ilgili olarak önceden oluşturulmuş çeşitli tanımlar içerir. Bu ilke tanımlarını mevcut aboneliğinize atayabilir veya kendi özel tanımlarınızı oluşturmak için temel olarak kullanabilirsiniz. İzleme kategorisindeki yerleşik ilkelerin tam bir listesi için, bkz. Azure Ilkesi yerleşik tanımları Azure izleyici.

İzleme ile ilgili yerleşik ilke tanımlarını görüntülemek için:

  1. Azure portal Azure ilkesi ' ne gidin.
  2. Tanımlar' ı seçin.
  3. Tür için yerleşik' i seçin. Kategori için izleme' yi seçin.

Izleme kategorisi ve yerleşik tür için ilke tanımlarının bir listesini gösteren Azure portal içindeki Azure Ilke tanımları sayfasının ekran görüntüsü.

Azure İzleyici aracısı

Azure izleyici Aracısı , Azure sanal makinelerinin Konuk işletim sisteminden izleme verilerini toplar ve Azure izleyici 'ye gönderir. Azure Izleyici Aracısı, verileri diğer aracılardan toplanacak şekilde yapılandırmak için veri toplama kurallarını kullanır. Veri toplama kuralları, makinelerin alt kümeleri için benzersiz ve kapsamlı yapılandırmaların etkinleştirilmesinde, koleksiyonda koleksiyon ayarlarının yönetilebilirliğini etkinleştirir.

Aracıyı otomatik olarak yüklemek ve bir veri toplama kuralıyla ilişkilendirmek için, her bir sanal makine oluşturduğunuz her seferinde aşağıdaki ilkeleri ve ilke girişimlerini kullanın.

Yerleşik ilke girişimleri

Aracı yüklemesi için önkoşulları görüntüleyin.

Windows ve Linux sanal makineleri için ilke girişimleri, aşağıdakilerden ayrı ilkelerden oluşur:

  • Azure Izleyici Aracısı uzantısı 'nı sanal makineye yükler.
  • Sanal makineyi bir veri toplama kuralına bağlamak için ilişkilendirmeyi oluşturun ve dağıtın.

Azure Izleyici aracısını yapılandırmak için iki yerleşik ilke girişiminin gösterildiği Azure Ilke tanımları sayfasından kısmi ekran görüntüsü.

Yerleşik ilkeler

Gereksinimlerinize bağlı olarak, ilgili ilke girişimlerinden ayrı ayrı ilkeleri kullanmayı tercih edebilirsiniz. Örneğin, aracıyı yalnızca otomatik olarak yüklemek istiyorsanız, aşağıdaki örnekte gösterildiği gibi girişim içindeki ilk ilkeyi kullanın.

Azure Izleyici aracısını yapılandırma girişiminin içindeki ilkeleri gösteren Azure Ilke tanımları sayfasından kısmi ekran görüntüsü.

Düzeltme

Girişimler veya ilkeler, oluşturulduğu gibi her bir sanal makine için de geçerlidir. Bir Düzeltme görevi , girişim içindeki ilke tanımlarını mevcut kaynaklara dağıtır, böylece Azure izleyici aracısını önceden oluşturulmuş kaynaklar için yapılandırabilirsiniz.

Azure portal kullanarak atama oluşturduğunuzda, aynı anda bir düzeltme görevi oluşturma seçeneğiniz vardır. Düzeltme hakkındaki ayrıntılar için bkz. Azure ilkesiyle uyumlu olmayan kaynakları düzeltme.

Azure Izleyici Aracısı için girişim düzeltmesini gösteren ekran görüntüsü.

Tanılama ayarları

Tanılama ayarları , Azure kaynaklarından kaynak günlüklerini ve ölçümleri toplar ve bunları birden çok konuma yönlendirir. Tipik bir konum, günlük sorguları ve günlük uyarılarıile verileri analiz etmenizi sağlayan Log Analytics bir çalışma alanıdır. Kaynak oluşturduğunuz her seferinde otomatik olarak bir tanılama ayarı oluşturmak için Azure Ilkesini kullanın.

Her Azure Kaynak türünün, tanılama ayarında listelenmesi gereken benzersiz bir kategori kümesi vardır. Bu nedenle, her kaynak türü ayrı bir ilke tanımı gerektirir. Bazı kaynak türlerinde, değişiklik yapmadan atayabileceğiniz yerleşik ilke tanımları vardır. Diğer kaynak türleri için özel bir tanım oluşturmanız gerekir.

Azure Izleyici için yerleşik ilke tanımları

Her kaynak türü için iki yerleşik ilke tanımı vardır: biri bir Log Analytics çalışma alanına ve diğeri bir olay hub 'ına gönderilmek üzere. Yalnızca bir konuma ihtiyacınız varsa, bu ilkeyi kaynak türü için atayın. Her ikisine de ihtiyacınız varsa, kaynak için her iki ilke tanımını atayın.

Örneğin, aşağıdaki görüntüde Azure Data Lake Analytics için yerleşik tanılama ayarı ilke tanımları gösterilmektedir.

Data Lake Analytics için iki yerleşik tanılama ayarı ilke tanımı gösteren Azure Ilke tanımları sayfasından kısmi ekran görüntüsü.

Özel ilke tanımları

Yerleşik bir ilkesi olmayan kaynak türleri için özel bir ilke tanımı oluşturmanız gerekir. Bunu, mevcut bir yerleşik ilkeyi kopyalayarak ve sonra kaynak türü için değiştirerek Azure portal el ile yapabilirsiniz. Bu, ancak PowerShell Galerisi bir betiği kullanarak programlı bir şekilde oluşturmak için daha etkilidir.

Create-AzDiagPolicy betiği, PowerShell veya Azure CLI kullanarak yükleyebileceğiniz belirli bir kaynak türü için ilke dosyaları oluşturur. Tanılama ayarları için özel bir ilke tanımı oluşturmak için aşağıdaki yordamı kullanın:

  1. Azure PowerShell yüklü olduğundan emin olun.

  2. Aşağıdaki komutu kullanarak betiği yüklersiniz:

    Install-Script -Name Create-AzDiagPolicy
    
  3. Günlüklerin nereye gönderileceğini belirtmek için parametreleri kullanarak betiği çalıştırın. Bir abonelik ve kaynak türü belirtmeniz istenecektir.

    Örneğin, bir Log Analytics çalışma alanına ve bir olay hub 'ına Günlükler gönderen bir ilke tanımı oluşturmak için aşağıdaki komutu kullanın:

    Create-AzDiagPolicy.ps1 -ExportLA -ExportEH -ExportDir ".\PolicyFiles"  
    

    Alternatif olarak, komutta bir abonelik ve kaynak türü de belirtebilirsiniz. örneğin, bir Log Analytics çalışma alanına ve SQL Server veritabanları için bir olay hub 'ına günlükler gönderen bir ilke tanımı oluşturmak için aşağıdaki komutu kullanın:

    Create-AzDiagPolicy.ps1 -SubscriptionID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -ResourceType Microsoft.Sql/servers/databases  -ExportLA -ExportEH -ExportDir ".\PolicyFiles"  
    
  4. Betik her ilke tanımı için ayrı klasörler oluşturur. Her klasör, üzerinde azurepolicy.js, azurepolicy.rules.js ve azurepolicy.parameters.js adında üç dosya içerir. İlkeyi dosyada el ile oluşturmak Azure portal, ilke tanımının tamamını azurepolicy.js içeriğini kopyalayıp yapıştırabilirsiniz. İlke tanımını bir komut satırdan oluşturmak için PowerShell veya Azure CLI ile diğer iki dosya kullanın.

    Aşağıdaki örneklerde, hem PowerShell'den hem de Azure CLI'dan ilke tanımının nasıl yüklln olduğu gösterir. Her örnek, yeni ilke tanımını yerleşik ilke tanımları ile gruplandıracak bir İzleme kategorisi belirtmek için meta veriler içerir.

    New-AzPolicyDefinition -name "Deploy Diagnostic Settings for SQL Server database to Log Analytics workspace" -policy .\Apply-Diag-Settings-LA-Microsoft.Sql-servers-databases\azurepolicy.rules.json -parameter .\Apply-Diag-Settings-LA-Microsoft.Sql-servers-databases\azurepolicy.parameters.json -mode All -Metadata '{"category":"Monitoring"}'
    
    az policy definition create --name 'deploy-diag-setting-sql-database--workspace' --display-name 'Deploy Diagnostic Settings for SQL Server database to Log Analytics workspace'  --rules 'Apply-Diag-Settings-LA-Microsoft.Sql-servers-databases\azurepolicy.rules.json' --params 'Apply-Diag-Settings-LA-Microsoft.Sql-servers-databases\azurepolicy.parameters.json' --subscription 'AzureMonitor_Docs' --mode All
    

Girişimi

Her ilke tanımı için bir atama oluşturmak yerine, ortak bir strateji her Azure hizmeti için tanılama ayarları oluşturmak amacıyla ilke tanımlarını içeren bir girişim oluşturmaktır. Ortamınızı nasıl yönetmenize bağlı olarak girişim ve yönetim grubu, abonelik veya kaynak grubu arasında bir atama oluşturun. Bu strateji aşağıdaki avantajları sunar:

  • Her kaynak türü için birden çok atama yerine girişim için tek bir atama oluşturun. Birden çok izleme grubu, abonelik veya kaynak grubu için aynı girişimi kullanın.
  • Yeni bir kaynak türü veya hedef eklemeniz gerekirken girişimi değiştirme. Örneğin, ilk gereksinimleriniz yalnızca bir Log Analytics çalışma alanına veri göndermek olabilir, ancak daha sonra bir olay hub'ı eklemek istemeniz gerekir. Yeni atamalar oluşturmak yerine girişimi değiştirme.

Girişim oluşturma hakkında ayrıntılı bilgi için bkz. Girişim tanımı oluşturma ve atama. Aşağıdaki önerileri göz önünde bulundurarak:

  • kategorisini, ilgili yerleşik ve özel ilke tanımları ile gruplandıracak şekilde İzleme olarak ayarlayın.
  • Girişime dahil edilen ilke tanımları için Log Analytics çalışma alanının ve olay hub'larının ayrıntılarını belirtmek yerine ortak bir girişim parametresi kullanın. Bu parametre, tüm ilke tanımları için kolayca ortak bir değer belirtmenize ve gerekirse bu değeri değiştirmenizi sağlar.

Girişim tanımı ayarlarını gösteren ekran görüntüsü.

Atama

İzlemek istediğiniz kaynak kapsamına bağlı olarak girişimi bir Azure yönetim grubuna, aboneliğe veya kaynak grubuna attayın. Bir yönetim grubu, özellikle de kurumda birden çok abonelik varsa, ilkenin de zaman içinde de aynı şekilde tanınması için yararlıdır.

Giriş bölümündeki Log Analytics çalışma alanına Tanılama ayarlarını atama bölümündeki Temel Bilgiler sekmesinin ayarlarının ekran Azure portal.

Girişim parametrelerini kullanarak, girişimde tüm ilke tanımları için çalışma alanını veya diğer ayrıntıları bir kez belirtebilirsiniz.

Parametreler sekmesinde girişim parametrelerini gösteren ekran görüntüsü.

Düzeltme

Girişim, oluşturulan her sanal makine için geçerli olacaktır. Düzeltme görevi, girişimde ilke tanımlarını mevcut kaynaklara dağıtır, böylece önceden oluşturulmuş tüm kaynaklar için tanılama ayarları oluşturabilirsiniz.

Atamayı bir Azure portal, aynı anda bir düzeltme görevi oluşturma seçeneğiniz vardır. Düzeltmenin ayrıntıları için bkz. Azure İlkesi uyumlu olmayan kaynakları düzeltme.

Log Analytics çalışma alanı için girişim düzeltmeyi gösteren ekran görüntüsü.

VM içgörüleri

VM içgörüleri, sanal makineleri izlemek Azure İzleyici birincil araçtır. VM içgörüleri etkinleştirildikten sonra hem Log Analytics aracısı hem de Bağımlılık aracısı yüklenir. Bu görevleri el ile gerçekleştirmek yerine, Azure İlkesi her bir sanal makinenin yapılandırılması için bu görevleri kullanın.

Not

VM içgörüleri, ortamınıza uyumsuz VM'leri keşfetmenize ve düzeltmenize yardımcı olan VM içgörüleri İlke Kapsamı adlı bir özellik içerir. Bu özelliği, Azure VM'leri için Azure İlkesi sanal makineler ve sanal makinelere bağlı karma sanal makineler için doğrudan çalışmak yerine Azure Arc. Azure sanal makine ölçek kümelerini kullanarak atamayı oluşturmanız Azure İlkesi.

VM içgörüleri, tam izleme sağlamak için her iki aracıyı da yükleyen aşağıdaki yerleşik girişimleri içerir.

Ad Açıklama
VM içgörülerini etkinleştirme Log Analytics aracı ve Bağımlılık aracılarını Azure VM'lere ve azure sanal ağlarla bağlantılı karma VM'lere Azure Arc.
Sanal Azure İzleyici kümeleri için sanal makineleri etkinleştirme Log Analytics aracı ve Bağımlılık aracılarını Azure sanal makine ölçek kümelerini yükleme.

Sanal makineler

VM içgörüleri, Azure İlkesi arabirimini kullanarak bu girişimler için atamalar oluşturmak yerine, girişimin uygulanıp uygulanmadı olmadığını belirlemek için her kapsamdaki sanal makine sayısını incelemenizi sağlayan bir özellik içerir. Ardından bu arabirimi kullanarak çalışma alanını yapılandırarak gerekli atamaları oluşturabilirsiniz.

Bu işlemle ilgili ayrıntılar için bkz. Vm içgörülerini Azure İlkesi.

VM içgörüleri ilkesi gösteren ekran görüntüsü.

Sanal makine ölçek kümeleri

Sanal makine ölçek kümeleri için izlemeyi etkinleştirmek üzere Azure İlkesi'yi kullanmak için, izlenir kaynak kapsamına bağlı olarak Bir Azure yönetim grubuna, aboneliğe veya kaynak grubuna Sanal Makine Ölçek Kümeleri için Azure İzleyici Etkinleştirme girişimini attayın. Bir yönetim grubu, özellikle de kurumda birden çok abonelik varsa, ilkenin de zaman içinde de aynı şekilde tanınması için yararlıdır.

Giriş sayfasındaki Girişim ata sayfasının ekran Azure portal. Girişim tanımı Sanal Makine Ölçek Kümeleri için Azure İzleyici etkinleştir olarak ayarlanır.

Verilerin gönder İşley olduğu çalışma alanını seçin. Bu çalışma alanında VM Içgörüleri için Log Analytics çalışma alanını yapılandırma konusunda açıklandığı gibi VMInsights çözümünün yüklü olması gerekir.

Çalışma alanı seçmeyi gösteren ekran görüntüsü.

Bu ilkeye atanacak mevcut sanal makine ölçek kümeleriniz varsa bir düzeltme görevi oluşturun.

Düzeltme görevi oluşturmayı gösteren ekran görüntüsü.

Log Analytics aracısı

Log Analytics aracıyı yüklemek istediğiniz ancak Bağımlılık aracısı değil, istediğiniz senaryolar olabilir. Yalnızca aracı için yerleşik girişim yoktur, ancak VM içgörüleri tarafından sağlanan yerleşik ilke tanımlarını temel alarak kendi ilke tanımlarınızı oluşturabilirsiniz. İlkeler aşağıdaki tabloda listelemektedir.

Not

Log Analytics aracısını veri kaynağına teslim etmek gerektirdiği için Bağımlılık aracısını kendi başına dağıtmak için bir Azure İzleyici.

Ad Açıklama
Log Analytics aracı dağıtımını denetleme – LISTEDE olmayan VM görüntüsü (OS) VM görüntüsü (OS) listede tanımlanmamışsa ve aracı yüklü değilse, VM'leri noncompliant olarak raporla.
Linux VM'leri için Log Analytics aracılarını dağıtma Vm görüntüsü (OS) listede tanımlanmışsa ve aracı yüklü değilse Linux VM'leri için Log Analytics aracısı dağıtın.
Vm'ler için Log Analytics Windows dağıtma Vm görüntüsü (OS) listede tanımlanmışsa ve aracı yüklü değilse, Windows VM'ler için Log Analytics aracısı dağıtın.
[Önizleme]: Linux Azure Arc makinelerinize Log Analytics Azure Arc gerekir Karma Azure Arc vm görüntüsü (OS) listede tanımlanmışsa ve aracı yüklü değilse Linux VM'leri için uygun olmayan makineleri rapor etme.
[Önizleme]: Log Analytics aracısı sanal makinelerinize Windows Azure Arc gerekir Vm Azure Arc (OS) tanımlandığı ve aracı yüklenmemiş olması Windows vm'ler için karma makinelerin uygun olmadığını rapor etme.
[Önizleme]: Log Analytics aracılarını Linux Azure Arc dağıtma VM görüntüsü (OS) listede tanımlanmışsa ve aracı yüklü değilse Linux hibrit Azure Arc makineleri için Log Analytics aracısı dağıtın.
[Önizleme]: Log Analytics aracılarını Windows Azure Arc dağıtma VM görüntüsü (OS) Windows aracı yüklü değilse Azure Arc makinelerde log Analytics aracısı dağıtın.
Sanal makine ölçek kümelerinin Bağımlılık aracısı dağıtımını denetleme – LISTEDE olmayan VM görüntüsü (OS) VM görüntüsü (OS) listede tanımlanmamışsa ve aracı yüklü değilse, sanal makine ölçek kümesine noncompliant olarak rapor etme.
Sanal makine ölçek kümelerinin Log Analytics aracı dağıtımını denetleme – LISTEDE olmayan VM görüntüsü (OS) VM görüntüsü (OS) listede tanımlanmamışsa ve aracı yüklü değilse, sanal makine ölçek kümesine noncompliant olarak rapor etme.
Linux sanal makine ölçek kümeleri için Log Analytics aracısı dağıtma Vm Görüntüsü (OS) listede tanımlanmışsa ve aracı yüklü değilse Linux sanal makine ölçek kümeleri için Log Analytics aracısı dağıtın.
Sanal makine ölçek kümelerini Windows Log Analytics aracısı dağıtma VM görüntüsü (OS) Windows ve aracı yüklü değilse, Log Analytics aracıyı sanal makine ölçek kümeleri için dağıtın.

Sonraki adımlar