你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

将 Azure Stack Hub 虚拟机连接到 Microsoft Sentinel

利用 Microsoft Sentinel，你可以在一个位置集中监视在 Azure 和 Azure Stack Hub 上运行的虚拟机 (VM)。 若要将 Azure Stack 计算机加入 Microsoft Sentinel，首先需要将虚拟机扩展添加到现有的 Azure Stack Hub 虚拟机。

连接 Azure Stack Hub 计算机后，从仪表板块库中进行选择，这仪表板基于你的数据呈现见解。 可以根据需要轻松地自定义这些仪表板。

添加虚拟机扩展

将“Azure Monitor、更新和配置管理”虚拟机扩展添加到 Azure Stack Hub 上运行的虚拟机。

1. 在新的浏览器标签页中，登录到 Azure Stack Hub 门户。

2. 转到“虚拟机”页，选择要使用 Microsoft Sentinel 保护的虚拟机。 有关如何在 Azure Stack Hub 上创建虚拟机的信息，请参阅使用 Azure Stack Hub 门户创建 Windows 服务器 VM 或使用 Azure Stack Hub 门户创建 Linux 服务器 VM。

3. 选择“扩展”。 此时将显示此虚拟机上安装的虚拟机扩展列表。

4. 选择“添加”选项卡。此时会打开“新建资源”菜单边栏选项卡，其中显示了可用虚拟机扩展的列表。

5. 选择“Azure 监视、更新和配置管理”扩展，然后选择“创建”。 此时会打开“安装扩展”配置窗口。

   

   注意

   如果在市场中没有看到“Azure Monitor、更新和配置管理”扩展，请联系 Azure Stack Hub 操作员，让该操作员将其列出。

6. 在 Microsoft Sentinel 菜单上，选择“工作区设置”，然后选择“高级”，复制工作区 ID 和工作区密钥（主密钥）。

7. 在 Azure Stack Hub 的“安装扩展”窗口中，将其粘贴到指示的字段中，然后选择“确定” 。

8. 扩展安装完成后，其状态显示为“预配成功”。 最多可能一小时后，该虚拟机就会显示在 Microsoft Sentinel 门户中。

有关安装和配置 Windows 代理的详细信息，请参阅连接 Windows 计算机。

有关如何排查 Linux 代理问题，请参阅排查 Azure Log Analytics Linux 代理问题。

在 Azure 上的 Microsoft Sentinel 门户中，可在“虚拟机”下概览所有 VM 和计算机及其相关状态。

清理资源

如果不再需要，可以通过 Azure Stack Hub 门户删除虚拟机中的扩展。

删除扩展：

1. 打开“Azure Stack Hub 门户”。

2. 转到“虚拟机”页，选择要从中删除扩展的虚拟机。

3. 选择“扩展”，然后选择“Microsoft.EnterpriseCloud.Monitoring”扩展。

4. 选择“卸载”，然后确认所做的选择。

后续步骤

若要详细了解 Microsoft Sentinel，请参阅以下文章：

• 了解如何洞悉数据和潜在威胁。
• 开始使用 Microsoft Sentinel 检测威胁。
• 将数据从通用事件格式设备流式传输到 Microsoft Sentinel。