Condividi tramite

Usare Criteri di Azure per installare e gestire l'agente di Monitoraggio di Azure

  • Articolo

È possibile usare Criteri di Azure per installare automaticamente l'agente di Monitoraggio di Azure in macchine virtuali nuove e esistenti e associare automaticamente le regole di raccolta dati pertinenti. Questo articolo descrive i criteri e le iniziative predefiniti che è possibile usare per questa funzionalità e le funzionalità di Monitoraggio di Azure che consentono di gestirli.

Usare i criteri e le iniziative di criteri seguenti per installare automaticamente l'agente e associarlo a un controller di dominio ogni volta che si crea una macchina virtuale, un set di scalabilità di macchine virtuali o un server abilitato per Azure Arc.

Nota

Monitoraggio di Azure offre un'esperienza DCR di anteprima che semplifica la creazione di assegnazioni per criteri e iniziative che usano controller di dominio di dominio. L'esperienza include iniziative che installano l'agente di Monitoraggio di Azure. È possibile scegliere di usare tale esperienza per creare assegnazioni per le iniziative descritte in questo articolo. Per altre informazioni, vedere Gestire controller di dominio e associazioni in Monitoraggio di Azure.

Prerequisiti

Prima di iniziare, esaminare i prerequisiti per l'installazione dell'agente.

Nota

Per le procedure consigliate di Microsoft Identity Platform, i criteri per l'installazione dell'agente di Monitoraggio di Azure nelle macchine virtuali e nei set di scalabilità di macchine virtuali si basano su un'identità gestita assegnata dall'utente. Questa opzione è l'identità gestita più scalabile e resiliente per queste risorse.

Per i server abilitati per Azure Arc, i criteri si basano su un'identità gestita assegnata dal sistema come attualmente l'unica opzione supportata.

Criteri predefiniti

È possibile scegliere di usare i singoli criteri delle iniziative di criteri descritte nella sezione successiva per eseguire una singola azione su larga scala. Ad esempio, se si vuole installare automaticamente solo l'agente, usare il secondo criterio di installazione dell'agente nell'iniziativa.

Screenshot della pagina definizioni di Criteri di Azure che mostra i criteri contenuti nell'iniziativa per la configurazione dell'agente di Monitoraggio di Azure.

Iniziative di criteri predefinite

Le iniziative predefinite per i criteri per le macchine virtuali Windows e Linux e i set di scalabilità forniscono l'onboarding end-to-end su larga scala usando l'agente di Monitoraggio di Azure:

Nota

Le definizioni dei criteri includono solo l'elenco di versioni di Windows e Linux supportate da Microsoft. Per aggiungere un'immagine personalizzata, usare il parametro Immagini macchina virtuale aggiuntive.

Queste iniziative contengono singoli criteri che:

  • (Facoltativo) Creare e assegnare un'identità gestita assegnata dall'utente predefinita per ogni sottoscrizione e per area. Altre informazioni.

    • Bring Your Own User-Assigned Identity (Bring Your Own User-Assigned Identity):

      • Se impostato su false, crea l'identità gestita assegnata dall'utente predefinita nel gruppo di risorse predefinito e la assegna a tutti i computer a cui vengono applicati i criteri. La posizione del gruppo di risorse può essere configurata nel parametro Built-In-Identity-RG Location .
      • Se impostato su true, è invece possibile usare un'identità assegnata dall'utente esistente assegnata automaticamente a tutti i computer a cui viene applicato il criterio.

  • Installare l'estensione Agente di Monitoraggio di Azure nel computer e configurarla per l'uso dell'identità assegnata dall'utente come specificato dai parametri seguenti:

    • Bring Your Own User-Assigned Identity (Bring Your Own User-Assigned Identity):

      • Se impostato su false, configura l'agente per l'uso dell'identità gestita assegnata dall'utente predefinita creata dai criteri precedenti.
      • Se impostato su true, configura l'agente per l'uso di un'identità assegnata dall'utente esistente.

    • Nome identità gestita assegnata dall'utente: se si usa la propria identità (true è selezionata), specificare il nome dell'identità assegnata ai computer.

    • Gruppo di risorse identità gestite assegnate dall'utente: se si usa la propria identità (true è selezionata), specificare il gruppo di risorse in cui esiste l'identità.

    • Immagini di macchine virtuali aggiuntive: passare altri nomi di immagine di macchina virtuale a cui si desidera applicare i criteri, se non sono già inclusi.

    • Percorso predefinito Identity-RG: se si usa un'identità gestita assegnata dall'utente predefinita, specificare il percorso per creare l'identità e il gruppo di risorse. Questo parametro viene usato solo quando il parametro Bring Your Own User-Assigned Managed Identity è impostato su false.

  • Creare e distribuire l'associazione per collegare il computer al DCR specificato.

    • ID risorsa regola raccolta dati: il valore resourceId di Azure Resource Manager della regola a cui si vuole associare questo criterio a tutti i computer a cui viene applicato il criterio.

      Screenshot che mostra la pagina definizioni di Criteri di Azure con due iniziative di criteri predefinite per la configurazione dell'agente di Monitoraggio di Azure.

Problemi noti

  • Comportamento predefinito dell'identità gestita. Altre informazioni.
  • Possibile race condition quando si usano criteri di creazione di identità assegnati dall'utente predefiniti. Altre informazioni.
  • Assegnazione di criteri ai gruppi di risorse. Se l'ambito di assegnazione dei criteri è un gruppo di risorse e non una sottoscrizione, l'identità usata dall'assegnazione dei criteri (diversa dall'identità assegnata dall'utente usata dall'agente) deve essere concessa manualmente ruoli specifici prima dell'assegnazione o della correzione. Se non si esegue questo passaggio, si verificano errori di distribuzione.
  • Altre limitazioni dell'identità gestita.

Correzione

Le iniziative o i criteri si applicano a ogni macchina virtuale durante la creazione. Un'attività di correzione distribuisce le definizioni dei criteri nell'iniziativa alle risorse esistenti. È possibile configurare l'agente di Monitoraggio di Azure per tutte le risorse già create.

Quando si crea l'assegnazione usando il portale di Azure, è possibile creare contemporaneamente un'attività di correzione. Per informazioni sulla correzione, vedere Correggere le risorse non conformi tramite Criteri di Azure.

Screenshot che mostra la correzione dell'iniziativa per l'agente di Monitoraggio di Azure.

Contenuto correlato

Creare un record di controllo di dominio per raccogliere dati dall'agente e inviarli a Monitoraggio di Azure.