你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure Policy 启用 VM 见解

Azure Policy 可用于为你创建的所有新资源和修改的资源设置和强制执行要求。 VM 见解策略计划(为 VM 见解创建的预定义策略集)安装 VM 见解所需的代理,并启用对 Azure 环境中所有新虚拟机的监视。

本文介绍如何使用预定义的 VM 见解策略计划为 Azure 虚拟机、虚拟机规模集和与 Azure Arc 连接的混合虚拟机启用 VM 见解。

先决条件

在使用 Azure Policy 启用 VM 见解之前,需要创建 VM 见解 DCR。 DCR 指定从代理收集哪些数据以及如何处理这些数据。 有关创建此 DCR 的详细信息,请参阅 VM 见解 DCR

VM 见解计划

VM 见解策略计划会在 Azure 环境中的新虚拟机上安装 Azure Monitor 代理和依赖项代理。 将这些计划分配给管理组、订阅或资源组,可在定义范围内的 Windows 或 Linux Azure 虚拟机上自动安装代理。

注意

下面列出的 VM 见解计划不会使用 Azure 监视代理设置更新 VM 上已存在的 Dependency Agent 扩展。 在部署这些计划之前,请确保从 VM 卸载 Dependency Agent 扩展。

使用 Azure 监视代理启用用于 VM 的 Azure Monitor,使用 Azure 监视代理为虚拟机规模集启用 Azure Monitor,使用 Azure 监视代理为混合 VM 启用 Azure Monitor

这些计划适用于创建的新计算机和修改的计算机,但不适用于现有 VM。

政策举措名称 说明
使用 Azure Monitor 代理启用用于 VM 的 Azure Monitor 在 Azure VM 上安装 Azure Monitor 代理和依赖项代理。
使用 Azure Monitor 代理启用用于虚拟机规模集的 Azure Monitor 在虚拟机规模集上安装 Azure Monitor 代理和依赖项代理。
使用 Azure Monitor 代理启用用于混合 VM 的 Azure Monitor 在与 Azure Arc 连接的混合 VM 上安装 Azure Monitor 代理和依赖项代理。
旧版:启用用于 VM 的 Azure Monitor 在虚拟机规模集上安装 Log Analytics 代理和依赖项代理。
旧版:启用用于虚拟机规模集的 Azure Monitor 在虚拟机规模集上安装 Log Analytics 代理和依赖项代理。

重要

自 2024 年 8 月 31 日起,旧版 Log Analytics 代理已弃用。 Microsoft 将不再为 Log Analytics 代理提供任何支持。 如果使用 Log Analytics 代理将数据引入 Azure Monitor,请立即迁移到 Azure Monitor 代理

支持自定义映像

Azure Monitor 基于代理的 VM 见解策略和计划定义具有一个 scopeToSupportedImages 参数,该参数默认设置为 true,以便仅在受支持的映像上加入 Dependency Agent。 将此参数设置为 false 以允许在自定义映像上加入 Dependency Agent。

分配 VM 见解策略计划

从 Azure 门户将 VM 见解策略计划分配给订阅或管理组:

  1. 搜索并打开“策略”。

  2. 选择“分配”>“分配计划”。

    显示“策略分配”屏幕的屏幕截图,其中突出显示了“分配计划”按钮。

    此时会显示“分配计划”屏幕。

    显示“分配计划”的屏幕截图。

  3. 配置计划分配:

    1. 在“范围”字段中,选择要将计划分配到的管理组或订阅。
    2. (可选)选择“排除项”可从计划分配中排除特定资源。 例如,如果范围是一个管理组,则可以指定从分配中排除该管理组中的某个订阅。
    3. 选择“计划分配”旁边的省略号 (...),来更快地启动策略定义。 选择 VM 见解计划之一。
    4. (可选)更改“分配名称”并添加“说明”。
    5. 在“参数”选项卡中,选择一个要供分配中的所有虚拟机向其发送数据的“Log Analytics 工作区”。 对于要将数据发送到不同工作区的虚拟机,请创建多个分配,每个分配都有自己的范围。 根据正在处理的政策举措,此步骤的参数有所不同。

    显示工作区的屏幕截图。

    注意

    如果选择不在分配范围内的工作区,请将“Log Analytics 参与者”权限授予策略分配的主体 ID。 否则,可能会遇到如下所示的部署失败:

    The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...

  4. 选择“查看 + 创建”来查看计划分配详细信息。 选择“创建”来创建分配。

    此时请勿创建修正任务,因为可能需要执行多个修正任务,才能启用现有的虚拟机。 若要详细了解如何创建修正任务,请参阅修正合规性结果

查看 VM 见解策略计划的合规性

分配计划后,可以在管理组和订阅中查看和管理该计划的合规性。

查看每个管理组或订阅中存在多少个虚拟机及其合规性状态:

  1. 搜索并打开“Azure Monitor”。

  2. 选择“虚拟机”>“概述”>“其他加入选项”。 然后,在“使用策略启用”下,选择“启用”。

    显示 VM 见解的“其他加入选项”页面的屏幕截图,其中包含“使用策略启用”选项。

    此时会打开“用于 VM 的 Azure Monitor 策略覆盖范围”页面。

    显示 VM 见解的“用于 VM 的 Azure Monitor 策略覆盖范围”页面的屏幕截图。

    下表描述了“用于 VM 的 Azure Monitor 策略覆盖范围”页上显示的合规性信息。

    函数 说明
    范围 应用计划的管理组或订阅。
    我的角色 你在范围内的角色。 角色可以是读取者、所有者、参与者;如果你有权访问订阅,但无权访问其所属的管理组,那么角色也可以为空。 角色决定了可以查看哪些数据,以及是否可以分配策略或计划(所有者)、编辑它们或查看合规性。
    VM 总数 范围内的 VM 总数,无论其状态如何。 对于管理组,此数字是所有相关订阅或子管理组中的 VM 数之和。
    分配覆盖范围 计划涵盖的 VM 百分比。 分配计划时,在分配中选择的范围可以是列出的范围或其子集。 例如,如果为订阅(计划范围)而不是管理组(覆盖范围)创建分配,则“分配覆盖率”的值指示计划范围内的 VM 除以覆盖范围内的 VM。 另举一例。你可能会从策略范围中排除某些 VM、资源组或订阅。 如果该值为空白,表示策略或计划不存在,或者你没有权限。
    分配状态 成功:Azure Monitor 代理或 Log Analytics 代理和依赖项代理部署在范围内的所有计算机上。
    警告:订阅不在管理组下。
    未启动:已添加新分配。
    锁定:对于管理组没有足够的特权。
    空白:不存在 VM 或未分配策略。
    合规的 VM 数 同时安装了 Azure Monitor 代理或 Log Analytics 代理和依赖项代理的 VM 数。 如果没有分配、范围内没有 VM,或者你没有相关权限,则此字段为空。
    遵从性 整体合规性数值是不同合规资源的总和除以所有不同资源的总和。
    符合性状态 合规:范围内的所有 VM 都部署了 Azure Monitor 代理或 Log Analytics 代理和依赖项代理,或者范围内的任何新 VM 都尚未经过评估。
    不合规:有些 VM 未启用,可能需要修正。
    未启动:已添加新分配。
    锁定:对于管理组没有足够的特权。
    空白:未分配策略。
  3. 选择省略号 (...) >“查看合规性”。

    显示“查看合规性”的屏幕截图。

    此时会显示“合规性”页面。 它列出了与指定筛选器匹配的分配,并指示它们是否合规。

    显示 Azure VM 的策略合规性的屏幕截图。

  4. 选择某个分配可查看其详细信息。 此时会显示“计划合规性”页面。 它列出了计划中的策略定义,并指出每项是否合规。

    显示合规性详细信息的屏幕截图。

    如果满足以下条件,则策略定义被视为不合规:

    • 未部署 Azure Monitor 代理、Log Analytics 代理或依赖项代理。 创建修正任务进行缓解。
    • VM 映像 (OS) 未在策略定义中识别。 策略只能验证已知的 Azure VM 映像。 请查看文档,了解 VM OS 是否受支持。
    • 计划范围中的某些 VM 连接到的 Log Analytics 工作区并非策略分配中指定的 Log Analytics 工作区。
  5. 选择某个策略定义以打开“策略合规性”页。

创建修正任务

如果分配显示并非 100% 合规,请创建修正任务来评估和启用现有 VM。 很可能需要创建多个修正任务,每个策略定义各有一个。 不能为计划创建修正任务。

创建修正任务:

  1. 在“计划合规性”页面中,选择“创建修正任务”。

    显示策略合规性详细信息的屏幕截图。

    此时会显示“新建修正任务”页面。

    显示“新建修正任务”页面的屏幕截图。

  2. 查看“修正设置”和“要修正的资源”,根据需要进行修改。 然后,选择“修正”来创建任务。

    修正任务完成后,VM 应该会符合为 VM 见解安装和启用的代理。

跟踪修正任务

若要跟踪修正任务的进度,请在“策略”菜单中选择“修正”,然后选择“修正任务”选项卡。

显示“监视器 | 虚拟机”的“策略修正”页面的屏幕截图。

后续步骤

了解如何: