共用方式為


使用 Azure 監視器代理程式啟用變更追蹤和清查

適用於: ✔️ Windows VM ✔️ Linux VM ✔️ Windows 登錄 ✔️ Windows 檔案 ✔️ Linux 檔案 ✔️ Windows 軟體 ✔️ 檔案內容變更

本文說明如何從 Azure 入口網站啟用單一和多個 Azure 虛擬機器 (VM) 的變更追蹤和清查

必要條件

啟用變更追蹤和清查

從 Azure 入口網站 啟用單一 VM 的變更追蹤和清查

本節提供如何在單一 Azure VM 和已啟用 Arc 的 VM 上啟用變更追蹤的詳細程式。

  1. 登入 Azure 入口網站並瀏覽至 [虛擬機器]

    顯示如何從入口網站選取虛擬機的螢幕快照。

  2. 選取您要啟用變更追蹤的虛擬機器。

  3. 在搜尋中,輸入變更追蹤以檢視變更追蹤和清查頁面。

    顯示從入口網站選取單一虛擬機變更追蹤選項的螢幕快照。

  4. 在 [掌握所有變更的最新資訊] 配置中,選取 [啟用使用 AMA 代理程式 (建議)] 選項和 [啟用]

    這會起始部署,通知會出現在畫面右上角。

    顯示部署通知的螢幕快照。

注意

  • 當您使用 Azure 監視代理程式在 Azure 入口網站 中啟用 變更追蹤 時,此程式會自動建立資料收集規則 (DCR)。 此規則會出現在資源群組中,其名稱格式為 ct-dcr-aaaaaaaaaaa。 建立規則之後,請新增必要的資源。
  • 通常最多需要兩到三分鐘才能成功上線並啟用虛擬機器。 啟用虛擬機器以進行變更追蹤之後,您可以變更特定 VM 的檔案、登錄或軟體。

使用 Azure 入口網站 和 Azure CLI 為多個 VM 啟用變更追蹤和清查

本節提供如何在多個 Azure VM 和已啟用 Azure Arc 的 VM 上啟用變更追蹤和清查的詳細程式。

  1. 登入 Azure 入口網站並瀏覽至 [虛擬機器]

    顯示如何從入口網站選取虛擬機的螢幕快照。

  2. 選取您想要啟用變更追蹤的虛擬機器,並且選取 [服務]>[變更追蹤]

    顯示如何從入口網站選取多個虛擬機的螢幕快照。

    注意

    您一次最多可以選取 250 部虛擬機來啟用此功能。

  3. 在 [啟用變更追蹤] 頁面中,選取頁面頂端的橫幅,按一下這裡以嘗試使用 Azure 監視器代理程式 (AMA) 體驗進行新的變更追蹤和清查

    顯示如何從入口網站選取為多個 VM 啟用變更追蹤的螢幕快照。

  4. 在 [啟用變更追蹤] 頁面中,您可以檢視已啟用、準備啟用的機器清單,以及您無法啟用的機器清單。 您可以使用篩選來選取 [訂用帳戶]、[位置] 和 [資源群組]。 您可以選取最多三個資源群組。

    顯示多個 VM 狀態的螢幕快照。

  5. 選取 [啟用] 以起始部署。

  6. 畫面右上角會出現通知,指出部署狀態。

使用原則大規模啟用 變更追蹤

本節提供如何使用原則大規模啟用變更追蹤和清查的詳細程式。

先決條件

啟用變更追蹤

使用「在不存在時部署 (DINE)」原則,您可以藉由大規模且最有效率的方式,使用 Azure Monitoring Agent 啟用變更追蹤。

  1. 在 Azure 入口網站中,選取 [原則]

  2. 在 [原則] 頁面的 [撰寫] 下,選取 [定義]

  3. 在[原則 | 定義頁面] 的 [定義類型] 類別下,選取 [方案],並且在 [類別] 中選取 [變更追蹤和清查]。 您會看到三個原則的清單:

    • 選取 [啟用啟用 Arc 之虛擬機器的 ChangeTracking 和 Inventory]

      顯示已啟用Arc之虛擬機選取專案的螢幕快照。

  4. 選取 [啟用虛擬機器的變更追蹤和清查],以便在 Azure 虛擬機器上啟用變更追蹤。 此方案包含三個原則:

    • 將內建使用者指派的受控識別指派給虛擬機器

    • 針對 Windows 虛擬機器設定 ChangeTracking 延伸模組

    • 針對 Linux 虛擬機器設定 ChangeTracking 延伸模組

      顯示選取三個原則的螢幕快照。

  5. 選取 [指派] 將原則指派給資源群組。 例如,將內建使用者指派的受控識別指派給虛擬機器

    注意

    資源群組包含虛擬機器,您指派原則時,這會大規模啟用資源群組的變更追蹤。 已加入相同資源群組的虛擬機器會自動啟用變更追蹤功能。

  6. 在 [啟用虛擬機器的變更追蹤和清查] 頁面中,輸入下列選項:

    1. 在 [基本] 中,您可以定義範圍。 選取三個點來設定範圍。 在 [範圍] 頁面中,提供訂用帳戶資源群組
    2. 在 [參數]中,選取 [自備使用者指派的受控識別] 中的選項。
    3. 提供資料收集規則資源識別碼。深入了解如何在建立資料收集規則之後取得資料收集規則資源識別碼
    4. 選取 [檢閱 + 建立]。

建立資料收集規則

  1. 在您的電腦上下載 CtDcrCreation.json 檔案。

  2. 移至 Azure 入口網站,並且在搜尋中輸入 [部署自訂範本]

  3. 在 [自訂部署] 頁面中>選取範本,選取 [在編輯器中建置您自己的範本]開始建置範本的螢幕快照。

  4. 在 [編輯範本] 中,選取 [載入檔案] 上傳 CtDcrCreation.json 檔案。

  5. 選取 [儲存]。

  6. 在 [自訂部署]>[基本資料] 索引標籤中,提供您要在其中部署資料收集規則的訂用帳戶資源群組。 [資料收集規則名稱] 為選擇性。 資源群組必須與此處選擇的Log Analytic工作區標識符相關聯的資源群組相同。

    提供訂用帳戶和資源群組詳細數據以部署數據收集規則的螢幕快照。

    注意

    • 請確定資料收集規則的名稱在該資源群組中是唯一名稱,否則部署將會覆寫現有的資料收集規則。
    • Log Analytics 工作區資源識別碼會指定用來儲存變更追蹤資料的 Log Analytics 工作區 Azure 資源識別碼。 確定工作區的位置來自變更追蹤支援的區域
  7. 選取 [檢閱+建立]>[建立] 起始 CtDcrCreation 的部署。

  8. 部署完成之後,選取 [CtDcr 部署] 查看 DCR 名稱。 使用新建立的資料收集規則的資源識別碼,透過原則進行變更追蹤和清查部署。

    部署通知的螢幕擷取畫面。

注意

使用 Azure 監視代理程式的變更追蹤架構建立資料收集規則 (DCR) 之後,請確定您不會將任何數據源新增至此規則。 這可能會導致 變更追蹤和清查 失敗。 您只能在本節中新增資源。

下一步