Partager via

Activer les insights de machine virtuelle à l'aide d'Azure Policy

  • Article

Azure Policy vous permet de définir et d’appliquer des exigences pour toutes les ressources que vous créez et que vous modifiez. Les initiatives de stratégie VM Insights, qui sont des ensembles prédéfinis de stratégies créées pour VM Insights, installent les agents nécessaires pour VM Insights et activent le monitoring sur toutes les nouvelles machines virtuelles de votre environnement Azure.

Cet article explique comment activer VM Insights pour les machines virtuelles Azure, les groupes de machines virtuelles identiques Azure et les machines virtuelles hybrides connectées à Azure Arc en utilisant des initiatives de stratégie VM Insights prédéfinies.

Prérequis

Avant de pouvoir activer les aperçus de machine virtuelle en utilisant Azure Policy, vous devez avoir créé une règle de collecte de données (DCR) des aperçus de machine virtuelle. La règle de collecte de données spécifie les données à collecter auprès de l’agent et leur mode de traitement. Consultez Règle de collecte de données des aperçus de machine virtuelle pour obtenir des détails sur la création de cette règle de collecte de données.

Initiatives VM Insights

Les initiatives de stratégie VM Insights installent l’agent Azure Monitor et l’agent de dépendance sur les nouvelles machines virtuelles de votre environnement Azure. Attribuez ces initiatives à un groupe d’administration, un abonnement ou un groupe de ressources pour installer automatiquement les agents sur toutes les machines virtuelles Windows ou Linux de l’étendue définie.

Remarque

Les initiatives VM Insights énumérées ci-dessous ne mettent pas à jour une extension Dependency Agent qui existe déjà sur votre machine virtuelle avec les paramètres d’Azure Monitoring Agent. Veillez à désinstaller l’extension Dependency Agent de votre machine virtuelle avant de déployer ces initiatives.

Activez Azure Monitor pour les machines virtuelles avec l’agent de supervision d’Azure. Activez Azure Monitor pour les groupes de machines virtuelles identiques avec l’agent de supervision d’Azure. Activez Azure Monitor pour les machines virtuelles hybrides avec l’agent de supervision d’Azure

Les initiatives s’appliquent aux machines que vous créez et que vous modifiez, mais pas aux machines virtuelles existantes.

Nom de l’initiative de stratégie Description
Activer Azure Monitor pour machines virtuelles avec l’agent Azure Monitor Installe l’agent Azure Monitor et l’agent de dépendance sur les machines virtuelles Azure.
Activer Azure Monitor pour les groupes de machines virtuelles identiques avec l’agent Azure Monitor Installe l’agent Azure Monitor et l’agent de dépendance sur des groupes de machines virtuelles identiques.
Activer Azure Monitor pour les machines virtuelles hybrides avec l’agent Azure Monitor Installe l’agent Azure Monitor et Dependency Agent sur les machines virtuelles hybrides connectées à Azure Arc.
Hérité — Activer Azure Monitor pour les machines virtuelles Installe l’agent Log Analytics et l’agent de dépendance sur des groupes de machines virtuelles identiques.
Hérité — Activer Azure Monitor pour les groupes de machines virtuelles identiques Installe l’agent Log Analytics et l’agent de dépendance sur des groupes de machines virtuelles identiques.

Important

L’agent Log Analytics hérité est déconseillé depuis le 31 août 2024. Microsoft ne prendra plus en charge l’agent Log Analytics. Si vous utilisez l’agent Log Analytics pour ingérer des données vers Azure Monitor, migrez maintenant vers l’agent Azure Monitor.

Prise en charge des images personnalisées

Les définitions de la stratégie et de l’initiative des aperçus de machines virtuelles Azure Monitor basées sur l’agent ont un paramètre scopeToSupportedImages défini par défaut sur true afin d’activer l’intégration de Dependency Agent uniquement sur les images prises en charge. Définissez ce paramètre sur false pour autoriser l’intégration de Dependency Agent sur des images personnalisées.

Attribuer une initiative de stratégie VM Insights

Pour attribuer une initiative de stratégie VM Insights à un abonnement ou à un groupe d’administration à partir du portail Azure :

  1. Recherchez et ouvrez Policy.

  2. Sélectionnez Attributions>Attribuer une initiative.

    Capture d’écran montrant l’écran Attributions de stratégie avec le bouton Attribuer une initiative mis en surbrillance.

    L’écran Attribuer une initiative s’affiche.

    Capture d’écran montrant Attribuer une initiative.

  3. Configurez l’attribution d’initiative :

    1. Dans le champ Étendue, sélectionnez le groupe d’administration ou l’abonnement auquel attribuer l’initiative.
    2. (Facultatif) Sélectionnez Exclusions pour exclure des ressources spécifiques de l’attribution d’initiative. Par exemple, si votre étendue est un groupe d’administration, vous pouvez spécifier un abonnement de ce groupe d’administration à exclure de l’attribution.
    3. Sélectionnez les points de suspension (...) à côté de Attribuer une initiative pour lancer le sélecteur de définition de stratégie. Sélectionnez l’une des initiatives VM Insights.
    4. (Facultatif) Changez le Nom de l’attribution et ajoutez une Description.
    5. Sous l’onglet Paramètres, sélectionnez un espace de travail Log Analytics auquel toutes les machines virtuelles de l’attribution doivent envoyer des données. Pour que les machines virtuelles envoient des données à différents espaces de travail, créez plusieurs attributions, chacune avec sa propre étendue. Cette étape a différents paramètres en fonction de l’initiative de stratégie avec laquelle vous travaillez à l’heure actuelle.

    Capture d’écran montrant un espace de travail.

    Notes

    Si vous sélectionnez un espace de travail en dehors de l’étendue de l’affectation, accordez des autorisations Contributeur Log Analytics à l’identifiant de principal de l’affectation de stratégie. Sinon, vous risquez d’obtenir un échec de déploiement de type :

    The client '343de0fe-e724-46b8-b1fb-97090f7054ed' with object id '343de0fe-e724-46b8-b1fb-97090f7054ed' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/read' over scope ...

  4. Sélectionnez Évaluer + créer pour passer en revue les détails de l’affectation d’initiative. Sélectionnez Créer pour créer l’affectation.

    Ne créez pas de tâche de correction à ce stade, car vous avez probablement besoin de plusieurs tâches de correction pour activer les machines virtuelles existantes. Pour plus d’informations sur comment créer des tâches de correction, consultez Corriger les résultats de conformité.

Passer en revue la conformité d’une initiative de stratégie VM Insights

Après avoir attribué une initiative, vous pouvez passer en revue et gérer la conformité de l’initiative dans vos groupes d’administration et abonnements.

Pour voir combien de machines virtuelles existent dans chaque groupe d’administration ou abonnement, et voir leur état de conformité :

  1. Recherchez et ouvrez Azure Monitor.

  2. Sélectionnez Machines virtuelles>Vue d’ensemble>Autres options d’intégration. Ensuite, sous Activer à l’aide de la stratégie, sélectionnez Activer.

    Capture d’écran montrant la page des autres options d’intégration de VM Insights avec l’option Activer à l’aide de la stratégie.

    La page Couverture de la stratégie Azure Monitor pour machines virtuelles s’affiche.

    Capture d’écran montrant la page de Couverture de la stratégie VM Insights Azure Monitor pour machines virtuelles.

    Le tableau suivant décrit les informations de conformité présentées dans la page Couverture de la stratégie Azure Monitor pour machines virtuelles.

    Fonction Description
    Portée Groupe d’administration ou abonnement auquel l’initiative s’applique.
    Mon rôle Votre rôle dans l’étendue. Le rôle peut être celui de lecteur, de propriétaire, de contributeur, ou laissé vide si vous avez accès à l’abonnement, mais pas au groupe d’administration auquel il appartient. Votre rôle détermine les données que vous pouvez voir, et si vous pouvez attribuer des stratégies ou des initiatives (propriétaire), les modifier ou voir la conformité.
    Nombre total de machines virtuelles Nombre total de machines virtuelles dans cette étendue, quel que soit leur état. Pour un groupe d’administration, ce chiffre correspond à la somme totale des machines virtuelles dans tous les abonnements associés ou groupes d’administration enfants.
    Couverture d’attribution Pourcentage de machines virtuelles couvertes par l’initiative. Quand vous attribuez l’initiative, l’étendue sélectionnée dans l’attribution peut être l’étendue listée ou un sous-ensemble de celle-ci. Par exemple, si vous créez une attribution pour un abonnement (étendue d’initiative) et non pour un groupe d’administration (étendue de couverture), la valeur de Couverture de l’attribution indique les machines virtuelles dans l’étendue d’initiative divisées par les machines virtuelles dans l’étendue de couverture. Dans un autre cas, vous pouvez exclure des machines virtuelles, des groupes de ressources ou un abonnement de l’étendue de stratégie. Si la valeur est vide, elle indique que la stratégie ou l’initiative n’existe pas ou que vous n’avez pas l’autorisation.
    État de l’attribution Réussite : l’agent Azure Monitor ou l’agent Log Analytics et l’agent de dépendance sont déployés sur toutes les machines dans l’étendue.
    Avertissement : l’abonnement n’est pas sous un groupe d’administration.
    Non démarrée : une nouvelle affectation a été ajoutée.
    Verrouillage : vous ne disposez pas de privilèges suffisants sur le groupe d’administration.
    Vide : aucune machine virtuelle n’existe ou aucune stratégie n’est attribuée.
    Machines virtuelles conformes Nombre de machines virtuelles qui ont à la fois l’agent Azure Monitor ou l’agent Log Analytics et Dependency Agent installés. Ce champ est vide s’il n’y a pas d’affectations, pas de machines virtuelles dans l’étendue ou si vous n’avez pas les autorisations appropriées.
    Conformité Le chiffre de conformité générale est la somme des ressources distinctes conformes divisée par la somme de toutes les ressources distinctes.
    État de conformité Conforme : toutes les machines virtuelles dans l’étendue ont l’agent Azure Monitor ou l’agent Log Analytics et l’agent de dépendance déployés, ou de nouvelles machines virtuelles dans l’étendue n’ont pas encore été évaluées.
    Non conforme : certaines machines virtuelles ne sont pas activées et peuvent nécessiter une correction.
    Non démarrée : une nouvelle affectation a été ajoutée.
    Verrouillage : vous ne disposez pas de privilèges suffisants sur le groupe d’administration.
    Vide : aucune stratégie n’est attribuée.

  3. Sélectionnez les points de suspension (...) >Voir la conformité.

    Capture d’écran montrant Voir la conformité.

    La page Conformité s’affiche. Elle énumère les affectations qui correspondent au filtre spécifié et indique si elles sont conformes.

    Capture d’écran montrant la conformité de stratégie pour les machines virtuelles Azure.

  4. Sélectionnez une attribution pour voir ses détails. La page Conformité de l’initiative s’affiche. Elle énumère les définitions de stratégie dans l’initiative et indique la conformité de chacune d’entre elles.

    Capture d’écran montrant les Détails de conformité.

    Les définitions de stratégie sont présumées non conformes si :

    • L’agent Azure Monitor, l’agent Log Analytics ou l’agent de dépendance ne sont pas déployés. Créez une tâche de correction pour appliquer une atténuation.
    • L’image de machine virtuelle (système d’exploitation) n’est pas identifiée dans la définition de stratégie. Les stratégies peuvent uniquement vérifier les images VM Azure connues. Consultez la documentation pour savoir si le système d’exploitation de la machine virtuelle est pris en charge.
    • Certaines machines virtuelles de l’étendue de l’initiative sont connectées à un espace de travail Log Analytics différent de celui spécifié dans l’attribution de stratégie.

  5. Sélectionnez une définition de stratégie pour ouvrir la page Conformité de la stratégie.

Créer une tâche de correction

Si votre attribution n’est pas conforme à 100 %, créez des tâches de correction pour évaluer et activer les machines virtuelles existantes. Vous devez probablement créer plusieurs tâches de correction, une pour chaque définition de stratégie. Vous ne pouvez pas créer de tâche de correction pour une initiative.

Pour créer une tâche de correction :

  1. Dans la page Conformité de l’initiative, sélectionnez Créer une tâche de correction.

    Capture d’écran montrant les détails de la stratégie de conformité.

    La page Nouvelle tâche de correction s’affiche.

    Capture d’écran montrant la page Nouvelle tâche de correction.

  2. Passez en revue les paramètres de correction et les ressources à corriger, puis les modifier le cas échéant. Sélectionnez ensuite Corriger pour créer la tâche.

    Une fois les tâches de correction terminées, vos machines virtuelles doivent être conformes aux agents installés et activés pour VM Insights.

Suivre les tâches de correction

Pour suivre la progression des tâches de correction, sélectionnez Correction dans le menu Stratégie, puis sélectionnez l’onglet Tâches de correction.

Capture d'écran montrant la page Correction des stratégies pour Monitor | Machines virtuelles.

Étapes suivantes

Découvrez comment :