Compartilhar via

Configurar os serviços de gerenciamento de servidor do Azure em escala

  • Artigo

É necessário concluir estas duas tarefas para integrar os serviços de gerenciamento de servidor do Azure aos seus servidores:

  • Implante agentes de serviço em seus servidores.
  • Habilite as soluções de gerenciamento.

Este artigo aborda os três processos necessários para concluir estas tarefas:

  1. Implante os agentes necessários nas VMs do Azure usando Azure Policy.
  2. Implante os agentes necessários nos servidores locais.
  3. Habilite e configure as soluções.

Observação

Crie o workspace do Log Analytics e a conta de Automação do Azure necessários antes de integrar as máquinas virtuais aos serviços de gerenciamento de servidor do Azure.

Use o Azure Policy para implantar extensões em VMs do Azure

Todas as soluções de gerenciamento abordadas nas ferramentas e serviços de gerenciamento do Azure exigem que o agente do Log Analytics seja instalado em máquinas virtuais no Azure, bem como em servidores locais. Você pode carregar as VMs do Azure em escala usando Azure Policy. Atribua a política para garantir que o agente esteja instalado em suas VMs do Azure e conectado ao workspace do Log Analytics correto.

O Azure Policy tem uma iniciativa de diretiva interna que inclui o agente de Log Analytics e o Microsoft Dependency Agent, que é exigido pelo Azure Monitor para VMs.

Observação

Para obter mais informações sobre vários agentes para monitorar o Azure, consulte Visão geral dos agentes de monitoramento do Azure.

Atribuir políticas

Para atribuir as políticas descritas na seção anterior:

  1. No portal do Azure, vá para Atribuições de>Política>Atribuir iniciativa.

    Screenshot of the portal's policy interface with the Assignments option and Assign initiative option called out.

  2. Na página Atribuir política, defina o Escopo selecionando o botão de reticências (...) e escolhendo uma assinatura ou um grupo de gerenciamento. Opcionalmente, selecione um grupo de recursos. Em seguida, escolha Selecionar na parte inferior da página Escopo. O escopo determina a quais recursos ou grupo de recursos a política é atribuída.

  3. Selecione as reticência (...) ao lado de Definição de política para abrir a lista de definições disponíveis. Para filtrar as definições de iniciativa, insira Azure Monitor na caixa de pesquisa:

    Screenshot of the Enable Azure Monitor for V M initiative definition.

  4. O Nome de atribuição é automaticamente preenchido com o nome da política selecionada, mas você pode alterá-lo. Você também pode adicionar uma descrição opcional para fornecer mais informações sobre esta atribuição de política. O campo Atribuído por é preenchido automaticamente com base em quem está conectado. Esse campo é opcional e dá suporte a valores personalizados.

  5. Para essa política, selecione workspace do Log Analytics para o agente do Log Analytics associar.

    Screenshot of the Log Analytics workspace option.

  6. Marque a caixa de seleção Local da Identidade Gerenciada. Se essa política for do tipo DeployIfNotExists, uma identidade gerenciada será necessária para implantar a política. No portal, a conta será criada conforme indicado pela seleção da caixa de seleção.

  7. Selecione Atribuir.

Depois de concluir o assistente, a atribuição de política será implantada no ambiente. Pode demorar até 30 horas para a política entrar em vigor. Para testá-lo, crie novas VMs após 30 minutos e verifique se o agente de Log Analytics está habilitado na VM por padrão.

Instalar agentes em servidores locais

Observação

Crie o workspace do Log Analytics e a conta de Automação necessários antes de integrar os serviços de gerenciamento de servidor do Azure aos servidores.

Para servidores locais, você precisa baixar e instalar o agente do log Analytics e o Microsoft Dependency Agent manualmente e configurá-los para se conectar ao workspace correto. Você deve especificar a ID do workspace e as informações de chave. Para obter essas informações, vá para o workspace do Log Analytics na portal do Azure e, em seguida, selecione Configurações>Configurações avançadas.

Screenshot of Log Analytics workspace advanced settings in the Azure portal

Habilitar e configurar soluções

Para habilitar soluções, você precisa configurar o workspace do Log Analytics. As VMs do Azure e os servidores locais integrados receberão as soluções dos workspaces do Log Analytics ao quais estão conectados.

Gerenciamento de atualizações

A solução de Gerenciamento de Atualizações e a solução de Controle de Alterações e Inventário exigem um workspace do Log Analytics e uma conta de Automação do Azure. Para garantir que esses recursos estejam configurados corretamente, é recomendável que você integre sua conta de Automação. Para obter mais informações, consulte Integrar a solução Gerenciamento de Atualizações e a solução Controle de Alterações e Inventário.

É recomendável habilitar a solução de Gerenciamento de Atualizações para todos os servidores. O Gerenciamento de Atualizações é gratuito para VMs do Azure e servidores locais. Se você habilitar o Gerenciamento de Atualizações por meio de sua conta de Automação, uma configuração de escopo será criada no workspace. Atualize manualmente o escopo para incluir computadores cobertos pela solução Gerenciamento de Atualizações.

Para abranger os servidores existentes, bem como servidores os futuros, será necessário remover a configuração do escopo. Para fazer isso, exiba sua conta de Automação no portal do Azure. Selecione Gerenciamento de Atualizações>Gerenciar máquina>Habilitar em todas máquinas disponíveis e futuras. Essa configuração permite que todas as VMs do Azure que estão conectadas ao workspace usem o Gerenciamento de Atualizações.

Screenshot of Update Management in the Azure portal

Soluções de Controle de Alterações e Inventário

Para integrar as soluções Controle de Alterações e Inventário, siga as mesmas etapas para o Gerenciamento de Atualizações. Para obter mais informações sobre como integrar essas soluções de sua conta de Automação, consulte Integrar a solução Gerenciamento de Atualizações e a solução Controle de Alterações e Inventário.

A solução de Controle de Alterações e Inventário é gratuita para VMs do Azure, e seu custo é de US$ 6 por nó por mês para servidores locais. Esse custo cobre o controle de alterações, inventário e Desired State Configuration. Se você quiser registrar apenas servidores locais específicos, poderá aceitar esses servidores. É recomendável que você integre todos os seus servidores de produção.

Aceitar através do portal do Azure

  1. Vá para a conta de Automação do Azure que tenha o Controle de Alterações e Inventário habilitado.
  2. Selecione Controle de alterações.
  3. Selecione Gerenciar máquinas no painel superior direito.
  4. Selecione Habilitar nas máquinas selecionadas. Em seguida, selecione Adicionar ao lado do nome da máquina.
  5. Selecione Habilitar para habilitar a solução para essas máquinas.

Screenshot of Change Tracking in the Azure portal

Aceitar usando pesquisas salvas

Como alternativa, você pode configurar a configuração de escopo para aceitar servidores locais. A configuração de escopo usa pesquisas salvas.

Para criar ou modificar a pesquisa salva, siga estas etapas:

  1. Vá para o workspace do Log Analytics que está vinculado à conta de Automação que você configurou nas etapas anteriores.

  2. Em Geral, selecione Pesquisas salvas.

  3. Na caixa Filtro, insira Controle de Alterações para filtrar a lista de pesquisas salvas. Nos resultados, selecione MicrosoftDefaultComputerGroup.

  4. Insira o nome da máquina ou a VMUUID para incluir as máquinas nas quais você deseja aceitar o Controle de Alterações e Inventário.

Heartbeat
| where AzureEnvironment=~"Azure" or Computer in~ ("list of the on-premises server names", "server1")
| distinct Computer

Observação

O nome do servidor deve corresponder exatamente ao valor na expressão e não deve conter um sufixo de nome de domínio.

  1. Selecione Salvar. Por padrão, a configuração de escopo é vinculada à pesquisa salva MicrosoftDefaultComputerGroup. Ela expira automaticamente.

Log de atividades do Azure

O log de atividades do Azure também é um recurso do Azure Monitor. Ele fornece insights sobre eventos da assinatura que ocorrem no Azure.

Para implementar esta solução:

  1. No portal do Azure, abra Todos os serviçose, em seguida, selecione Gerenciamento + Soluções>de Governança.
  2. No modo de exibição Soluções, selecione Adicionar.
  3. Pesquise por Análise do Log de Atividades e selecione-a.
  4. Selecione Criar.

É necessário especificar o Nome do espaço de trabalho do workspace que você criou na seção anterior em que a solução está habilitada.

Integridade do Agente do Azure Log Analytics

A solução de Integridade do Agente do Azure Log Analytics relata a integridade, o desempenho e a disponibilidade de seus servidores Windows e Linux.

Para implementar esta solução:

  1. No portal do Azure, abra Todos os serviçose, em seguida, selecione Gerenciamento + Soluções>de Governança.
  2. No modo de exibição Soluções, selecione Adicionar.
  3. Pesquise por Integridade do agente de Análise de Logs do Azure e selecione-a.
  4. Selecione Criar.

É necessário especificar o Nome do espaço de trabalho do workspace que você criou na seção anterior em que a solução está habilitada.

Após concluir a criação, a instância de recurso do espaço de trabalho exibirá AgentHealthAssessment quando você selecionar Exibir>Soluções.

Avaliação antimalware

A solução de avaliação antimalware ajuda você a identificar servidores infectados ou com maior risco de infecção por malware.

Para implementar esta solução:

  1. No portal do Azure, abra Todos os serviçose selecione Gerenciamento + Soluções>de Governança.
  2. No modo de exibição Soluções, selecione Adicionar.
  3. Pesquise e selecione aAvaliação de Antimalware.
  4. Selecione Criar.

É necessário especificar o Nome do espaço de trabalho do workspace que você criou na seção anterior em que a solução está habilitada.

Após concluir a criação, a instância do recurso do espaço de trabalho exibirá AntiMalware quando você selecionar Exibir>Soluções.

Azure Monitor para VMs

Você pode habilitar o Azure Monitor para VMs por meio da página de exibição da instância de VM, conforme descrito em Habilitar serviços de gerenciamento em uma única VM para avaliação. Você não deve habilitar soluções diretamente da página Soluções como faz para as outras soluções descritas neste artigo. Para implantações em grande escala, pode ser mais fácil usar a automação para habilitar as soluções corretas no espaço de trabalho.

Microsoft Defender para Nuvem

É recomendável que você integre todos os seus servidores pelo menos ao nível gratuito do Microsoft Defender para Nuvem. Essa opção fornece avaliações de segurança básicas e recomendações de segurança acionáveis para seu ambiente. A camada Standard fornece benefícios adicionais. Para obter mais informações, consulte preços do Microsoft Defender para Nuvem.

Para habilitar a camada gratuita do Microsoft Defender para Nuvem, siga estas etapas:

  1. Vá para a página do portal Defender para Nuvem.
  2. Em POLICY & COMPLIANCE, selecione Política de segurança.
  3. Localize o recurso do workspace do Log Analytics que você criou no painel no lado direito.
  4. Selecione Editar configurações para esse workspace.
  5. Selecione Tipo de preço.
  6. Escolha a opção Gratuito.
  7. Selecione Salvar.

Próximas etapas

Saiba como usar a automação para integrar servidores e criar alertas.

Automatizar a integração e a configuração de alertas