重要
注意:根据世纪互联发布的公告,所有Microsoft Sentinel功能将在2026年8月18日正式在中国地区的Azure中停用。
使用 Microsoft Sentinel,您可以在一个地方监视在 Azure 和 Azure Stack Hub 上运行的虚拟机。 若要将Azure Stack计算机加入Microsoft Sentinel,首先需要将虚拟机扩展添加到现有Azure Stack Hub虚拟机。
连接 Azure Stack Hub 机器后,请从展示基于您数据见解的面板库中进行选择。 可以根据需要轻松地自定义这些仪表板。
添加虚拟机扩展
将 Azure Monitor、更新和配置管理虚拟机扩展添加到Azure Stack Hub上运行的虚拟机。
在新浏览器选项卡中,登录到 Azure Stack Hub 门户。
转到 Virtual 计算机页,选择要使用 Microsoft Sentinel 保护的虚拟机。 有关如何在 Azure Stack Hub 上创建虚拟机的信息,请参阅使用 Azure Stack Hub 门户创建Windows服务器 VM或 使用 Azure Stack Hub 门户创建 Linux 服务器 VM。
选择“扩展”。 此时将显示此虚拟机上安装的虚拟机扩展列表。
选择“添加”选项卡。此时会打开“新建资源”菜单边栏选项卡,其中显示了可用虚拟机扩展的列表。
选择 Azure Monitor、Update 和 Configuration Management 扩展,然后选择 create。 此时会打开“安装扩展”配置窗口。
注意
如果未看到市场中列出的 Azure Monitor、更新和配置管理扩展,请联系Azure Stack Hub操作员使其可用。
在 Microsoft Sentinel 界面上,选择 Workspace 设置,然后选择 高级,并复制 Workspace ID 和 Workspace Key(主键)。
在 Azure Stack Hub Install 扩展窗口中,将它们粘贴到指示的字段中,然后选择OK。
扩展安装完成后,其状态显示为“预配成功”。 虚拟机可能需要长达一小时才能显示在Microsoft Sentinel门户中。
有关安装和配置 Windows 代理的详细信息,请参阅 Connect Windows 计算机。
有关 Linux 代理问题的故障排除,请参阅 Troubleshoot Azure Log Analytics Linux 代理。
在 Azure 上的 Microsoft Sentinel 门户中,在 虚拟机 下,可以概述所有 VM 和计算机及其状态。
清理资源
如果不再需要扩展,可以通过Azure Stack Hub门户从虚拟机中删除扩展。
要删除扩展:
打开 Azure Stack Hub Portal。
转到“虚拟机”页,选择要从中删除扩展的虚拟机。
选择 Extensions,选择扩展 Microsoft。EnterpriseCloud.Monitoring。
选择“卸载”,然后确认所做的选择。
后续步骤
若要详细了解Microsoft Sentinel,请参阅以下文章:
- 开始使用 Microsoft Sentinel 检测威胁。