Powershellでインストールを確認・実行

大量にマシンがある場合は以下のコマンドで指定して一覧表示することも可能です。その場合、Azure arc参加マシンかAzure Virtual Machineかで実行コマンドが異なります。
以下は、リソースグループに属しているマシンに対し、一括で実行を確認するコマンドです。

# サブスクリプションをIDで指定する場合
Set-AzContext -SubscriptionId "<サブスクリプションID>"
# サブスクリプションを名前で指定する場合
Set-AzContext -SubscriptionName "<サブスクリプション名>"

# リソースグループ名を指定
$resourceGroupName = "<リソースグループ名>"
# リージョンを指定
$location = "japaneast"

AzureVMの場合

# Azure VM を取得
$azureVMs = Get-AzVM -ResourceGroupName $resourceGroupName

# 各 VM の拡張機能（エージェント）を確認
foreach ($vm in $azureVMs) {
    $extensions = Get-AzVMExtension -ResourceGroupName $resourceGroupName -VMName $vm.Name
    $amaInstalled = $extensions | Where-Object { $_.Name -eq "AzureMonitorWindowsAgent" -or $_.Name -eq "AzureMonitorLinuxAgent" }

    if ($amaInstalled) {
        Write-Host "$($vm.Name): AMA is installed"
    } else {
        Write-Host "$($vm.Name): AMA is NOT installed"
    }
}

成功した場合、上記のように表示されます。

Azure arc接続マシンの場合

# Arc 対応マシンを取得
$arcMachines = Get-AzConnectedMachine -ResourceGroupName $resourceGroupName

# 各マシンの拡張機能（エージェント）を確認
foreach ($machine in $arcMachines) {
    $extensions = Get-AzConnectedMachineExtension -ResourceGroupName $resourceGroupName -MachineName $machine.Name
    $amaInstalled = $extensions | Where-Object { $_.Name -eq "AzureMonitorWindowsAgent" -or $_.Name -eq "AzureMonitorLinuxAgent" }

    if ($amaInstalled) {
        Write-Host "$($machine.Name): AMA is installed"
    } else {
        Write-Host "$($machine.Name): AMA is NOT installed"
    }
}

成功すると、上記のように表示されます。

リソースグループに所属する端末に対し一括でインストールすることもできます。
Azure VMの場合

# AzureVMを取得
$Machines = Get-AzVM -ResourceGroupName $resourceGroupName

# 各マシンに Azure Monitor エージェントをインストール
foreach ($machine in $Machines) {
    Write-Host "Installing AMA on: $($machine.Name)"
    
    Set-AzVMExtension `
        -ResourceGroupName $resourceGroupName `
        -VMName $machine.Name `
        -Location $location `
        -Name "AzureMonitorWindowsAgent" `
        -ExtensionType "AzureMonitorWindowsAgent" `
        -Publisher "Microsoft.Azure.Monitor" `
        -TypeHandlerVersion "1.0"
}

Azure arcの場合

# Arc 対応マシンを取得
$arcMachines = Get-AzConnectedMachine -ResourceGroupName $resourceGroupName

# 各マシンに Azure Monitor エージェントをインストール
foreach ($machine in $arcMachines) {
    Write-Host "Installing AMA on: $($machine.Name)"
    
    Set-AzConnectedMachineExtension `
        -ResourceGroupName $resourceGroupName `
        -MachineName $machine.Name `
        -Location $location `
        -Name "AzureMonitorWindowsAgent" `
        -ExtensionType "AzureMonitorWindowsAgent" `
        -Publisher "Microsoft.Azure.Monitor" `
        -TypeHandlerVersion "1.0"
}

GUIでインストールを確認・実行

特定のマシンだとわかっていたり、少数のマシンだったりする場合はGUIを用いて、ポータルでインストールするほうが早いです。

各マシンを開き、拡張機能＞「AzureMonitorWindowsAgent」がインストールされていることを確認します。

ポリシーのアタッチでインストールを確認・実行

設定はやや難解になりますが、確実です。
1.ポリシーの割り当てで実施した手順を応用します。
既にカスタムテンプレートがAzure側に存在し、ちょうどよくやりやすかったのでこちらを使用しました。

learn.microsoft.com
上記リンクに従うと、それまでの設定とは違い新たにマシンを追加した場合に、スコープ条件を満たせば自動でポリシーがアタッチされます。

• DCRの設定

正式名称Data Collection Ruleを設定すると、Azure Monitorエージェントがリソースに自動でインストールされ、また同時に設定したLog Analyticsワークスペースにデータが送信されます。リソースではなく先ほど紹介したAzure Monitorエージェントに対して設定を行うものです。
DCRは、「どこから」「何を」「どこに」送信するのかを定義したルールです。

先に挙げたリンクではDCRの設定方法に関し特に言及がなかったので、以下リンクに基づいて簡単にDCRのアタッチをご紹介します。learn.microsoft.com
ただ、今回に限ってはこの設定の目的は

Azure Monitorエージェントが指定スコープにて自動インストールができ、またセットアップができる

です。つまり先に述べますと、DCR自体の内容は使いません。今回だけに限った設定の場合、Azure Monitorエージェントが既にインストールされている方、DCRの設定方法をご存じの方、また既に設定しており、対象のリソースとターゲットが完全に一致するDCRをお持ちなのであればこちらの設定は不要といえると思います。こちらまで読み飛ばし下さい。
とはいえ、イニシアティブ定義を確認すると

WindowsVM、Azure arc対応サーバー、仮想マシンスケールセットに自動でAzure Monitorエージェントを入れてくれるポリシーなので、Windows関連のVMにはこれ1つで一括でインストールされることになります。こちらが楽だと感じる場合はおすすめです。

0. モニター＞設定＞データ収集ルールと遷移し、「作成」ボタンを押下する

1. 設定事項を記入します。

今回は「データ収集ポイント」はなしで大丈夫です。

2. リソースを設定します
「どこから」を設定します。「リソース」とは、ここでは「データの収集元」という意味です。どこからデータを持ってくるのかを設定します。

説明文にある通り、ここで設定したリソースにはAzure Monitorエージェントがインストールされます。新しく追加したリソースに対しても自動的に修復が働き、Azure Monitorエージェントのインストールが始まります。

3. 「収集と配信」を設定します
説明文通り、「何を」と「どこに」を設定します。
「データソースの追加」ボタンから追加します。

• データソースの追加

先にも述べましたが、単に今回のようにポリシー違反を検知するためのアラートルールを作成する場合はこちらは不要です。好きなものを選択ください。

• ターゲット

「どこに」を設定します。Log Analyticsワークスペースの作成にて作成したLog Analyticsワークスペースを設定します。

タグの設定が終了し、問題がなければDCRの設定は完了です。
Microsoft Learnで展開されている手順に従って、DCRをイニシアティブ定義と関連付け、マシンを展開させます。

アクショングループの設定

送信先を事前に設定します。モニター>アクショングループで設定を行います

「pendingreboot」というアクショングループを設定し、メールアドレスを一つ登録しました。（メールアドレスはマスクさせていただきました。）

アラートルールの設定

蓄積されたログから該当のログを引っ張り出し、アラートとして通知する設定を作ります。
「モニター」>「アラートルール」で設定します。

マシンが今後追加されたときを踏まえ、「スコープ」はリソースグループを広く設定し、次の「条件」に移ります。「条件」では膨大なログからどんな条件のものをアラート条件とするかを設定します。

「条件」タブでは以下を設定しました。
※リソースグループ名、サブスクリプションIDが含まれていたため一部にマスクをしてあります。

クエリの種類ですが、今回はコンプライアンス非準拠となった場合に即時通知させるようにしたいので、「1件のイベント」を選択しました。
ある時間に定期的に通知させる場合は「集計されたログ」を選択します。

今回は以下のクエリを使用しました。

AzureActivity
| where CategoryValue contains "Policy"
| where Properties contains "<ポリシーの割り当てID>" 
| extend props = parse_json(Properties)
| where props.isComplianceCheck == "False"

クエリの仕組みとしては以下です。

//#1 AzureActivityテーブルを指定
AzureActivity
//「CategoryValue」フィールドに「Policy」が含まれる行を抽出
| where CategoryValue contains "Policy"
//#2「Properties」内部の列に特定のポリシー割り当てIDが含まれる行を抽出
| where Properties contains "<ポリシーの割り当てID>" 
//#3「Properties」列のJSON文字列を解析し、propsという新しい列に展開
| extend props = parse_json(Properties)
//#4「props」オブジェクト内のisComplianceCheckがFalseである行を抽出
| where props.isComplianceCheck == "False"

#1→4.診断設定で設定
#2→1.ポリシーの割り当てで設定
#4→1.ポリシーの割り当てで確認できるポリシーのコンプライアンス状況を確認し指定

アクションタブにて、アクショングループの設定にて設定したアクショングループを指定します。

詳細タブでは以下を指定しました。
「重大度」は、今回は2-警告を設定しました。

アラート処理ルールの設定

アラートが起きた場合に通知する時間や通知周期などを定義します。通知タイミングや料金事情によって変更しても問題ないです。
たとえば、今回の場合は「月～金のみの間でアラートが発生したときに通知する」としたいので、スケジュールを以下のように設定しました。

また上記で指定したアラートルールのみのアタッチとするため、スコープタブ＞フィルターにてアラートルールIDを指定しました。
※サブスクリプションIDが含まれていたため一部にマスクをしてあります。