我正在寻找一种方法来设置 Azure 更新管理器的监控并启用 splunk 警报来检查虚拟机上失败的补丁。现在,我正在 azure 资源图浏览器中编写 KQL 查询,以获取 Windows/Linux 计算机上失败的补丁列表。但在大规模上,我们如何才能集体做到这一点以接收失败的写入警报。
我编写了一个 KQL 查询并使用 patchresults 表根据订阅和环境筛选出值
下面是您可以在 Azure 资源图浏览器中使用的查询,以获取特定资源的补丁结果。
resources
| where type == 'microsoft.compute/virtualmachines'
| project id, name, resourceGroup
| join kind=inner (
patchassessmentresources
| where properties.status == "Failed"
| project VMresid = tolower(id), patchStatus = properties.status
) on $left.id == $right.VMresid
| project resourceGroup, name, patchStatus
| order by patchStatus desc
注意:您可以根据需求和可用性修改
ostype
等投影参数。
成功执行查询后,您可以通过将结果集成到 Azure Monitor 或 Splunk 来设置警报,以便在满足条件时接收触发通知。