こんにちは、今日はAzureでの更新管理機能である Azure Automation Update Management (AAUM)についてまとめてみました
Azure Automation Update Management の概要 | Microsoft Learn
更新管理の課題
更新管理を怠ると OS の脆弱性がそのまま放置されていたり、最新機能が使えなかったりと様々な不便が生じます
一方で 大量のサーバーを管理している管理者の方からすると更新管理は非常に大変なお仕事です
いくつか更新管理の課題を挙げてみます
- サーバーの更新プログラム適用状況の把握
- 更新プログラムに含まれる既知の問題の把握
- 更新プログラムの適用
- Windows, Linux で管理方法が異なる
どうでしょうか、こんなもんじゃない という方もいるのではないでしょうか?
これらの課題を解決できる可能性があるのが AAUM です
Azure Automation Update Management とは?
AAUM(長いので省略します)はAzure Portal から更新管理ができる機能になります
百聞は一見に如かずということでまずは画面を見てください
初見だとどこを見ればいいのか難しいので、画面の解説をしてみます
ここでは監視対象のサーバー全体の状況を把握することができます
OS への影響度が高い更新プログラムがインストールされていないと非準拠マシンとしてカウントされます
3/6 のサーバーが非準拠としてカウントされているので早急に対処しないといけないです。。。!
「どのサーバーなんだ?」と詳細を知りたい場合は画面下部を見てみます
ここで各サーバーごとの状況を確認できます
winser2016, winser2022, winser2019ja,aaum.demo の3つが非準拠であることがわかりました
プラットフォームという欄を見ると Azure 以外 と書かれています
実はこの機能オンプレミスや AWS, GCP などの他のクラウドサービス上のサーバーも対象にすることができます
少し脱線してしまいました
サーバーを確認して次に知りたいのは「なんの更新プログラムがあたってないんだ?」ですよね
詳細を知りたい場合は対象のコンピューター名を選択します
Log Analytics ワークスペースの画面に移動して足りていない更新プログラム名や KB番号を把握することができました!
※見やすくするために project-reorder を使って順番を入れ替えています
これらの情報を見れば課題の 1 つ目 「サーバーの更新プログラム適用状況の把握」について解決 できそうです
ただし KB 番号を把握しても、そこから詳細情報を検索して、、となると少し手間ですよね
そこで画面を一つ戻って [インストールされていない更新プログラム] を見てみると
一番右に各 KB のリンクが生成されています
ここから簡単に KB の詳細にアクセスすることができるので、課題の 2 つ目 「更新プログラムに含まれる既知の問題の把握」も解決できます
足りていない更新プログラムがわかったところで適用が大変なのはまだまだ変わっていません
今度は画面上部に注目します
**[更新プログラムの展開のスケジュール]**という項目があります
ここから 対象にしたいサーバーの選択、更新プログラムの選択、スケジュールの決定などを設定することが可能です
そして対象とする OS は Windows も Linux も含まれます!
これで一気に 「更新プログラムの適用」「Windows, Linux で管理方法が異なる」の2つの課題も解決です!!
これだけ盛りだくさんの機能を使うためには事前準備が大変なんじゃないかと思いますよね
そんなことありません!!
対象のサーバーにエージェントをインストールし、Azure で2つのリソース(Log Analytics, Automation Account)を作成するだけで利用可能になります
まとめ
今回は Azure Automation Update Management についてまとめてみました
実は1年前に Qiita のほうでもまとめています。よかったらそちらの方も見てみてください
Azure Automation Update Management ってなんぞや - Qiita
機会があればWSUSとの組み合わせた利用例などもまとめてみたいと思います