Share via

نظرة عامة على Change Tracking and Inventory

  • مقالة

تنبيه

تشير هذه المقالة إلى CentOS، وهو توزيع Linux يقترب من حالة نهاية العمر الافتراضي (EOL). يرجى مراعاة استخدامك والتخطيط وفقا لذلك. لمزيد من المعلومات، راجع إرشادات نهاية العمر الافتراضي CentOS.

هام

تتعرف في هذا المقال على تعقب التغييرات والمخزون Change Tracking and Inventory في Azure Automation. تتعقب هذه الميزة التغييرات التي تحدث في الأجهزة الظاهرية المستضافة في Azure والبيئات الداخلية والبيئات السحابية الأخرى لمساعدتك في تحديد المشكلات التشغيلية والبيئية باستخدام البرامج التي يديرها Distribution Package Manager. تتضمن العناصر التي يتم تعقبها بواسطة ميزة Change Tracking and Inventory:

  • برامج Windows
  • برامج Linux (الحِزم)
  • ملفات Windows وLinux
  • مفاتيح تسجيل Windows
  • خدمات Windows
  • البرامج الخفية من Linux

إشعار

لتعقب تغييرات خاصية Azure Resource Manager، راجع محفوظات تغيير Azure Resource Graph.

يستخدم Change Tracking and Inventory Microsoft Defender for Cloud File Integrity Monitoring (FIM) لفحص نظام التشغيل وملفات التطبيق وWindows Registry. بينما FIM تراقب تلك الكيانات، تتعقب ميزة Change Tracking and Inventory أصلًا ما يلي:

  • التغييرات في البرامج
  • خدمات Windows
  • البرامج الخفية من Linux

قد يؤدي تمكين كافة الميزات المضمَّنة في Change Tracking and Inventory إلى فرض رسوم إضافية. قبل المتابعة، راجع تسعير التنفيذ التلقائي وتسعير Azure Monitor.

تقوم ميزة Change Tracking and Inventory بإعادة توجيه البيانات إلى Azure Monitor Logs، ويتم تخزين هذه البيانات المجمعة في مساحة عمل Log Analytics. تتوفر ميزة File Integrity Monitoring (FIM) فقط عند تمكين Microsoft Defender للخوادم . راجع Microsoft Defender for Cloud Pricing لمعرفة المزيد. تقوم ميزة FIM بتحميل البيانات إلى نفس مساحة عمل Log Analytics مثل تلك التي تم إنشاؤها لتخزين البيانات من Change Tracking and Inventory. نوصي بمراقبة مساحة عمل Log Analytics المرتبطة لتتبع الاستخدام الدقيق. لمزيد من المعلومات حول تحليل استخدام بيانات Azure Monitor Logs، راجع تحليل الاستخدام في مساحة عمل Log Analytics.

تستخدم الأجهزة المتصلة بمساحة عمل Log Analytics عامل Log Analytics لجمع بيانات حول التغييرات على البرامج المثبتة وخدمات Windows وسجل Windows والملفات وبرامج Linux الخفية على الخوادم المراقبة. عندما تتوفر البيانات، يرسلها العامل إلى Azure Monitor Logs لمعالجتها. تطبق Azure Monitor Logs المنطق على البيانات المستلمة، وتسجلها، وتجعلها متاحة للتحليل.

إشعار

تتطلب ميزة Change Tracking and Inventory ربط مساحة عمل Log Analytics بحساب Automation الخاص بك. للحصول على قائمة نهائية بالمناطق المدعومة، راجع تعيينات مساحة عمل Azure. لا تؤثر تعيينات المنطقة على القدرة على إدارة VMs في منطقة منفصلة عن حساب Automation الخاص بك.

كمزود خدمة، قد تكون قد قمت بإلحاق العديد من المستأجرين العملاء بـ Azure Lighthouse. يسمح لك Azure Lighthouse بإجراء عمليات على نطاق واسع عبر العديد من مستأجري Microsoft Entra في وقت واحد، ما يجعل مهام الإدارة مثل تعقب التغييرات والمخزون أكثر كفاءة عبر المستأجرين الذين تتحمل مسؤوليتهم. يمكن لتعقب التغيير والمخزون إدارة الأجهزة في اشتراكات متعددة في نفس المستأجر، أو عبر المستأجرين باستخدام إدارة الموارد المفوضة من Azure.

القيود الحالية

لا تدعم أو تتضمن ميزة Change Tracking and Inventory القيود التالية:

  • تكرار تعقب التسجيل Windows
  • أنظمة ملفات الشبكة
  • طرق تثبيت مختلفة
  • *.exe الملفات المخزنة على Windows
  • العمود Max File Size والقيم غير مستخدمة في التنفيذ الحالي.
  • إذا كنت تتبع التغييرات في الملف، فتقتصر على حجم ملف 5 ميغابايت أو أقل.
  • إذا ظهر >حجم الملف 1.25 ميغابايت، فإن FileContentChecksum غير صحيح بسبب قيود الذاكرة في حساب المجموع الاختباري.
  • إذا حاولت تجميع أكثر من 2500 ملف في دورة جمع مدتها 30 دقيقة، قد ينخفض أداء Change Tracking and Inventory.
  • إذا كانت حركة المرور على الشبكة عالية، فمن الممكن أن يستغرق عرض سجلات التغييرات ست ساعات.
  • إذا قمت بإجراء تعديل على تكوين أثناء إغلاق جهاز أو خادم، فمن الممكن أن ترسل التغييرات المتعلقة بالتكوين السابق.
  • تجميع تحديثات الإصلاح العاجل على أجهزة Windows Server 2016 Core RS3.
  • قد تُظهر برامج Linux الخفية حالة تغيير على الرغم من عدم حدوث أي تغيير. تنشأ هذه المشكلة بسبب طريقة SvcRunLevels كتابة البيانات في جدول Azure Monitor ConfigurationChange .

الحدود

للحصول على الحدود التي تنطبق على Change Tracking and Inventory، راجع حدود خدمة Azure Automation.

أنظمة التشغيل المدعومة

يتم دعم Change Tracking and Inventory على جميع أنظمة التشغيل التي تلبي متطلبات عامل تحليلات السجل. راجع أنظمة التشغيل المدعومة للحصول على قائمة بإصدارات نظام التشغيل Windows وLinux المدعومة حاليا من قبل عامل Log Analytics.

لفهم متطلبات العميل ل TLS 1.2 أو أعلى، راجع TLS ل Azure Automation.

متطلبات Python

يدعم تعقب التغييرات والمخزون الآن Python 2 وPython 3. إذا كان جهازك يستخدم توزيعة لا تتضمن أيا من الإصدارات، فيجب تثبيتها بشكل افتراضي. ستقوم أوامر العينة التالية بتثبيت Python 2 وPython 3 على توزيعات مختلفة.

إشعار

لاستخدام عامل OMS المتوافق مع Python 3، تأكد من إلغاء تثبيت Python 2 أولا؛ وإلا، سيستمر عامل OMS في العمل باستخدام python 2 بشكل افتراضي.

  • Red Hat وCentOS وOracle:
   sudo yum install -y python2
  • أوبونتو، ديبيان:
   sudo apt-get update
   sudo apt-get install -y python2
  • سوسا:
   sudo zypper install -y python2

إشعار

يجب أن يكون الملف التنفيذي Python 2 مستعارا إلى python.

متطلبات الشبكة

تحقق من تكوين شبكة Azure Automation للحصول على معلومات مفصلة حول المنافذ وعناوين URL وتفاصيل الشبكات الأخرى المطلوبة لتعقب التغييرات والمخزون.

تمكين Change Tracking and Inventory

يمكنك تمكين ميزة Change Tracking and Inventory بالطرق التالية:

  • من حساب Automation الخاص بك لواحد أو أكثر من أجهزة Azure وغير Azure.

  • يدويا للأجهزة غير التابعة ل Azure، بما في ذلك الأجهزة أو الخوادم المسجلة مع خوادم Azure Arc الممكنة. بالنسبة للأجهزة المختلطة، نوصي بتثبيت عامل Log Analytics لنظام التشغيل Windows عن طريق توصيل جهازك أولا بالخوادم التي تدعم Azure Arc، ثم استخدام نهج Azure لتعيين نهج توزيع عامل Log Analytics إلى نهج مضمن لأجهزة Linux أو Windows Azure Arc. إذا كنت تخطط أيضا لمراقبة الأجهزة باستخدام Azure Monitor للأجهزة الظاهرية، فاستخدم بدلا من ذلك مبادرة تمكين Azure Monitor للأجهزة الظاهرية .

  • لجهاز Azure ظاهري واحد من صفحة الجهاز الظاهري في مدخل Microsoft Azure. يتوفر هذا السيناريو للأجهزة الظاهرية لـ Linux وWindows.

  • بالنسبة إلى أجهزة Azure الظاهرية المتعددة عن طريق تحديدها من صفحة الأجهزة الظاهرية في مدخل Microsoft Azure.

تعقب تغييرات الملف

لتتبع التغييرات في الملفات على كل من Windows وLinux، فإن ميزة Change Tracking and Inventory تستخدم تجزئات الملفات MD5. تستخدم الميزة هذه التجزئة للكشف عما إذا تم إجراء تغييرات منذ آخر مخزون. لتعقب ملفات Linux، تأكد من أن لديك حق الوصول للقراءة لمستخدم عامل OMS.

تعقب التغييرات في محتوى الملف

تسمح لك Change Tracking and Inventory بعرض محتويات ملفات Windows أو Linux. لكل تغيير في ملف، يخزن Change Tracking and Inventory محتويات الملف في حساب Azure Storage. عندما تقوم بتتبع ملف، يمكنك عرض محتوياته قبل حدوث تغيير أو بعده. يمكن عرض محتوى الملف إما مضمنًا وإما جنبًا إلى جنبٍ.

عرض التغييرات في ملف

تعقب مفاتيح التسجيل

تسمح ميزة Change Tracking and Inventory بمراقبة التغييرات في مفاتيح التسجيل Windows. تسمح لك المراقبة بتحديد نقاط القابلية للتوسعة حيث يمكن أن تنشط التعليمات البرمجية والبرامج الضارة لجهة خارجية. يبين الجدول التالي مفاتيح تسجيل مهيأة مسبقًا (ولكن لم يتم تمكينها بعد). لتعقب هذه المفاتيح، يجب تمكين كل مفتاح.

مفتاح التسجيل الغرض
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup مراقبة البرامج النصية التي يتم تشغيلها عند بدء التشغيل.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown مراقبة البرامج النصية التي تعمل عند إيقاف التشغيل.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run مراقبة المفاتيح التي يتم تحميلها قبل تسجيل دخول المستخدم إلى حساب Windows. يُستخدم المفتاح لتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components مراقبة التغييرات في إعدادات التطبيق.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers يراقب معالجات قائمة السياق التي ترتبط مباشرة بمستكشف Windows ويتم تشغيلها عادة أثناء المعالجة باستخدام explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers يراقب نسخ معالجات الوصل التي ترتبط مباشرة بمستكشف Windows وعادة ما يتم تشغيلها أثناء المعالجة باستخدام explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers مراقبة تسجيل معالج تراكب الرموز.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers مراقبة تسجيل معالج تراكب رمز للتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects مراقبة المكونات الإضافية الجديدة لعنصر مساعد المستعرض Internet Explorer. يُستخدم للوصول إلى نموذج عنصر المستند (DOM) للصفحة الحالية والتحكم في التنقل.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects مراقبة المكونات الإضافية الجديدة لعنصر مساعد المستعرض Internet Explorer. يُستخدم للوصول إلى نموذج عنصر المستند (DOM) من الصفحة الحالية والتحكم في التنقل للتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions مراقبة ملحقات Internet Explorer الجديدة، مثل قوائم الأدوات المخصصة وأزرار شريط الأدوات المخصصة.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions مراقبة ملحقات Internet Explorer الجديدة، مثل قوائم الأدوات المخصصة وأزرار شريط الأدوات المخصصة لتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 مراقبة برامج التشغيل 32 بت المرتبطة بـ wavemapper وwave1 وwave2 وmsacm.imaadpcm و.msadpcm و.msgsm610 وvidc. مشابه لقسم [برامج التشغيل] في ملف system.ini .
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 مراقبة برامج التشغيل 32 بت المرتبطة بـ wavemapper وwave1 وwave2 msacm.imaadpcm و.msadpcm و.msgsm610 وvidc لتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت. مشابه لقسم [برامج التشغيل] في ملف system.ini .
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls مراقبة قائمة النظام المعروف أو شائعة الاستخدام DLLs. تؤدي المراقبة إلى منع الناس من استغلال الأذونات الضعيفة لدليل التطبيق عن طريق إسقاط إصدارات حصان طروادة من نظام DLLs.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify يراقب قائمة الحزم التي يمكن أن تتلقى إعلامات الأحداث من winlogon.exe، نموذج دعم تسجيل الدخول التفاعلي لنظام التشغيل Windows.

دعم الإعادة

تدعم ميزة Change Tracking and Inventory عملية الإعادة، التي تسمح لك بتحديد أحرف البدل لتبسيط التتبع عبر الدلائل. توفر الإعادة أيضًا متغيرات البيئة للسماح لك بتعقب الملفات عبر بيئات ذات أسماء محركات أقراص متعددة أو حيوية. تتضمن القائمة التالية معلومات عامة يجب أن تعرفها عند تكوين الإعادة:

  • يجب توفير Wildcards لتتبع عدة ملفات.

  • يمكنك استخدام أحرف البدل فقط في الجزء الأخير من مسار الملف، على سبيل المثال، c:\folder\file* أو /etc/*.conf.

  • إذا كان لمتغير بيئة مسار غير صالح، ينجح التحقق من الصحة بينما لا ينجح المسار أثناء التنفيذ.

  • يجب تجنب أسماء المسارات العامة عند تعيين المسار، حيث يمكن أن يتسبب هذا النوع من الإعداد في اجتياز عدد كبير جدًّا من المجلدات.

تغيير جمع بيانات Change Tracking and Inventory

يعرض الجدول التالي تكرار جمع البيانات لأنواع التغييرات التي يدعمها Change Tracking and Inventory. لكل نوع، يتم تحديث لقطة البيانات من الحالة الحالية كل 24 ساعة على الأقل.

تغيير النوع التردد
Windows registry 50 دقيقة
Windows file 30 دقيقة
ملف Linux 15 دقيقة
خدمات Windows افتراضي من 10 ثوان إلى 30 دقيقة
: 30 دقيقة
البرامج الخفية من Linux 5 دقائق
برامج Windows 30 دقيقة
برنامج Linux 5 دقائق

يعرض الجدول التالي حدود الصنف المتعقب لكل جهاز لـ Change Tracking and Inventory.

المورد حد
الملف 500
السجل 250
برامج Windows (لا تتضمن الإصلاحات العاجلة) 250
حزم Linux 1250
الخدمات 250
البرامج الخفية 250

يبلغ متوسط استخدام بيانات Log Analytics لجهاز يستخدم Change Tracking and Inventory حوالي 40 ميغابايت شهريًّا، وذلك حسب البيئة. باستخدام ميزة الاستخدام والتكاليف المقدرة Usage and Estimated Costs لمساحة عمل Log Analytics، يمكنك عرض البيانات التي تم تناولها بواسطة Change Tracking and Inventory في مخطط الاستخدام. استخدم طريقة عرض البيانات هذه لتقييم استخدام البيانات وتحديد كيفية تأثيرها في فاتورتك. راجع فهم الاستخدام وتقدير التكاليف.

بيانات خدمات Windows

تردد التحصيل الافتراضي لخدمات Windows هو 30 دقيقة. يمكنك تكوين التردد باستخدام شريط تمرير على علامة التبويب خدمات Windows ضمن تحرير الإعدادات.

شريط تمرير خدمات Windows

لتحسين الأداء، يتتبع عامل Log Analytics التغييرات فقط. قد يؤدي تعيين عتبة عالية إلى تفويت التغييرات إذا عادت الخدمة إلى حالتها الأصلية. يسمح لك تعيين التردد بقيمة أصغر بالتقاط التغييرات التي قد لا يتم تحقيقها بخلاف ذلك.

بالنسبة للخدمات الهامة، نوصي بوضع علامة على حالة بدء التشغيل على أنها تلقائية (تاريخ البدء المتأخر) بحيث، بمجرد إعادة تشغيل الجهاز الظاهري، سيبدأ جمع بيانات الخدمات بعد بدء تشغيل عامل MMA بدلا من البدء بسرعة بمجرد بدء تشغيل الجهاز الظاهري.

إشعار

بينما يمكن للعامل تعقب التغييرات وصولًا إلى فاصل زمني 10 ثوان، فلا يزال تستغرق البيانات بضع دقائق لعرضها في مدخل Azure. لا يزال يتم تعقب وتسجيل التغييرات التي تحدث أثناء الوقت اللازم للعرض في المدخل.

دعم التنبيهات في حالة التكوين

تؤدي قدرة رئيسية لـ Change Tracking and Inventory إلى التنبيه بالتغييرات التي تحدث في حالة التكوين للبيئة المختلطة الخاصة بك. تتوفر العديد من الإجراءات المفيدة لتشغيل استجابةٍ للتنبيهات. على سبيل المثال، الإجراءات على وظائف Azure وكتب تشغيل Automation والإشعارات على الويب وما إلى ذلك. يعد التنبيه بشأن التغييرات في ملف c:\windows\system32\drivers\etc\hosts لجهاز ما أحد التطبيقات الجيدة للتنبيهات لبيانات تعقب التغييرات والمخزون. هناك العديد من السيناريوهات الخاصة بالتنبيه أيضًا، بما في ذلك سيناريوهات الاستعلام المحددة في الجدول التالي.

الاستعلام ‏‏الوصف
تغيير التكوين
| حيث يحتوي ConfigChangeType == "Files" وFileSystemPath على " c:\windows\system32\drivers\"		 مفيد لتعقب التغييرات على الملفات الهامة للنظام.
تغيير التكوين
| حيث يحتوي FieldsChanged على "FileContentChecksum" وFilySystemPath == "c:\windows\system32\drivers\etc\hosts"		 مفيد لتعقب التعديلات على ملفات التكوين الرئيسية.
تغيير التكوين
| حيث يحتوي ConfigChangeType == "WindowsServices" وSvcName على "w3svc" وSvcState == "متوقف"		 مفيد لتتبع التغييرات في الخدمات الحيوية للنظام.
تغيير التكوين
| حيث يحتوي ConfigChangeType == "Daemons" وSvcName على "ssh" وSvcState!= "Running"		 مفيد لتتبع التغييرات في الخدمات الحيوية للنظام.
تغيير التكوين
| حيث ConfigChangeType == "Software" و ChangeCategory == "added"		 مفيد للبيئات التي تحتاج إلى تكوينات برامج مؤمنة.
بيانات التكوين
| حيث يحتوي SoftwareName على "عامل المراقبة" و CurrentVersion!= "8.0.11081.0"		 مفيدة لرؤية الأجهزة التي لديها إصدار البرامج القديمة أو غير المتوافقة المثبتة. يقوم هذا الاستعلام بالإبلاغ عن حالة التكوين الأخيرة التي تم الإبلاغ عنها، ولكنه لا يبلغ عن التغييرات.
تغيير التكوين
| حيث RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"		 مفيدة لتتبع التغييرات في مفاتيح مكافحة الفيروسات الحاسمة.
تغيير التكوين
| حيث يحتوي RegistryKey على @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"		 مفيدة لتعقب التغييرات في إعدادات جدار الحماية.

تحديث عامل Log Analytics إلى أحدث إصدار

بالنسبة إلى Change Tracking & Inventory، تستخدم الأجهزة عامل Log Analytics لجمع بيانات حول التغييرات في البرامج المثبتة وخدمات Windows وسجل Windows والملفات وبرامج Linux الخفية على الخوادم المراقبة. قريبا، لن يقبل Azure الاتصالات من الإصدارات القديمة من عامل Windows Log Analytics (LA)، المعروف أيضا باسم عامل مراقبة Windows Microsoft (MMA)، الذي يستخدم أسلوبا قديما لمعالجة الشهادات. نوصي بترقية وكيلك إلى أحدث إصدار في أقرب وقت ممكن.

لا تتأثر العوامل الموجودة على الإصدار - 10.20.18053 (الحزمة) و1.0.18053.0 (الملحق) أو الأحدث استجابة لهذا التغيير. إذا كنت تستخدم وكيلا قبل ذلك، فلن يتمكن وكيلك من الاتصال، ويمكن أن تتوقف أنشطة تدفق تعقب التغيير والمخزون وأنشطة انتقال البيانات من الخادم. يمكنك التحقق من إصدار عامل LA الحالي في جدول HeartBeat داخل مساحة عمل LA.

تأكد من الترقية إلى أحدث إصدار من عامل Windows Log Analytics (MMA) باتباع هذه الإرشادات.

الخطوات التالية