Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje přehled služby Azure Change Tracking a Inventory (CTI) s využitím agenta služby Azure Monitor (AMA). Tento článek obsahuje také klíčové funkce a výhody služby.
Co je sledování změn a inventář
Služba Azure CTI vylepšuje auditování a správu pro operace v hostujících operačních systémech monitorováním změn a poskytováním podrobných protokolů inventáře pro servery napříč Azure, místními prostředími a dalšími cloudovými prostředími.
Důležité
Doporučujeme používat Azure CTI s rozšířením Change Tracking verze 2.20.0.0 nebo novější.
Sledování změn:
- Monitoruje změny, včetně úprav souborů, klíčů registru, instalací softwaru a služeb Systému Windows nebo démon Linuxu.
- Poskytuje podrobné protokoly o tom, co a kdy byly provedeny změny, což vám umožní rychle detekovat odchylky konfigurace nebo neoprávněné změny.
Metadata sledování změn se ingestují do tabulky ConfigurationChange v připojeném pracovním prostoru LA. Další informace.
Poznámka:
Data Azure CTI se protokolují jak pro aplikace na úrovni systému, tak pro aplikace na úrovni uživatele. Data na úrovni systému se vždy protokolují, ale aplikace na úrovni uživatele se zobrazí pouze v případě, že se uživatel přihlásí k počítači; pokud se uživatel odhlásí, označí se tyto aplikace jako Odebrané.
Inventář:
- Shromažďuje a udržuje aktualizovaný seznam nainstalovaných softwaru, podrobností operačního systému a dalších konfigurací serveru v propojeném pracovním prostoru LA.
- Pomáhá vytvořit přehled systémových prostředků, což je užitečné pro dodržování předpisů, audity a proaktivní údržbu.
- Metadata inventáře se ingestují do tabulky ConfigurationData v připojeném pracovním prostoru LA. Další informace.
Klíčové výhody služby Azure Change Tracking a Inventory
Tady jsou klíčové výhody:
- Kompatibilita s jednotným monitorovacím agentem – kompatibilní s Azure Monitor agentem, který vylepšuje zabezpečení, spolehlivost a usnadňuje multihoming zkušenosti pro ukládání dat.
- Kompatibilita s nástrojem pro sledování – Kompatibilní s rozšířením Change Tracking (CT) nasazeným prostřednictvím služby Azure Policy na virtuálním počítači klienta. Můžete přepnout na AMA a potom CT rozšíření přenese software, soubory a registr do registru na AMA.
- Prostředí pro vícenásobné navádání – poskytuje standardizaci správy z jednoho centrálního pracovního prostoru. Můžete přejít z Log Analytics (LA) na AMA , aby všechny virtuální počítače ukazovaly na jeden pracovní prostor pro shromažďování a údržbu dat.
- Správa pravidel – používá pravidla shromažďování dat ke konfiguraci nebo přizpůsobení různých aspektů shromažďování dat. Můžete například změnit frekvenci shromažďování souborů.
Informace o podporovaných operačních systémech najdete v matici podpory a oblastech pro Azure CTI.
Povolení služby Azure Change Tracking a Inventory
Azure CTI můžete povolit následujícími způsoby:
Pro servery s podporou Azure Arc (počítače mimo Azure) si projděte iniciativu Povolit sledování změn a inventarizaci pro virtuální počítače s podporou Arc v >. Pokud chcete povolit Azure CTI ve velkém měřítku, použijte řešení založené na zásadách DINE . Další informace najdete v tématu Rychlý start – Povolení služby Azure Change Tracking a Inventory.
Pro jeden virtuální počítač Azure z podokna Virtuálního počítače na webu Azure Portal. Tento scénář je k dispozici pro virtuální počítače s Linuxem a Windows.
Pro jeden a více virtuálních počítačů Azure jejich výběrem z podokna Virtuální počítače na webu Azure Portal.
Sledování změn souborů
Ke sledování změn v souborech ve Windows i Linuxu používá Azure CTI hodnoty hash SHA256 souborů. Tato funkce pomocí hodnot hash zjistí, jestli byly provedeny změny od posledního inventáře.
Sledování změn obsahu souboru
Azure CTI umožňuje zobrazit obsah souboru s Windows nebo Linuxem. Pro každou změnu souboru ukládá Azure CTI obsah souboru do účtu Azure Storage. Když sledujete soubor, můžete jeho obsah zobrazit před nebo po změně. Obsah souboru se dá zobrazit buď přímo, nebo vedle sebe. Další informace.
Sledování klíčů registru
Azure CTI umožňuje monitorování změn klíčů registru Windows. Monitorování umožňuje určit body rozšiřitelnosti, kde se může aktivovat kód a malware třetích stran. Následující tabulka uvádí předem nakonfigurované (ale nepovolené) klíče registru. Pokud chcete tyto klíče sledovat, musíte je povolit.
| Klíč registru | Účel |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Monitoruje skripty, které se spouští při spuštění. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Monitoruje skripty, které běží při vypnutí. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Monitoruje klíče načtené před přihlášením uživatele k účtu Systému Windows. Klíč se používá pro 32bitové aplikace běžící na 64bitových počítačích. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Monitoruje změny nastavení aplikace. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Monitoruje obslužné rutiny místní nabídky, které se připojují přímo k Průzkumníku Windows a obvykle běží v procesu pomocí explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Monitoruje obslužné rutiny háku kopírování, které se připojují přímo do Průzkumníka Windows a obvykle běží v procesu pomocí explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitoruje registraci obslužné rutiny překrytí ikon. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitoruje registraci obslužné rutiny překrytí ikon pro 32bitové aplikace spuštěné na 64bitových počítačích. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitory pro nové moduly plug-in pomocných objektů prohlížeče pro Internet Explorer. Používá se pro přístup k modelu DOM (Document Object Model) aktuálního podokna a k řízení navigace. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitory pro nové moduly plug-in pomocných objektů prohlížeče pro Internet Explorer. Používá se pro přístup k modelu DOM (Document Object Model) aktuálního podokna a k řízení navigace pro 32bitové aplikace spuštěné na 64bitových počítačích. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Monitory pro nová rozšíření Internet Exploreru, například vlastní nabídky nástrojů a tlačítka vlastního panelu nástrojů. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Monitory pro nová rozšíření Internet Exploreru, jako jsou vlastní nabídky nástrojů a tlačítka vlastních panelů nástrojů pro 32bitové aplikace spuštěné na 64bitových počítačích. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitoruje 32bitové ovladače asociované s wavemapperem, wave1 a wave2, msacm.imaadpcm, .msadpcm, .msgsm610 a vidc. Podobá se části [ovladače] v souboru system.ini . |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitoruje 32bitové ovladače asociované s wavemapperem, wave1 a wave2, msacm.imaadpcm, .msadpcm, .msgsm610 a vidc pro 32bitové aplikace běžící na 64bitových počítačích. Podobá se části [ovladače] v souboru system.ini . |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Monitoruje seznam známých nebo běžně používaných systémových knihoven DLL. Monitorování brání uživatelům v zneužití slabých oprávnění adresářů aplikací vyřazením v trojských verzích systémových knihoven DLL. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Monitoruje seznam balíčků, které můžou přijímat oznámení událostí z winlogon.exe, interaktivní model podpory přihlášení pro Windows. |
Další kroky
Projděte si matici podpory a oblasti pro Azure CTI.