változáskövetés és leltározás áttekintése

  • Cikk

Ez a cikk a Azure Automation változáskövetés és leltározás ismerteti. Ez a funkció nyomon követi az Azure-ban, a helyszínen és más felhőkörnyezetekben üzemeltetett virtuális gépek változásait, hogy könnyebben megállapíthassa a terjesztési csomagkezelő által felügyelt szoftverekkel kapcsolatos üzemeltetési és környezeti problémákat. A változáskövetés és leltározás nyomon követett elemek közé tartoznak a következők:

  • Windows-szoftver
  • Linux-szoftver (csomagok)
  • Windows- és Linux-fájlok
  • Windows beállításkulcsok
  • Windows-szolgáltatások
  • Linux-démonok

Megjegyzés

Az Azure Resource Manager tulajdonságváltozásainak nyomon követéséhez tekintse meg az Azure Resource Graph változási előzményeit.

változáskövetés és leltározás a felhőbeli fájlintegritási monitorozáshoz (FIM) Microsoft Defender használ az operációs rendszer- és alkalmazásfájlok, valamint a Windows Beállításjegyzék vizsgálatához. Míg a FIM figyeli ezeket az entitásokat, változáskövetés és leltározás natív módon követi nyomon:

  • Szoftvermódosítások
  • Windows-szolgáltatások
  • Linux-démonok

A változáskövetés és leltározás összes funkcióának engedélyezése további díjakat okozhat. A folytatás előtt tekintse át az Automation díjszabását és az Azure Monitor díjszabását.

változáskövetés és leltározás adatokat továbbít az Azure Monitor-naplóknak, és ezeket az összegyűjtött adatokat egy Log Analytics-munkaterület tárolja. A Fájlintegritási monitorozás (FIM) funkció csak akkor érhető el, ha a kiszolgálók Microsoft Defender engedélyezve van. További információ: Microsoft Defender a felhő díjszabásához. A FIM ugyanarra a Log Analytics-munkaterületre tölt fel adatokat, mint amelyet a változáskövetés és leltározás adatainak tárolására hoztak létre. Javasoljuk, hogy monitorozza a társított Log Analytics-munkaterületet a pontos használat nyomon követése érdekében. Az Azure Monitor Naplók adathasználatának elemzésével kapcsolatos további információkért lásd: Használat elemzése a Log Analytics-munkaterületen.

A Log Analytics-munkaterülethez csatlakoztatott gépek a Log Analytics-ügynökkel gyűjtenek adatokat a telepített szoftverek, a Windows-szolgáltatások, a Windows beállításjegyzéke és fájljai, valamint a linuxos démonok monitorozott kiszolgálókon végzett változásairól. Ha rendelkezésre állnak adatok, az ügynök elküldi azokat az Azure Monitor-naplóknak feldolgozás céljából. Az Azure Monitor-naplók logikát alkalmaznak a fogadott adatokra, rögzítik és elemzésre elérhetővé teszik azokat.

Megjegyzés

változáskövetés és leltározás Log Analytics-munkaterületet kell csatlakoztatnia az Automation-fiókjához. A támogatott régiók végleges listájáért lásd: Azure Workspace-leképezések. A régióleképezések nem befolyásolják az Automation-fióktól eltérő régióban lévő virtuális gépek kezelését.

Előfordulhat, hogy szolgáltatóként több ügyfélbérlőt is előkészített az Azure Lighthouse-hoz. Az Azure Lighthouse lehetővé teszi, hogy egyszerre több Azure Active Directory-bérlőn (Azure AD) hatékonyan hajtsa végre a műveleteket, így hatékonyabbá téve az olyan felügyeleti feladatokat, mint változáskövetés és leltározás a felelős bérlők között. változáskövetés és leltározás több előfizetésben lévő gépeket is kezelhet ugyanabban a bérlőben, vagy a bérlők között az Azure delegált erőforrás-kezelésével.

Aktuális korlátozások

változáskövetés és leltározás nem támogatja vagy korlátozza a következő korlátozásokat:

  • Rekurzió a Windows beállításjegyzék-nyomkövetéséhez
  • Hálózati fájlrendszerek
  • Különböző telepítési módszerek
  • *.exe Windowson tárolt fájlok
  • A Maximális fájlméret oszlop és értékek nem használhatók az aktuális implementációban.
  • Ha nyomon követi a fájlmódosításokat, az legfeljebb 5 MB méretű fájlméretre korlátozódik.
  • Ha a fájlméret >1,25 MB, akkor a FileContentChecksum helytelen, mert memóriakorlátok jelentkeznek az ellenőrzőösszeg számításában.
  • Ha 30 perces gyűjtési ciklusban több mint 2500 fájlt próbál összegyűjteni, változáskövetés és leltározás teljesítmény csökkenhet.
  • Ha a hálózati forgalom magas, a rekordok módosítása akár hat órát is igénybe vehet.
  • Ha módosít egy konfigurációt egy gép vagy kiszolgáló leállítása közben, az az előző konfigurációhoz tartozó módosításokat is közzéteheti.
  • Gyorsjavítási frissítések gyűjtése Windows Server 2016 Core RS3-gépeken.
  • A Linux-démonok módosult állapotot mutathatnak annak ellenére, hogy nem történt változás. Ez a probléma az Azure Monitor ConfigurationChange tábla adatainak írási módja SvcRunLevels miatt merül fel.

Korlátok

A változáskövetés és leltározás vonatkozó korlátozásokért lásd: Azure Automation szolgáltatáskorlátok.

Támogatott operációs rendszerek

változáskövetés és leltározás minden olyan operációs rendszeren támogatott, amely megfelel a Log Analytics-ügynök követelményeinek. A Log Analytics-ügynök által jelenleg támogatott Windows- és Linux operációsrendszer-verziók listáját lásd a támogatott operációs rendszerekről .

A TLS 1.2 ügyfélkövetelményeivel kapcsolatos tájékoztatásért lásd: TLS 1.2 az Azure Automationhöz.

Python-követelmény

változáskövetés és leltározás mostantól támogatja a Python 2-t és a Python 3-at. Ha a gép olyan disztribúciót használ, amely egyik verziót sem tartalmazza, alapértelmezés szerint telepítenie kell őket. A következő mintaparancsok a Python 2-t és a Python 3-at telepítik különböző disztribúciókra.

Megjegyzés

A Python 3-tal kompatibilis OMS-ügynök használatához először távolítsa el a Python 2-t; ellenkező esetben az OMS-ügynök alapértelmezés szerint a Python 2-vel fog futni.

  • Red Hat, CentOS, Oracle:
   sudo yum install -y python2
  • Ubuntu, Debian:
   sudo apt-get update
   sudo apt-get install -y python2
  • SUSE:
   sudo zypper install -y python2

Megjegyzés

A Python 2 végrehajtható fájlnak Python-aliasként kell lennie.

A hálózatra vonatkozó követelmények

A változáskövetés és leltározás szükséges portokkal, URL-címekkel és egyéb hálózatkezelési részletekkel kapcsolatos részletes információkért tekintse meg Azure Automation hálózati konfigurációt.

A Change Tracking és az Inventory engedélyezése

A változáskövetés és leltározás a következő módokon engedélyezheti:

Fájlmódosítások nyomon követése

A windowsos és a linuxos fájlok változásainak nyomon követéséhez változáskövetés és leltározás a fájlok MD5-kivonatait használja. A funkció a kivonatokkal észleli, hogy történt-e módosítás az utolsó leltár óta. A Linux-fájlok nyomon követéséhez győződjön meg arról, hogy rendelkezik OLVASÁSI hozzáféréssel az OMS-ügynök felhasználójához.

Fájltartalom változásainak nyomon követése

változáskövetés és leltározás lehetővé teszi egy Windows- vagy Linux-fájl tartalmának megtekintését. A fájl minden módosításához változáskövetés és leltározás a fájl tartalmát egy Azure Storage-fiókban tárolja. Egy fájl nyomon követésekor megtekintheti annak tartalmát a módosítás előtt vagy után. A fájl tartalma beágyazottan vagy egymás mellett tekinthető meg.

Fájlok módosításainak megtekintése

Beállításkulcsok nyomon követése

változáskövetés és leltározás lehetővé teszi a Windows beállításkulcsainak változásainak figyelését. A monitorozás lehetővé teszi a bővíthetőségi pontok rögzítését, ahol a külső kód és a kártevők aktiválhatók. Az alábbi táblázat az előre konfigurált (de nem engedélyezett) beállításkulcsokat sorolja fel. A kulcsok nyomon követéséhez mindegyiknek engedélyeznie kell őket.

Beállításjegyzék kulcsa Cél
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Az indításkor futó szkripteket figyeli.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Figyeli a leállításkor futó szkripteket.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Figyeli azokat a kulcsokat, amelyek azelőtt töltődnek be, hogy a felhasználó bejelentkezik a Windows-fiókba. A kulcsot a 64 bites számítógépeken futó 32 bites alkalmazásokhoz használják.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Figyeli az alkalmazásbeállítások változásait.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Figyeli a helyi menükezelőket, amelyek közvetlenül a Windows Intézőbe csatlakoznak, és általában folyamatban futnak explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers A monitorok közvetlenül a Windows Intézőbe horgoló horogkezelőket másolnak, és általában folyamatban futnak explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Ikont átfedő kezelő regisztrációjának figyelése.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Figyeli a 64 bites számítógépeken futó 32 bites alkalmazások ikont átfedő kezelőinek regisztrációit.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Figyeli az Internet Explorer új böngésző segédobjektum-beépülő modulját. Az aktuális oldal dokumentumobjektum-modelljének (DOM) elérésére és a navigáció szabályozására szolgál.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Figyeli az Internet Explorer új böngésző segédobjektum-beépülő modulját. Az aktuális lap dokumentumobjektum-modelljének (DOM) elérésére és a 64 bites számítógépeken futó 32 bites alkalmazások navigációjának szabályozására szolgál.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions Figyeli az új Internet Explorer-bővítményeket, például az egyéni eszközmenüket és az egyéni eszköztárgombokat.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Figyeli az új Internet Explorer-bővítményeket, például az egyéni eszközmenüket és az egyéni eszköztárgombokat a 64 bites számítógépeken futó 32 bites alkalmazásokhoz.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Figyeli a wavemapper, wave1 és wave2, msacm.imaadpcm, .msadpcm, .msgsm610 és vidc 32 bites illesztőprogramjait. Hasonló a system.ini fájl [illesztőprogramok] szakaszához.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Figyeli a wavemapper, wave1 és wave2, msacm.imaadpcm, .msadpcm, .msgsm610 és vidc 32 bites alkalmazásokhoz társított 32 bites illesztőprogramokat, amelyek 64 bites számítógépeken futnak. Hasonló a system.ini fájl [illesztőprogramok] szakaszához.
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Figyeli az ismert vagy gyakran használt rendszer DLL-ek listáját. A monitorozás megakadályozza, hogy az emberek kihasználják a gyenge alkalmazáscímtár-engedélyeket azáltal, hogy a rendszer DLL-jeinek trójai faló verzióit eldobják.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Figyeli azoknak a csomagoknak a listáját, amelyek eseményértesítéseket fogadhatnak winlogon.exe, a Windows interaktív bejelentkezési támogatási modelljétől.

Rekurzió támogatása

változáskövetés és leltározás támogatja a rekurziót, amely lehetővé teszi helyettesítő karakterek megadását a könyvtárak közötti nyomon követés leegyszerűsítése érdekében. A rekurzió környezeti változókat is biztosít, amelyekkel több vagy dinamikus meghajtónévvel rendelkező környezetek fájljait követheti nyomon. Az alábbi lista a rekurzió konfigurálásához szükséges gyakori információkat tartalmazza:

  • Több fájl nyomon követéséhez helyettesítő karakterekre van szükség.

  • Helyettesítő karaktereket csak a fájlelérési út utolsó szegmensében használhat, például c:\folder\file* vagy /etc/*.conf.

  • Ha egy környezeti változó elérési útja érvénytelen, az ellenőrzés sikeres, de az elérési út sikertelen a végrehajtás során.

  • Az elérési út beállításakor kerülnie kell az általános elérésiút-neveket, mivel az ilyen típusú beállítás túl sok mappa bejárását okozhatja.

változáskövetés és leltározás adatgyűjtés

A következő táblázatban a változáskövetés és leltározás által támogatott módosítástípusok adatgyűjtési gyakorisága látható. Az aktuális állapot adatpillanatképe minden típus esetében legalább 24 óránként frissül.

Típus módosítása Gyakoriság
Windows beállításjegyzék 50 perc
Windows-fájl 30 perc
Linux-fájl 15 perc
Windows-szolgáltatások 10 másodperctől 30 percig
Alapértelmezett: 30 perc
Linux-démonok 5 perc
Windows-szoftver 30 perc
Linux-szoftver 5 perc

Az alábbi táblázat az egyes gépeken változáskövetés és leltározás nyomon követett elemekre vonatkozó korlátozásokat mutatja be.

Erőforrás Korlátoz
Fájl 500
Regisztrációs adatbázis 250
Windows-szoftver (a gyorsjavításokat nem beleértve) 250
Linux-csomagok 1250
Szolgáltatások 250
Démonok 250

Az változáskövetés és leltározás használó gépek átlagos Log Analytics-adathasználata a környezettől függően havonta körülbelül 40 MB. A Log Analytics-munkaterület Használat és becsült költségek funkciójával megtekintheti az változáskövetés és leltározás által betöltött adatokat egy használati diagramon. Ezzel az adatnézetelmével kiértékelheti az adathasználatot, és megállapíthatja, hogy az milyen hatással van a számlára. Lásd: [A használat ismertetése és a költségek becslése](.). /.. /azure-monitor/logs/usage-estimated-costs.md#A használat ismertetése és a tarifacsomag optimalizálása).

Windows-szolgáltatások adatai

A Windows-szolgáltatások alapértelmezett gyűjtési gyakorisága 30 perc. A gyakoriságot a Windows-szolgáltatások lap Beállítások szerkesztése területén található csúszkával konfigurálhatja.

Windows-szolgáltatások csúszka

A teljesítmény optimalizálása érdekében a Log Analytics-ügynök csak a változásokat követi nyomon. Ha magas küszöbértéket állít be, a módosítások kimaradhatnak, ha a szolgáltatás visszatér az eredeti állapotához. Ha a gyakoriságot kisebb értékre állítja, akkor észlelheti az egyébként kihagyott módosításokat.

Kritikus szolgáltatások esetén azt javasoljuk, hogy az indítási állapotot automatikusként (késleltetett indítás) jelölje meg, hogy a virtuális gép újraindulását követően a szolgáltatások adatgyűjtése az MMA-ügynök elindulása után induljon el ahelyett, hogy a virtuális gép üzembe helyezése után azonnal elindulnánk.

Megjegyzés

Bár az ügynök 10 másodperces időközre képes nyomon követni a változásokat, az adatok megjelenítése még néhány percet vesz igénybe a Azure Portal. A portálon való megjelenítés ideje alatt bekövetkező változásokat a rendszer továbbra is nyomon követi és naplózza.

Konfigurációs állapotra vonatkozó riasztások támogatása

A változáskövetés és leltározás egyik fő képessége, hogy riasztást küld a hibrid környezet konfigurációs állapotának változásairól. Számos hasznos művelet érhető el a riasztásokra adott válaszként történő aktiváláshoz. Ilyenek például az Azure-függvények, az Automation-runbookok, a webhookok és hasonlók műveletei. A gép c:\windows\system32\drivers\etc\hosts fájljának változásairól való riasztások az változáskövetés és leltározás adatokra vonatkozó riasztások egyik jó alkalmazása. A riasztáshoz számos további forgatókönyv is rendelkezésre áll, beleértve a következő táblázatban meghatározott lekérdezési forgatókönyveket is.

Lekérdezés Leírás
ConfigurationChange
| where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\"		 Hasznos a rendszerkritikus fájlok változásainak nyomon követéséhez.
ConfigurationChange
| where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"		 Hasznos a kulcskonfigurációs fájlok módosításainak nyomon követéséhez.
ConfigurationChange
| ahol a ConfigChangeType == "WindowsServices" és az SvcName tartalmazza a "w3svc" és az SvcState == "Stopped" értéket		 Hasznos a rendszerkritikus szolgáltatások változásainak nyomon követéséhez.
ConfigurationChange
| ahol a ConfigChangeType == "Démonok" és az SvcName az "ssh" és az SvcState!= "Running" értéket tartalmazzák		 Hasznos a rendszerkritikus szolgáltatások változásainak nyomon követéséhez.
ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Added"		 A zárolt szoftverkonfigurációkat igénylő környezetekben hasznos.
ConfigurationData
| where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"		 Hasznos, ha azt látja, hogy mely gépeken van telepítve elavult vagy nem megfelelő szoftververzió. Ez a lekérdezés az utolsó jelentett konfigurációs állapotot jelenti, de nem jelent módosításokat.
ConfigurationChange
| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"		 Hasznos a kulcsfontosságú víruskereső kulcsok változásainak nyomon követéséhez.
ConfigurationChange
| ahol a RegistryKey tartalmazza @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"		 Hasznos a tűzfalbeállítások változásainak nyomon követéséhez.

A Log Analytics-ügynök frissítése a legújabb verzióra

A Change Tracking & Inventory esetében a gépek a Log Analytics-ügynökkel gyűjtik a telepített szoftverek, a Windows-szolgáltatások, a Windows beállításjegyzéke és fájljai, valamint a linuxos démonok változásaival kapcsolatos adatokat a figyelt kiszolgálókon. Hamarosan az Azure már nem fogadja el a Windows Log Analytics(LA) ügynök régebbi verzióiból, más néven a Windows Microsoft Monitoring Agentből (MMA) származó kapcsolatokat, amelyek egy régebbi módszert használnak a tanúsítványkezeléshez. Javasoljuk, hogy a lehető leghamarabb frissítse az ügynököt a legújabb verzióra.

A változásra a 10.20.18053-es verzióban (csomag) és az 1.0.18053.0-s verzióban (bővítmény) vagy újabb verzióban lévő ügynökök nem lesznek hatással. Ha ezt megelőzően ügynökkel dolgozik, az ügynök nem tud csatlakozni, és a Change Tracking & Inventory-folyamat & lefelé irányuló tevékenységei leállhatnak. Az LA-munkaterületen belül a HeartBeat táblában ellenőrizheti az la-ügynök aktuális verzióját.

Győződjön meg arról, hogy az irányelveknek megfelelően frissít a Windows Log Analytics-ügynök (MMA) legújabb verziójára.

Következő lépések