A változáskövetés és a leltár áttekintése az Azure Monitoring Agent használatával

A következőkre vonatkozik: ✔️ Windows rendszerű virtuális ✔️ gépek Linux rendszerű ✔️ virtuális gépek Windows Registry ✔️ Windows Files ✔️ Linux Files ✔️ Windows Software ✔️ Windows Services &Linux Démonok

Fontos

• A változáskövetés és a leltár jelenleg a Log Analytics-ügynököt használja, és ez az ütemezés szerint 2024.augusztus 31-ig megszűnik. Javasoljuk, hogy az Azure Monitoring Agentet használja új támogató ügynökként.
• Útmutatás a Change Tracking &Inventory-ről a Log Analytics-ügynökről az Azure Monitoring Agentre való migráláshoz, ha az általánosan elérhető. További információ.
• Javasoljuk, hogy a változáskövetést az Azure Monitoring Agenttel használja a 2.20.0.0.0-s (vagy újabb) változáskövetési bővítménysel a szolgáltatás GA-verziójának eléréséhez.

Ez a cikk bemutatja a változáskövetési támogatás legújabb verzióját, amely az Azure Monitoring Agentet egyedi ügynökként használja adatgyűjtéshez.

Megjegyzés:

A Log Analytics-ügynökön alapuló fájlintegritási monitorozás jelenlegi GA-verziója 2024 augusztusában megszűnik, és hamarosan az MDE-n keresztül is elérhető lesz egy új verzió.  Az Azure Monitor-ügynökön (AMA) alapuló FIM nyilvános előzetes verzió elavult lesz, ha az alternatívát az MDE-n keresztül biztosítja. Ezért az AMA nyilvános előzetes verziójú FIM-et nem tervezik a ga számára. A közleményt itt olvashatja el.

Fő előnyök

• Kompatibilitás az egyesített monitorozási ügynökkel – Kompatibilis az Azure Monitor-ügynökkel, amely javítja a biztonságot, a megbízhatóságot, és megkönnyíti a többhelyes adattárolást.
• Kompatibilitás a követési eszközzel– Kompatibilis az ügyfél virtuális gépén az Azure Policy használatával üzembe helyezett Változáskövetési (CT) bővítménysel. Válthat az Azure Monitor Agentre (AMA), majd a CT-bővítmény leküldi a szoftvert, a fájlokat és a beállításjegyzéket az AMA-ba.
• Többhelyes kezelés – A felügyelet egységesítését biztosítja egy központi munkaterületről. A Log Analyticsről (LA) áttérhet az AMA-ra , hogy az összes virtuális gép egyetlen munkaterületre mutasson adatgyűjtés és karbantartás céljából.
• Szabályok kezelése – Adatgyűjtési szabályok használatával konfigurálja vagy testre szabja az adatgyűjtés különböző aspektusait. Módosíthatja például a fájlgyűjtés gyakoriságát.

Current limitations

változáskövetés és leltározás Az Azure Monitoring Agent használata nem támogatja vagy korlátozza az alábbi korlátozásokat:

• A Windows beállításjegyzék-nyomkövetésének rekurziója
• Hálózati fájlrendszerek
• Különböző telepítési módszerek
• *Windowson tárolt .exe fájlok
• A Maximális fájlméret oszlop és értékek nincsenek használatban az aktuális implementációban.
• Ha fájlmódosításokat követ nyomon, az legfeljebb 5 MB méretű fájlméretre korlátozódik.
• Ha a fájlméret >1,25 MB, akkor a FileContentChecksum helytelen az ellenőrzőösszeg számításában szereplő memóriakorlátok miatt.
• Ha 30 perces gyűjtési ciklusban több mint 2500 fájlt próbál összegyűjteni, változáskövetés és leltározás teljesítménye csökkenhet.
• Ha a hálózati forgalom magas, a rekordok módosítása akár hat órát is igénybe vehet.
• Ha módosít egy konfigurációt egy gép vagy kiszolgáló leállítása közben, az közzéteheti az előző konfigurációhoz tartozó módosításokat.
• Gyorsjavítás-frissítések gyűjtése Windows Server 2016 Core RS3 rendszerű gépeken.
• A Linux démonok módosult állapotot mutathatnak, még akkor is, ha nem történt változás. Ez a probléma az Azure Monitor ConfigurationChange tábla adatainak megírása SvcRunLevels miatt merül fel.
• A Change Tracking bővítmény nem támogatja a Linux operációs rendszerekre vagy disztribúciókra vonatkozó szigorítási szabványokat.

Limits

Az alábbi táblázat a változások nyomon követésére és a leltározásra vonatkozó, gépenként nyomon követett elemek korlátait mutatja be.

Erőforrás	Korlát	Megjegyzések
Fájl	500
File size	5 MB
Beállításjegyzék	250
Windows-szoftver	250	Nem tartalmazza a szoftverfrissítéseket.
Linux-csomagok	1,250
Windows-szolgáltatások	250
Linux démonok	250

Supported operating systems

változáskövetés és leltározás minden olyan operációs rendszeren támogatott, amely megfelel az Azure Monitor-ügynök követelményeinek. Az Azure Monitor-ügynök által jelenleg támogatott Windows- és Linux operációsrendszer-verziók listájának megtekintéséhez tekintse meg a támogatott operációs rendszereket .

A TLS 1.2 vagy újabb verzió ügyfélkövetelményeinek megismeréséhez tekintse meg az Azure Automation TLS 1.2-s vagy újabb verzióját.

A Change Tracking és az Inventory engedélyezése

A változáskövetés és leltározás a következő módokon engedélyezheti:

• A nem Azure Arc-kompatibilis gépek esetében a Kezdeményezés engedélyezése változáskövetés és leltározás az Arc-kompatibilis virtuális gépek esetében a Szabályzatdefiníciók >> kategória kiválasztása kategória = ChangeTrackingAndInventory című témakörben talál további információt. A változáskövetés és leltározás nagy léptékű engedélyezéséhez használja a DINE szabályzatalapú megoldást. További információ: Változáskövetés és leltározás engedélyezése az Azure Monitoring Agent (előzetes verzió) használatával.

• Egyetlen Azure-beli virtuális géphez az Azure Portal Virtuális gép lapján . Ez a forgatókönyv Linux és Windows rendszerű virtuális gépeken érhető el.

• Több Azure-beli virtuális gép esetén válassza ki őket az Azure Portal Virtuális gépek lapján.

Fájlmódosítások nyomon követése

A windowsos és linuxos fájlok változásainak nyomon követéséhez változáskövetés és leltározás SHA256-kivonatokat használ a fájlokról. A funkció a kivonatokkal észleli, hogy történt-e módosítás az utolsó készlet óta.

Fájltartalom változásainak nyomon követése

változáskövetés és leltározás lehetővé teszi egy Windows- vagy Linux-fájl tartalmának megtekintését. A fájl minden módosításához változáskövetés és leltározás a fájl tartalmát egy Azure Storage-fiókban tárolja. Ha nyomon követ egy fájlt, megtekintheti annak tartalmát a módosítás előtt vagy után. A fájl tartalma beágyazottan vagy egymás mellett is megtekinthető. További információ.

Beállításkulcsok nyomon követése

változáskövetés és leltározás lehetővé teszi a Windows beállításkulcsok módosításainak monitorozását. A monitorozással rögzítheti azokat a bővíthetőségi pontokat, ahol külső kód és kártevő aktiválható. Az alábbi táblázat az előre konfigurált (de nem engedélyezett) beállításkulcsokat sorolja fel. A kulcsok nyomon követéséhez engedélyeznie kell őket.

Beállításkulcs	Cél
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup	Az indításkor futó szkripteket figyeli.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown	Figyeli a leállításkor futó szkripteket.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run	Figyeli a windowsos fiókba való bejelentkezés előtt betöltött kulcsokat. A kulcs a 64 bites számítógépeken futó 32 bites alkalmazásokhoz használható.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components	Figyeli az alkalmazásbeállítások módosításait.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers	Figyeli a helyi menükezelőket, amelyek közvetlenül a Windows Intézőbe csatlakoznak, és általában folyamatban futnak az explorer.exe fájllal.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers	A monitorok közvetlenül a Windows Intézőbe horgoló horogkezelőket másolnak, és általában folyamatban futnak az explorer.exe böngészővel.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers	Ikont átfedő kezelő regisztrációjának figyelése.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers	A 64 bites számítógépeken futó 32 bites alkalmazások ikonszintű átfedéskezelő-regisztrációjának monitorozása.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	Figyeli az Internet Explorer új böngésző segédobjektum-beépülő moduljait. Az aktuális oldal dokumentumobjektum-modelljének (DOM) elérésére és a navigáció szabályozására szolgál.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	Figyeli az Internet Explorer új böngésző segédobjektum-beépülő moduljait. Az aktuális lap dokumentumobjektum-modelljének (DOM) elérésére és a 64 bites számítógépeken futó 32 bites alkalmazások navigációjának szabályozására szolgál.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions	Figyeli az új Internet Explorer-bővítményeket, például az egyéni eszközmenüket és az egyéni eszköztárgombokat.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions	Figyeli az új Internet Explorer-bővítményeket, például az egyéni eszközmenüket és az egyéni eszköztárgombokat a 64 bites számítógépeken futó 32 bites alkalmazásokhoz.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32	Figyeli a wavemapper, a wave1 és a wave2, az msacm.imaadpcm, a .msadpcm, a .msgsm610 és a vidc 32 bites illesztőprogramjait. Hasonló a system.ini fájl [illesztőprogramok] szakaszához.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32	Figyeli a 32 bites illesztőprogramokat, amelyek a 64 bites számítógépeken futó 32 bites alkalmazásokhoz tartoznak: wavemapper, wave1 és wave2, msacm.imaadpcm, .msadpcm, .msgsm610 és vidc. Hasonló a system.ini fájl [illesztőprogramok] szakaszához.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls	Figyeli az ismert vagy gyakran használt rendszer DLL-ek listáját. A figyelés megakadályozza, hogy a felhasználók kihasználhassák a gyenge alkalmazáskönyvtár-engedélyeket a rendszer DLL-jének trójai falóverzióinak elvetésével.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	Figyeli azon csomagok listáját, amelyek eseményértesítéseket fogadhatnak a Windows interaktív bejelentkezési támogatási modelljétől, a winlogon.exe-től.

Rekurziós támogatás

változáskövetés és leltározás támogatja a rekurziót, amely lehetővé teszi helyettesítő karakterek megadását a könyvtárak közötti nyomon követés egyszerűsítése érdekében. A Recursion környezeti változókat is biztosít, amelyek lehetővé teszik a fájlok nyomon követését több vagy dinamikus meghajtónévvel rendelkező környezetekben. Az alábbi lista a rekurzió konfigurálásakor ismert gyakori információkat tartalmazza:

• Több fájl nyomon követéséhez helyettesítő karakterekre van szükség.

• Helyettesítő karaktereket csak a fájl elérési útjának utolsó szegmensében használhat, például c:\folder\file* vagy /etc/*.conf.

• Ha egy környezeti változó elérési útja érvénytelen, az ellenőrzés sikeres, de az elérési út sikertelen a végrehajtás során.

• Az elérési út beállításakor kerülnie kell az általános elérési utak nevét, mivel ez a beállítás túl sok mappát okozhat.

változáskövetés és leltározás adatgyűjtés

A következő táblázat a változáskövetés és leltározás által támogatott módosítástípusok adatgyűjtési gyakoriságát mutatja. Az aktuális állapot adatpillanatképe minden típus esetében legalább 24 óránként frissül.

Típus módosítása	Gyakoriság
Windows-beállításjegyzék	50 perc
Windows-fájl	30–40 perc
Linux-fájl	15 perc
Windows-szolgáltatások	10 perc és 30 perc között Alapértelmezett: 30 perc
Windows-szoftver	30 perc
Linux-szoftver	5 minutes
Linux démonok	5 minutes

Az alábbi táblázat a változáskövetés és leltározás gépenkénti nyomon követett elemkorlátait mutatja be.

Erőforrás	Korlát
Fájl	500
Beállításjegyzék	250
Windows-szoftver (a gyorsjavításokat nem beleértve)	250
Linux-csomagok	1250
Windows-szolgáltatások	250
Linux démonok	500

Windows-szolgáltatások adatai

Előfeltételek

A Windows Services-adatok nyomon követésének engedélyezéséhez frissítenie kell a CT-bővítményt, és a 2.11.0.0-s vagy annál nagyobb bővítményt kell használnia

Windows Azure-beli virtuális gépekhez

- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true

Linux Azure-beli virtuális gépekhez

– az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Linux --enable-auto-upgrade true

Arc-kompatibilis Windows rendszerű virtuális gépek esetén

– az connectedmachine extension create --name ChangeTracking-Windows --publisher Microsoft.Azure.ChangeTrackingAndInventory --type ChangeTracking-Windows --machine-name <arc-server-name> --resource-group <resource-group-name> --location <arc-server-location> --enable-auto-upgrade true

Arc-kompatibilis Linux rendszerű virtuális gépek esetén

- az connectedmachine extension create --name ChangeTracking-Linux --publisher Microsoft.Azure.ChangeTrackingAndInventory --type ChangeTracking-Linux --machine-name <arc-server-name> --resource-group <resource-group-name> --location <arc-server-location> --enable-auto-upgrade true

Gyakoriság konfigurálása

A Windows-szolgáltatások alapértelmezett gyűjtési gyakorisága 30 perc. A gyakoriság konfigurálásához

• a Gépház szerkesztése területen használjon csúszkát a Windows-szolgáltatások lapon.

A konfigurációs állapotra vonatkozó riasztások támogatása

A változáskövetés és leltározás egyik fő képessége, hogy riasztást küld a hibrid környezet konfigurációs állapotának változásairól. A riasztásokra adott válaszként számos hasznos művelet aktiválható. Például az Azure-függvényeken, az Automation-runbookokon, a webhookokon és hasonlókon végzett műveletek. A gép c:\windows\system32\drivers\etc\hosts fájljának változásaival kapcsolatos riasztások az változáskövetés és leltározás adatok riasztásainak egyik jó alkalmazása. A riasztáshoz számos további forgatókönyv is rendelkezésre áll, beleértve a következő táblázatban definiált lekérdezési forgatókönyveket is.

Query	Leírás
ConfigurationChange | where ConfigChangeType == "Files" és FileSystemPath contains " c:\windows\system32\drivers\"	Hasznos a rendszerkritikus fájlok változásainak nyomon követéséhez.
ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"	Hasznos a kulcskonfigurációs fájlok módosításainak nyomon követéséhez.
ConfigurationChange | ahol a ConfigChangeType == "WindowsServices" és az SvcName a "w3svc" és az SvcState == "Leállítva" értéket tartalmazza	Hasznos a rendszerkritikus szolgáltatások változásainak nyomon követéséhez.
ConfigurationChange | ahol a ConfigChangeType == "Démonok" és az SvcName az "ssh" és az SvcState!= "Running" értéket tartalmazzák	Hasznos a rendszerkritikus szolgáltatások változásainak nyomon követéséhez.
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"	Zárolt szoftverkonfigurációkat igénylő környezetekben hasznos.
ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"	Hasznos, ha azt látja, hogy mely gépeken van telepítve elavult vagy nem megfelelő szoftververzió. Ez a lekérdezés az utolsó jelentett konfigurációs állapotot jelenti, de nem jelenti a változásokat.
ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"	Hasznos a kulcsfontosságú víruskereső kulcsok változásainak nyomon követéséhez.
ConfigurationChange | ahol a RegistryKey tartalmaz @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"	Hasznos a tűzfalbeállítások változásainak nyomon követéséhez.

További lépések

• Az Azure Portalról való engedélyezésről az Azure Portalon változáskövetés és leltározás engedélyezése című témakörben olvashat.