A változáskövetés és a leltár áttekintése az Azure Monitoring Agent használatával

Fontos

• A Log Analytics-ügynökkel végzett változáskövetés és leltározás 2024. augusztus 31-én megszűnt, és a továbbiakban nem támogatott. Kövesse a változáskövetés és a leltározás Log Analytics használatával történő migrálására vonatkozó irányelveket az Azure Monitoring Agent verzió használatával történő változáskövetéshez és leltározáshoz
• Javasoljuk, hogy a változáskövetést az Azure Monitoring Agenttel használja a 2.20.0.0.0-s (vagy újabb) változáskövetési bővítménysel a szolgáltatás GA-verziójának eléréséhez.

Ez a cikk bemutatja a változáskövetési támogatás legújabb verzióját, amely az Azure Monitoring Agentet egyedi ügynökként használja adatgyűjtéshez.

Feljegyzés

A Végponthoz készült Microsoft Defender (MDE) használatával végzett fájlintegritási monitorozás (FIM) jelenleg elérhető. Ha a FIM AMA-val vagy LA-val van konfigurálva, kövesse az alábbi útmutatót a migráláshoz:

• FIM változáskövetés és leltározás az AMA használatával.
• FIM változáskövetéssel és leltározással az MMA segítségével.

Mi az a változáskövetés és a leltár?

Az Azure Change Tracking &Inventory szolgáltatás a változások monitorozásával és részletes leltárnaplókkal javítja a vendégműveletek naplózását és szabályozását az Azure-beli, a helyszíni és más felhőkörnyezetekben található kiszolgálókhoz.

1. Módosításkövetés

   a. Figyeli a módosításokat, beleértve a fájlok, a beállításkulcsok, a szoftvertelepítések és a Windows-szolgáltatások vagy a Linux démonok módosításait.
   b. Részletes naplókat tartalmaz a módosítások időpontjáról és időpontjáról, így gyorsan észlelheti a konfigurációs eltéréseket vagy a jogosulatlan módosításokat.
   A Change Tracking metaadatai be lesznek töltve a ConfigurationChange táblába a csatlakoztatott LA-munkaterületen. További információ

2. Leltár

   a. Összegyűjti és karbantartja a telepített szoftverek, az operációs rendszer részletei és más kiszolgálókonfigurációk frissített listáját a csatolt LA-munkaterületen
   b. Segít áttekinteni a rendszeregységeket, ami a megfelelőség, az auditok és a proaktív karbantartás szempontjából hasznos.
   A készlet metaadatai a csatlakoztatott LA-munkaterület ConfigurationData táblájába kerülnek. További információ

Támogatási mátrix

Komponens	A következőkre vonatkozik
Operációs rendszerek	Windows Linux
Erőforrástípusok	Azure-beli virtuális gépek Azure Arc-kompatibilis virtuális gépek virtuálisgép-méretezési készlete
Adattípusok	Windows-beállításjegyzék Windows-szolgáltatások Linux Daemonok Fájlok Szoftver

Fő előnyök

• Kompatibilitás az egyesített monitorozási ügynökkel – Kompatibilis az Azure Monitor Agenttel, amely növeli a biztonságot és a megbízhatóságot, és megkönnyíti az adatok több helyen történő tárolását.
• Kompatibilitás a követési eszközzel– Kompatibilis az ügyfél virtuális gépén az Azure Policy használatával üzembe helyezett Változáskövetési (CT) bővítménysel. Válthat az Azure Monitor Agentre (AMA), majd a CT-bővítmény leküldi a szoftvert, a fájlokat és a beállításjegyzéket az AMA-ba.
• Többhelyes kezelés – A felügyelet egységesítését biztosítja egy központi munkaterületről. A Log Analyticsről (LA) áttérhet az AMA-ra , hogy az összes virtuális gép egyetlen munkaterületre mutasson adatgyűjtés és karbantartás céljából.
• Szabályok kezelése – Adatgyűjtési szabályok használatával konfigurálja vagy testre szabja az adatgyűjtés különböző aspektusait. Módosíthatja például a fájlgyűjtés gyakoriságát.

Korlátok

Az alábbi táblázat a változások nyomon követésére és a leltározásra vonatkozó, gépenként nyomon követett elemek korlátait mutatja be.

Erőforrás	Korlát	Jegyzetek
Fájl	500
Fájlméret	5 MB
Regiszter	250
Windows-szoftver	250	Nem tartalmazza a szoftverfrissítéseket.
Linux-csomagok	1,250
Windows-szolgáltatások	250
Linux démonok	250

Támogatott operációs rendszerek

A változáskövetés és leltározás minden olyan operációs rendszeren támogatott, amely megfelel az Azure Monitor-ügynök követelményeinek. Az Azure Monitor-ügynök által jelenleg támogatott Windows- és Linux operációsrendszer-verziók listájának megtekintéséhez tekintse meg a támogatott operációs rendszereket .

A TLS ügyfélkövetelményeinek megismeréséhez tekintse meg az Azure Automation TLS-ét.

A Change Tracking és az Inventory engedélyezése

A változáskövetés és leltározás a következő módokon engedélyezheti:

• Azok számára, akik manuálisan dolgoznak nem Azure Arc-kompatibilis gépekkel, kérjük, hivatkozzanak a „Változáskövetés és leltározás engedélyezése Arc-kompatibilis virtuális gépeken” kezdeményezésre a „Szabályzatdefiníciók” alatt, a következő kategória kiválasztásával: ChangeTrackingAndInventory. A változáskövetés és leltározás nagy léptékű engedélyezéséhez használja a DINE szabályzatalapú megoldást. További információ: Változáskövetés és leltározás engedélyezése az Azure Monitoring Agent (előzetes verzió) használatával.

• Egyetlen Azure-beli virtuális géphez az Azure portál Virtuális gép lapján. Ez a forgatókönyv Linux és Windows rendszerű virtuális gépeken érhető el.

• Több Azure-beli virtuális gép esetén válassza ki őket az Azure Portal Virtuális gépek lapján.

Fájlmódosítások nyomon követése

A windowsos és linuxos fájlok változásainak nyomon követéséhez változáskövetés és leltározás SHA256-kivonatokat használ a fájlokról. A funkció a kivonatokkal észleli, hogy történt-e módosítás az utolsó készlet óta.

Fájltartalom változásainak nyomon követése

változáskövetés és leltározás lehetővé teszi egy Windows- vagy Linux-fájl tartalmának megtekintését. A fájl minden módosításához változáskövetés és leltározás a fájl tartalmát egy Azure Storage-fiókban tárolja. Ha nyomon követ egy fájlt, megtekintheti annak tartalmát a módosítás előtt vagy után. A fájl tartalma beágyazottan vagy egymás mellett is megtekinthető. További információ.

Regisztrációs kulcsok nyomon követése

változáskövetés és leltározás lehetővé teszi a Windows beállításkulcsok módosításainak monitorozását. A monitorozással rögzítheti azokat a bővíthetőségi pontokat, ahol külső kód és kártevő aktiválható. Az alábbi táblázat az előre konfigurált (de nem engedélyezett) beállításkulcsokat sorolja fel. A kulcsok nyomon követéséhez engedélyeznie kell őket.

Rendszerleíró kulcs	Cél
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup	Az indításkor futó szkripteket figyeli.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown	Figyeli a leállításkor futó szkripteket.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run	Figyeli a windowsos fiókba való bejelentkezés előtt betöltött kulcsokat. A kulcs a 64 bites számítógépeken futó 32 bites alkalmazásokhoz használható.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components	Figyeli az alkalmazásbeállítások módosításait.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers	Figyeli a helyi menükezelőket, amelyek közvetlenül integrálódnak a Windows Intézőbe, és általában a folyamaton belül futnak a explorer.exe-vel.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers	A monitorok figyelik azokat a horogkezelőket, amelyek közvetlenül a Windows Intézőhöz kapcsolódnak és általában együtt futnak az explorer.exe folyamattal.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers	Ikont átfedő kezelő regisztrációjának figyelése.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers	A 64 bites számítógépeken futó 32 bites alkalmazások ikonszintű átfedéskezelő-regisztrációjának monitorozása.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	Figyeli az Internet Explorer új böngésző segédobjektum-beépülő moduljait. Az aktuális oldal dokumentumobjektum-modelljének (DOM) elérésére és a navigáció szabályozására szolgál.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	Figyeli az új böngésző segédobjektum-beépülő modulokat az Internet Explorerhez. Az aktuális lap dokumentumobjektum-modelljének (DOM) elérésére és a 64 bites számítógépeken futó 32 bites alkalmazások navigációjának szabályozására szolgál.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions	Figyeli az új Internet Explorer-bővítményeket, például az egyéni eszközmenüket és az egyéni eszköztárgombokat.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions	Figyeli az új Internet Explorer-bővítményeket, például az egyéni eszközmenüket és az egyéni eszköztárgombokat a 64 bites számítógépeken futó 32 bites alkalmazásokhoz.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32	Figyeli a 32 bites illesztőprogramokat, amelyek a wavemapperhez, a wave1-hez és a wave2-höz, valamint az msacm.imaadpcm-hez, a .msadpcm-hez, a .msgsm610-hez és a vidc-hez tartoznak. Hasonló a system.ini fájl [illesztőprogramok] szakaszához.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32	Figyeli a 64 bites számítógépeken futó 32 bites alkalmazásokhoz kapcsolódó, wavemapper, wave1, wave2, msacm.imaadpcm, .msadpcm, .msgsm610 és vidc 32 bites illesztőprogramokat. Hasonló a system.ini fájl [illesztőprogramok] szakaszához.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls	Figyeli az ismert vagy gyakran használt rendszer DLL-ek listáját. A figyelés megakadályozza, hogy a felhasználók kihasználhassák a gyenge alkalmazáskönyvtár-engedélyeket a rendszer DLL-jének trójai falóverzióinak elvetésével.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	Figyeli azoknak a csomagoknak a listáját, amelyek eseményértesítéseket fogadhatnak winlogon.exe, a Windows interaktív bejelentkezési támogatási modelljétől.

Rekurziós támogatás

változáskövetés és leltározás támogatja a rekurziót, amely lehetővé teszi helyettesítő karakterek megadását a könyvtárak közötti nyomon követés egyszerűsítése érdekében. A Recursion környezeti változókat is biztosít, amelyek lehetővé teszik a fájlok nyomon követését több vagy dinamikus meghajtónévvel rendelkező környezetekben. Az alábbi lista a rekurzió konfigurálásakor ismert gyakori információkat tartalmazza:

• Több fájl nyomon követéséhez helyettesítő karakterekre van szükség.

• Helyettesítő karaktereket csak a fájl elérési útjának utolsó szegmensében használhat, például c:\folder\file* vagy /etc/*.conf.

• Ha egy környezeti változó elérési útja érvénytelen, az ellenőrzés sikeres, de az elérési út sikertelen a végrehajtás során.

• Az elérési út beállításakor kerülnie kell az általános elérési utak nevét, mivel ez a beállítás túl sok mappát okozhat.

változáskövetés és leltározás adatgyűjtés

A következő táblázat a változáskövetés és leltározás által támogatott módosítástípusok adatgyűjtési gyakoriságát mutatja. A leltárnaplók alapértelmezés szerint 10 óránként lesznek feltöltve minden adattípus esetében. Továbbá, ha bármely adattípusnál változás van regisztrálva, a rendszer létrehozza a leltár- és változásnaplókat ebben a példányban.

Típus módosítása	Gyakoriság
Windows-beállításjegyzék	50 perc
Windows-fájl	30–40 perc
Linux-fájl	15 perc
Windows-szolgáltatások	10 perc és 30 perc között Alapértelmezett: 30 perc
Windows-szoftver	30 perc
Linux-szoftver	5 perc
Linux démonok	5 perc

Az alábbi táblázat a változáskövetés és leltározás gépenkénti nyomon követett elemkorlátait mutatja be.

Erőforrás	Korlát
Fájl	500
Beállításjegyzék	250
Windows-szoftver (a gyorsjavításokat nem beleértve)	250
Linux-csomagok	1250
Windows-szolgáltatások	250
Linux démonok	500

Windows-szolgáltatások adatai

Előfeltételek

A Windows Services-adatok nyomon követésének engedélyezéséhez frissítenie kell a CT-bővítményt, és a 2.11.0.0-s vagy annál nagyobb bővítményt kell használnia

Windows Azure-beli virtuális gépekhez

- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true

Linux Azure-beli virtuális gépekhez

– az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Linux --enable-auto-upgrade true

Arc-kompatibilis Windows rendszerű virtuális gépek esetén

– az connectedmachine extension create --name ChangeTracking-Windows --publisher Microsoft.Azure.ChangeTrackingAndInventory --type ChangeTracking-Windows --machine-name <arc-server-name> --resource-group <resource-group-name> --location <arc-server-location> --enable-auto-upgrade true

Arc-kompatibilis Linux rendszerű virtuális gépek esetén

- az connectedmachine extension create --name ChangeTracking-Linux --publisher Microsoft.Azure.ChangeTrackingAndInventory --type ChangeTracking-Linux --machine-name <arc-server-name> --resource-group <resource-group-name> --location <arc-server-location> --enable-auto-upgrade true

Gyakoriság konfigurálása

A Windows-szolgáltatások alapértelmezett gyűjtési gyakorisága 30 perc. A gyakoriság konfigurálásához

• a Beállítások szerkesztése területen használjon egy csúszkát a Windows-szolgáltatások lapon.

Jelenlegi korlátozások

A változáskövetés és leltározás az Azure Monitoring Agent használatával nem támogatott, vagy az alábbi korlátozások vonatkoznak rá:

• A Windows beállításjegyzék-nyomkövetésének rekurziója
• Jelenleg csak a HKEY_LOCAL_MACHINE támogatott. Ezt a korlátozást akkor fogja tapasztalni, ha manuálisan adja hozzá a rendszerleíró kulcsot.
• Hálózati fájlrendszerek
• Különböző telepítési módszerek
• * Windowson tárolt fájlok .exe
• A Maximális fájlméret oszlop és értékek nincsenek használatban az aktuális implementációban.
• Ha fájlmódosításokat követ nyomon, az legfeljebb 5 MB méretű fájlméretre korlátozódik.
• Ha a fájlméret >1,25 MB, akkor a FileContentChecksum helytelen az ellenőrzőösszeg számításában szereplő memóriakorlátok miatt.
• Ha 30 perces gyűjtési ciklusban több mint 2500 fájlt próbál összegyűjteni, változáskövetés és leltározás teljesítménye csökkenhet.
• Ha a hálózati forgalom magas, a rekordok módosítása akár hat órát is igénybe vehet.
• Ha módosít egy konfigurációt egy gép vagy kiszolgáló leállítása közben, az közzéteheti az előző konfigurációhoz tartozó módosításokat.
• Gyorsjavítás-frissítések gyűjtése Windows Server 2016 Core RS3 rendszerű gépeken.
• A Linux démonok módosult állapotot mutathatnak, még akkor is, ha nem történt változás. Ez a probléma az Azure Monitor SvcRunLevels tábla adatainak megírása miatt merül fel.
• A Change Tracking bővítmény nem támogatja a Linux operációs rendszerekre vagy disztribúciókra vonatkozó szigorítási szabványokat.

A konfigurációs állapotra vonatkozó riasztások támogatása

A változáskövetés és leltározás egyik fő képessége, hogy riasztást küld a hibrid környezet konfigurációs állapotának változásairól. A riasztásokra adott válaszként számos hasznos művelet aktiválható. Például az Azure-függvényeken, az Automation-runbookokon, a webhookokon és hasonlókon végzett műveletek. A gép c:\windows\system32\drivers\etc\hosts fájljának változásaival kapcsolatos riasztások az változáskövetés és leltározás adatok riasztásainak egyik jó alkalmazása. A riasztáshoz számos további forgatókönyv is rendelkezésre áll, beleértve a következő táblázatban definiált lekérdezési forgatókönyveket is.

Lekérdezés	Leírás
KonfigurációVáltozás | where ConfigChangeType == "Files" és FileSystemPath tartalmazza " c:\windows\system32\drivers\"	Hasznos a rendszerkritikus fájlok változásainak nyomon követéséhez.
KonfigurációVáltozás | ahol FieldsChanged tartalmazza a "FileContentChecksum" kifejezést és FileSystemPath == "c:\windows\system32\drivers\etc\hosts"	Hasznos a kulcskonfigurációs fájlok módosításainak nyomon követéséhez.
ConfigurationChange | ahol a ConfigChangeType == "WindowsServices" és az SvcName a "w3svc" és az SvcState == "Leállítva" értéket tartalmazza	Hasznos a rendszerkritikus szolgáltatások változásainak nyomon követéséhez.
ConfigurationChange | ahol a ConfigChangeType == "Démonok" és az SvcName az "ssh" és az SvcState!= "Running" értéket tartalmazzák	Hasznos a rendszerkritikus szolgáltatások változásainak nyomon követéséhez.
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"	Zárolt szoftverkonfigurációkat igénylő környezetekben hasznos.
Konfigurációs Adat | where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"	Hasznos, ha azt látja, hogy mely gépeken van telepítve elavult vagy nem megfelelő szoftververzió. Ez a lekérdezés az utolsó jelentett konfigurációs állapotot jelenti, de nem jelenti a változásokat.
KonfigurációVáltozás | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"	Hasznos a kulcsfontosságú víruskereső kulcsok változásainak nyomon követéséhez.
Konfigurációváltás | ahol a RegistryKey tartalmaz @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"	Hasznos a tűzfalbeállítások változásainak nyomon követéséhez.

Következő lépések

• Az Azure Portalról való engedélyezésről az Azure Portalon változáskövetés és leltározás engedélyezése című témakörben olvashat.