változáskövetés és leltározás áttekintése

Fontos

változáskövetés és leltározás a Log Analytics-ügynök használata 2024. augusztus 31-én megszűnt, és javasoljuk, hogy az Azure Monitoring Agentet használja új támogató ügynökként. Kövesse a naplóelemzés használatával történő változáskövetésről és leltárazásról az Azure Monitoring Agent verzióval való változáskövetésre és leltározásra való migrálás irányelveit.

Fontos

A következőkre számíthat, ha a Change Tracking &Inventory Log Analytics Agent használatával használja a képességet.

• Funkció: A Log Analytics-ügynökkel végzett változáskövetés funkcionális képességei 2025. februárig továbbra is működni fognak. A támogatás azonban korlátozott lesz, és idővel potenciális problémákhoz vezethet.
• Telepítés: A Change Tracking & Inventory MMA/OMS-ügynökökkel való konfigurálásának lehetősége hamarosan el lesz távolítva az Azure Portalról.
• Ügyfélszolgálat: Az MMA/OMS meglévő csatornái nem fognak tudni támogatást kapni a Változáskövetés > Leltár szolgáltatáshoz. A Microsoft minden tőle telhetőt megtesz.
• Új képességek és támogatási mátrix: A rendszer nem ad hozzá új képességeket, beleértve a további Windows- vagy Linux-verziók funkcióit is.
• Fájlintegritási monitorozás: A Microsoft Defender for Servers 2. csomagja egy új, Végponthoz készült Microsoft Defender (MDE) integráción alapuló fájlintegritási monitorozási (FIM) megoldást kínál. Felhőhöz készült Microsoft Defender azt javasolja, hogy 2024 novemberére tiltsa le a FIM-et az MMA-n keresztül, és a környezetet az új FIM-verzióra irányítja a Defender for Endpoint alapján. A Log Analytics-ügynökön (MMA) alapuló fájlintegritási monitorozás 2024 novemberéig támogatott. További információ.

Ez a cikk bemutatja, hogyan változáskövetés és leltározás az Azure Automationben. Ez a funkció nyomon követi az Azure-ban, a helyszínen és más felhőkörnyezetekben üzemeltetett virtuális gépek változásait, hogy könnyebben megállapíthassa a terjesztési Csomagkezelő által felügyelt szoftverekkel kapcsolatos üzemeltetési és környezeti problémákat. Az változáskövetés és leltározás által nyomon követett elemek a következők:

• Windows-szoftver
• Linux-szoftver (csomagok)
• Windows- és Linux-fájlok
• Windows beállításkulcsok
• Windows-szolgáltatások
• Linux démonok

Feljegyzés

Az Azure Resource Manager-tulajdonságok változásainak nyomon követéséhez tekintse meg az Azure Resource Graph változási előzményeit.

változáskövetés és leltározás a Microsoft Defender Felhőhöz készült Microsoft Defender fájlintegritási monitorozás (FIM) az operációs rendszer és az alkalmazásfájlok, valamint a Windows Beállításjegyzék vizsgálatára használja. Bár a FIM figyeli ezeket az entitásokat, natív módon változáskövetés és leltározás nyomon követni:

• Szoftvermódosítások
• Windows-szolgáltatások
• Linux démonok

A változáskövetés és leltározás minden funkció engedélyezése további díjakat okozhat. A folytatás előtt tekintse át az Automation díjszabását és az Azure Monitor díjszabását.

változáskövetés és leltározás továbbítja az adatokat az Azure Monitor-naplóknak, és az összegyűjtött adatokat egy Log Analytics-munkaterület tárolja. A fájlintegritási monitorozás (FIM) funkció csak akkor érhető el, ha engedélyezve van a Kiszolgálókhoz készült Microsoft Defender. További információért tekintse meg Felhőhöz készült Microsoft Defender díjszabását. A FIM ugyanarra a Log Analytics-munkaterületre tölt fel adatokat, mint amelyet a változáskövetés és leltározás adatainak tárolására hoztak létre. Javasoljuk, hogy figyelje a csatolt Log Analytics-munkaterületet a pontos használat nyomon követése érdekében. Az Azure Monitor-naplók adathasználatának elemzésével kapcsolatos további információkért lásd : Használat elemzése a Log Analytics-munkaterületen.

A Log Analytics-munkaterülethez csatlakoztatott gépek a Log Analytics-ügynökkel gyűjtenek adatokat a telepített szoftverek, a Windows-szolgáltatások, a Windows-beállításjegyzék és -fájlok, valamint a Linux démonok monitorozott kiszolgálókon végzett változásairól. Ha az adatok rendelkezésre állnak, az ügynök elküldi azokat az Azure Monitor-naplóknak feldolgozás céljából. Az Azure Monitor-naplók logikát alkalmaznak a fogadott adatokra, rögzítik és elérhetővé teszik azokat elemzéshez.

Feljegyzés

változáskövetés és leltározás egy Log Analytics-munkaterületet kell összekapcsolnia az Automation-fiókjával. A támogatott régiók végleges listájáért tekintse meg az Azure Workspace-leképezéseket. A régióleképezések nem befolyásolják az Automation-fióktól eltérő régióban lévő virtuális gépek kezelését.

Előfordulhat, hogy szolgáltatóként több ügyfélbérlőt is előkészített az Azure Lighthouse-hoz. Az Azure Lighthouse lehetővé teszi, hogy egyszerre több Microsoft Entra-bérlőn is nagy léptékben hajtsa végre a műveleteket, így az olyan felügyeleti feladatok, mint a változáskövetés és leltározás hatékonyabbak a felelős bérlők esetében. változáskövetés és leltározás több előfizetésben lévő gépeket kezelhet ugyanabban a bérlőben, vagy a bérlők között a Azure delegált erőforrás-kezelés.

Jelenlegi korlátozások

változáskövetés és leltározás nem támogatja vagy az alábbi korlátozásokkal rendelkezik:

• A Windows beállításjegyzék-nyomkövetésének rekurziója
• Hálózati fájlrendszerek
• Különböző telepítési módszerek
• * Windowson tárolt fájlok .exe
• A Maximális fájlméret oszlop és értékek nincsenek használatban az aktuális implementációban.
• Ha fájlmódosításokat követ nyomon, az legfeljebb 5 MB méretű fájlméretre korlátozódik.
• Ha a fájlméret >1,25 MB, akkor a FileContentChecksum helytelen az ellenőrzőösszeg számításában szereplő memóriakorlátok miatt.
• Ha 30 perces gyűjtési ciklusban több mint 2500 fájlt próbál összegyűjteni, változáskövetés és leltározás teljesítménye csökkenhet.
• Ha a hálózati forgalom magas, a rekordok módosítása akár hat órát is igénybe vehet.
• Ha módosít egy konfigurációt egy gép vagy kiszolgáló leállítása közben, az közzéteheti az előző konfigurációhoz tartozó módosításokat.
• Gyorsjavítás-frissítések gyűjtése Windows Server 2016 Core RS3 rendszerű gépeken.
• A Linux démonok módosult állapotot mutathatnak, még akkor is, ha nem történt változás. Ez a probléma az Azure Monitor ConfigurationChange tábla adatainak írási módja SvcRunLevels miatt merül fel.

Korlátok

A változáskövetés és leltározás vonatkozó korlátokért tekintse meg az Azure Automation szolgáltatáskorlátait.

Támogatott operációs rendszerek

változáskövetés és leltározás minden olyan operációs rendszeren támogatott, amely megfelel a Log Analytics-ügynök követelményeinek. A Log Analytics-ügynök által jelenleg támogatott Windows- és Linux operációsrendszer-verziók listáját a támogatott operációs rendszerekben találja.

A TLS 1.2 vagy újabb verzió ügyfélkövetelményeinek megismeréséhez tekintse meg az Azure Automation TLS-ét.

Python-követelmény

változáskövetés és leltározás mostantól támogatja a Python 2-t és a Python 3-at. Ha a gép olyan disztribúciót használ, amely egyik verziót sem tartalmazza, alapértelmezés szerint telepítenie kell őket. Az alábbi mintaparancsok a Python 2-t és a Python 3-at telepítik különböző disztribúciókra.

Feljegyzés

A Python 3-nal kompatibilis OMS-ügynök használatához először távolítsa el a Python 2-t; ellenkező esetben az OMS-ügynök alapértelmezés szerint továbbra is a Python 2-vel fog futni.

Python 2

• Red Hat, Oracle:

   sudo yum install -y python2

• Ubuntu, Debian:

   sudo apt-get update
   sudo apt-get install -y python2

• SUSE:

   sudo zypper install -y python2

Feljegyzés

A Python 2 végrehajtható fájlnak Python-aliasként kell lennie.

Python 3

• Red Hat, Oracle:

   sudo yum install -y python3

• Ubuntu, Debian:

   sudo apt-get update
   sudo apt-get install -y python3

• SUSE:

   sudo zypper install -y python3

Hálózati követelmények

A változáskövetés és leltározás szükséges portokkal, URL-címekkel és egyéb hálózatkezelési adatokkal kapcsolatos részletes információkért tekintse meg az Azure Automation hálózati konfigurációját.

A Change Tracking és az Inventory engedélyezése

A változáskövetés és leltározás a következő módokon engedélyezheti:

• Egy vagy több Azure-beli és nem Azure-beli gép Automation-fiókjából.

• Manuálisan nem Azure-beli gépekhez, beleértve az Azure Arc-kompatibilis kiszolgálókon regisztrált gépeket vagy kiszolgálókat is. Hibrid gépek esetén javasoljuk, hogy telepítse a Windows Log Analytics-ügynökét, először csatlakoztassa a gépet az Azure Arc-kompatibilis kiszolgálókhoz, majd az Azure Policy használatával rendelje hozzá a Log Analytics-ügynök linuxos vagy windowsos Azure Arc-gépek beépített szabályzatához. Ha a gépeket a virtuális gépekhez készült Azure Monitorral is figyelni szeretné, használja inkább az Azure Monitor engedélyezése virtuális gépekhez kezdeményezést .

• Egyetlen Azure-beli virtuális géphez az Azure Portal Virtuális gép lapján . Ez a forgatókönyv Linux és Windows rendszerű virtuális gépeken érhető el.

• Több Azure-beli virtuális gép esetén válassza ki őket az Azure Portal Virtuális gépek lapján.

Fájlmódosítások nyomon követése

A windowsos és linuxos fájlok változásainak nyomon követéséhez változáskövetés és leltározás A fájlok MD5 kivonatát használja. A funkció a kivonatokkal észleli, hogy történt-e módosítás az utolsó készlet óta. A Linux-fájlok nyomon követéséhez győződjön meg arról, hogy olvasási hozzáféréssel rendelkezik az OMS-ügynök felhasználójához.

Fájltartalom változásainak nyomon követése

változáskövetés és leltározás lehetővé teszi egy Windows- vagy Linux-fájl tartalmának megtekintését. A fájl minden módosításához változáskövetés és leltározás a fájl tartalmát egy Azure Storage-fiókban tárolja. Ha nyomon követ egy fájlt, megtekintheti annak tartalmát a módosítás előtt vagy után. A fájl tartalma beágyazottan vagy egymás mellett is megtekinthető.

Beállításkulcsok nyomon követése

változáskövetés és leltározás lehetővé teszi a Windows beállításkulcsok módosításainak monitorozását. A monitorozással rögzítheti azokat a bővíthetőségi pontokat, ahol külső kód és kártevő aktiválható. Az alábbi táblázat az előre konfigurált (de nem engedélyezett) beállításkulcsokat sorolja fel. A kulcsok nyomon követéséhez engedélyeznie kell őket.

Beállításkulcs	Cél
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup	Az indításkor futó szkripteket figyeli.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown	Figyeli a leállításkor futó szkripteket.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run	Figyeli a windowsos fiókba való bejelentkezés előtt betöltött kulcsokat. A kulcs a 64 bites számítógépeken futó 32 bites alkalmazásokhoz használható.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components	Figyeli az alkalmazásbeállítások módosításait.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers	Figyeli a helyi menükezelőket, amelyek közvetlenül a Windows Intézőbe csatlakoznak, és általában folyamatban futnak explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers	A monitorok közvetlenül a Windows Intézőbe horgoló horogkezelőket másolnak, és általában folyamatban futtatják a explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers	Ikont átfedő kezelő regisztrációjának figyelése.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers	A 64 bites számítógépeken futó 32 bites alkalmazások ikonszintű átfedéskezelő-regisztrációjának monitorozása.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	Figyeli az Internet Explorer új böngésző segédobjektum-beépülő moduljait. Az aktuális oldal dokumentumobjektum-modelljének (DOM) elérésére és a navigáció szabályozására szolgál.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	Figyeli az Internet Explorer új böngésző segédobjektum-beépülő moduljait. Az aktuális lap dokumentumobjektum-modelljének (DOM) elérésére és a 64 bites számítógépeken futó 32 bites alkalmazások navigációjának szabályozására szolgál.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions	Figyeli az új Internet Explorer-bővítményeket, például az egyéni eszközmenüket és az egyéni eszköztárgombokat.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions	Figyeli az új Internet Explorer-bővítményeket, például az egyéni eszközmenüket és az egyéni eszköztárgombokat a 64 bites számítógépeken futó 32 bites alkalmazásokhoz.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32	Figyeli a wavemapper, a wave1 és a wave2, az msacm.imaadpcm, a .msadpcm, a .msgsm610 és a vidc 32 bites illesztőprogramjait. Hasonló a system.ini fájl [illesztőprogramok] szakaszához.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32	Figyeli a 32 bites illesztőprogramokat, amelyek a 64 bites számítógépeken futó 32 bites alkalmazásokhoz tartoznak: wavemapper, wave1 és wave2, msacm.imaadpcm, .msadpcm, .msgsm610 és vidc. Hasonló a system.ini fájl [illesztőprogramok] szakaszához.
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls	Figyeli az ismert vagy gyakran használt rendszer DLL-ek listáját. A figyelés megakadályozza, hogy a felhasználók kihasználhassák a gyenge alkalmazáskönyvtár-engedélyeket a rendszer DLL-jének trójai falóverzióinak elvetésével.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	Figyeli azoknak a csomagoknak a listáját, amelyek eseményértesítéseket fogadhatnak winlogon.exe, a Windows interaktív bejelentkezési támogatási modelljétől.

Rekurziós támogatás

változáskövetés és leltározás támogatja a rekurziót, amely lehetővé teszi helyettesítő karakterek megadását a könyvtárak közötti nyomon követés egyszerűsítése érdekében. A Recursion környezeti változókat is biztosít, amelyek lehetővé teszik a fájlok nyomon követését több vagy dinamikus meghajtónévvel rendelkező környezetekben. Az alábbi lista a rekurzió konfigurálásakor ismert gyakori információkat tartalmazza:

• Több fájl nyomon követéséhez helyettesítő karakterekre van szükség.

• Helyettesítő karaktereket csak a fájl elérési útjának utolsó szegmensében használhat, például c:\folder\file* vagy /etc/*.conf.

• Ha egy környezeti változó elérési útja érvénytelen, az ellenőrzés sikeres, de az elérési út sikertelen a végrehajtás során.

• Az elérési út beállításakor kerülnie kell az általános elérési utak nevét, mivel ez a beállítás túl sok mappát okozhat.

változáskövetés és leltározás adatgyűjtés

A következő táblázat a változáskövetés és leltározás által támogatott módosítástípusok adatgyűjtési gyakoriságát mutatja. Az aktuális állapot adatpillanatképe minden típus esetében legalább 24 óránként frissül.

Típus módosítása	Gyakoriság
Windows-beállításjegyzék	50 perc
Windows-fájl	30 perc
Linux-fájl	15 perc
Windows-szolgáltatások	10 perc és 30 perc között Alapértelmezett: 30 perc
Linux démonok	5 perc
Windows-szoftver	30 perc
Linux-szoftver	5 perc

Az alábbi táblázat a változáskövetés és leltározás gépenkénti nyomon követett elemkorlátait mutatja be.

Erőforrás	Korlát
Fájl	500
Beállításjegyzék	250
Windows-szoftver (a gyorsjavításokat nem beleértve)	250
Linux-csomagok	1250
Szolgáltatások	250
Démonok	250

A változáskövetés és leltározás használó gépek átlagos Log Analytics-adathasználata a környezettől függően havonta körülbelül 40 MB. A Log Analytics-munkaterület Használat és becsült költségek funkciójával megtekintheti a változáskövetés és leltározás által betöltött adatokat egy használati diagramon. Ezzel az adatnézetel kiértékelheti az adathasználatot, és meghatározhatja, hogy az hogyan befolyásolja a számláját. Lásd: A használat és a költségek becslése.

Windows-szolgáltatások adatai

A Windows-szolgáltatások alapértelmezett gyűjtési gyakorisága 30 perc. A gyakoriságot a Windows-szolgáltatások lap Beállítások szerkesztése csoportjában található csúszkával konfigurálhatja.

A teljesítmény optimalizálása érdekében a Log Analytics-ügynök csak a változásokat követi nyomon. Ha a szolgáltatás visszatér az eredeti állapotához, előfordulhat, hogy a magas küszöbérték beállítása nem változik. Ha a gyakoriságot kisebb értékre állítja, akkor az egyébként kihagyott módosításokat is észlelheti.

Kritikus szolgáltatások esetén javasoljuk, hogy az indítási állapotot automatikusként (késleltetett indítás) jelölje meg, hogy a virtuális gép újraindítása után a szolgáltatások adatgyűjtése az MMA-ügynök elindítása után induljon el ahelyett, hogy a virtuális gép üzembe helyezése után azonnal elindul.

Feljegyzés

Bár az ügynök 10 másodperces időközre tudja nyomon követni a változásokat, az adatok megjelenítése még néhány percet vesz igénybe az Azure Portalon. A portálon való megjelenítés ideje alatt bekövetkező módosításokat a rendszer továbbra is nyomon követi és naplózza.

A konfigurációs állapotra vonatkozó riasztások támogatása

A változáskövetés és leltározás egyik fő képessége, hogy riasztást küld a hibrid környezet konfigurációs állapotának változásairól. A riasztásokra adott válaszként számos hasznos művelet aktiválható. Például az Azure-függvényeken, az Automation-runbookokon, a webhookokon és hasonlókon végzett műveletek. A gép c:\windows\system32\drivers\etc\hosts fájljának változásaival kapcsolatos riasztások az változáskövetés és leltározás adatok riasztásainak egyik jó alkalmazása. A riasztáshoz számos további forgatókönyv is rendelkezésre áll, beleértve a következő táblázatban definiált lekérdezési forgatókönyveket is.

Lekérdezés	Leírás
ConfigurationChange | where ConfigChangeType == "Files" és FileSystemPath contains " c:\windows\system32\drivers\"	Hasznos a rendszerkritikus fájlok változásainak nyomon követéséhez.
ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"	Hasznos a kulcskonfigurációs fájlok módosításainak nyomon követéséhez.
ConfigurationChange | ahol a ConfigChangeType == "WindowsServices" és az SvcName a "w3svc" és az SvcState == "Leállítva" értéket tartalmazza	Hasznos a rendszerkritikus szolgáltatások változásainak nyomon követéséhez.
ConfigurationChange | ahol a ConfigChangeType == "Démonok" és az SvcName az "ssh" és az SvcState!= "Running" értéket tartalmazzák	Hasznos a rendszerkritikus szolgáltatások változásainak nyomon követéséhez.
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"	Zárolt szoftverkonfigurációkat igénylő környezetekben hasznos.
ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"	Hasznos, ha azt látja, hogy mely gépeken van telepítve elavult vagy nem megfelelő szoftververzió. Ez a lekérdezés az utolsó jelentett konfigurációs állapotot jelenti, de nem jelenti a változásokat.
ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"	Hasznos a kulcsfontosságú víruskereső kulcsok változásainak nyomon követéséhez.
ConfigurationChange | ahol a RegistryKey tartalmaz @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"	Hasznos a tűzfalbeállítások változásainak nyomon követéséhez.

A Log Analytics-ügynök frissítése a legújabb verzióra

A Változáskövetés > Leltár esetében a gépek a Log Analytics-ügynök segítségével gyűjtenek adatokat a telepített szoftverek, a Windows-szolgáltatások, a Windows-beállításjegyzék és -fájlok, valamint a Linux démonok monitorozott kiszolgálókon végzett változásairól. Az Azure hamarosan már nem fogadja el a Windows Log Analytics (LA) ügynök régebbi verzióiból származó kapcsolatokat, más néven a Windows Microsoft Monitoring Agent (MMA), amely egy régebbi módszert használ a tanúsítványkezeléshez. Javasoljuk, hogy a lehető leghamarabb frissítse az ügynököt a legújabb verzióra.

A változásra a 10.20.18053-es (csomag) és az 1.0.18053.0-s (bővítmény) verziójú vagy újabb verziójú ügynökök nem lesznek hatással. Ha korábban ügynökkel dolgozik, az ügynök nem tud csatlakozni, és a Változáskövetési és készletezési folyamat > lefelé irányuló tevékenységek leállhatnak. Az LA-munkaterületen a HeartBeat táblában ellenőrizheti az aktuális LA-ügynökverziót.

Az irányelveknek megfelelően frissítsen a Windows Log Analytics-ügynök (MMA) legújabb verziójára.

Következő lépések

• Ha Automation-fiókból szeretne engedélyezni, olvassa el az Automation-fiókból származó változáskövetés és leltározás engedélyezése című témakört.

• Az Azure Portalról való engedélyezésről az Azure Portalon változáskövetés és leltározás engedélyezése című témakörben olvashat.

• Ha runbookból szeretne engedélyezni, olvassa el az Enable változáskövetés és leltározás from a runbook (Változáskövetés és leltározás engedélyezése runbookból) című témakört.

• Az Azure-beli virtuális gépekről való engedélyezésről további információt az Azure-beli virtuális gépek változáskövetés és leltározás engedélyezése című témakörben talál.