Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini memberikan gambaran umum tentang Pelacakan perubahan Azure dan Inventory dengan menggunakan Azure Monitor Agent (AMA). Artikel ini juga menyertakan fitur utama dan manfaat layanan.
Apa itu Pelacakan Perubahan dan Inventori
Pelacakan Perubahan dan Inventory meningkatkan audit dan tata kelola untuk operasi tamu dengan memantau perubahan dan menyediakan log inventori terperinci untuk server di seluruh Azure, lokal, dan lingkungan cloud lainnya.
Penting
Kami menyarankan agar Anda menggunakan Pelacakan Perubahan dan Inventori dengan ekstensi Pelacakan Perubahan versi 2.20.0.0 atau yang lebih baru.
Pelacakan perubahan
- Memantau perubahan, termasuk modifikasi pada file, kunci registri, penginstalan perangkat lunak, dan layanan Windows atau daemon Linux.
- Menyediakan log terperinci tentang apa dan kapan perubahan dilakukan sehingga Anda dapat dengan cepat mendeteksi drift konfigurasi atau perubahan yang tidak sah.
Metadata pelacakan perubahan akan diserap ke dalamConfigurationChangetabel di ruang kerja Analitik Log yang terhubung. Untuk informasi selengkapnya, lihat ConfigurationChange.
Nota
Data Pelacakan Perubahan dan Inventori dicatat untuk aplikasi tingkat sistem dan tingkat pengguna. Data tingkat sistem selalu dicatat, tetapi aplikasi tingkat pengguna hanya muncul saat pengguna masuk ke komputer. Jika pengguna keluar, aplikasi tersebut ditandai sebagai Dihapus.
Inventarisasi
- Mengumpulkan dan memelihara daftar terbaru perangkat lunak yang diinstal, detail sistem operasi, dan konfigurasi server lainnya di ruang kerja Analitik Log yang ditautkan.
- Membantu membuat gambaran umum aset sistem, yang berguna untuk kepatuhan, audit, dan pemeliharaan proaktif.
- Mengimpor metadata inventaris pada tabel
ConfigurationDatadi ruang kerja Log Analytics yang terhubung. Untuk informasi selengkapnya, lihat ConfigurationData.
Keunggulan utama dari Azure Change Tracking dan Inventory
Berikut adalah manfaat utamanya:
- Kompatibilitas dengan agen pemantauan terpadu: Kompatibel dengan AMA yang meningkatkan keamanan dan keandalan dan memfasilitasi pengalaman multi-homing untuk menyimpan data.
- Kompatibilitas dengan alat pelacakan: Kompatibel dengan ekstensi Pelacakan Perubahan yang disebarkan melalui Azure Policy pada komputer virtual (VM) klien. Anda dapat beralih ke AMA, lalu ekstensi Pelacakan Perubahan mendorong perangkat lunak, file, dan registri ke AMA.
- Pengalaman multi-homing: Menyediakan standardisasi manajemen dari satu ruang kerja pusat. Anda dapat beralih dari Log Azure Monitor ke AMA sehingga semua VM menunjuk ke satu ruang kerja untuk pengumpulan dan pemeliharaan data.
- Manajemen aturan: Menggunakan aturan pengumpulan data untuk mengonfigurasi atau menyesuaikan berbagai aspek pengumpulan data. Misalnya, Anda dapat mengubah frekuensi pengumpulan data.
Untuk informasi tentang sistem operasi yang didukung, lihat Matriks dukungan dan wilayah untuk Pelacakan Perubahan dan Inventarisasi.
Mengaktifkan Pelacakan Perubahan Azure dan Inventori
Anda dapat mengaktifkan Pelacakan Perubahan dan Inventaris dengan cara berikut:
- Server berkemampuan Azure Arc (komputer non-Azure): Di portal Microsoft Azure, di Pusat Pelacakan perubahan dan Inventori | Panel komputer, pilihPelacakan Perubahan Dan Inventaris>> Definisi >. Di bawah Inisiatif, pilih Aktifkan Pelacakan Perubahan dan Inventarisasi untuk komputer virtual dengan dukungan Arc. Untuk mengaktifkan Pelacakan Perubahan dan Inventori dalam skala besar, gunakan solusi berbasis kebijakan deploy-if-not-exists (DINE). Untuk informasi selengkapnya, lihat Mulai Cepat: Mengaktifkan Pelacakan perubahan Azure dan Inventory.
- Azure VM tunggal: Di portal Azure, pilih VM dari panel Mesin virtual. Skenario ini tersedia untuk komputer virtual Linux dan Windows.
- Satu dan beberapa Azure VM: Di portal Microsoft Azure, pilih VM dari panel Komputer virtual .
Lacak perubahan file
Untuk melacak perubahan dalam file di Windows dan Linux, Pelacakan Perubahan dan Inventaris menggunakan hash FILE SHA256. Fitur ini menggunakan hash untuk mendeteksi apakah perubahan dilakukan sejak inventori terakhir.
Lacak perubahan konten file
Dengan Pelacakan Perubahan dan Inventori, Anda dapat melihat konten file Windows atau Linux. Untuk setiap perubahan pada file, Pelacakan Perubahan dan Inventaris menyimpan konten file di akun Azure Storage. Saat melacak file, Anda dapat melihat kontennya sebelum atau sesudah perubahan. Anda dapat melihat konten file sebaris atau berdampingan. Untuk informasi selengkapnya, lihat Tutorial: Mengubah ruang kerja dan mengonfigurasi aturan pengumpulan data.
Melacak kunci registri
Pelacakan Perubahan dan Inventaris memungkinkan pemantauan perubahan pada kunci registri Windows. Saat menggunakan pemantauan, Anda dapat menentukan titik ekstensibilitas tempat kode dan malware non-Microsoft dapat diaktifkan. Tabel berikut mencantumkan kunci registri yang telah dikonfigurasi sebelumnya (tetapi tidak diaktifkan). Untuk melacak kunci ini, Anda harus mengaktifkan masing-masing kunci.
Nota
Kunci registri adalah kontainer di Windows Registry yang berfungsi seperti folder dalam sistem file. Ini mengatur pengaturan konfigurasi dan data untuk perangkat keras, perangkat lunak, dan pengguna. Kunci berisi nilai registri, seperti file, dan subkey.
| Kunci registri | Tujuan |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Memantau skrip yang berjalan saat startup. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Memantau skrip yang berjalan saat pematian. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Memantau kunci yang dimuat sebelum pengguna masuk ke akun Windows. Kunci ini digunakan untuk aplikasi 32-bit yang berjalan pada komputer 64-bit. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Memantau perubahan pada pengaturan aplikasi. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Memantau pengendali menu konteks yang terhubung langsung ke dalam Windows Explorer dan biasanya berjalan dalam proses bersama explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Memantau penangan hook penyalinan yang menghubungkan langsung ke Windows Explorer dan biasanya berjalan dalam proses yang sama dengan explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Memantau pendaftaran handel overlay ikon. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Memantau pendaftaran handel overlay ikon untuk aplikasi 32-bit yang berjalan pada komputer 64-bit. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Memantau plugin objek pembantu browser baru untuk Internet Explorer. Digunakan untuk mengakses Model Objek Dokumen (DOM) panel saat ini dan untuk mengontrol navigasi. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Memantau plugin objek pembantu browser baru untuk Internet Explorer. Digunakan untuk mengakses DOM panel saat ini dan untuk mengontrol navigasi untuk aplikasi 32-bit yang berjalan pada komputer 64-bit. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Memantau ekstensi Internet Explorer baru, seperti menu alat kustom dan tombol toolbar kustom. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Memantau ekstensi Internet Explorer baru, seperti menu alat kustom dan tombol toolbar kustom untuk aplikasi 32-bit yang berjalan pada komputer 64-bit. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Memantau driver 32-bit yang terkait dengan wavemapper, wave1 dan wave2, msacm.imaadpcm, .msadpcm, .msgsm610, dan vidc. Mirip dengan bagian [drivers] dalam system.ini file. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Memantau driver 32-bit yang terkait dengan wavemapper, wave1 dan wave2, msacm.imaadpcm, .msadpcm, .msgsm610, dan vidc untuk aplikasi 32-bit yang berjalan pada komputer 64-bit. Mirip dengan bagian [drivers] dalam system.ini file. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Memantau daftar DLL sistem yang diketahui atau umum digunakan. Pemantauan mencegah orang mengeksploitasi izin direktori aplikasi yang lemah dengan meletakkan DL sistem versi kuda Trojan. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Memantau daftar paket yang dapat menerima pemberitahuan peristiwa dari winlogon.exe, model dukungan masuk interaktif untuk Windows. |
Konten terkait
- Tinjau matriks dukungan dan wilayah untuk Pelacakan Perubahan dan Inventori.