Gambaran umum Pelacakan Perubahan dan Inventaris

  • Artikel

Perhatian

Artikel ini mereferensikan CentOS, distribusi Linux yang mendekati status End Of Life (EOL). Harap pertimbangkan penggunaan dan perencanaan Anda yang sesuai. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.

Penting

Artikel ini memperkenalkan Pelacakan Perubahan dan Inventaris di Azure Automation. Fitur ini melacak perubahan dalam mesin virtual yang dihosting di Azure, secara lokal, dan lingkungan cloud lainnya untuk membantu Anda menentukan masalah operasional dan lingkungan dengan perangkat lunak yang dikelola oleh Pengelola Paket Distribusi. Item yang dilacak oleh Pelacakan Perubahan dan Inventaris meliputi:

  • Perangkat lunak Windows
  • Perangkat lunak Linux (paket)
  • File Windows dan Linux
  • Kunci registri Windows
  • Layanan Windows
  • Daemon Linux

Catatan

Untuk melacak perubahan properti Azure Resource Manager, lihat riwayat perubahan Azure Resource Graph.

Pelacakan Perubahan dan Inventaris menggunakan File Integrity Monitoring (FIM) Microsoft Defender for Cloud untuk memeriksa sistem operasi dan file aplikasi, serta Registri Windows. Sementara FIM memantau entitas tersebut, Pelacakan Perubahan dan Inventaris secara native melacak:

  • Perubahan perangkat lunak
  • Layanan Windows
  • Daemon Linux

Mengaktifkan semua fitur yang disertakan dalam Pelacakan Perubahan dan Inventaris dapat menyebabkan biaya tambahan. Sebelum melanjutkan, tinjau Harga Automation dan Harga Azure Monitor.

Pelacakan Perubahan dan Inventaris meneruskan data ke Azure Monitor Logs, dan data yang dikumpulkan ini disimpan di ruang kerja Analitik Log. Fitur File Integrity Monitoring (FIM) hanya tersedia saat Microsoft Defender untuk server diaktifkan. Lihat Harga Microsoft Defender for Cloud untuk mempelajari selengkapnya. FIM mengunggah data ke ruang kerja Analitik Log yang sama dengan yang dibuat untuk menyimpan data dari Pelacakan Perubahan dan Inventaris. Sebaiknya pantau ruang kerja Analitik Log yang ditautkan untuk melacak penggunaan yang tepat. Untuk informasi selengkapnya tentang menganalisis penggunaan data Log Azure Monitor, lihat Menganalisis penggunaan di ruang kerja Log Analytics.

Komputer yang terhubung ke ruang kerja Log Analytics menggunakan agen Log Analytics untuk mengumpulkan data tentang perubahan pada perangkat lunak yang diinstal, layanan Windows, registri dan file Windows, dan daemon Linux di server yang dipantau. Saat data tersedia, agen mengirimkannya ke Azure Monitor Logs untuk diproses. Azure Monitor Logs menerapkan logika ke data yang diterima, mencatatnya, dan membuatnya tersedia untuk analisis.

Catatan

Pelacakan Perubahan dan Inventaris memerlukan penautan ruang kerja Analitik Log ke akun Automation Anda. Untuk daftar pasti wilayah yang didukung, lihat Pemetaan Ruang Kerja Azure. Pemetaan wilayah tidak memengaruhi kemampuan untuk mengelola VM di wilayah terpisah dari akun Automation Anda.

Sebagai penyedia layanan, Anda mungkin telah menyetorkan beberapa penyewa pelanggan ke Azure Lighthouse. Azure Lighthouse memungkinkan Anda melakukan operasi dalam skala besar di beberapa penyewa Microsoft Entra sekaligus, membuat tugas manajemen seperti Pelacakan Perubahan dan Inventori lebih efisien di seluruh penyewa yang Anda tanggung. Pelacakan Perubahan dan Inventaris dapat mengelola mesin di beberapa langganan di penyewa yang sama, atau di seluruh penyewa menggunakan Pengelolaan sumber daya yang didelegasikan Azure.

Batasan saat ini

Pelacakan Perubahan dan Inventaris tidak mendukung atau memiliki batasan berikut:

  • Rekursi untuk pelacakan registri Windows
  • Sistem file jaringan
  • Metode penginstalan yang berbeda
  • File *.exe yang tersimpan pada Windows
  • Kolom Ukuran File Maksimum dan nilai tidak digunakan dalam implementasi saat ini.
  • Jika Anda melacak perubahan file, maka dibatasi ke ukuran file 5MB atau kurang.
  • Jika ukuran file muncul >1,25MB, maka FileContentChecksum salah karena kendala memori dalam perhitungan checksum.
  • Jika Anda mencoba mengumpulkan lebih dari 2500 file dalam siklus pengumpulan 30 menit, performa Pelacakan Perubahan dan Inventaris mungkin menurun.
  • Jika lalu lintas jaringan tinggi, catatan perubahan bisa memakan waktu hingga enam jam untuk ditampilkan.
  • Jika Anda mengubah konfigurasi saat mesin atau server dimatikan, perubahan milik konfigurasi sebelumnya mungkin akan diposting.
  • Mengumpulkan pembaruan Hotfix pada mesin Windows Server 2016 Core RS3.
  • Daemon Linux mungkin menunjukkan status berubah meskipun tidak ada perubahan yang terjadi. Masalah ini muncul karena cara data SvcRunLevels dalam tabel ConfigurationChange Azure Monitor ditulis.

Batas

Untuk batas yang berlaku untuk Pelacakan dan Inventaris Perubahan, lihat Batas layanan Azure Automation.

Sistem operasi yang didukung

Pelacakan Perubahan dan Inventaris didukung di semua sistem operasi yang memenuhi persyaratan agen Analitik Log. Lihat sistem operasi yang didukung untuk daftar versi sistem operasi Windows dan Linux yang saat ini didukung oleh agen Analitik Log.

Untuk memahami persyaratan klien untuk TLS 1.2 atau yang lebih tinggi, lihat TLS untuk Azure Automation.

Persyaratan Python

Pelacakan Perubahan dan Inventori sekarang mendukung Python 2 dan Python 3. Jika komputer Anda menggunakan distro yang tidak menyertakan salah satu versi, Anda harus menginstalnya secara default. Contoh perintah berikut akan menginstal Python 2 dan Python 3 pada distro yang berbeda.

Catatan

Untuk menggunakan agen OMS yang kompatibel dengan Python 3, pastikan Anda terlebih dahulu menghapus instalan Python 2; jika tidak, agen OMS akan terus berjalan dengan python 2 secara default.

  • Red Hat, CentOS, Oracle:
   sudo yum install -y python2
  • Ubuntu, Debian:
   sudo apt-get update
   sudo apt-get install -y python2
  • SUSE:
   sudo zypper install -y python2

Catatan

Executable Python 2 harus di-alias ke python.

Persyaratan jaringan

Periksa Konfigurasi Jaringan Azure Automation untuk mengetahui informasi mendetail tentang port, URL, dan detail jaringan lainnya yang diperlukan untuk Pelacakan Perubahan dan Inventaris.

Mengaktifkan Pelacakan Perubahan dan Inventaris

Anda dapat mengaktifkan Pelacakan Perubahan dan Inventaris dengan cara berikut:

Melacak perubahan file

Untuk melacak perubahan dalam file di Windows dan Linux, Pelacakan Perubahan dan Inventaris menggunakan hash MD5 dari file. Fitur ini menggunakan hash untuk mendeteksi apakah perubahan telah dilakukan sejak inventaris terakhir. Untuk melacak file Linux, pastikan Anda memiliki akses BACA untuk pengguna agen OMS.

Melacak perubahan konten file

Pelacakan Perubahan dan Inventaris memungkinkan Anda untuk melihat konten file Windows atau Linux. Untuk setiap perubahan pada file, Pelacakan Perubahan dan Inventaris menyimpan konten file di akun Azure Storage. Saat melacak file, Anda dapat melihat kontennya sebelum atau sesudah perubahan. Konten file dapat dilihat secara sebaris atau berdampingan.

Menampilkan perubahan dalam file

Pelacakan kunci registri

Pelacakan Perubahan dan Inventaris memungkinkan pemantauan perubahan pada kunci registri Windows. Pemantauan memungkinkan Anda menentukan titik ekstensibilitas saat kode pihak ketiga dan malware dapat diaktifkan. Tabel berikut ini mencantumkan kunci registri yang telah dikonfigurasi sebelumnya (tetapi tidak diaktifkan). Untuk melacak kunci ini, Anda harus mengaktifkan masing-masing kunci.

Kunci Registri Tujuan
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Memantau skrip yang berjalan saat startup.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Memantau skrip yang berjalan saat pematian.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Memantau kunci yang dimuat sebelum pengguna masuk ke akun Windows. Kunci ini digunakan untuk aplikasi 32-bit yang berjalan pada komputer 64-bit.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Memantau perubahan pada pengaturan aplikasi.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Memantau handel menu konteks yang terhubung langsung ke Windows Explorer dan biasanya berjalan dalam proses dengan explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Memantau handel hook salinan yang terhubung langsung ke Windows Explorer dan biasanya berjalan dalam proses dengan explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Memantau pendaftaran handel overlay ikon.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Memantau pendaftaran handel overlay ikon untuk aplikasi 32-bit yang berjalan pada komputer 64-bit.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Memantau plugin objek pembantu browser baru untuk Internet Explorer. Digunakan untuk mengakses Model Objek Dokumen (DOM) dari halaman saat ini dan untuk mengontrol navigasi.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Memantau plugin objek pembantu browser baru untuk Internet Explorer. Digunakan untuk mengakses Model Objek Dokumen (DOM) halaman saat ini dan untuk mengontrol navigasi untuk aplikasi 32-bit yang berjalan pada komputer 64-bit.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions Memantau ekstensi Internet Explorer baru, seperti menu alat kustom dan tombol toolbar kustom.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Memantau ekstensi Internet Explorer baru, seperti menu alat kustom dan tombol toolbar kustom untuk aplikasi 32-bit yang berjalan pada komputer 64-bit.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Memantau driver 32-bit yang terkait dengan wavemapper, wave1 dan wave2, msacm.imaadpcm, .msadpcm, .msgsm610, dan vidc. Mirip dengan bagian [driver] dalam file system.ini.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Memantau driver 32-bit yang terkait dengan wavemapper, wave1 dan wave2, msacm.imaadpcm, .msadpcm, .msgsm610, dan vidc untuk aplikasi 32-bit yang berjalan pada komputer 64-bit. Mirip dengan bagian [driver] dalam file system.ini.
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Memantau daftar DLL sistem yang diketahui atau umum digunakan. Pemantauan mencegah orang mengeksploitasi izin direktori aplikasi yang lemah dengan meletakkan DL sistem versi kuda Trojan.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Memantau daftar paket yang dapat menerima pemberitahuan peristiwa dari winlogon.exe, model dukungan masuk interaktif untuk Windows.

Dukungan rekursi

Pelacakan Perubahan dan Inventaris mendukung rekursi, yang memungkinkan Anda menentukan wildcard untuk menyederhanakan pelacakan di seluruh direktori. Rekursi juga menyediakan variabel lingkungan untuk memungkinkan Anda melacak file di seluruh lingkungan dengan beberapa atau nama drive dinamis. Daftar berikut ini mencakup informasi umum yang harus Anda ketahui saat mengonfigurasi rekursi:

  • Kartubebas diperlukan untuk melacak beberapa file.

  • Anda hanya dapat menggunakan kartubebas di segmen terakhir jalur file, misalnya, c:\folder\file* atau /etc/*.conf.

  • Jika variabel lingkungan memiliki jalur yang tidak valid, validasi berhasil tetapi jalur gagal selama eksekusi.

  • Anda harus menghindari nama jalur umum saat mengatur jalur, karena jenis pengaturan ini dapat menyebabkan terlalu banyak folder dilalui.

Pengumpulan data Pelacakan Perubahan dan Inventaris

Tabel berikutnya menunjukkan frekuensi pengumpulan data untuk jenis perubahan yang didukung oleh Pelacakan Perubahan dan Inventaris. Untuk setiap jenis, rekam jepret data dari status saat ini juga direfresh setidaknya setiap 24 jam.

Jenis Perubahan Frekuensi
Registri Windows 50 menit
File Windows 30 menit
File Linux 15 menit
Layanan Windows 10 detik hingga 30 menit
Default: 30 menit
Daemon Linux 5 menit
Perangkat lunak Windows 30 menit
Perangkat lunak Linux 5 menit

Tabel berikut menunjukkan batasan item terlacak per mesin untuk Pelacakan Perubahan dan Inventaris.

Sumber daya Batas
File 500
Registri 250
Perangkat lunak Windows (tidak termasuk perbaikan) 250
Paket Linux 1250
Layanan 250
Daemons 250

Rata-rata penggunaan data Analitik Log untuk mesin menggunakan Pelacakan Perubahan dan Inventaris sekitar 40 MB per bulan, tergantung pada lingkungan Anda. Dengan fitur Penggunaan dan Perkiraan Biaya ruang kerja Analitik Log, Anda dapat melihat data yang diserap oleh Pelacakan Perubahan dan Inventaris dalam bagan penggunaan. Gunakan tampilan data ini untuk mengevaluasi penggunaan data Anda dan menentukan pengaruhnya terhadap tagihan Anda. Lihat Memahami penggunaan Anda dan memperkirakan biaya.

Data layanan Windows

Frekuensi pengumpulan default untuk layanan Windows adalah 30 menit. Anda dapat mengonfigurasi frekuensi menggunakan penggeser pada tab Layanan Windows di bawah Edit Pengaturan.

Penggeser layanan Windows

Untuk mengoptimalkan performa, agen Analitik Log hanya melacak perubahan. Menetapkan ambang batas tinggi mungkin akan melewatkan perubahan jika layanan kembali ke statusnya semula. Jika tidak, mengatur frekuensi ke nilai yang lebih kecil memungkinkan Anda mengambil perubahan yang mungkin terlewatkan.

Untuk layanan penting, sebaiknya tandai status Startup sebagai Otomatis (Mulai Tertunda) sehingga, setelah VM di-boot ulang, pengumpulan data layanan akan dimulai setelah agen MMA dimulai alih-alih memulai dengan cepat segera setelah VM aktif.

Catatan

Meskipun agen dapat melacak perubahan hingga interval 10 detik, data masih membutuhkan beberapa menit untuk ditampilkan di portal Microsoft Azure. Perubahan yang terjadi selama waktu untuk ditampilkan di portal masih dilacak dan dicatat.

Dukungan untuk pemberitahuan tentang status konfigurasi

Kemampuan utama Pelacakan Perubahan dan Inventaris memberi pemberitahuan terkait perubahan pada status konfigurasi lingkungan hibrid Anda. Banyak tindakan berguna yang tersedia untuk dipicu sebagai respons terhadap pemberitahuan. Misalnya, tindakan pada fungsi Azure, runbook Automation, webhook, dan yang lainnya. Memberi pemberitahuan terkait perubahan pada file c:\windows\system32\drivers\etc\hosts untuk mesin adalah salah satu aplikasi pemberitahuan yang baik untuk data Pelacakan Perubahan dan Inventaris. Ada lebih banyak skenario untuk memberi pemberitahuan juga, termasuk skenario kueri yang ditentukan dalam tabel berikutnya.

Kueri Deskripsi
ConfigurationChange
| where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\"		 Berguna untuk melacak perubahan pada file yang penting bagi sistem.
ConfigurationChange
| where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"		 Berguna untuk melacak modifikasi pada file konfigurasi utama.
ConfigurationChange
| where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stop"		 Berguna untuk melacak perubahan pada file yang penting bagi sistem.
ConfigurationChange
| where ConfigChangeType == "Daemons" dan SvcName contains "ssh" and SvcState!= "Running"		 Berguna untuk melacak perubahan pada file yang penting bagi sistem.
ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Added"		 Berguna untuk lingkungan yang memerlukan konfigurasi perangkat lunak yang dikunci.
ConfigurationData
| where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"		 Berguna untuk melihat mesin mana yang telah usang atau versi perangkat lunak yang tidak sesuai yang terinstal. Kueri ini melaporkan status konfigurasi terakhir yang dilaporkan, tetapi tidak melaporkan perubahan.
ConfigurationChange
| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"		 Berguna untuk melacak perubahan pada kunci antivirus penting.
ConfigurationChange
| di mana RegistryKey berisi @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"		 Berguna untuk melacak perubahan pada pengaturan firewall.

Memperbarui agen Analitik Log ke versi terbaru

Untuk Pelacakan Perubahan & Inventori, komputer menggunakan agen Log Analytics untuk mengumpulkan data tentang perubahan pada perangkat lunak yang diinstal, layanan Windows, registri dan file Windows, dan daemon Linux di server yang dipantau. Segera, Azure tidak akan lagi menerima koneksi dari versi agen Windows Log Analytics (LA) yang lebih lama, juga dikenal sebagai Windows Microsoft Monitoring Agent (MMA), yang menggunakan metode yang lebih lama untuk penanganan sertifikat. Sebaiknya tingkatkan agen Anda ke versi terbaru sesegera mungkin.

Agen yang menggunakan versi - 10.20.18053 (bundel) dan 1.0.18053.0 (ekstensi) atau yang lebih baru tidak terpengaruh sebagai respons terhadap perubahan ini. Jika Anda menggunakan agen sebelum itu, agen Anda tidak akan dapat tersambung, dan alur Pelacakan Perubahan & Inventarisasi & aktivitas hilir dapat berhenti. Anda dapat memeriksa versi agen LA saat ini di tabel HeartBeat dalam Ruang Kerja LA Anda.

Pastikan untuk meningkatkan ke versi terbaru agen Analitik Log Windows (MMA) dengan mengikuti panduan ini.

Langkah berikutnya