Mengaktifkan pelacakan dan pemberitahuan untuk perubahan penting
Pelacakan Perubahan dan Inventaris Azure memberikan pemberitahuan tentang status konfigurasi lingkungan hibrid Anda dan perubahan pada lingkungan tersebut. Pemberitahuan tersebut dapat melaporkan perubahan penting pada file, layanan, perangkat lunak, dan registri yang mungkin memengaruhi server Anda yang disebarkan.
Secara default, layanan inventaris Azure Automation tidak memantau pengaturan registri atau file. Solusi ini menyediakan daftar kunci registri yang kami sarankan untuk dipantau. Untuk melihat daftar ini, buka akun Azure Automation Anda di portal Microsoft Azure, lalu pilih Inventaris>Edit pengaturan.
Untuk informasi selengkapnya mengenai setiap kunci registri, lihat Pelacakan perubahan kunci registri. Pilih kunci apa pun untuk dievaluasi dan kemudian aktifkan. Pengaturan diterapkan ke semua VM yang diaktifkan di ruang kerja saat ini.
Anda juga dapat menggunakan layanan ini untuk melacak perubahan file penting. Misalnya, Anda mungkin ingin melacak file C:\windows\system32\drivers\etc\hosts karena OS menggunakannya untuk memetakan nama host ke alamat IP. Perubahan pada file ini dapat menyebabkan masalah konektivitas atau mengarahkan lalu lintas ke situs web berbahaya.
Untuk mengaktifkan pelacakan konten file untuk file host, ikuti langkah-langkah di Mengaktifkan pelacakan konten file.
Anda juga dapat menambahkan pemberitahuan pada perubahan pada file yang dilacak. Misalnya, Anda mungkin ingin mengatur pemberitahuan untuk perubahan pada file host. Untuk melakukan ini, pilih Analitik Log di bilah perintah atau Pencarian Log untuk ruang kerja Analitik Log tertaut. Di Analitik Log, gunakan kueri berikut untuk mencari perubahan pada file host:
ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts"
Kueri ini mencari perubahan pada konten file yang memiliki jalur yang berisi kata hosts. Anda juga dapat mencari file tertentu dengan mengubah parameter jalur. (Misalnya: FileSystemPath == "c:\\windows\\system32\\drivers\\etc\\hosts".)
Setelah kueri mengembalikan hasil, pilih Aturan pemberitahuan baru untuk membuka penyunting aturan pemberitahuan. Anda juga bisa masuk ke penyunting ini melalui Azure Monitor di portal Microsoft Azure.
Di penyunting aturan pemberitahuan, tinjau kueri dan ubah logika pemberitahuan jika diperlukan. Dalam hal ini, kita ingin pemberitahuan dinaikkan jika ada perubahan yang terdeteksi pada mesin apa pun di lingkungan.
Setelah mengatur logika ketentuan, Anda dapat menetapkan grup tindakan untuk melakukan tindakan sebagai respons terhadap pemberitahuan. Dalam contoh ini, ketika pemberitahuan dinaikkan, email dikirim dan tiket ITSM dibuat. Anda dapat mengambil banyak tindakan berguna lainnya, seperti memicu fungsi Azure, runbook Azure Automation, webhook, atau aplikasi logika.
Setelah Anda mengatur semua parameter dan logika, terapkan pemberitahuan ke lingkungan.
Contoh pelacakan dan pemberitahuan
Bagian ini menampilkan skenario umum lainnya untuk pelacakan dan pemberitahuan yang mungkin ingin Anda gunakan.
File driver berubah
Gunakan kueri berikut untuk mendeteksi apakah file driver diubah, ditambahkan, atau dihapus. Tindakan ini berguna untuk melacak perubahan pada file sistem penting.
ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\\windows\\system32\\drivers\\"
Layanan tertentu berhenti
Gunakan kueri berikut untuk melacak perubahan pada layanan penting sistem.
ConfigurationChange | where SvcState == "Stopped" and SvcName contains "w3svc"
Perangkat lunak baru terpasang
Gunakan kueri berikut untuk lingkungan yang perlu mengunci konfigurasi perangkat lunak.
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"
Versi perangkat lunak tertentu terpasang atau tidak terpasang pada mesin
Gunakan kueri berikut untuk menilai keamanan. Kueri ini merujuk ConfigurationData, yang berisi log untuk inventaris dan menyediakan status konfigurasi yang terakhir dilaporkan, bukan perubahan.
ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"
DLL yang diketahui berubah melalui registri
Gunakan kueri berikut untuk mendeteksi perubahan pada kunci registri yang dikenal.
ConfigurationChange | where RegistryKey == "HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Session Manager\\KnownDlls"
Langkah berikutnya
Pelajari cara Azure Automation dapat membuat jadwal pembaruan untuk mengelola pembaruan untuk server Anda.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk