Gestire il rilevamento modifiche e l'inventario

Importante

Rilevamento modifiche e inventario con l'agente di Log Analytics è stato ritirato il 31 agosto 2024 e funzionerà con supporto limitato fino al 01 febbraio 2025. È consigliabile usare l'agente di monitoraggio di Azure come nuovo agente di supporto. Seguire le linee guida per la migrazione da Rilevamento modifiche e inventario usando Analisi dei log per Rilevamento modifiche e inventario usando la versione dell'agente di monitoraggio di Azure.

Nota

L'onboarding di Rilevamento modifiche e inventario con Log Analytics tramite il portale di Azure non verrà consentito in quanto il servizio è stato ritirato il 31 agosto 2024. Consigliamo di configurare una nuova versione di Rilevamento modifiche e inventario con AMA. Le macchine virtuali esistenti in Rilevamento modifiche e inventario con l' agente legacy continueranno a funzionare fino al 1˚ febbraio 2025. Per altre informazioni, vedere Abilitare Rilevamento modifiche e inventario con l'agente di Monitoraggio di Azure.

Quando si abilita un nuovo file o una chiave del Registro di sistema da rilevare, Automazione di Azure li abilita per Rilevamento modifiche e inventario. Questo articolo descrive come configurare il rilevamento, esaminare i risultati del rilevamento e gestire gli avvisi quando vengono rilevate modifiche.

Prima di usare le procedure descritte in questo articolo, verificare di aver abilitato Rilevamento modifiche e inventario nelle macchine virtuali tramite una di queste tecniche:

• Abilitare Rilevamento modifiche e inventario da un account di Automazione
• Abilitare Rilevamento modifiche e inventario dal portale di Azure
• Abilitare Rilevamento modifiche e inventario da un runbook
• Abilitare Rilevamento modifiche e inventario da una macchina virtuale di Azure

Limitare l'ambito della distribuzione

Rilevamento modifiche e inventario usa una configurazione dell'ambito all'interno dell'area di lavoro per individuare i computer che ricevono le modifiche. Per altre informazioni, vedere Limitare l'ambito della distribuzione di Rilevamento modifiche e inventario.

Rilevare file

È possibile usare Rilevamento modifiche e inventario per tenere traccia delle modifiche apportate a file e cartelle/directory. Questa sezione descrive come configurare il rilevamento dei file in Windows e in Linux.

Configurare il rilevamento dei file in Windows

Seguire questa procedura per configurare il rilevamento dei file in computer Windows:

1. Accedere al portale di Azure.

2. Nel portale di Azure fare clic su Tutti i servizi. Nell'elenco delle risorse digitare Automazione. Non appena si inizia a digitare, l'elenco filtra i suggerimenti in base all'input. Selezionare Account di automazione.

3. Nell'elenco degli account di Automazione, selezionare l'account scelto al momento dell'abilitazione di Rilevamento modifiche e inventario.

4. Nell'account di Automazione selezionare Rilevamento modifiche in Gestione della configurazione.

5. Selezionare Modifica impostazioni (simbolo dell'ingranaggio).

6. Nella pagina Configurazione dell'area di lavoro selezionare File Windows, quindi fare clic su + Aggiungi per aggiungere un nuovo file da rilevare.

7. Nel riquadro Aggiungi file Windows per Rilevamento modifiche immettere le informazioni per il file o la cartella da rilevare e fare clic su Salva. La tabella seguente definisce le proprietà che è possibile usare per le informazioni.

   Proprietà	Descrizione
   Attivata	True se viene applicata l'impostazione e False in caso contrario.
   Nome elemento	Nome descrittivo del file da rilevare.
   Raggruppa	Nome del gruppo per il raggruppamento logico dei file.
   Immettere il percorso	Percorso in cui cercare il file, ad esempio, c:\temp\*.txt. È anche possibile usare le variabili di ambiente, ad esempio %winDir%\System32\\\*.*.
   Tipo di percorso	Tipo di percorso. I valori possibili sono File e Cartella.
   Ricorsione	True se viene usata la ricorsione per la ricerca dell'elemento da rilevare, False in caso contrario.
   Carica contenuto file	True per caricare il contenuto del file nelle modifiche rilevate e False in caso contrario.

   Se si prevede di configurare il monitoraggio di file e cartelle usando caratteri jolly, tenere presente quanto segue:

   • I caratteri jolly sono necessari per il rilevamento di più file.
   • I caratteri jolly possono essere usati solo nell'ultimo segmento di un percorso, ad esempio C:\cartella\file o /etc/.conf*
   • Se una variabile di ambiente include un percorso non valido, la convalida avrà esito positivo ma il percorso avrà esito negativo quando si esegue l'inventario.
   • Quando si imposta il percorso, evitare di specificare percorsi generici, ad esempio c:.**, poiché il risultato sarà un numero eccessivo di cartelle da attraversare.

8. Assicurarsi di specificare True per Carica contenuto file. Questa impostazione abilita il rilevamento del contenuto del file solo per il percorso indicato.

Configurare il rilevamento dei file in Linux

Seguire questa procedura per configurare il rilevamento dei file in computer Linux:

1. Selezionare Modifica impostazioni (simbolo dell'ingranaggio).

2. Nella pagina Configurazione dell'area di lavoro selezionare File Linux e quindi selezionare + Aggiungi per aggiungere un nuovo file da rilevare.

3. Nella pagina Aggiungi file Linux per Rilevamento modifiche immettere le informazioni per il file o la directory da rilevare e quindi selezionare Salva. La tabella seguente definisce le proprietà che è possibile usare per le informazioni.

   Proprietà	Descrizione
   Attivata	True se viene applicata l'impostazione e False in caso contrario.
   Nome elemento	Nome descrittivo del file da rilevare.
   Raggruppa	Nome del gruppo per il raggruppamento logico dei file.
   Immettere il percorso	Percorso in cui cercare il file, ad esempio /etc/*.conf.
   Tipo di percorso	Tipo di percorso. I valori possibili sono File e Directory.
   Ricorsione	True se viene usata la ricorsione per la ricerca dell'elemento da rilevare, False in caso contrario.
   Usa Sudo	True per utilizzare sudo quando si cerca l'elemento e False in caso contrario. Nota: la funzionalità Usa Sudo è attualmente disponibile nel portale di Azure e non ancora implementata nel servizio Rilevamento modifiche. Pertanto, quando si modificano le impostazioni nel portale di Azure, non si noterà alcuna modifica nel servizio.
   Collegamenti	Impostazione che determina la modalità di gestione dei collegamenti simbolici durante l'attraversamento delle directory. I valori possibili sono: Ignora: ignora i collegamenti simbolici e non include i file e le directory a cui viene fatto riferimento. Segui: segue i collegamenti simbolici durante la ricorsione e include anche i file e le directory a cui viene fatto riferimento. Gestisci: segue i collegamenti simbolici e consente la modifica del contenuto restituito. Nota: l'opzione Gestisci non è consigliata perché non supporta il recupero del contenuto del file.
   Carica contenuto file	True per caricare il contenuto del file nelle modifiche rilevate e False in caso contrario.

4. Assicurarsi di specificare True per Carica contenuto file. Questa impostazione abilita il rilevamento del contenuto del file solo per il percorso indicato.

   

Rilevare il contenuto del file

Il rilevamento del contenuto del file consente di visualizzare il contenuto di un file prima e dopo una modifica rilevata. La funzionalità salva il contenuto del file in un account di archiviazione dopo ogni modifica. Ecco alcune regole da seguire per rilevare il contenuto dei file:

• Un account di archiviazione standard con il modello di distribuzione di Gestione risorse è necessario per la memorizzazione del contenuto del file.
• Per impostazione predefinita, gli account di archiviazione accettano connessioni da client di qualsiasi rete. Se l'account di archiviazione è stato protetto per consentire solo un determinato traffico, è necessario modificare le regole di configurazione per consentire all'account di Automazione di connettersi. Vedere Configurare le reti virtuali e i firewall di Archiviazione di Azure.
• Non usare account di archiviazione con modello di distribuzione classica e Premium. Vedere Informazioni sugli account di archiviazione di Azure.
• È possibile connettere l'account di archiviazione a un solo account di Automazione.
• Rilevamento modifiche e inventario deve essere abilitato nell'account di Automazione.

Nota

Se la dimensione del file è >1,25 MB, FileContentChecksum non è corretto a causa dei vincoli di memoria nel calcolo checksum.

Abilitare il rilevamento delle modifiche al contenuto del file

Usare la procedura seguente per abilitare il rilevamento delle modifiche apportate al contenuto del file:

1. Selezionare Modifica impostazioni (simbolo dell'ingranaggio).

2. Selezionare Contenuto file e quindi selezionare Collegamento. Con questa selezione si apre la pagina Aggiungi posizione contenuto per Rilevamento modifiche.

   

3. Selezionare la sottoscrizione e l'account di archiviazione da usare per archiviare il contenuto del file.

4. Se si desidera abilitare il rilevamento di contenuto dei file per tutti i file verificati esistenti, selezionare On per Caricare il contenuto del file per tutte le impostazioni. È possibile modificare questa impostazione per ogni percorso di file in un secondo momento.

   

5. Rilevamento modifiche e inventario mostra gli URI dell'account di archiviazione e della firma di accesso condiviso (SAS) quando abilita il rilevamento delle modifiche al contenuto del file. Le firme scadono dopo 365 giorni ed è possibile ricrearle selezionando Rigenera.

   

Visualizzare il contenuto di un file rilevato

Dopo che Rilevamento modifiche e inventario ha individuato una modifica a un file rilevato, è possibile visualizzare il contenuto del file nel riquadro Dettagli modifiche.

1. Nella pagina Rilevamento modifiche dall'account di Automazione scegliere un file nell'elenco delle modifiche e quindi selezionare Visualizza modifiche contenuto file per visualizzare il contenuto del file. Il riquadro dei dettagli delle modifiche mostra le informazioni standard prima e dopo la modifica per ogni proprietà.

   

2. Il contenuto del file viene mostrato in una visualizzazione affiancata. È possibile selezionare In linea per ottenere una visualizzazione in linea delle modifiche.

Rilevare le chiavi del Registro di sistema

Seguire questa procedura per configurare il rilevamento delle chiavi del Registro di sistema in computer Windows:

1. Nella pagina Rilevamento modifiche dall'account di Automazione selezionare Modifica impostazioni (simbolo a forma di ingranaggio).

2. Nella pagina Configurazione dell'area di lavoro selezionare Registro di sistema di Windows.

3. Selezionare + Aggiungi per aggiungere una nuova chiave del Registro di sistema da rilevare.

4. Nella pagina Aggiungi Registro di sistema di Windows per Rilevamento modifiche immettere le informazioni per la chiave da rilevare e quindi selezionare Salva. La tabella seguente definisce le proprietà che è possibile usare per le informazioni. Quando si specifica un percorso del Registro di sistema, deve essere la chiave e non un valore.

   Proprietà	Descrizione
   Attivata	True se viene applicata l'impostazione e False in caso contrario.
   Nome elemento	Nome descrittivo della chiave del Registro di sistema da rilevare.
   Raggruppa	Nome del gruppo per il raggruppamento logico delle chiavi del Registro di sistema.
   Chiave del Registro di sistema di Windows	Nome della chiave con percorso, ad esempio, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Startup.

Cercare i record delle modifiche nei log

È possibile eseguire varie ricerche di record delle modifiche nei log di Monitoraggio di Azure. Con la pagina Rilevamento modifiche aperta, fare clic su Log Analytics per aprire la pagina Log. La tabella seguente contiene esempi di ricerche log per i record di modifica.

Query	Descrizione
ConfigurationData | where ConfigDataType == "WindowsServices" and SvcStartupType == "Auto" | where SvcState == "Stopped" | summarize arg_max(TimeGenerated, *) by SoftwareName, Computer	Mostra i record dell'inventario più recenti per i servizi Windows che sono stati impostati su Auto (Automatico) ma sono stati segnalati come Stopped (Interrotto). I risultati sono limitati al record più recente per il nome software e il computer specificati.
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Removed" | order by TimeGenerated desc	Mostra i record di modifica per il software rimosso.

Passaggi successivi

• Per informazioni sulle configurazioni dell'ambito, vedere Limitare l'ambito della distribuzione di Rilevamento modifiche e inventario.
• Se è necessario eseguire ricerche in Log di Monitoraggio di Azure, vedere Ricerche nei log in Log di Monitoraggio di Azure.
• Se sono state completate le distribuzioni, vedere Rimuovere Rilevamento modifiche e inventario.
• Per eliminare le macchine virtuali da Rilevamento modifiche e inventario, vedere Rimuovere macchine virtuali da Rilevamento modifiche e inventario.
• Per risolvere i problemi relativi alla funzionalità, vedere Risolvere i problemi relativi a Rilevamento modifiche e inventario.