Бөлісу құралы:


Управление решением для отслеживания изменений и инвентаризации

Внимание

Отслеживание изменений и инвентаризация использование агента Log Analytics прекращено 31 августа 2024 г. и будет работать с ограниченной поддержкой до 01 февраля 2025 г. Мы рекомендуем использовать агент мониторинга Azure в качестве нового агента поддержки. Следуйте рекомендациям по миграции от отслеживания изменений и инвентаризации с помощью Log Analytics к отслеживанию изменений и инвентаризации с помощью версии агента мониторинга Azure.

Примечание.

Отслеживание изменений и инвентаризации с подключением Log Analytics через портал Azure не будет разрешено, так как служба отставила 31 августа 2024 года. Рекомендуется настроить новую версию Отслеживание изменений и инвентаризации с помощью AMA. Существующие виртуальные машины на Отслеживание изменений и инвентаризации с устаревшим агентом будут продолжать работать до 1 февраля 2025 г. Дополнительные сведения см. в статье "Включение Отслеживание изменений и инвентаризация с помощью агента мониторинга Azure".

Если вы добавляете новый файл или раздел реестра для отслеживания, служба автоматизации Azure включает его для Отслеживания изменений и инвентаризации. В этой статье описано, как настроить отслеживание, проверить его результаты и обработать оповещения при обнаружении изменений.

Прежде чем воспользоваться инструкциями в этой статье, включите на своих виртуальных машинах Отслеживание изменений и инвентаризацию. Это можно сделать одним из следующих способов:

Ограничение области развертывания

Отслеживание изменений и инвентаризация использует конфигурацию области в пределах рабочей области, чтобы определить целевые компьютеры для приема изменений. Дополнительные сведения см. в разделе Ограничение области развертывания для отслеживания изменений и инвентаризации.

Отслеживание изменений в файлах

Отслеживание изменений и инвентаризацию можно использовать для отслеживания изменений в файлах и папках (каталогах). В этом разделе описано, как настроить отслеживание файлов в Windows и в Linux.

Настройка отслеживания изменений в файлах Windows

Чтобы настроить отслеживание изменений в файлах на компьютере с Windows:

  1. Войдите на портал Azure.

  2. На портале Azure щелкните Все службы. В списке ресурсов выберите Автоматизация. Когда вы начинаете вводить текст, список фильтрует предложения на основе вашего ввода. Выберите элемент Учетные записи службы автоматизации.

  3. В списке учетных записей службы автоматизации выберите учетную запись, которую вы использовали при включении Отслеживания изменений и инвентаризации.

  4. В учетной записи службы автоматизации в разделе Управление конфигурацией выберите Отслеживание изменений.

  5. Щелкните Изменить параметры (символ шестеренки).

  6. На странице "Конфигурация рабочей области" выберите Файлы Windows и нажмите кнопку + Добавить, чтобы добавить новый файл для отслеживания.

  7. В области "Добавление файла Windows для Отслеживания изменений" введите сведения о файле или папке, для которой нужно включить отслеживание, и щелкните Сохранить. В следующей таблице указаны свойства, которые можно использовать для получения сведений.

    Свойство Description
    Включено Значение true, если параметр применен, и false, если нет.
    Имя элемента Понятное имя файла для отслеживания.
    Групповой Имя группы для логического группирования файлов.
    Укажите путь Путь к файлу, например c:\temp\*.txt. Вы также можете использовать переменные среды, такие как %winDir%\System32\\\*.*.
    Тип пути Тип пути. Допускаются значения "Файл" и "Папка".
    Рекурсия Значение true, если используется рекурсия при поиске отслеживаемого элемента, или false, если нет.
    Отправка содержимого файла Значение true, если нужно отправлять содержимое файла при отслеживании изменений, и false, если нет.

    Если вы планируете настроить мониторинг файлов и папок с помощью подстановочных знаков, учитывайте следующее.

    • Для отслеживания нескольких файлов необходимы подстановочные знаки.
    • Подстановочные знаки можно использовать только в последнем сегменте пути, например C:\folder\file или /etc/.conf*.
    • Если у переменной среды недопустимый путь, проверка будет успешной, но запуск ресурса по этому пути завершится сбоем.
    • При настройке пути избегайте общих путей, таких как c:,** так как в результате придется просматривать слишком много папок.
  8. Укажите значение true для параметра Отправка содержимого файла. Этот параметр включает отслеживание содержимого файла для указанного пути к файлу.

Настройка отслеживания изменений в файлах Linux

Чтобы настроить отслеживание файла на компьютере с Linux, сделайте следующее:

  1. Щелкните Изменить параметры (символ шестеренки).

  2. На странице "Конфигурация рабочей области" выберите Файлы Linux и нажмите кнопку + Добавить, чтобы добавить новый файл для отслеживания.

  3. В окне Добавление файла Linux для Отслеживания изменений введите сведения о файле или каталоге, для которого нужно включить отслеживание, и щелкните Сохранить. В следующей таблице указаны свойства, которые можно использовать для получения сведений.

    Свойство Description
    Включено Значение true, если параметр применен, и false, если нет.
    Имя элемента Понятное имя файла для отслеживания.
    Групповой Имя группы для логического группирования файлов.
    Укажите путь Путь для проверки наличия файла, например /etc/*.conf.
    Тип пути Тип пути. Допускаются значения "Файл" и "Каталог".
    Рекурсия Значение true, если используется рекурсия при поиске отслеживаемого элемента, или false, если нет.
    Использовать sudo Значение true, чтобы использовать sudo при проверке наличия элемента, или false, если использовать sudo не нужно.
    Примечание. Функция Use Sudo в настоящее время доступна в портал Azure и еще не реализована в службе Отслеживание изменений. Поэтому при изменении параметров в портал Azure вы не найдете никаких изменений в службе.
    Ссылки. Параметр, определяющий обработку символических ссылок при обзоре каталогов. Возможны следующие значения:
    Пропустить — игнорирование символических ссылок без включения ссылочных файлов и каталогов.
    Переходить — переход по символическим ссылкам во время рекурсий и включение ссылочных файлов и каталогов.
    Управлять — переход по символьным ссылкам и разрешение изменения полученного содержимого.
    Примечание. Использовать вариант “Управлять” не рекомендуется, так как он не поддерживает извлечение содержимого файлов.
    Отправка содержимого файла Значение true, если нужно отправлять содержимое файла при отслеживании изменений, и false, если нет.
  4. Укажите значение True для параметра Отправка содержимого файла. Этот параметр включает отслеживание содержимого файла для указанного пути к файлу.

    Добавление файла Linux

Отслеживание содержимого файла

Отслеживание содержимого файла позволяет просматривать содержимое файла до и после отслеживаемого изменения. Эта функция сохраняет содержимое файла в учетной записи хранения после каждого изменения. Ниже приведены некоторые правила, которые необходимо выполнить для отслеживания содержимого файла.

  • Для хранения содержимого файла требуется стандартная учетная запись хранения с моделью развертывания Resource Manager.
  • По умолчанию учетные записи хранения принимают запросы на подключение от клиентов в сети. Если вы защитили учетную запись хранения, разрешив только определенный трафик, необходимо изменить правила конфигурации, чтобы к этой учетной записи могла подключаться учетная запись службы автоматизации. См. статью Настройка брандмауэров службы хранилища Azure и виртуальных сетей.
  • Не используйте учетные записи хранения классической модели развертывания и модели "Премиум". См. статью об учетных записях службы хранилища Azure.
  • Учетную запись хранения можно подключить только к одной учетной записи службы автоматизации.
  • Функция “Отслеживание изменений и инвентаризация” должна быть включена в учетной записи службы автоматизации.

Примечание.

Если размер файла отображается >1,25 МБ, файлContentChecksum некорректен из-за ограничений памяти в расчете контрольной суммы.

Включение отслеживания изменений для содержимого файлов

Чтобы включить отслеживание изменений в содержимом файла, выполните следующие действия.

  1. Щелкните Изменить параметры (символ шестеренки).

  2. Выберите Содержимое файла, а затем — Ссылка. Будет открыта страница Добавление расположения содержимого для Отслеживания изменений.

    Добавление расположения содержимого

  3. Выберите подписку и учетную запись хранения для хранения содержимого файла.

  4. Если вы хотите включить отслеживание содержимого файла для всех существующих отслеживаемых файлов, выберите Вкл. для пункта Отправка содержимого файла для всех параметров. Позже вы сможете изменить этот параметр для каждого пути к файлу.

    Настройка учетной записи хранения

  5. Решение для отслеживания изменений и инвентаризации отображает учетную запись хранения и URI подписанного URL-адреса (SAS), когда включает отслеживание изменений для содержимого файлов. Срок действия подписей истекает через 365 дней. Их можно создать повторно, щелкнув Повторно создать.

    вывод ключей учетной записи;

Просмотр содержимого отслеживаемого файла

После того как решение для отслеживания изменений и инвентаризации обнаруживает изменение отслеживаемого файла, содержимое файла можно просмотреть на панели "Сведения об изменениях".

Список изменений

  1. На странице Отслеживание изменений в учетной записи службы автоматизации выберите файл в списке изменений, а затем щелкните Просмотреть изменения содержимого файла, чтобы просмотреть содержимое файла. В области сведений об изменениях отображаются стандартные сведения о каждом свойстве в файле до и после изменений.

    Сведения об изменении

  2. В двух столбцах отображается содержимое файла до и после изменений. Вы можете выбрать Встроенный, чтобы просмотреть встроенное представление изменений.

Отслеживание разделов реестра

Чтобы настроить разделы реестра для отслеживания на компьютерах с Windows, сделайте следующее:

  1. На странице Отслеживание изменений в учетной записи службы автоматизации выберите Изменить параметры (символ шестеренки).

  2. На странице "Конфигурация рабочей области" выберите Реестр Windows.

  3. Щелкните + Добавить, чтобы добавить новый раздел реестра для отслеживания.

  4. На странице Добавление реестра Windows для Отслеживания изменений введите сведения о разделе, для которого нужно включить отслеживание, и щелкните Сохранить. В следующей таблице указаны свойства, которые можно использовать для получения сведений. При указании пути к реестру необходимо задать раздел, а не значение.

    Свойство Description
    Включено Значение true, если параметр применен, и false, если нет.
    Имя элемента Понятное имя раздела реестра, который нужно отслеживать.
    Групповой Имя группы для логического группирования разделов реестра.
    Раздел реестра Windows Имя раздела с путем, например HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Startup.

Поиск записей об изменениях в журналах

Вы можете искать различные записи об изменениях с помощью поисковых запросов к журналам Azure Monitor. Откройте страницу "Отслеживание изменений" и щелкните Log Analytics. Откроется страница "Журналы". Следующая таблица содержит примеры запросов поиска по журналам для получения записей об изменениях.

Query Description
ConfigurationData
| where ConfigDataType == "WindowsServices" and SvcStartupType == "Auto"
| where SvcState == "Stopped"
| summarize arg_max(TimeGenerated, *) by SoftwareName, Computer
Показывает самые последние записи инвентаризации для служб Windows, для которых установлено значение "Автоматический" и которые были остановлены. Результаты ограничены самой последней записью для указанного имени программного обеспечения и компьютера.
ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Removed"
| order by TimeGenerated desc
Показывает записи об изменениях для удаленного программного обеспечения.

Следующие шаги