Общие сведения об отслеживании изменений и инвентаризации
Внимание
Отслеживание изменений и инвентаризация использование агента Log Analytics прекращено 31 августа 2024 г. и будет работать с ограниченной поддержкой до 01 февраля 2025 г. Мы рекомендуем использовать агент мониторинга Azure в качестве нового агента поддержки. Следуйте рекомендациям по миграции от отслеживания изменений и инвентаризации с помощью Log Analytics к отслеживанию изменений и инвентаризации с помощью версии агента мониторинга Azure.
Внимание
Вы можете ожидать следующее, если вы используете возможность с помощью агента Отслеживание изменений и инвентаризации Log Analytics.
- Функциональные возможности Отслеживание изменений с агентом Log Analytics будут продолжать работать до февраля 2025 года. Однако поддержка будет ограничена и может привести к потенциальным проблемам со временем.
- Установка. Возможность настройки Отслеживание изменений и инвентаризации с помощью агентов MMA/OMS будет удалена из портал Azure скоро.
- Поддержка клиентов: вы не сможете получить поддержку через существующие каналы для Отслеживание изменений и инвентаризации с ПОМОЩЬЮ MMA/OMS. Корпорация Майкрософт будет предоставлять поддержку на основе лучших усилий.
- Новые возможности и матрица поддержки: новые возможности не будут добавлены, включая функции для дополнительных версий Windows или Linux.
- Мониторинг целостности файлов: План 2 в Microsoft Defender для серверов предлагает новое решение для мониторинга целостности файлов (FIM), созданное с помощью интеграции Microsoft Defender для конечной точки (MDE). Microsoft Defender для облака рекомендует отключить FIM через MMA к ноября 2024 г. и подключить среду к новой версии FIM на основе Defender для конечной точки. Мониторинг целостности файлов на основе агента Log Analytics (MMA) поддерживается до ноября 2024 года. Подробнее.
В этой статье приводятся основные сведения об отслеживании изменений и инвентаризации в службе автоматизации Azure. Эта функция отслеживает изменения в виртуальных машинах, размещенных в Azure, локально и в других облачных средах, помогая выявлять проблемы в работе программного обеспечения, управляемого диспетчером пакетов распространения. Элементы, которые отслеживаются функцией отслеживания изменений и инвентаризации:
- Программное обеспечение Windows
- программное обеспечение Linux (пакеты);
- файлы Windows и Linux;
- разделы реестра Windows;
- Службы Windows
- Управляющие программы Linux
Примечание.
Чтобы отслеживать изменения свойств Azure Resource Manager, обратитесь к журналу изменений в Azure Resource Graph.
Отслеживание изменений и инвентаризация используется в Microsoft Defender Microsoft Defender для облака мониторинг целостности файлов (FIM) для изучения файлов операционной системы и приложений, а также реестра Windows. Пока FIM отслеживает эти сущности, функция Отслеживания изменений и инвентаризации отслеживает:
- изменения программного обеспечения;
- Службы Windows
- Управляющие программы Linux
Включение всех функций, содержащихся в функции Отслеживания изменений и инвентаризации, может привести к дополнительным расходам. Прежде чем продолжать, ознакомьтесь с ценами на службу автоматизации и ценами на Azure Monitor.
Функция Отслеживания изменений и инвентаризации пересылает данные в журналы Azure Monitor, а собранные данные хранятся в рабочей области Log Analytics. Функция мониторинга целостности файлов (FIM) доступна только при включении Microsoft Defender для серверов . Дополнительные сведения см. в Microsoft Defender для облака ценах. FIM передает данные в ту же рабочую область Log Analytics, которая была создана для хранения данных из функции Отслеживания изменений и инвентаризации. Рекомендуется выполнять мониторинг связанной рабочей области Log Analytics, чтобы отслеживать точное использование. Дополнительные сведения об анализе использования данных журналов Azure Monitor см. в статье "Анализ использования в рабочей области Log Analytics".
Компьютеры, подключенные к рабочим областям Log Analytics, используют агент Log Analytics для сбора данных об изменениях в установленном программном обеспечении, службах Windows, реестре Windows и файлах, а также в управляющих программах Linux на отслеживаемых серверах. Когда данные доступны, агенты отправляют их в журналы Azure Monitor для обработки. Журналы Azure Monitor применяют логику к полученным данным, записывают их и делают доступными для анализа.
Примечание.
Для функции Отслеживания изменений и инвентаризации требуется связать рабочую область Log Analytics с учетной записью службы автоматизации. Полный список поддерживаемых регионов см. в статье о сопоставлении рабочих областей Azure. Сопоставления регионов не влияют на возможность управления виртуальными машинами в отдельном регионе из учетной записи службы автоматизации.
Как поставщик услуг вы можете подключить несколько клиентов к Azure Lighthouse. Azure Lighthouse позволяет выполнять операции в масштабе нескольких клиентов Microsoft Entra одновременно, делая задачи управления, такие как Отслеживание изменений и инвентаризация более эффективными в этих клиентах. Функция Отслеживания изменений и инвентаризации может управлять компьютерами в нескольких подписках в одном и том же клиенте или в разных клиентах с помощью делегированного управления ресурсами Azure.
Текущие ограничения
В настоящее время функция Отслеживания изменений и инвентаризации не поддерживает следующие элементы или имеет следующие ограничения.
- Рекурсия для отслеживания реестра Windows
- Сетевые файловые системы
- другие методы установки;
- Файлы *.exe, хранящиеся в Windows
- в текущей версии столбец и значения Максимальный размер файла не используются;
- При отслеживании изменений файла размер файла не может превышать 5 МБ.
- Если размер файла отображается >1,25 МБ, файлContentChecksum некорректен из-за ограничений памяти в расчете контрольной суммы.
- При сборе более 2500 файлов в течение 30-минутного цикла производительность функции Отслеживания изменений и инвентаризации может снизиться.
- При интенсивном сетевом трафике изменение записей может занять до шести часов.
- Если изменение конфигурации выполняется на отключенном компьютере или сервере, он может внести изменения, относящиеся к предыдущей конфигурации.
- Сбор исправлений для компьютеров Windows Server 2016 Core RS3.
- Управляющие программы Linux могут показывать измененное состояние, даже если изменений не было. Эта проблема возникает из-за способа записи данных
SvcRunLevels
в таблицу ConfigurationChange в Azure Monitor.
Ограничения
Ограничения для функций Отслеживания изменений и инвентаризации приведены в статье Ограничения службы автоматизации Azure.
Поддерживаемые операционные системы
Функция отслеживания изменений и инвентаризации поддерживается во всех операционных системах, отвечающих требованиям для агента Log Analytics. Список версий операционных систем Windows и Linux, которые в настоящее время поддерживает агент Log Analytics, см. в этом разделе.
Сведения о требованиях клиента для TLS 1.2 или более поздней версии см. в разделе TLS для служба автоматизации Azure.
Требование Python
Отслеживание изменений и инвентаризация теперь поддерживает Python 2 и Python 3. Если компьютер использует дистрибутив, который не включает ни один из версий, их необходимо установить по умолчанию. Следующие примеры команд будут устанавливать Python 2 и Python 3 в разных дистрибутивах.
Примечание.
Чтобы использовать агент OMS, совместимый с Python 3, убедитесь, что сначала удалите Python 2; в противном случае агент OMS будет продолжать работать с Python 2 по умолчанию.
- Red Hat, Oracle:
sudo yum install -y python2
- Ubuntu, Debian:
sudo apt-get update
sudo apt-get install -y python2
- SUSE:
sudo zypper install -y python2
Примечание.
Исполняемый файл Python 2 должен быть псевдонимом python.
Требования к сети
Дополнительные сведения о портах, URL-адресах и других данных о сети, необходимых для функции Отслеживания изменений и инвентаризации, см. в статье Сведения о конфигурации сети службы автоматизации Azure.
Включение решения для отслеживания изменений и инвентаризации
Вы можете включить Отслеживание изменений и инвентаризацию следующими способами:
Из учетной записи службы автоматизации для одного или нескольких компьютеров Azure и других.
Вручную для компьютеров, не связанные с Azure, включая компьютеры или серверы, зарегистрированные на серверах с поддержкой Azure Arc. Для гибридных компьютеров рекомендуется установить агент Log Analytics для Windows, сначала подключив компьютер к серверам с поддержкой Azure Arc, а затем с помощью службы Политики Azure назначить встроенную политику Развертывание агента Log Analytics на компьютерах Linux или Windows с Azure Arc. Если вы планируете также отслеживать компьютеры с помощью Azure Monitor для виртуальных машин, используйте инициативу Включение Azure Monitor для виртуальных машин.
Для одной виртуальной машины Azure со страницы "Виртуальная машина" на портале Azure. Этот сценарий доступен для виртуальных машин Linux и Windows.
Для нескольких виртуальных машин Azure, выбрав их на странице "Виртуальные машины" на портале Azure.
Отслеживание изменений в файлах
Для отслеживания изменений в файлах в Windows и Linux функция отслеживания изменений и инвентаризации использует MD5-хэши файлов. Затем эти хэши применяются для определения того, вносились ли изменения с момента последней инвентаризации. Чтобы отслеживать файлы Linux, убедитесь, что у вас есть доступ READ для пользователя агента OMS.
Отслеживание изменений в содержимом файлов
Функция Отслеживания изменений и инвентаризации позволяет просматривать содержимое файла Windows или Linux. Для каждого изменения в файле функция отслеживания изменений и инвентаризации сохраняет содержимое файла в учетной записи хранения Azure. При отслеживании файла его содержимое можно просмотреть до или после изменения. Содержимое файла можно просмотреть как в строке, так и в параллельном режиме.
Отслеживание разделов реестра
Функция отслеживания изменений и инвентаризации позволяет отслеживать изменения в разделах реестра Windows. Целью такого отслеживания является точное определение точек расширяемости, в которых может быть активирован сторонний код или вредоносная программа. В приведенной ниже таблице перечислены предварительно настроенные (но не включенные) разделы реестра. Чтобы отслеживать эти разделы, необходимо включить каждый из них.
Раздел реестра | Характер использования |
---|---|
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Отслеживаются сценарии, выполняемые при запуске. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Отслеживаются сценарии, выполняемые при завершении работы. |
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Отслеживаются разделы, загружаемые перед входом пользователя в учетную запись Windows. Этот раздел используется для 32-разрядных приложений, выполняющихся на 64-разрядных компьютерах. |
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Отслеживаются изменения параметров приложения. |
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Отслеживаются дескрипторы контекстного меню, привязывающиеся непосредственно к проводнику Windows и выполняющиеся внутрипроцессно с файлом explorer.exe. |
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Отслеживаются дескрипторы обработчиков копирования, привязывающиеся непосредственно к проводнику Windows и выполняющиеся внутрипроцессно с файлом explorer.exe. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Отслеживается регистрация обработчика дополнительных значков. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Отслеживается регистрация обработчика дополнительных значков для 32-битных приложений, работающих на 64-разрядных компьютерах. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Отслеживаются новые подключаемые модули вспомогательных объектов браузера для Internet Explorer. Используется для доступа к модели DOM текущей страницы и управления навигацией. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Отслеживаются новые подключаемые модули вспомогательных объектов браузера для Internet Explorer. Используется для получения доступа к модели DOM текущей страницы и управления навигацией для 32-разрядных приложений, работающих на 64-разрядных компьютерах. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Отслеживаются новые расширения Internet Explorer, например пользовательские меню инструментов и пользовательские кнопки панели инструментов. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Отслеживаются новые расширения Internet Explorer, например пользовательские меню инструментов и пользовательские кнопки панели инструментов для 32-битных приложений, работающих на 64-разрядных компьютерах. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Отслеживаются 32-разрядные драйверы, связанные с устройствами wavemapper: wave1 и wave2, msacm.imaadpcm, .msadpcm, .msgsm610 и vidc. Ознакомьтесь с разделом о [драйверах] в файле system.ini. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Отслеживаются 32-разрядные драйверы, связанные с устройствами wavemapper, — wave1 и wave2, msacm.imaadpcm, .msadpcm, .msgsm610 и vidc — для 32-разрядных приложений, работающих на 64-разрядных компьютерах. Ознакомьтесь с разделом о [драйверах] в файле system.ini. |
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Отслеживается список известных или часто используемых системных библиотек DLL. Мониторинг предотвращает использование ненадежных разрешений каталога приложений за счет удаления версий вредоносной программы типа "троянский конь" системных библиотек DLL. |
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Отслеживается список пакетов, получающих уведомления о событиях из winlogon.exe — интерактивной модели поддержки входа в систему для Windows. |
Поддержка рекурсии
Функция отслеживания изменений и инвентаризации поддерживает рекурсию, что позволяет использовать подстановочные знаки для упрощения отслеживания в каталогах. Рекурсия также предоставляет переменные среды, которые позволяют отслеживать файлы в разных средах с несколькими или динамическими именами дисков. Ниже представлена общая информация, которую нужно знать при настройке рекурсии.
Для отслеживания нескольких файлов необходимы подстановочные знаки.
Подстановочные знаки можно использовать только в последнем сегменте пути к файлу, например c:\folder\file* или /etc/*.conf.
Если у переменной среды недопустимый путь, проверка будет успешной, но выполнение завершится сбоем.
Избегайте общих путей, так как это приведет к переходу по слишком большому количеству папок.
Сбор данных для функции отслеживания изменений и инвентаризации
В таблице ниже указана частота сбора данных для типов изменений, поддерживаемых функцией отслеживания изменений и инвентаризации. Моментальный снимок данных текущего состояния для каждого типа обновляется по крайней мере каждые 24 часа.
Тип изменения | Периодичность |
---|---|
Реестр Windows | 50 минут |
Файловый ресурс Windows | 30 минут |
Файловый ресурс Linux | 15 минут |
Службы Windows | 10 минут до 30 минут по умолчанию: 30 минут |
Управляющие программы Linux | 5 мин |
Программное обеспечение Windows | 30 минут |
Программное обеспечение Linux | 5 мин |
В таблице ниже приведены ограничения по отслеживаемым элементам для одного компьютера при использовании функции отслеживания изменений и инвентаризации.
Ресурс | Лимит |
---|---|
Файлы | 500 |
Реестр | 250 |
Программное обеспечение Windows (не включая исправления) | 250 |
Пакеты Linux | 1250 |
Службы | 250 |
Управляющие программы | 250 |
Средний показатель использования данных Log Analytics для компьютера, использующего функцию отслеживания изменений и инвентаризации, — примерно 40 МБ в месяц в зависимости от среды. С помощью функции "Использование и ожидаемые затраты" рабочей области Log Analytics можно просмотреть данные, полученные функцией отслеживания изменений и инвентаризации, на диаграмме использования. Это представление данных можно использовать для оценки использования данных и определения того, как оно влияет на затраты. См. раздел Просмотр сведений об использовании и оценка затрат.
Данные служб Windows
Периодичность сбора по умолчанию для служб Windows — 30 минут. Периодичность можно настроить с помощью ползунка на вкладке Службы Windows в разделе Изменить параметры.
Для оптимизации производительности агент Log Analytics отслеживает только изменения. Если вы установите высокое пороговое значение, изменения могут быть пропущены, когда служба вернется в исходное состояние. Если вы установите меньший период, то запишете изменения, которые в противном случае будут упущены.
Для критически важных служб рекомендуется пометить состояние запуска как автоматическое (отложенное запуск), чтобы после перезагрузки виртуальной машины сбор данных служб начнется после запуска агента MMA, а не сразу после запуска виртуальной машины.
Примечание.
Хотя агент может отслеживать изменения с 10-секундным интервалом, потребуется несколько минут, чтобы данные отобразились на портале Azure. В эти несколько минут изменения по-прежнему отслеживаются и записываются.
Поддержка оповещений о состоянии конфигурации
Ключевой возможностью отслеживания изменений и инвентаризации является возможность оповещения об изменениях состояния конфигурации в гибридной среде. Доступно много полезных действий, которые можно запускать в ответ на оповещения. Например, действия с функциями Azure, модулями runbook службы автоматизации, веб-перехватчиками и т. д. Предупреждение об изменениях в файле c:\windows\system32\drivers\etc\hosts компьютера — хороший пример применения оповещений для данных функции Отслеживания изменений и инвентаризации. Существует множество других сценариев использования оповещений, включая сценарии запросов, определенные в следующей таблице.
Query | Description |
---|---|
ConfigurationChange | where ConfigChangeType == "Files" и FileSystemPath содержит "c:\windows\system32\drivers\" |
Полезно для отслеживания изменений в системных критических файлах. |
ConfigurationChange | Where FieldsChanged содержит FileContentChecksum и FileSystemPath == "c:\windows\system32\drivers\etc\hosts" |
Полезно для отслеживания изменений в файлах конфигурации ключа. |
ConfigurationChange | where ConfigChangeType == "WindowsServices" и SvcName содержит "w3svc" и SvcState == "Остановлено" |
Полезно для отслеживания изменений в системных критически важных службах. |
ConfigurationChange | where ConfigChangeType == "Daemons" и SvcName содержит ssh и SvcState!= "Running" |
Полезно для отслеживания изменений в системных критически важных службах. |
ConfigurationChange | where ConfigChangeType == "Software" и ChangeCategory == "Added" |
Полезно для сред, которые требуют заблокированных конфигураций программного обеспечения. |
ConfigurationData | where SoftwareName содержит "Агент мониторинга" и CurrentVersion!= "8.0.11081.0". |
Полезно для просмотра компьютеров, на которых установлена устаревшая или несовместимая версия программного обеспечения. Этот запрос сообщает о последнем сообщенном состоянии конфигурации, но не об изменениях. |
ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
Полезно для отслеживания изменений в важных антивирусных ключах. |
ConfigurationChange | Where RegistryKey содержит @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
Полезно для отслеживания изменений в параметрах брандмауэра. |
Обновление агента Log Analytics до последней версии
Для Отслеживание изменений и инвентаризации компьютеры используют агент Log Analytics для сбора данных об изменениях установленного программного обеспечения, служб Windows, реестра и файлов Windows и управляющей программы Linux на отслеживаемых серверах. В ближайшее время Azure больше не будет принимать подключения из более старых версий агента Windows Log Analytics (LA), также известного как Microsoft Monitoring Agent (MMA), который использует старый метод для обработки сертификатов. Мы рекомендуем обновить агент до последней версии как можно скорее.
Агенты, которые находятся в версии 10.20.18053 (пакет) и 1.0.18053.0 (расширение) или более поздних версий, не затрагиваются в ответ на это изменение. Если вы используете агент до этого, агент не сможет подключиться, а конвейер инвентаризации Отслеживание изменений и подчиненные действия могут остановиться. Текущую версию агента LA можно проверить в таблице HeartBeat в рабочей области LA.
Убедитесь, что выполните обновление до последней версии агента Windows Log Analytics (MMA) после выполнения этих рекомендаций.
Следующие шаги
Инструкции по включению из учетной записи службы автоматизации см. в статье Включение отслеживания изменений и инвентаризации в учетной записи службы автоматизации.
Инструкции по включению на портале Azure см. в статье Включение отслеживания изменений и инвентаризации на портале Azure.
Инструкции по включению из модуля runbook см. в статье Включение отслеживания изменений и инвентаризации из runbook.
Инструкции по включению из виртуальной машины Azure см. в статье Включение отслеживания изменений и инвентаризации на виртуальной машине Azure.