Omówienie Śledzenie zmian i spis

  • Artykuł

Uwaga

W tym artykule odwołuje się do systemu CentOS — dystrybucji systemu Linux, która zbliża się do stanu zakończenia życia (EOL). Rozważ odpowiednie użycie i planowanie. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.

Ważne

W tym artykule przedstawiono Śledzenie zmian i spis w usłudze Azure Automation. Ta funkcja śledzi zmiany w maszynach wirtualnych hostowanych na platformie Azure, lokalnie i w innych środowiskach w chmurze, aby ułatwić wskazanie problemów operacyjnych i środowiskowych z oprogramowaniem zarządzanym przez Menedżer pakietów dystrybucji. Elementy śledzone przez Śledzenie zmian i spis obejmują:

  • Oprogramowanie systemu Windows
  • Oprogramowanie systemu Linux (pakiety)
  • Pliki systemu Windows i Linux
  • Klucze rejestru systemu Windows
  • Usługi systemu Windows
  • Demony systemu Linux

Uwaga

Aby śledzić zmiany właściwości usługi Azure Resource Manager, zobacz historię zmian usługi Azure Resource Graph.

Śledzenie zmian i spis korzysta z Microsoft Defender dla Chmury monitorowania integralności plików (FIM) w celu sprawdzenia plików systemu operacyjnego i aplikacji oraz rejestru systemu Windows. Podczas gdy program FIM monitoruje te jednostki, Śledzenie zmian i spis natywnie śledzi:

  • Zmiany oprogramowania
  • Usługi systemu Windows
  • Demony systemu Linux

Włączenie wszystkich funkcji zawartych w Śledzenie zmian i spis może spowodować dodatkowe opłaty. Przed kontynuowaniem zapoznaj się z cennikiem usługi Automation i cennikiem usługi Azure Monitor.

Śledzenie zmian i spis przekazuje dane do dzienników usługi Azure Monitor, a zebrane dane są przechowywane w obszarze roboczym usługi Log Analytics. Funkcja monitorowania integralności plików (FIM) jest dostępna tylko wtedy, gdy usługa Microsoft Defender dla serwerów jest włączona. Aby dowiedzieć się więcej, zobacz Microsoft Defender dla Chmury Cennik. Program FIM przekazuje dane do tego samego obszaru roboczego usługi Log Analytics, co utworzony w celu przechowywania danych z Śledzenie zmian i spis. Zalecamy monitorowanie połączonego obszaru roboczego usługi Log Analytics w celu śledzenia dokładnego użycia. Aby uzyskać więcej informacji na temat analizowania użycia danych dzienników usługi Azure Monitor, zobacz Analizowanie użycia w obszarze roboczym usługi Log Analytics.

Maszyny połączone z obszarem roboczym usługi Log Analytics używają agenta usługi Log Analytics do zbierania danych dotyczących zmian w instalowanym oprogramowaniu, usługach systemu Windows, rejestrze systemu Windows i plikach oraz demonach systemu Linux na monitorowanych serwerach. Gdy dane są dostępne, agent wysyła je do dzienników usługi Azure Monitor na potrzeby przetwarzania. Dzienniki usługi Azure Monitor stosują logikę do odebranych danych, rejestruje je i udostępniają do analizy.

Uwaga

Śledzenie zmian i spis wymaga połączenia obszaru roboczego usługi Log Analytics z kontem usługi Automation. Aby uzyskać ostateczną listę obsługiwanych regionów, zobacz Mapowania obszarów roboczych platformy Azure. Mapowania regionów nie mają wpływu na możliwość zarządzania maszynami wirtualnymi w innym regionie niż konto usługi Automation.

Jako dostawca usług możesz dołączyć wiele dzierżaw klientów do usługi Azure Lighthouse. Usługa Azure Lighthouse umożliwia wykonywanie operacji na dużą skalę w kilku dzierżawach firmy Microsoft jednocześnie, dzięki czemu zadania zarządzania, takie jak Śledzenie zmian i spis wydajniejsze w tych dzierżawach, za które odpowiadasz. Śledzenie zmian i spis może zarządzać maszynami w wielu subskrypcjach w tej samej dzierżawie lub w różnych dzierżawach Zarządzanie zasobami delegowanymi na platformie Azure.

Bieżące ograniczenia

Śledzenie zmian i spis nie obsługuje ani nie ma następujących ograniczeń:

  • Rekursja śledzenia rejestru systemu Windows
  • Sieciowe systemy plików
  • Różne metody instalacji
  • *.exe plików przechowywanych w systemie Windows
  • Kolumna Maksymalny rozmiar pliku i wartości są nieużywane w bieżącej implementacji.
  • W przypadku śledzenia zmian plików jest on ograniczony do rozmiaru pliku o rozmiarze 5 MB lub mniejszym.
  • Jeśli rozmiar pliku pojawi >się 1,25 MB, funkcja FileContentChecksum jest niepoprawna z powodu ograniczeń pamięci w obliczeniu sumy kontrolnej.
  • Jeśli spróbujesz zebrać więcej niż 2500 plików w 30-minutowym cyklu zbierania, wydajność Śledzenie zmian i spis może ulec pogorszeniu.
  • Jeśli ruch sieciowy jest wysoki, wyświetlanie rekordów zmian może potrwać do sześciu godzin.
  • Jeśli zmodyfikujesz konfigurację podczas zamykania maszyny lub serwera, może to spowodować opublikowanie zmian należących do poprzedniej konfiguracji.
  • Zbieranie aktualizacji poprawek na maszynach z systemem Windows Server 2016 Core RS3.
  • Demony systemu Linux mogą pokazywać zmieniony stan, mimo że nie nastąpiła żadna zmiana. Ten problem występuje z powodu sposobu SvcRunLevels zapisywania danych w tabeli Azure Monitor ConfigurationChange .

Limity

Aby uzyskać limity dotyczące Śledzenie zmian i spis, zobacz Limity usługi Azure Automation.

Obsługiwane systemy operacyjne

Śledzenie zmian i spis jest obsługiwana we wszystkich systemach operacyjnych spełniających wymagania agenta usługi Log Analytics. Zobacz obsługiwane systemy operacyjne, aby zapoznać się z listą wersji systemu operacyjnego Windows i Linux obsługiwanych obecnie przez agenta usługi Log Analytics.

Aby zrozumieć wymagania klienta dotyczące protokołu TLS 1.2 lub nowszego, zobacz TLS dla usługi Azure Automation.

Wymaganie języka Python

Śledzenie zmian i spis teraz obsługują języki Python 2 i Python 3. Jeśli maszyna korzysta z dystrybucji, która nie zawiera żadnej z wersji, musisz zainstalować je domyślnie. Następujące przykładowe polecenia spowodują zainstalowanie języków Python 2 i Python 3 w różnych dystrybucjach.

Uwaga

Aby użyć agenta pakietu OMS zgodnego z językiem Python 3, upewnij się, że najpierw odinstalujesz język Python 2; w przeciwnym razie agent pakietu OMS będzie domyślnie działać z językiem Python 2.

  • Red Hat, CentOS, Oracle:
   sudo yum install -y python2
  • Ubuntu, Debian:
   sudo apt-get update
   sudo apt-get install -y python2
  • SUSE:
   sudo zypper install -y python2

Uwaga

Plik wykonywalny języka Python 2 musi być aliasem dla języka Python.

Wymagania dotyczące sieci

Sprawdź konfigurację sieci usługi Azure Automation, aby uzyskać szczegółowe informacje na temat portów, adresów URL i innych szczegółów sieci wymaganych do Śledzenie zmian i spis.

Włączanie rozwiązań Change Tracking i Inventory

Można włączyć Śledzenie zmian i spis w następujący sposób:

Śledzenie zmian plików

W celu śledzenia zmian w plikach w systemach Windows i Linux Śledzenie zmian i spis używa skrótów MD5 plików. Funkcja używa skrótów, aby wykryć, czy zmiany zostały wprowadzone od ostatniego spisu. Aby śledzić pliki systemu Linux, upewnij się, że masz dostęp do odczytu dla użytkownika agenta pakietu OMS.

Śledzenie zmian zawartości pliku

Śledzenie zmian i spis umożliwia wyświetlenie zawartości pliku systemu Windows lub Linux. Dla każdej zmiany pliku Śledzenie zmian i spis przechowuje zawartość pliku na koncie usługi Azure Storage. Podczas śledzenia pliku możesz wyświetlić jego zawartość przed zmianą lub po jej zmianie. Zawartość pliku można wyświetlić w tekście lub obok siebie.

Wyświetlanie zmian w pliku

Śledzenie kluczy rejestru

Śledzenie zmian i spis umożliwia monitorowanie zmian w kluczach rejestru systemu Windows. Monitorowanie umożliwia wskazanie punktów rozszerzalności, w których można aktywować kod innej firmy i złośliwe oprogramowanie. W poniższej tabeli wymieniono wstępnie skonfigurowane (ale nie włączone) klucze rejestru. Aby śledzić te klucze, należy włączyć każdy z nich.

Klucz rejestru Purpose
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Monitoruje skrypty uruchamiane podczas uruchamiania.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Monitoruje skrypty uruchamiane podczas zamykania.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Monitoruje klucze ładowane przed zalogowaniem użytkownika do konta systemu Windows. Klucz jest używany dla aplikacji 32-bitowych działających na komputerach 64-bitowych.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Monitoruje zmiany ustawień aplikacji.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Monitoruje programy obsługi menu kontekstowego, które są przyłączane bezpośrednio do Eksploratora Windows i zwykle są uruchamiane podczas przetwarzania za pomocą explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Monitoruje programy obsługi punktów zaczepienia, które są przyłączane bezpośrednio do Eksploratora Windows i zwykle są uruchamiane w trakcie procesu za pomocą explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitory rejestracji programu obsługi nakładki ikony.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitory rejestracji programu obsługi nakładki ikon dla aplikacji 32-bitowych działających na komputerach 64-bitowych.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitory dla nowych wtyczek obiektów pomocniczych przeglądarki dla programu Internet Explorer. Służy do uzyskiwania dostępu do modelu obiektów dokumentów (DOM) bieżącej strony i kontrolowania nawigacji.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitory dla nowych wtyczek obiektów pomocniczych przeglądarki dla programu Internet Explorer. Służy do uzyskiwania dostępu do modelu obiektów dokumentów (DOM) bieżącej strony i kontrolowania nawigacji dla aplikacji 32-bitowych uruchomionych na komputerach 64-bitowych.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions Monitory dla nowych rozszerzeń programu Internet Explorer, takich jak niestandardowe menu narzędzi i niestandardowe przyciski paska narzędzi.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Monitory dla nowych rozszerzeń programu Internet Explorer, takich jak niestandardowe menu narzędzi i niestandardowe przyciski paska narzędzi dla aplikacji 32-bitowych działających na komputerach 64-bitowych.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitoruje sterowniki 32-bitowe skojarzone z wavemapper, wave1 i wave2, msacm.imaadpcm, msadpcm, msgsm610 i vidc. Podobnie jak w sekcji [sterowniki] w pliku system.ini .
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitoruje sterowniki 32-bitowe skojarzone z wavemapper, wave1 i wave2, msacm.imaadpcm, msadpcm, msgsm610 i vidc dla aplikacji 32-bitowych działających na komputerach 64-bitowych. Podobnie jak w sekcji [sterowniki] w pliku system.ini .
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Monitoruje listę znanych lub często używanych bibliotek DLL systemu. Monitorowanie uniemożliwia osobom wykorzystanie słabych uprawnień katalogu aplikacji przez porzucanie wersji bibliotek DLL systemu koni trojańskich.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Monitoruje listę pakietów, które mogą odbierać powiadomienia o zdarzeniach z winlogon.exe, modelu obsługi logowania interakcyjnego dla systemu Windows.

Obsługa rekursji

Śledzenie zmian i spis obsługuje rekursję, która umożliwia określenie symboli wieloznacznych w celu uproszczenia śledzenia katalogów. Rekursja udostępnia również zmienne środowiskowe, aby umożliwić śledzenie plików w różnych środowiskach z wieloma lub dynamicznymi nazwami dysków. Poniższa lista zawiera typowe informacje, które należy wiedzieć podczas konfigurowania rekursji:

  • Symbole wieloznaczne są wymagane do śledzenia wielu plików.

  • Symbole wieloznaczne można używać tylko w ostatnim segmencie ścieżki pliku, na przykład c:\folder\file* lub /etc/*.conf.

  • Jeśli zmienna środowiskowa ma nieprawidłową ścieżkę, walidacja zakończy się pomyślnie, ale ścieżka zakończy się niepowodzeniem podczas wykonywania.

  • Należy unikać ogólnych nazw ścieżek podczas ustawiania ścieżki, ponieważ tego typu ustawienie może spowodować przejście zbyt wielu folderów.

zbieranie danych Śledzenie zmian i spis

W następnej tabeli przedstawiono częstotliwość zbierania danych dla typów zmian obsługiwanych przez Śledzenie zmian i spis. Dla każdego typu migawka danych bieżącego stanu jest również odświeżona co najmniej co 24 godziny.

Zmień typ Częstotliwość
Rejestr systemu Windows 50 minut
Plik systemu Windows 30 min
Plik systemu Linux 15 min
Usługi systemu Windows Domyślna wartość domyślna: 10 sekund do 30 minut
: 30 minut
Demony systemu Linux 5 min
Oprogramowanie systemu Windows 30 min
Oprogramowanie dla systemu Linux 5 min

W poniższej tabeli przedstawiono limity śledzonych elementów na maszynę dla Śledzenie zmian i spis.

Zasób Limit
Plik 500
Rejestr 250
Oprogramowanie systemu Windows (bez poprawek) 250
Pakiety systemu Linux 1250
Usługi 250
Demonów 250

Średnie użycie danych usługi Log Analytics dla maszyny używającej Śledzenie zmian i spis wynosi około 40 MB miesięcznie, w zależności od środowiska. Dzięki funkcji Użycie i szacowane koszty obszaru roboczego usługi Log Analytics możesz wyświetlić dane pozyskane przez Śledzenie zmian i spis na wykresie użycia. Użyj tego widoku danych, aby ocenić użycie danych i określić, jak ma to wpływ na rachunek. Zobacz Omówienie użycia i szacowania kosztów.

Dane usług systemu Windows

Domyślna częstotliwość zbierania usług systemu Windows wynosi 30 minut. Częstotliwość można skonfigurować za pomocą suwaka na karcie Usługi systemu Windows w obszarze Edytuj Ustawienia.

Suwak usług systemu Windows

Aby zoptymalizować wydajność, agent usługi Log Analytics śledzi tylko zmiany. Ustawienie wysokiego progu może spowodować pominięcie zmian, jeśli usługa powróci do stanu pierwotnego. Ustawienie częstotliwości na mniejszą wartość umożliwia przechwycenie zmian, które mogą zostać pominięte w przeciwnym razie.

W przypadku usług krytycznych zalecamy oznaczenie stanu uruchamiania jako Automatyczne (opóźnione uruchomienie), aby po ponownym uruchomieniu maszyny wirtualnej zbieranie danych usług rozpocznie się po uruchomieniu agenta MMA zamiast szybko uruchamiać się natychmiast po uruchomieniu maszyny wirtualnej.

Uwaga

Chociaż agent może śledzić zmiany w 10-sekundowym interwale, dane nadal będą wyświetlane w witrynie Azure Portal. Zmiany, które występują w czasie wyświetlania w portalu, są nadal śledzone i rejestrowane.

Obsługa alertów dotyczących stanu konfiguracji

Kluczową możliwością Śledzenie zmian i spis jest alert dotyczący zmian stanu konfiguracji środowiska hybrydowego. Wiele przydatnych akcji jest dostępnych do wyzwalania w odpowiedzi na alerty. Na przykład akcje dotyczące funkcji platformy Azure, elementów Runbook usługi Automation, elementów webhook i podobnych elementów. Alerty dotyczące zmian w pliku c:\windows\system32\drivers\etc\hosts dla maszyny to jedna dobra aplikacja alertów dla Śledzenie zmian i spis danych. Istnieje wiele innych scenariuszy alertów, w tym scenariuszy zapytań zdefiniowanych w następnej tabeli.

Query opis
ConfigurationChange
| gdzie ConfigChangeType == "Files" i FileSystemPath zawiera " c:\windows\system32\drivers\"		 Przydatne do śledzenia zmian w plikach krytycznych dla systemu.
ConfigurationChange
| gdzie FieldsChanged zawiera "FileContentChecksum" i FileSystemPath == "c:\windows\system32\drivers\etc\hosts"		 Przydatne do śledzenia modyfikacji plików konfiguracji kluczy.
ConfigurationChange
| gdzie ConfigChangeType == "WindowsServices" i SvcName zawiera "w3svc" i SvcState == "Stopped"		 Przydatne do śledzenia zmian w usługach krytycznych dla systemu.
ConfigurationChange
| gdzie ConfigChangeType == "Demony" i SvcName zawierają "ssh" i SvcState!= "Running"		 Przydatne do śledzenia zmian w usługach krytycznych dla systemu.
ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Added"		 Przydatne w środowiskach wymagających zablokowanych konfiguracji oprogramowania.
ConfigurationData
| gdzie SoftwareName zawiera "Agent monitorowania" i CurrentVersion!= "8.0.11081.0"		 Przydatne w przypadku wyświetlania, które maszyny mają zainstalowaną nieaktualną lub niezgodną wersję oprogramowania. To zapytanie zgłasza ostatni zgłoszony stan konfiguracji, ale nie zgłasza zmian.
ConfigurationChange
| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"		 Przydatne do śledzenia zmian kluczowych kluczy antywirusowych.
ConfigurationChange
| gdzie klucz rejestru zawiera @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"		 Przydatne do śledzenia zmian w ustawieniach zapory.

Aktualizowanie agenta usługi Log Analytics do najnowszej wersji

W przypadku śledzenia zmian i spisu maszyny używają agenta usługi Log Analytics do zbierania danych dotyczących zmian w instalowanym oprogramowaniu, usługach systemu Windows, rejestrze systemu Windows i plikach oraz demonach systemu Linux na monitorowanych serwerach. Wkrótce platforma Azure nie będzie już akceptować połączeń ze starszych wersji agenta usługi Windows Log Analytics (LA), znanego również jako Windows Microsoft Monitoring Agent (MMA), który używa starszej metody do obsługi certyfikatów. Zalecamy jak najszybsze uaktualnienie agenta do najnowszej wersji.

Agenci w wersji — 10.20.18053 (pakiet) i 1.0.18053.0 (rozszerzenie) lub nowsi nie mają wpływu na tę zmianę. Jeśli wcześniej korzystasz z agenta, agent nie będzie mógł nawiązać połączenia, a potok Change Tracking & Inventory i działania podrzędne mogą zostać zatrzymane. Bieżącą wersję agenta la można sprawdzić w tabeli HeartBeat w obszarze roboczym la.

Upewnij się, że wykonasz uaktualnienie do najnowszej wersji agenta usługi Windows Log Analytics (MMA), postępując zgodnie z tymi wytycznymi.

Następne kroki