Включение отслеживания и оповещения о критических изменениях
Функция отслеживания изменений и инвентаризация Azure оповещает о состоянии конфигурации гибридной среды и изменениях в ней. Она умеет сообщать о критических изменениях файла, службы, программного обеспечения и реестра, которые могут повлиять на работу развернутых серверов.
По умолчанию функция инвентаризации службы автоматизации Azure не отслеживает файлы и параметры реестра. Решение формирует список разделов реестра, рекомендуемых для мониторинга. Для просмотра списка перейдите к учетной записи службы автоматизации Azure в портале Azure, а затем выберите Inventory(Инвентаризация)>Edit settings (Изменить параметры).
Дополнительные сведения о каждом разделе реестра см. в статье об отслеживании изменений раздела реестра. Выберите любой раздел для оценки и включите его. Этот параметр применяется ко всем виртуальным машинам, включенным в текущей рабочей области.
Также можно использовать службу для отслеживания критически важных изменений файлов. Например, может потребоваться отслеживание файла C:\windows\system32\drivers\etc\hosts
, так как операционная система использует его для преобразования имен узлов в IP-адреса. Изменения в этом файле могут вызвать проблемы с подключением или перенаправить трафик на опасные веб-сайты.
Для включения отслеживания содержимого файлов узлов выполните действия, описанные в разделе о включении отслеживания содержимого файлов.
Также можно добавить оповещение об изменении отслеживаемых файлов. Например, может потребоваться настроить оповещение об изменениях в файле узла. Для этого выберите на панели команд Log Analytics (анализ журналов) или Log Search (поиск по журналам) для связанной рабочей области log Analytics. В Log Analytics используйте следующий запрос для поиска изменений в файлах узлов:
ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts"
Этот запрос выполняет поиск изменений в содержимом файлов, имеющих путь со словом hosts
. Можно также выполнить поиск определенного файла, изменив параметр пути. (Например, FileSystemPath == "c:\\windows\\system32\\drivers\\etc\\hosts"
.)
После вывода результатов запроса выберите New alert rule (новое правило генерации оповещений), чтобы открыть редактор правил оповещения. Еще его можно открыть с помощью Azure Monitor в портале Azure.
В редакторе правил оповещения проверьте запрос и измените логику оповещения, если необходимо. В нашем случае нам нужно, чтобы оповещение появлялось при обнаружении любых изменений на любом компьютере в среде.
После установки логики условий можно назначить группы действий для выполнения действий в ответ на оповещения. В этом примере при появлении оповещения отправляются сообщения электронной почты и создается билет в рамках управления ИТ-услугами (ITSM). Доступны много других полезных действий, например, активация функции Azure, модуль Runbook службы автоматизации Azure, веб-перехватчик или приложение логики.
После настройки всех параметров и логики примените оповещение к среде.
Примеры отслеживания и оповещения
В этом разделе показаны другие распространенные сценарии для отслеживания и оповещения, которые могут быть полезны.
Изменен файл драйвера
Чтобы определить изменение, добавление или удаление файлов драйверов, используйте приведенный ниже запрос. Он поможет отслеживать изменения в критически важных системных файлах.
ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\\windows\\system32\\drivers\\"
Прекращена работа определенной службы
Для наблюдения за изменениями критически важных системных служб, используйте приведенный ниже запрос.
ConfigurationChange | where SvcState == "Stopped" and SvcName contains "w3svc"
Установлено новое программное обеспечение
Если в среде необходимо заблокировать конфигурации программного обеспечения, используйте приведенный ниже запрос.
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"
На компьютере установлена или не установлена определенная версия программного обеспечения
Для оценки безопасности используйте приведенный ниже запрос. Этот запрос ссылается на параметр ConfigurationData
, который содержит журналы инвентаризации и показывает последнее состояние конфигурации, а не изменения.
ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"
В реестре изменена определенная библиотека DLL
Для обнаружения изменений в известных разделах реестра используйте приведенный ниже запрос.
ConfigurationChange | where RegistryKey == "HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Session Manager\\KnownDlls"
Дальнейшие действия
Узнайте, как создавать расписания обновления с помощью службы автоматизации Azure для управления обновлениями серверов.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по