Share via

Включение отслеживания и оповещения о критических изменениях

  • Статья

Функция отслеживания изменений и инвентаризация Azure оповещает о состоянии конфигурации гибридной среды и изменениях в ней. Она умеет сообщать о критических изменениях файла, службы, программного обеспечения и реестра, которые могут повлиять на работу развернутых серверов.

По умолчанию функция инвентаризации службы автоматизации Azure не отслеживает файлы и параметры реестра. Решение формирует список разделов реестра, рекомендуемых для мониторинга. Для просмотра списка перейдите к учетной записи службы автоматизации Azure в портале Azure, а затем выберите Inventory(Инвентаризация)>Edit settings (Изменить параметры).

Снимок экрана: представление

Дополнительные сведения о каждом разделе реестра см. в статье об отслеживании изменений раздела реестра. Выберите любой раздел для оценки и включите его. Этот параметр применяется ко всем виртуальным машинам, включенным в текущей рабочей области.

Также можно использовать службу для отслеживания критически важных изменений файлов. Например, может потребоваться отслеживание файла C:\windows\system32\drivers\etc\hosts, так как операционная система использует его для преобразования имен узлов в IP-адреса. Изменения в этом файле могут вызвать проблемы с подключением или перенаправить трафик на опасные веб-сайты.

Для включения отслеживания содержимого файлов узлов выполните действия, описанные в разделе о включении отслеживания содержимого файлов.

Также можно добавить оповещение об изменении отслеживаемых файлов. Например, может потребоваться настроить оповещение об изменениях в файле узла. Для этого выберите на панели команд Log Analytics (анализ журналов) или Log Search (поиск по журналам) для связанной рабочей области log Analytics. В Log Analytics используйте следующий запрос для поиска изменений в файлах узлов:

ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts"

Снимок экрана: редактор запросов Log Analytics в портал Azure

Этот запрос выполняет поиск изменений в содержимом файлов, имеющих путь со словом hosts. Можно также выполнить поиск определенного файла, изменив параметр пути. (Например, FileSystemPath == "c:\\windows\\system32\\drivers\\etc\\hosts".)

После вывода результатов запроса выберите New alert rule (новое правило генерации оповещений), чтобы открыть редактор правил оповещения. Еще его можно открыть с помощью Azure Monitor в портале Azure.

В редакторе правил оповещения проверьте запрос и измените логику оповещения, если необходимо. В нашем случае нам нужно, чтобы оповещение появлялось при обнаружении любых изменений на любом компьютере в среде.

Снимок экрана: редактор правил генерации оповещений Log Analytics в портал Azure

После установки логики условий можно назначить группы действий для выполнения действий в ответ на оповещения. В этом примере при появлении оповещения отправляются сообщения электронной почты и создается билет в рамках управления ИТ-услугами (ITSM). Доступны много других полезных действий, например, активация функции Azure, модуль Runbook службы автоматизации Azure, веб-перехватчик или приложение логики.

Снимок экрана: пример сводки правил генерации оповещений в портал Azure

После настройки всех параметров и логики примените оповещение к среде.

Примеры отслеживания и оповещения

В этом разделе показаны другие распространенные сценарии для отслеживания и оповещения, которые могут быть полезны.

Изменен файл драйвера

Чтобы определить изменение, добавление или удаление файлов драйверов, используйте приведенный ниже запрос. Он поможет отслеживать изменения в критически важных системных файлах.

ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\\windows\\system32\\drivers\\"

Прекращена работа определенной службы

Для наблюдения за изменениями критически важных системных служб, используйте приведенный ниже запрос.

ConfigurationChange | where SvcState == "Stopped" and SvcName contains "w3svc"

Установлено новое программное обеспечение

Если в среде необходимо заблокировать конфигурации программного обеспечения, используйте приведенный ниже запрос.

ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"

На компьютере установлена или не установлена определенная версия программного обеспечения

Для оценки безопасности используйте приведенный ниже запрос. Этот запрос ссылается на параметр ConfigurationData, который содержит журналы инвентаризации и показывает последнее состояние конфигурации, а не изменения.

ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"

В реестре изменена определенная библиотека DLL

Для обнаружения изменений в известных разделах реестра используйте приведенный ниже запрос.

ConfigurationChange | where RegistryKey == "HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Session Manager\\KnownDlls"

Дальнейшие действия

Узнайте, как создавать расписания обновления с помощью службы автоматизации Azure для управления обновлениями серверов.

Создание расписаний обновления