Hantera ändringsspårning och inventering

Viktigt!

Ändringsspårning och inventering med Log Analytics-agenten har dragits tillbaka den 31 augusti 2024 och kommer att arbeta med begränsad support fram till den 1 februari 2025. Vi rekommenderar att du använder Azure Monitoring Agent som ny supportagent. Följ riktlinjerna för migrering från Ändringsspårning och inventering med hjälp av Log Analytics till Ändringsspårning och inventering med hjälp av Azure Monitoring Agent version.

Kommentar

Ändringsspårning och inventering med Log Analytics-registrering via Azure Portal tillåts inte eftersom tjänsten har dragits tillbaka den 31 augusti 2024. Vi rekommenderar att du konfigurerar den nya versionen av Ändringsspårning och inventering med AMA. Dina befintliga virtuella datorer på Ändringsspårning och inventering med äldre agent fortsätter att fungera till den 1 februari 2025. Mer information finns i Aktivera Ändringsspårning och inventering med Hjälp av Azure Monitoring Agent.

När du lägger till en ny fil eller registernyckel att spåra aktiverar Azure Automation den för Ändringsspårning och inventering. Den här artikeln beskriver hur du konfigurerar spårning, granskar spårningsresultat och hanterar aviseringar när ändringar identifieras.

Innan du använder procedurerna i den här artikeln kontrollerar du att du har aktiverat Ändringsspårning och inventering på dina virtuella datorer med någon av följande tekniker:

• Aktivera Ändringsspårning och inventering från ett Automation-konto
• Aktivera Ändringsspårning och inventering genom att bläddra i Azure Portal
• Aktivera Ändringsspårning och inventering från en runbook
• Aktivera Ändringsspårning och inventering från en virtuell Azure-dator

Begränsa omfånget för distributionen

Ändringsspårning och Inventory använder en omfångskonfiguration på arbetsytan för att rikta in sig på datorerna för att ta emot ändringar. Mer information finns i Begränsa distributionsomfånget för Ändringsspårning och inventering.

Spåra filer

Du kan använda Ändringsspårning och Inventering för att spåra ändringar i filer och mappar/kataloger. Det här avsnittet beskriver hur du konfigurerar filspårning i Windows och i Linux.

Konfigurera filspårning i Windows

Använd följande steg för att konfigurera filspårning på Windows-datorer:

1. Logga in på Azure-portalen.

2. Välj Alla tjänster i Azure-portalen. I listan över resurser skriver du Automation. När du börjar skriva filtreras förslagen i listan baserat på det du skriver. Välj Automation-konton.

3. I listan över Automation-konton väljer du det konto som du valde när du aktiverade Ändringsspårning och Inventering.

4. I ditt Automation-konto väljer du Ändringsspårning under Konfigurationshantering.

5. Välj Redigera inställningar (kugghjulssymbolen).

6. På sidan Konfiguration av arbetsyta väljer du Windows-filer och klickar sedan på + Lägg till för att lägga till en ny fil att spåra.

7. I fönstret Lägg till Windows-fil för Ändringsspårning anger du informationen för filen eller mappen som ska spåras och klickar på Spara. I följande tabell definieras de egenskaper som du kan använda för informationen.

   Property	beskrivning
   Enabled	Sant om inställningen tillämpas och False annars.
   Objektnamn	Eget namn på filen som ska spåras.
   Grupp	Ett gruppnamn för att gruppera filer logiskt.
   Ange sökväg	Sökvägen för att söka efter filen, till exempel c:\temp\*.txt. Du kan också använda miljövariabler, till exempel %winDir%\System32\\\*.*.
   Sökvägstyp	Typ av sökväg. Möjliga värden är Arkiv och Mapp.
   Rekursion	Sant om rekursion används när du letar efter objektet som ska spåras och Falskt annars.
   Ladda upp filinnehåll	Sant för att ladda upp filinnehåll vid spårade ändringar och Falskt annars.

   Om du planerar att konfigurera övervakning av filer och mappar med jokertecken bör du tänka på följande:

   • Jokertecken krävs för att spåra flera filer.
   • Jokertecken kan endast användas i det sista segmentet i en sökväg, till exempel C:\folder\file eller /etc/.conf*
   • Om en miljövariabel innehåller en sökväg som inte är giltig lyckas verifieringen, men sökvägen misslyckas när inventeringen körs.
   • När du ställer in sökvägen bör du undvika allmänna sökvägar som c:.** vilket resulterar i att för många mappar passerar.

8. Se till att du anger True för Ladda upp filinnehåll. Den här inställningen aktiverar filinnehållsspårning för den angivna filsökvägen.

Konfigurera filspårning i Linux

Använd följande steg för att konfigurera filspårning på Linux-datorer:

1. Välj Redigera inställningar (kugghjulssymbolen).

2. På sidan Konfiguration av arbetsyta väljer du Linux-filer och sedan + Lägg till för att lägga till en ny fil att spåra.

3. På sidan Lägg till Linux-fil för Ändringsspårning anger du informationen för filen eller katalogen som ska spåras och väljer sedan Spara. I följande tabell definieras de egenskaper som du kan använda för informationen.

   Property	beskrivning
   Enabled	Sant om inställningen tillämpas och False annars.
   Objektnamn	Eget namn på filen som ska spåras.
   Grupp	Ett gruppnamn för att gruppera filer logiskt.
   Ange sökväg	Sökvägen för att söka efter filen, till exempel /etc/*.conf.
   Sökvägstyp	Typ av sökväg. Möjliga värden är Arkiv och Katalog.
   Rekursion	Sant om rekursion används när du letar efter objektet som ska spåras och Falskt annars.
   Använda Sudo	Sant att använda sudo när du söker efter objektet och Falskt annars. Obs! Funktionen Använd Sudo är för närvarande tillgänglig på Azure Portal och har ännu inte implementerats i Ändringsspårning-tjänsten. När du redigerar inställningarna på Azure Portal kommer du därför inte att hitta någon ändring i tjänsten.
   Länkar	Inställning som avgör hur du hanterar symboliska länkar när du går igenom kataloger. Möjliga värden är: Ignorera – Ignorerar symboliska länkar och inkluderar inte de filer/kataloger som refereras till. Följ – Följer de symboliska länkarna under rekursionen och innehåller även de filer/kataloger som refereras till. Hantera – följer de symboliska länkarna och tillåter ändring av returnerat innehåll. Obs! Alternativet Hantera rekommenderas inte eftersom det inte stöder hämtning av filinnehåll.
   Ladda upp filinnehåll	Sant för att ladda upp filinnehåll vid spårade ändringar och Falskt annars.

4. Se till att du anger True för Ladda upp filinnehåll. Den här inställningen aktiverar filinnehållsspårning för den angivna filsökvägen.

   

Spåra filinnehåll

Med filinnehållsspårning kan du visa innehållet i en fil före och efter en spårad ändring. Funktionen sparar filinnehållet på ett lagringskonto när varje ändring har inträffat. Här följer några regler för att spåra filinnehåll:

• Ett standardlagringskonto med resource manager-distributionsmodellen krävs för att lagra filinnehåll.
• Som standard godkänner lagringskonton anslutningar från klienter i alla nätverk. Om du har skyddat ditt lagringskonto för att endast tillåta viss trafik måste du ändra konfigurationsreglerna så att automationskontot kan ansluta till det. Se Konfigurera Azure Storage-brandväggar och virtuella nätverk.
• Använd inte lagringskonton för premium- och klassisk distributionsmodell. Se Om Azure Storage-konton.
• Du kan bara ansluta lagringskontot till ett Automation-konto.
• Ändringsspårning och Inventering måste vara aktiverade i ditt Automation-konto.

Kommentar

Om filstorleken visas >1,25 MB är FileContentChecksum felaktigt på grund av minnesbegränsningar i beräkningen av kontrollsumman.

Aktivera spårning för filinnehållsändringar

Använd följande steg för att aktivera spårning för ändringar i filinnehållet:

1. Välj Redigera inställningar (kugghjulssymbolen).

2. Välj Filinnehåll och välj sedan Länka. Det här valet öppnar sidan Lägg till innehållsplats för Ändringsspårning.

   

3. Välj den prenumeration och det lagringskonto som ska användas för att lagra filinnehållet.

4. Om du vill aktivera filinnehållsspårning för alla befintliga spårade filer väljer du På för Ladda upp filinnehåll för alla inställningar. Du kan ändra den här inställningen för varje filsökväg senare.

   

5. Ändringsspårning och Inventory visar lagringskonto och SAS-URI:er (Signatur för delad åtkomst) när det aktiverar spårning av filinnehållsändringar. Signaturerna upphör att gälla efter 365 dagar och du kan återskapa dem genom att välja Återskapa.

   

Visa innehållet i en spårad fil

När Ändringsspårning och Inventering identifierar en ändring för en spårad fil kan du visa filinnehållet i fönstret Ändra information.

1. På sidan Ändringsspårning från ditt Automation-konto väljer du en fil i listan med ändringar och väljer sedan Visa filinnehållsändringar för att se innehållet i filen. Fönstret ändringsinformation visar standardinformationen före och efter för varje egenskap.

   

2. Du visar filinnehållet i en sida vid sida-vy. Du kan välja Infoga för att se en infogad vy över ändringarna.

Spåra registernycklar

Använd följande steg för att konfigurera spårning av registernycklar på Windows-datorer:

1. På sidan Ändringsspårning från ditt Automation-konto väljer du Redigera inställningar (kugghjulssymbolen).

2. På sidan Konfiguration av arbetsyta väljer du Windows-register.

3. Välj + Lägg till för att lägga till en ny registernyckel som ska spåras.

4. På sidan Lägg till Windows-register för Ändringsspårning anger du informationen för nyckeln som ska spåras och väljer sedan Spara. I följande tabell definieras de egenskaper som du kan använda för informationen. När du anger en registersökväg måste den vara nyckeln och inte ett värde.

   Property	beskrivning
   Enabled	Sant om en inställning tillämpas och False annars.
   Objektnamn	Eget namn på registernyckeln som ska spåras.
   Grupp	Gruppnamn för logiskt gruppering av registernycklar.
   Windows-registernyckel	Nyckelnamn med sökväg, till exempel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Startup.

Sök i loggar efter ändringsposter

Du kan göra olika sökningar mot Azure Monitor-loggarna för ändringsposter. När sidan Ändringsspårning är öppen klickar du på Log Analytics för att öppna sidan Loggar. Följande tabell innehåller exempelloggsökningar efter ändringsposter.

Fråga	beskrivning
ConfigurationData | where ConfigDataType == "WindowsServices" and SvcStartupType == "Auto" | where SvcState == "Stopped" | summarize arg_max(TimeGenerated, *) by SoftwareName, Computer	Visar de senaste inventeringsposterna för Windows-tjänster som har angetts till Auto men rapporterades vara stoppade. Resultaten är begränsade till den senaste posten för det angivna programvarunamnet och datorn.
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Removed" | order by TimeGenerated desc	Visar ändringsposter för borttagen programvara.

Nästa steg

• Information om omfångskonfigurationer finns i Begränsa distributionsomfånget för Ändringsspårning och inventering.
• Om du behöver söka i loggar som lagras i Azure Monitor-loggar kan du läsa Loggsökningar i Azure Monitor-loggar.
• Om du är klar med distributionerna kan du läsa Ta bort Ändringsspårning och inventering.
• Information om hur du tar bort dina virtuella datorer från Ändringsspårning och inventering finns i Ta bort virtuella datorer från Ändringsspårning och inventering.
• Information om hur du felsöker funktionsfel finns i Felsöka problem med Ändringsspårning och inventering.