Değişiklik İzleme ve Envanter genel bakış

  • Makale

Dikkat

Bu makalede, Kullanım Süresi Sonu (EOL) durumuna yakın bir Linux dağıtımı olan CentOS'a başvuruda bulunur. Lütfen kullanımınızı ve buna uygun planlamayı göz önünde bulundurun. Daha fazla bilgi için bkz . CentOS Kullanım Süresi Sonu kılavuzu.

Önemli

Bu makalede Azure Otomasyonu Değişiklik İzleme ve Envanter tanıtabilirsiniz. Bu özellik, Dağıtım Paket Yöneticisi tarafından yönetilen yazılımlarla ilgili operasyonel ve çevresel sorunları saptamanıza yardımcı olmak için Azure'da, şirket içinde ve diğer bulut ortamlarında barındırılan sanal makinelerdeki değişiklikleri izler. Değişiklik İzleme ve Envanter tarafından izlenen öğeler şunlardır:

  • Windows yazılımı
  • Linux yazılımı (paketler)
  • Windows ve Linux dosyaları
  • Windows kayıt defteri anahtarları
  • Windows hizmetleri
  • Linux daemon'ları

Not

Azure Resource Manager özellik değişikliklerini izlemek için bkz. Azure Kaynak Grafı değişiklik geçmişi.

Değişiklik İzleme ve Envanter işletim sistemi ve uygulama dosyalarını incelemek için Bulut için Microsoft Defender Dosya Bütünlüğünü İzleme (FIM) ve Windows Kayıt Defteri'ni kullanır. FIM bu varlıkları izlerken Değişiklik İzleme ve Envanter yerel olarak izler:

  • Yazılım değişiklikleri
  • Windows hizmetleri
  • Linux daemon'ları

Değişiklik İzleme ve Envanter dahil edilen tüm özelliklerin etkinleştirilmesi ek ücrete neden olabilir. Devam etmeden önce Otomasyon Fiyatlandırması ve Azure İzleyici Fiyatlandırması'nı gözden geçirin.

Değişiklik İzleme ve Envanter verileri Azure İzleyici Günlüklerine iletir ve toplanan bu veriler log analytics çalışma alanında depolanır. Dosya Bütünlüğünü İzleme (FIM) özelliği yalnızca sunucular için Microsoft Defender etkinleştirildiğinde kullanılabilir. Daha fazla bilgi edinmek için bkz. fiyatlandırma Bulut için Microsoft Defender. FIM, Değişiklik İzleme ve Envanter verilerini depolamak için oluşturulanla aynı Log Analytics çalışma alanına veri yükler. Tam kullanımınızı izlemek için bağlantılı Log Analytics çalışma alanınızı izlemenizi öneririz. Azure İzleyici Günlükleri veri kullanımını analiz etme hakkında daha fazla bilgi için bkz . Log Analytics çalışma alanında kullanımı analiz etme.

Log Analytics çalışma alanına bağlı makineler log analytics aracısını kullanarak izlenen sunucularda yüklü yazılım, Windows hizmetleri, Windows kayıt defteri ve dosyaları ve Linux daemon'larında yapılan değişiklikler hakkında veri toplar. Veriler kullanılabilir olduğunda aracı, verileri işlenmek üzere Azure İzleyici Günlüklerine gönderir. Azure İzleyici Günlükleri alınan verilere mantık uygular, kaydeder ve analiz için kullanılabilir hale getirir.

Not

Değişiklik İzleme ve Envanter log analytics çalışma alanını Otomasyon hesabınıza bağlamanız gerekir. Desteklenen bölgelerin kesin listesi için bkz . Azure Çalışma Alanı eşlemeleri. Bölge eşlemeleri, Otomasyon hesabınızdan ayrı bir bölgedeki VM'leri yönetme özelliğini etkilemez.

Hizmet sağlayıcısı olarak Azure Lighthouse’a birden çok müşteri kiracısı eklemiş olabilirsiniz. Azure Lighthouse, sorumlu olduğunuz kiracılar arasında Değişiklik İzleme ve Envanter gibi yönetim görevlerini daha verimli hale getirerek birkaç Microsoft Entra kiracısı arasında büyük ölçekte işlemler gerçekleştirmenize olanak tanır. Değişiklik İzleme ve Envanter, aynı kiracıdaki birden çok abonelikteki makineleri veya kullanarak kiracılar arasında makineleri yönetebilirAzure tarafından atanan kaynak yönetimi.

Geçerli sınırlamalar

Değişiklik İzleme ve Envanter desteklemez veya aşağıdaki sınırlamalara sahiptir:

  • Windows kayıt defteri izleme için özyineleme
  • Ağ dosya sistemleri
  • Farklı yükleme yöntemleri
  • *Windows'ta depolanan dosyaları .exe
  • En Büyük Dosya Boyutu sütunu ve değerleri geçerli uygulamada kullanılmaz.
  • Dosya değişikliklerini izliyorsanız, dosya boyutu 5 MB veya daha azdır.
  • Dosya boyutu 1,25 MB olarak görünüyorsa >, sağlama toplamı hesaplamasında bellek kısıtlamaları nedeniyle FileContentChecksum yanlıştır.
  • 30 dakikalık koleksiyon döngüsünde 2500'den fazla dosya toplamaya çalışırsanız Değişiklik İzleme ve Envanter performansı düşebilir.
  • Ağ trafiği yüksekse, değişiklik kayıtlarının görüntülenmesi altı saate kadar sürebilir.
  • Bir makine veya sunucu kapatılırken yapılandırmayı değiştirirseniz, önceki yapılandırmaya ait değişiklikleri gönderebilir.
  • Windows Server 2016 Core RS3 makinelerinde Düzeltme güncelleştirmelerini toplama.
  • Linux daemon'ları hiçbir değişiklik gerçekleşmemiş olsa bile değiştirilmiş bir durum gösterebilir. Bu sorun, Azure İzleyici ConfigurationChange tablosundaki SvcRunLevels verilerin yazıldıklarından kaynaklanır.

Sınırlar

Değişiklik İzleme ve Envanter için geçerli olan sınırlar için bkz. hizmet sınırlarını Azure Otomasyonu.

Desteklenen işletim sistemleri

Değişiklik İzleme ve Envanter Log Analytics aracı gereksinimlerini karşılayan tüm işletim sistemlerinde desteklenir. Şu anda Log Analytics aracısı tarafından desteklenen Windows ve Linux işletim sistemi sürümlerinin listesi için desteklenen işletim sistemlerine bakın.

TLS 1.2 veya üzeri sürümlere yönelik istemci gereksinimlerini anlamak için bkz. Azure Otomasyonu için TLS.

Python gereksinimi

Değişiklik İzleme ve Envanter artık Python 2 ve Python 3'i destekliyor. Makineniz her iki sürümü de içermeyen bir dağıtım kullanıyorsa, bunları varsayılan olarak yüklemeniz gerekir. Aşağıdaki örnek komutlar python 2 ve Python 3'ü farklı dağıtımlara yükler.

Not

Python 3 ile uyumlu OMS aracısını kullanmak için önce Python 2'yi kaldırdığınızdan emin olun; aksi takdirde, OMS aracısı varsayılan olarak Python 2 ile çalışmaya devam eder.

  • Red Hat, CentOS, Oracle:
   sudo yum install -y python2
  • Ubuntu, Debian:
   sudo apt-get update
   sudo apt-get install -y python2
  • SUSE:
   sudo zypper install -y python2

Not

Python 2 yürütülebilir dosyası Python'a diğer adla bağlanmalıdır.

Ağ gereksinimleri

Değişiklik İzleme ve Envanter için gereken bağlantı noktaları, URL'ler ve diğer ağ ayrıntıları hakkında ayrıntılı bilgi için Azure Otomasyonu Ağ Yapılandırması'na bakın.

Değişiklik İzleme ve Stok özelliğini etkinleştirme

Değişiklik İzleme ve Envanter aşağıdaki yollarla etkinleştirebilirsiniz:

Dosya değişikliklerini izleme

hem Windows hem de Linux'taki dosyalarda yapılan değişiklikleri izlemek için Değişiklik İzleme ve Envanter dosyaların MD5 karmalarını kullanır. Özellik, son envanterden bu yana değişiklik yapılıp yapılmadığını algılamak için karmaları kullanır. Linux dosyalarını izlemek için OMS aracısı kullanıcısı için OKUMA erişimine sahip olduğunuzdan emin olun.

Dosya içeriği değişikliklerini izleme

Değişiklik İzleme ve Envanter bir Windows veya Linux dosyasının içeriğini görüntülemenizi sağlar. Bir dosyada yapılan her değişiklik için Değişiklik İzleme ve Envanter dosyanın içeriğini bir Azure Depolama hesabında depolar. Bir dosyayı takip ederken, dosyanın içeriğini değişiklik öncesinde veya sonrasında görüntüleyebilirsiniz. Dosya içeriği satır içinde veya yan yana görüntülenebilir.

Dosyadaki değişiklikleri görüntüleme

Kayıt defteri anahtarlarını izleme

Değişiklik İzleme ve Envanter, Windows kayıt defteri anahtarlarına yapılan değişikliklerin izlenmesine olanak tanır. İzleme, üçüncü taraf kodun ve kötü amaçlı yazılımların etkinleştirebileceği genişletilebilirlik noktalarını tespit etmenizi sağlar. Aşağıdaki tabloda önceden yapılandırılmış (ancak etkinleştirilmemiş) kayıt defteri anahtarları listelenmiştir. Bu anahtarları izlemek için her birini etkinleştirmeniz gerekir.

Kayıt Defteri Anahtarı Purpose
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Başlangıçta çalışan betikleri izler.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Kapatma sırasında çalışan betikleri izler.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Kullanıcı Windows hesabında oturum açmadan önce yüklenen anahtarları izler. Anahtar, 64 bit bilgisayarlarda çalışan 32 bit uygulamalar için kullanılır.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Uygulama ayarlarında yapılan değişiklikleri izler.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Doğrudan Windows Gezgini'ne bağlı olan ve genellikle explorer.exe ile işlem içinde çalışan bağlam menüsü işleyicilerini izler.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Doğrudan Windows Gezgini'ne takılan ve genellikle explorer.exe ile işlem içinde çalışan kopyalama kancası işleyicilerini izler.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Simge katman işleyicisi kaydını izler.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers 64 bit bilgisayarlarda çalışan 32 bit uygulamalar için simge katman işleyicisi kaydını izler.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Internet Explorer için yeni tarayıcı yardımcı nesne eklentilerini izler. Geçerli sayfanın Belge Nesne Modeli'ne (DOM) erişmek ve gezintiyi denetlemek için kullanılır.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Internet Explorer için yeni tarayıcı yardımcı nesne eklentilerini izler. Geçerli sayfanın Belge Nesne Modeli'ne (DOM) erişmek ve 64 bit bilgisayarlarda çalışan 32 bit uygulamaların gezintisini denetlemek için kullanılır.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions Özel araç menüleri ve özel araç çubuğu düğmeleri gibi yeni Internet Explorer uzantılarını izler.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions 64 bit bilgisayarlarda çalışan 32 bit uygulamalar için özel araç menüleri ve özel araç çubuğu düğmeleri gibi yeni Internet Explorer uzantılarını izler.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Wavemapper, wave1 ve wave2, msacm.imaadpcm, .msadpcm, .msgsm610 ve vidc ile ilişkili 32 bit sürücüleri izler. system.ini dosyasındaki [drivers] bölümüne benzer.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 64 bit bilgisayarlarda çalışan 32 bit uygulamalar için wavemapper, wave1 ve wave2, msacm.imaadpcm, .msadpcm, .msgsm610 ve vidc ile ilişkili 32 bit sürücüleri izler. system.ini dosyasındaki [drivers] bölümüne benzer.
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Bilinen veya yaygın olarak kullanılan sistem DLL'lerinin listesini izler. İzleme, sistem DLL'lerinin Truva atı sürümlerini bırakarak kişilerin zayıf uygulama dizini izinlerinden yararlanmasını önler.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Windows için etkileşimli oturum açma destek modeli winlogon.exe olay bildirimleri alabilen paketlerin listesini izler.

Özyineleme desteği

Değişiklik İzleme ve Envanter, dizinler arasında izlemeyi basitleştirmek için joker karakterler belirtmenize olanak tanıyan özyineleme desteği sunar. Özyineleme, birden çok veya dinamik sürücü adıyla ortamlar arasında dosyaları izlemenize olanak sağlayan ortam değişkenleri de sağlar. Aşağıdaki liste özyineleme yapılandırırken bilmeniz gereken yaygın bilgileri içerir:

  • Birden çok dosyayı izlemek için joker karakterler gereklidir.

  • Joker karakterleri yalnızca bir dosya yolunun son kesiminde kullanabilirsiniz; örneğin, c:\folder\file* veya /etc/*.conf.

  • Ortam değişkeninin yolu geçersizse doğrulama başarılı olur ancak yürütme sırasında yol başarısız olur.

  • Yolu ayarlarken genel yol adlarından kaçınmanız gerekir, çünkü bu tür bir ayar çok fazla klasöre geçilmesine neden olabilir.

Değişiklik İzleme ve Envanter veri toplama

Sonraki tabloda, Değişiklik İzleme ve Envanter tarafından desteklenen değişiklik türleri için veri toplama sıklığı gösterilir. Her tür için geçerli durumun veri anlık görüntüsü de en az 24 saatte bir yenilenir.

Değişiklik Türü Sıklık
Windows kayıt defteri 50 dakika
Windows dosyası 30 dakika
Linux dosyası 15 dakika
Windows hizmetleri 10 saniye ile 30 dakika
arasındadır Varsayılan: 30 dakika
Linux daemon'ları 5 dakika
Windows yazılımı 30 dakika
Linux yazılımı 5 dakika

Aşağıdaki tabloda, Değişiklik İzleme ve Envanter için makine başına izlenen öğe sınırları gösterilmektedir.

Kaynak Sınırla
Dosya 500
Kayıt Defteri 250
Windows yazılımı (düzeltmeler dahil değildir) 250
Linux paketleri 1250
Hizmetler 250
Daemons 250

Değişiklik İzleme ve Envanter kullanan bir makine için ortalama Log Analytics veri kullanımı, ortamınıza bağlı olarak ayda yaklaşık 40 MB'tır. Log Analytics çalışma alanının Kullanım ve Tahmini Maliyetler özelliğiyle, Değişiklik İzleme ve Envanter tarafından alınan verileri kullanım grafiğinde görüntüleyebilirsiniz. Veri kullanımınızı değerlendirmek ve faturanızı nasıl etkilediğini belirlemek için bu veri görünümünü kullanın. Bkz. Kullanımınızı anlama ve maliyetleri tahmin etme.

Windows hizmetleri verileri

Windows hizmetleri için varsayılan toplama sıklığı 30 dakikadır. Windows hizmetleri sekmesindeki Düzenle Ayarlar altındaki kaydırıcıyı kullanarak sıklığı yapılandırabilirsiniz.

Windows hizmetleri kaydırıcısı

Performansı iyileştirmek için Log Analytics aracısı yalnızca değişiklikleri izler. Yüksek eşiğin ayarlanması, hizmet özgün durumuna geri dönerse değişiklikleri kaçırabilir. Sıklığı daha küçük bir değere ayarlamak, aksi takdirde kaçırılacak değişiklikleri yakalamanıza olanak tanır.

Kritik hizmetler için Başlangıç durumunu Otomatik (Gecikmeli Başlangıç) olarak işaretlemenizi öneririz, böylece VM yeniden başlatıldıktan sonra hizmet veri toplama işlemi VM çalışır duruma gelir gelmez hızlı bir şekilde başlamak yerine MMA aracısı başlatıldıktan sonra başlar.

Not

Aracı 10 saniyelik bir zaman aralığına kadar değişiklikleri izleyebilir ancak verilerin Azure portalında görüntülenmesi yine de birkaç dakika sürer. Portalda görüntülenecek süre boyunca gerçekleşen değişiklikler yine izlenir ve günlüğe kaydedilir.

Yapılandırma durumuyla ilgili uyarılar için destek

Değişiklik İzleme ve Envanter önemli bir özelliği, karma ortamınızın yapılandırma durumundaki değişiklikler hakkında uyarı vermektir. Uyarılara yanıt olarak tetiklenebilecek birçok yararlı eylem vardır. Örneğin, Azure işlevleri, Otomasyon runbook'ları, web kancaları ve benzeri eylemler. Bir makine için c:\windows\system32\drivers\etc\hosts dosyasında yapılan değişikliklerle ilgili uyarı vermek, Değişiklik İzleme ve Envanter veriler için uyarıların iyi bir uygulamasıdır. Sonraki tabloda tanımlanan sorgu senaryoları da dahil olmak üzere, uyarı için birçok senaryo daha vardır.

Sorgu Açıklama
ConfigurationChange
| burada ConfigChangeType == "Dosyalar" ve FileSystemPath " c:\windows\system32\drivers\" içerir		 Sistem açısından kritik dosyalarda yapılan değişiklikleri izlemek için kullanışlıdır.
ConfigurationChange
| Burada FieldsChanged "FileContentChecksum" ve FileSystemPath == "c:\windows\system32\drivers\etc\hosts" içerir		 Anahtar yapılandırma dosyalarında yapılan değişiklikleri izlemek için kullanışlıdır.
ConfigurationChange
| where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped"		 Sistem açısından kritik hizmetlerde yapılan değişiklikleri izlemek için kullanışlıdır.
ConfigurationChange
| where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState!= "Running"		 Sistem açısından kritik hizmetlerde yapılan değişiklikleri izlemek için kullanışlıdır.
ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Added"		 Kilitli yazılım yapılandırmaları gerektiren ortamlar için kullanışlıdır.
ConfigurationData
| burada SoftwareName "Monitoring Agent" ve CurrentVersion!= "8.0.11081.0" içerir		 Hangi makinelerin eski veya uyumsuz yazılım sürümünün yüklü olduğunu görmek için kullanışlıdır. Bu sorgu bildirilen son yapılandırma durumunu bildirir, ancak değişiklikleri raporlamaz.
ConfigurationChange
| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"		 Önemli virüsten koruma anahtarlarına yapılan değişiklikleri izlemek için kullanışlıdır.
ConfigurationChange
| burada RegistryKey içerir @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"		 Güvenlik duvarı ayarlarında yapılan değişiklikleri izlemek için kullanışlıdır.

Log Analytics aracısını en son sürüme güncelleştirme

Değişiklik İzleme ve Envanter için makineler log analytics aracısını kullanarak izlenen sunucularda yüklü yazılım, Windows hizmetleri, Windows kayıt defteri ve dosyaları ve Linux daemon'larında yapılan değişiklikler hakkında veri toplar. Yakında Azure, sertifika işleme için daha eski bir yöntem kullanan Windows Microsoft Monitoring Agent (MMA) olarak da bilinen Windows Log Analytics (LA) aracısının eski sürümlerinden gelen bağlantıları kabul etmez. Aracınızı en kısa sürede en son sürüme yükseltmenizi öneririz.

Sürüm - 10.20.18053 (paket) ve 1.0.18053.0 (uzantı) veya daha yeni sürümlerde olan aracılar bu değişikliğe yanıt olarak etkilenmez. Bundan önce bir aracı kullanıyorsanız aracınız bağlanamaz ve Değişiklik İzleme & Inventory işlem hattı ve aşağı akış etkinlikleri durdurulabilir. Geçerli LA aracısı sürümünü, LA Çalışma Alanınızdaki HeartBeat tablosunda kontrol edebilirsiniz.

Bu yönergeleri izleyerek Windows Log Analytics aracısının (MMA) en son sürümüne yükselttiğinden emin olun.

Sonraki adımlar

  • Otomasyon hesabından etkinleştirmek için bkz. Otomasyon hesabından Değişiklik İzleme ve Envanter etkinleştirme.

  • Azure portalından etkinleştirmek için bkz. Azure portalından Değişiklik İzleme ve Envanter etkinleştirme.

  • Runbook'tan etkinleştirmek için bkz. Runbook'tan Değişiklik İzleme ve Envanter etkinleştirme.

  • Azure VM'sinden etkinleştirmek için bkz. Azure VM'den Değişiklik İzleme ve Envanter etkinleştirme.