Azure monitoring Agent kullanarak değişiklik izleme ve envantere genel bakış
Şunlar için geçerlidir: ✔️ Windows VM'leri Linux VM'leri ✔️ ✔️ Windows Kayıt Defteri ✔️ Windows Dosyaları ✔️ Linux Dosyaları ✔️ Windows Yazılım ✔️ Windows Hizmetleri ve Linux Daemon'ları
Önemli
- Değişiklik izleme ve envanter şu anda Log Analytics Aracısı'nı kullanmaktadır ve bu, 31.Ağustos.2024'e kadar kullanımdan kaldırmaya zamanlanmıştır. Yeni destekleyici aracı olarak Azure monitoring Agent kullanmanızı öneririz.
- Log Analytics aracısını kullanarak Değişiklik İzleme ve Envanter'den Azure monitoring Agent'a geçiş kılavuzu genel kullanıma sunulduktan sonra kullanılabilir. Daha fazla bilgi edinin.
- Bu hizmetin GA sürümüne erişmek için değişiklik izleme uzantısı sürüm 2.20.0.0 (veya üzeri) ile Azure monitoring Agent ile Değişiklik İzleme kullanmanızı öneririz.
Bu makalede, veri toplama için tekil bir aracı olarak Azure monitoring Agent'ın kullanıldığı değişiklik izleme desteğinin en son sürümü açıklanmaktadır.
Not
Log Analytics aracısını temel alan Dosya Bütünlüğü İzleme'nin Geçerli GA sürümü Ağustos 2024'te kullanımdan kaldırılacak ve yakında MDE üzerinden yeni bir sürüm sağlanacaktır. Alternatif MDE üzerinden sağlandığında Azure İzleyici Aracısı'nı (AMA) temel alan FIM Genel Önizlemesi kullanım dışı bırakılacaktır. Bu nedenle, GA için AMA Genel Önizleme sürümüne sahip FIM planlanmaz. Duyuruyu buradan okuyun.
Temel avantajlar
- Birleşik izleme aracısı ile uyumluluk - Güvenliği, güvenilirliği artıran ve verileri depolamak için çok girişli deneyimi kolaylaştıran Azure İzleyici Aracısı ile uyumludur.
- İzleme aracıyla uyumluluk- İstemcinin sanal makinesindeki Azure İlkesi aracılığıyla dağıtılan Değişiklik izleme (CT) uzantısıyla uyumludur. Azure İzleyici Aracısı'na (AMA) geçmeyi seçerseniz CT uzantısı yazılımı, dosyaları ve kayıt defterini AMA'ya gönderir.
- Çoklu giriş deneyimi – Tek bir merkezi çalışma alanından yönetimin standartlaştırılmasını sağlar. Tüm VM'lerin veri toplama ve bakım için tek bir çalışma alanına işaret edebilmesi için Log Analytics'ten (LA) AMA'ya geçiş yapabilirsiniz.
- Kural yönetimi– Veri toplamanın çeşitli yönlerini yapılandırmak veya özelleştirmek için Veri Toplama Kurallarını kullanır. Örneğin, dosya toplama sıklığını değiştirebilirsiniz.
Geçerli sınırlamalar
Değişiklik İzleme ve Envanter Azure monitoring Agent'ın kullanılması aşağıdaki sınırlamaları desteklemez veya bu sınırlamalara sahiptir:
- Windows kayıt defteri izleme için özyineleme
- Ağ dosya sistemleri
- Farklı yükleme yöntemleri
- *Windows'ta depolanan dosyaları .exe
- En Büyük Dosya Boyutu sütunu ve değerleri geçerli uygulamada kullanılmaz.
- Dosya değişikliklerini izliyorsanız, dosya boyutu 5 MB veya daha azdır.
- Dosya boyutu 1,25 MB olarak görünüyorsa >, sağlama toplamı hesaplamasında bellek kısıtlamaları nedeniyle FileContentChecksum yanlıştır.
- 30 dakikalık koleksiyon döngüsünde 2500'den fazla dosya toplamaya çalışırsanız Değişiklik İzleme ve Envanter performansı düşebilir.
- Ağ trafiği yüksekse, değişiklik kayıtlarının görüntülenmesi altı saate kadar sürebilir.
- Bir makine veya sunucu kapatılırken yapılandırmayı değiştirirseniz, önceki yapılandırmaya ait değişiklikleri gönderebilir.
- Windows Server 2016 Core RS3 makinelerinde Düzeltme güncelleştirmelerini toplama.
- Linux daemon'ları hiçbir değişiklik gerçekleşmemiş olsa bile değiştirilmiş bir durum gösterebilir. Bu sorun, Azure İzleyici ConfigurationChange tablosundaki
SvcRunLevels
verilerin nasıl yazıldığından kaynaklanır. - Değişiklik İzleme uzantısı, linux işletim sistemleri veya Dağıtımlar için sağlamlaştırma standartlarını desteklemez.
Sınırlar
Aşağıdaki tabloda, değişiklik izleme ve stok için makine başına izlenen öğe sınırları gösterilmektedir.
Kaynak | Sınırla | Notlar |
---|---|---|
Dosya | 500 | |
Dosya boyutu | 5 MB | |
Kayıt Defteri | 250 | |
Windows yazılımı | 250 | Yazılım güncelleştirmelerini içermez. |
Linux paketleri | 1,250 | |
Windows Hizmetleri | 250 | |
Linux Daemon'ları | 250 |
Desteklenen işletim sistemleri
Değişiklik İzleme ve Envanter, Azure İzleyici aracısının gereksinimlerini karşılayan tüm işletim sistemlerinde desteklenir. Şu anda Azure İzleyici aracısı tarafından desteklenen Windows ve Linux işletim sistemi sürümlerinin listesi için desteklenen işletim sistemlerine bakın.
TLS için istemci gereksinimlerini anlamak için bkz. Azure Otomasyonu için TLS.
Değişiklik İzleme ve Stok özelliğini etkinleştirme
Değişiklik İzleme ve Envanter aşağıdaki yollarla etkinleştirebilirsiniz:
Azure Arc özellikli olmayan makineler için el ile İlke Tanımları > Seçme Kategorisi = ChangeTrackingAndInventory bölümünde > Arc özellikli sanal makineler için Girişim Etkinleştirme Değişiklik İzleme ve Envanter bakın. Değişiklik İzleme ve Envanter uygun ölçekte etkinleştirmek için DINE İlkesi tabanlı çözümü kullanın. Daha fazla bilgi için bkz. Azure monitoring Agent kullanarak Değişiklik İzleme ve Envanter etkinleştirme (Önizleme).
Azure portalındaki Sanal makine sayfasından tek bir Azure VM için. Bu senaryo Linux ve Windows VM'leri için kullanılabilir.
Azure portalındaki Sanal makineler sayfasından seçerek birden çok Azure VM için.
Dosya değişikliklerini izleme
hem Windows hem de Linux'taki dosyalarda yapılan değişiklikleri izlemek için Değişiklik İzleme ve Envanter dosyaların SHA256 karmalarını kullanır. Özellik, son envanterden bu yana değişiklik yapılıp yapılmadığını algılamak için karmaları kullanır.
Dosya içeriği değişikliklerini izleme
Değişiklik İzleme ve Envanter bir Windows veya Linux dosyasının içeriğini görüntülemenizi sağlar. Bir dosyada yapılan her değişiklik için Değişiklik İzleme ve Envanter dosyanın içeriğini bir Azure Depolama hesabında depolar. Bir dosyayı takip ederken, dosyanın içeriğini değişiklik öncesinde veya sonrasında görüntüleyebilirsiniz. Dosya içeriği satır içinde veya yan yana görüntülenebilir. Daha fazla bilgi edinin.
Kayıt defteri anahtarlarını izleme
Değişiklik İzleme ve Envanter, Windows kayıt defteri anahtarlarına yapılan değişikliklerin izlenmesine olanak tanır. İzleme, üçüncü taraf kodun ve kötü amaçlı yazılımların etkinleştirebileceği genişletilebilirlik noktalarını tespit etmenizi sağlar. Aşağıdaki tabloda önceden yapılandırılmış (ancak etkinleştirilmemiş) kayıt defteri anahtarları listeleniyor. Bu anahtarları izlemek için her birini etkinleştirmeniz gerekir.
Kayıt Defteri Anahtarı | Purpose |
---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Başlangıçta çalışan betikleri izler. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Kapatma sırasında çalışan betikleri izler. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Kullanıcı Windows hesabında oturum açmadan önce yüklenen anahtarları izler. Anahtar, 64 bit bilgisayarlarda çalışan 32 bit uygulamalar için kullanılır. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Uygulama ayarlarında yapılan değişiklikleri izler. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Doğrudan Windows Gezgini'ne bağlı olan ve genellikle explorer.exe ile işlem içinde çalışan bağlam menüsü işleyicilerini izler. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Doğrudan Windows Gezgini'ne takılan ve genellikle explorer.exe ile işlem içinde çalışan kopyalama kancası işleyicilerini izler. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Simge katman işleyicisi kaydını izler. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
64 bit bilgisayarlarda çalışan 32 bit uygulamalar için simge katman işleyicisi kaydını izler. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Internet Explorer için yeni tarayıcı yardımcı nesne eklentilerini izler. Geçerli sayfanın Belge Nesne Modeli'ne (DOM) erişmek ve gezintiyi denetlemek için kullanılır. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Internet Explorer için yeni tarayıcı yardımcı nesne eklentilerini izler. Geçerli sayfanın Belge Nesne Modeli'ne (DOM) erişmek ve 64 bit bilgisayarlarda çalışan 32 bit uygulamaların gezintisini denetlemek için kullanılır. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Özel araç menüleri ve özel araç çubuğu düğmeleri gibi yeni Internet Explorer uzantılarını izler. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
64 bit bilgisayarlarda çalışan 32 bit uygulamalar için özel araç menüleri ve özel araç çubuğu düğmeleri gibi yeni Internet Explorer uzantılarını izler. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Wavemapper, wave1 ve wave2, msacm.imaadpcm, .msadpcm, .msgsm610 ve vidc ile ilişkili 32 bit sürücüleri izler. system.ini dosyasındaki [drivers] bölümüne benzer. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
64 bit bilgisayarlarda çalışan 32 bit uygulamalar için wavemapper, wave1 ve wave2, msacm.imaadpcm, .msadpcm, .msgsm610 ve vidc ile ilişkili 32 bit sürücüleri izler. system.ini dosyasındaki [drivers] bölümüne benzer. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Bilinen veya yaygın olarak kullanılan sistem DLL'lerinin listesini izler. İzleme, sistem DLL'lerinin Truva atı sürümlerini bırakarak kişilerin zayıf uygulama dizini izinlerinden yararlanmasını önler. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Windows için etkileşimli oturum açma destek modeli winlogon.exe olay bildirimleri alabilen paketlerin listesini izler. |
Özyineleme desteği
Değişiklik İzleme ve Envanter, dizinler arasında izlemeyi basitleştirmek için joker karakterler belirtmenize olanak tanıyan özyineleme desteği sunar. Özyineleme, birden çok veya dinamik sürücü adıyla ortamlar arasında dosyaları izlemenize olanak sağlayan ortam değişkenleri de sağlar. Aşağıdaki liste özyineleme yapılandırırken bilmeniz gereken yaygın bilgileri içerir:
Birden çok dosyayı izlemek için joker karakterler gereklidir.
Joker karakterleri yalnızca bir dosya yolunun son kesiminde kullanabilirsiniz; örneğin, c:\folder\file* veya /etc/*.conf.
Ortam değişkeninin yolu geçersizse doğrulama başarılı olur ancak yürütme sırasında yol başarısız olur.
Yolu ayarlarken genel yol adlarından kaçınmanız gerekir, çünkü bu tür bir ayar çok fazla klasöre geçilmesine neden olabilir.
Değişiklik İzleme ve Envanter veri toplama
Sonraki tabloda, Değişiklik İzleme ve Envanter tarafından desteklenen değişiklik türleri için veri toplama sıklığı gösterilir. Her tür için geçerli durumun veri anlık görüntüsü de en az 24 saatte bir yenilenir.
Değişiklik Türü | Sıklık |
---|---|
Windows kayıt defteri | 50 dakika |
Windows dosyası | 30 - 40 dakika |
Linux dosyası | 15 dakika |
Windows hizmetleri | 10 dakika ile 30 dakika arasındadır Varsayılan: 30 dakika |
Windows yazılımı | 30 dakika |
Linux yazılımı | 5 dakika |
Linux Daemon'ları | 5 dakika |
Aşağıdaki tabloda, Değişiklik İzleme ve Envanter için makine başına izlenen öğe sınırları gösterilmektedir.
Kaynak | Sınırla |
---|---|
Dosya | 500 |
Kayıt Defteri | 250 |
Windows yazılımı (düzeltmeler dahil değildir) | 250 |
Linux paketleri | 1250 |
Windows Hizmetleri | 250 |
Linux Daemon'ları | 500 |
Windows hizmetleri verileri
Önkoşullar
Windows Hizmetleri verilerinin izlenmesini etkinleştirmek için CT uzantısını yükseltmeniz ve uzantıyı 2.11.0.0'dan daha büyük veya buna eşit kullanmanız gerekir
- Windows Azure VM'leri için
- Linux Azure VM'leri için
- Arc özellikli Windows VM'leri için
- Arc özellikli Linux VM'leri için
- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true
Sıklığı yapılandırma
Windows hizmetleri için varsayılan toplama sıklığı 30 dakikadır. Sıklığı yapılandırmak için
- Ayarlar düzenle'nin altında Windows hizmetleri sekmesindeki bir kaydırıcıyı kullanın.
Yapılandırma durumuyla ilgili uyarılar için destek
Değişiklik İzleme ve Envanter önemli bir özelliği, karma ortamınızın yapılandırma durumundaki değişiklikler hakkında uyarı vermektir. Uyarılara yanıt olarak tetiklenebilecek birçok yararlı eylem vardır. Örneğin, Azure işlevleri, Otomasyon runbook'ları, web kancaları ve benzeri eylemler. Bir makine için c:\windows\system32\drivers\etc\hosts dosyasında yapılan değişikliklerle ilgili uyarı vermek, Değişiklik İzleme ve Envanter veriler için uyarıların iyi bir uygulamasıdır. Sonraki tabloda tanımlanan sorgu senaryoları da dahil olmak üzere, uyarı için birçok senaryo daha vardır.
Sorgu | Açıklama |
---|---|
ConfigurationChange | burada ConfigChangeType == "Dosyalar" ve FileSystemPath " c:\windows\system32\drivers\" içerir |
Sistem açısından kritik dosyalarda yapılan değişiklikleri izlemek için kullanışlıdır. |
ConfigurationChange | Burada FieldsChanged "FileContentChecksum" ve FileSystemPath == "c:\windows\system32\drivers\etc\hosts" içerir |
Anahtar yapılandırma dosyalarında yapılan değişiklikleri izlemek için kullanışlıdır. |
ConfigurationChange | where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped" |
Sistem açısından kritik hizmetlerde yapılan değişiklikleri izlemek için kullanışlıdır. |
ConfigurationChange | where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState!= "Running" |
Sistem açısından kritik hizmetlerde yapılan değişiklikleri izlemek için kullanışlıdır. |
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added" |
Kilitli yazılım yapılandırmaları gerektiren ortamlar için kullanışlıdır. |
ConfigurationData | burada SoftwareName "Monitoring Agent" ve CurrentVersion!= "8.0.11081.0" içerir |
Hangi makinelerin eski veya uyumsuz yazılım sürümünün yüklü olduğunu görmek için kullanışlıdır. Bu sorgu bildirilen son yapılandırma durumunu bildirir, ancak değişiklikleri raporlamaz. |
ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
Önemli virüsten koruma anahtarlarına yapılan değişiklikleri izlemek için kullanışlıdır. |
ConfigurationChange | burada RegistryKey içerir @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
Güvenlik duvarı ayarlarında yapılan değişiklikleri izlemek için kullanışlıdır. |
Sonraki adımlar
- Azure portalından etkinleştirmek için bkz. Azure portalından Değişiklik İzleme ve Envanter etkinleştirme.