Azure monitoring Agent kullanarak değişiklik izleme ve envantere genel bakış

  • Makale

Şunlar için geçerlidir: ✔️ Windows VM'leri Linux VM'leri ✔️ ✔️ Windows Kayıt Defteri ✔️ Windows Dosyaları ✔️ Linux Dosyaları ✔️ Windows Yazılım ✔️ Windows Hizmetleri ve Linux Daemon'ları

Önemli

  • Değişiklik izleme ve envanter şu anda Log Analytics Aracısı'nı kullanmaktadır ve bu, 31.Ağustos.2024'e kadar kullanımdan kaldırmaya zamanlanmıştır. Yeni destekleyici aracı olarak Azure monitoring Agent kullanmanızı öneririz.
  • Log Analytics aracısını kullanarak Değişiklik İzleme ve Envanter'den Azure monitoring Agent'a geçiş kılavuzu genel kullanıma sunulduktan sonra kullanılabilir. Daha fazla bilgi edinin.
  • Bu hizmetin GA sürümüne erişmek için değişiklik izleme uzantısı sürüm 2.20.0.0 (veya üzeri) ile Azure monitoring Agent ile Değişiklik İzleme kullanmanızı öneririz.

Bu makalede, veri toplama için tekil bir aracı olarak Azure monitoring Agent'ın kullanıldığı değişiklik izleme desteğinin en son sürümü açıklanmaktadır.

Not

Log Analytics aracısını temel alan Dosya Bütünlüğü İzleme'nin Geçerli GA sürümü Ağustos 2024'te kullanımdan kaldırılacak ve yakında MDE üzerinden yeni bir sürüm sağlanacaktır.  Alternatif MDE üzerinden sağlandığında Azure İzleyici Aracısı'nı (AMA) temel alan FIM Genel Önizlemesi kullanım dışı bırakılacaktır. Bu nedenle, GA için AMA Genel Önizleme sürümüne sahip FIM planlanmaz. Duyuruyu buradan okuyun.

Temel avantajlar

  • Birleşik izleme aracısı ile uyumluluk - Güvenliği, güvenilirliği artıran ve verileri depolamak için çok girişli deneyimi kolaylaştıran Azure İzleyici Aracısı ile uyumludur.
  • İzleme aracıyla uyumluluk- İstemcinin sanal makinesindeki Azure İlkesi aracılığıyla dağıtılan Değişiklik izleme (CT) uzantısıyla uyumludur. Azure İzleyici Aracısı'na (AMA) geçmeyi seçerseniz CT uzantısı yazılımı, dosyaları ve kayıt defterini AMA'ya gönderir.
  • Çoklu giriş deneyimi – Tek bir merkezi çalışma alanından yönetimin standartlaştırılmasını sağlar. Tüm VM'lerin veri toplama ve bakım için tek bir çalışma alanına işaret edebilmesi için Log Analytics'ten (LA) AMA'ya geçiş yapabilirsiniz.
  • Kural yönetimi– Veri toplamanın çeşitli yönlerini yapılandırmak veya özelleştirmek için Veri Toplama Kurallarını kullanır. Örneğin, dosya toplama sıklığını değiştirebilirsiniz.

Geçerli sınırlamalar

Değişiklik İzleme ve Envanter Azure monitoring Agent'ın kullanılması aşağıdaki sınırlamaları desteklemez veya bu sınırlamalara sahiptir:

  • Windows kayıt defteri izleme için özyineleme
  • Ağ dosya sistemleri
  • Farklı yükleme yöntemleri
  • *Windows'ta depolanan dosyaları .exe
  • En Büyük Dosya Boyutu sütunu ve değerleri geçerli uygulamada kullanılmaz.
  • Dosya değişikliklerini izliyorsanız, dosya boyutu 5 MB veya daha azdır.
  • Dosya boyutu 1,25 MB olarak görünüyorsa >, sağlama toplamı hesaplamasında bellek kısıtlamaları nedeniyle FileContentChecksum yanlıştır.
  • 30 dakikalık koleksiyon döngüsünde 2500'den fazla dosya toplamaya çalışırsanız Değişiklik İzleme ve Envanter performansı düşebilir.
  • Ağ trafiği yüksekse, değişiklik kayıtlarının görüntülenmesi altı saate kadar sürebilir.
  • Bir makine veya sunucu kapatılırken yapılandırmayı değiştirirseniz, önceki yapılandırmaya ait değişiklikleri gönderebilir.
  • Windows Server 2016 Core RS3 makinelerinde Düzeltme güncelleştirmelerini toplama.
  • Linux daemon'ları hiçbir değişiklik gerçekleşmemiş olsa bile değiştirilmiş bir durum gösterebilir. Bu sorun, Azure İzleyici ConfigurationChange tablosundaki SvcRunLevels verilerin nasıl yazıldığından kaynaklanır.
  • Değişiklik İzleme uzantısı, linux işletim sistemleri veya Dağıtımlar için sağlamlaştırma standartlarını desteklemez.

Sınırlar

Aşağıdaki tabloda, değişiklik izleme ve stok için makine başına izlenen öğe sınırları gösterilmektedir.

Kaynak Sınırla Notlar
Dosya 500
Dosya boyutu 5 MB
Kayıt Defteri 250
Windows yazılımı 250 Yazılım güncelleştirmelerini içermez.
Linux paketleri 1,250
Windows Hizmetleri 250
Linux Daemon'ları 250

Desteklenen işletim sistemleri

Değişiklik İzleme ve Envanter, Azure İzleyici aracısının gereksinimlerini karşılayan tüm işletim sistemlerinde desteklenir. Şu anda Azure İzleyici aracısı tarafından desteklenen Windows ve Linux işletim sistemi sürümlerinin listesi için desteklenen işletim sistemlerine bakın.

TLS için istemci gereksinimlerini anlamak için bkz. Azure Otomasyonu için TLS.

Değişiklik İzleme ve Stok özelliğini etkinleştirme

Değişiklik İzleme ve Envanter aşağıdaki yollarla etkinleştirebilirsiniz:

Dosya değişikliklerini izleme

hem Windows hem de Linux'taki dosyalarda yapılan değişiklikleri izlemek için Değişiklik İzleme ve Envanter dosyaların SHA256 karmalarını kullanır. Özellik, son envanterden bu yana değişiklik yapılıp yapılmadığını algılamak için karmaları kullanır.

Dosya içeriği değişikliklerini izleme

Değişiklik İzleme ve Envanter bir Windows veya Linux dosyasının içeriğini görüntülemenizi sağlar. Bir dosyada yapılan her değişiklik için Değişiklik İzleme ve Envanter dosyanın içeriğini bir Azure Depolama hesabında depolar. Bir dosyayı takip ederken, dosyanın içeriğini değişiklik öncesinde veya sonrasında görüntüleyebilirsiniz. Dosya içeriği satır içinde veya yan yana görüntülenebilir. Daha fazla bilgi edinin.

Windows veya Linux dosyasındaki değişiklikleri görüntüleme ekran görüntüsü.

Kayıt defteri anahtarlarını izleme

Değişiklik İzleme ve Envanter, Windows kayıt defteri anahtarlarına yapılan değişikliklerin izlenmesine olanak tanır. İzleme, üçüncü taraf kodun ve kötü amaçlı yazılımların etkinleştirebileceği genişletilebilirlik noktalarını tespit etmenizi sağlar. Aşağıdaki tabloda önceden yapılandırılmış (ancak etkinleştirilmemiş) kayıt defteri anahtarları listeleniyor. Bu anahtarları izlemek için her birini etkinleştirmeniz gerekir.

Kayıt Defteri Anahtarı Purpose
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Başlangıçta çalışan betikleri izler.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Kapatma sırasında çalışan betikleri izler.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Kullanıcı Windows hesabında oturum açmadan önce yüklenen anahtarları izler. Anahtar, 64 bit bilgisayarlarda çalışan 32 bit uygulamalar için kullanılır.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Uygulama ayarlarında yapılan değişiklikleri izler.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Doğrudan Windows Gezgini'ne bağlı olan ve genellikle explorer.exe ile işlem içinde çalışan bağlam menüsü işleyicilerini izler.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Doğrudan Windows Gezgini'ne takılan ve genellikle explorer.exe ile işlem içinde çalışan kopyalama kancası işleyicilerini izler.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Simge katman işleyicisi kaydını izler.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers 64 bit bilgisayarlarda çalışan 32 bit uygulamalar için simge katman işleyicisi kaydını izler.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Internet Explorer için yeni tarayıcı yardımcı nesne eklentilerini izler. Geçerli sayfanın Belge Nesne Modeli'ne (DOM) erişmek ve gezintiyi denetlemek için kullanılır.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Internet Explorer için yeni tarayıcı yardımcı nesne eklentilerini izler. Geçerli sayfanın Belge Nesne Modeli'ne (DOM) erişmek ve 64 bit bilgisayarlarda çalışan 32 bit uygulamaların gezintisini denetlemek için kullanılır.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions Özel araç menüleri ve özel araç çubuğu düğmeleri gibi yeni Internet Explorer uzantılarını izler.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions 64 bit bilgisayarlarda çalışan 32 bit uygulamalar için özel araç menüleri ve özel araç çubuğu düğmeleri gibi yeni Internet Explorer uzantılarını izler.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Wavemapper, wave1 ve wave2, msacm.imaadpcm, .msadpcm, .msgsm610 ve vidc ile ilişkili 32 bit sürücüleri izler. system.ini dosyasındaki [drivers] bölümüne benzer.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 64 bit bilgisayarlarda çalışan 32 bit uygulamalar için wavemapper, wave1 ve wave2, msacm.imaadpcm, .msadpcm, .msgsm610 ve vidc ile ilişkili 32 bit sürücüleri izler. system.ini dosyasındaki [drivers] bölümüne benzer.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Bilinen veya yaygın olarak kullanılan sistem DLL'lerinin listesini izler. İzleme, sistem DLL'lerinin Truva atı sürümlerini bırakarak kişilerin zayıf uygulama dizini izinlerinden yararlanmasını önler.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Windows için etkileşimli oturum açma destek modeli winlogon.exe olay bildirimleri alabilen paketlerin listesini izler.

Özyineleme desteği

Değişiklik İzleme ve Envanter, dizinler arasında izlemeyi basitleştirmek için joker karakterler belirtmenize olanak tanıyan özyineleme desteği sunar. Özyineleme, birden çok veya dinamik sürücü adıyla ortamlar arasında dosyaları izlemenize olanak sağlayan ortam değişkenleri de sağlar. Aşağıdaki liste özyineleme yapılandırırken bilmeniz gereken yaygın bilgileri içerir:

  • Birden çok dosyayı izlemek için joker karakterler gereklidir.

  • Joker karakterleri yalnızca bir dosya yolunun son kesiminde kullanabilirsiniz; örneğin, c:\folder\file* veya /etc/*.conf.

  • Ortam değişkeninin yolu geçersizse doğrulama başarılı olur ancak yürütme sırasında yol başarısız olur.

  • Yolu ayarlarken genel yol adlarından kaçınmanız gerekir, çünkü bu tür bir ayar çok fazla klasöre geçilmesine neden olabilir.

Değişiklik İzleme ve Envanter veri toplama

Sonraki tabloda, Değişiklik İzleme ve Envanter tarafından desteklenen değişiklik türleri için veri toplama sıklığı gösterilir. Her tür için geçerli durumun veri anlık görüntüsü de en az 24 saatte bir yenilenir.

Değişiklik Türü Sıklık
Windows kayıt defteri 50 dakika
Windows dosyası 30 - 40 dakika
Linux dosyası 15 dakika
Windows hizmetleri 10 dakika ile 30 dakika
arasındadır Varsayılan: 30 dakika
Windows yazılımı 30 dakika
Linux yazılımı 5 dakika
Linux Daemon'ları 5 dakika

Aşağıdaki tabloda, Değişiklik İzleme ve Envanter için makine başına izlenen öğe sınırları gösterilmektedir.

Kaynak Sınırla
Dosya 500
Kayıt Defteri 250
Windows yazılımı (düzeltmeler dahil değildir) 250
Linux paketleri 1250
Windows Hizmetleri 250
Linux Daemon'ları 500

Windows hizmetleri verileri

Önkoşullar

Windows Hizmetleri verilerinin izlenmesini etkinleştirmek için CT uzantısını yükseltmeniz ve uzantıyı 2.11.0.0'dan daha büyük veya buna eşit kullanmanız gerekir

- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true

Sıklığı yapılandırma

Windows hizmetleri için varsayılan toplama sıklığı 30 dakikadır. Sıklığı yapılandırmak için

  • Ayarlar düzenle'nin altında Windows hizmetleri sekmesindeki bir kaydırıcıyı kullanın.

Sıklık kaydırıcısının ekran görüntüsü.

Yapılandırma durumuyla ilgili uyarılar için destek

Değişiklik İzleme ve Envanter önemli bir özelliği, karma ortamınızın yapılandırma durumundaki değişiklikler hakkında uyarı vermektir. Uyarılara yanıt olarak tetiklenebilecek birçok yararlı eylem vardır. Örneğin, Azure işlevleri, Otomasyon runbook'ları, web kancaları ve benzeri eylemler. Bir makine için c:\windows\system32\drivers\etc\hosts dosyasında yapılan değişikliklerle ilgili uyarı vermek, Değişiklik İzleme ve Envanter veriler için uyarıların iyi bir uygulamasıdır. Sonraki tabloda tanımlanan sorgu senaryoları da dahil olmak üzere, uyarı için birçok senaryo daha vardır.

Sorgu Açıklama
ConfigurationChange
| burada ConfigChangeType == "Dosyalar" ve FileSystemPath " c:\windows\system32\drivers\" içerir		 Sistem açısından kritik dosyalarda yapılan değişiklikleri izlemek için kullanışlıdır.
ConfigurationChange
| Burada FieldsChanged "FileContentChecksum" ve FileSystemPath == "c:\windows\system32\drivers\etc\hosts" içerir		 Anahtar yapılandırma dosyalarında yapılan değişiklikleri izlemek için kullanışlıdır.
ConfigurationChange
| where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped"		 Sistem açısından kritik hizmetlerde yapılan değişiklikleri izlemek için kullanışlıdır.
ConfigurationChange
| where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState!= "Running"		 Sistem açısından kritik hizmetlerde yapılan değişiklikleri izlemek için kullanışlıdır.
ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Added"		 Kilitli yazılım yapılandırmaları gerektiren ortamlar için kullanışlıdır.
ConfigurationData
| burada SoftwareName "Monitoring Agent" ve CurrentVersion!= "8.0.11081.0" içerir		 Hangi makinelerin eski veya uyumsuz yazılım sürümünün yüklü olduğunu görmek için kullanışlıdır. Bu sorgu bildirilen son yapılandırma durumunu bildirir, ancak değişiklikleri raporlamaz.
ConfigurationChange
| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"		 Önemli virüsten koruma anahtarlarına yapılan değişiklikleri izlemek için kullanışlıdır.
ConfigurationChange
| burada RegistryKey içerir @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"		 Güvenlik duvarı ayarlarında yapılan değişiklikleri izlemek için kullanışlıdır.

Sonraki adımlar

  • Azure portalından etkinleştirmek için bkz. Azure portalından Değişiklik İzleme ve Envanter etkinleştirme.