如何建立變更追蹤和清查的警示

重要

變更追蹤和清查 使用Log Analytics代理程式已於2024年8月31日淘汰，並將在2025年2月1日之前進行有限的支援。 建議您使用 Azure 監視代理程式作為新的支援代理程式。 遵循從使用記錄分析的變更追蹤和清查至使用 Azure 監視代理程式版本的變更追蹤和清查的移轉指導方針。

注意

由於服務自 2024 年 8 月 31 日起已淘汰，因此不允許透過 Azure 入口網站使用 Log Analytics 上線的變更追蹤和清查。 建議您使用 AMA 設定新版本的變更追蹤和清查。 使用舊版代理程式進行變更追蹤和清查的現有 VM 將繼續運作，直到 2025 年 2 月 1 日為止。 如需詳細資訊，請參閱使用 Azure 監視代理程式啟用變更追蹤和清查。

Azure 中的警示會主動通知您 Runbook 作業的結果、服務健康狀態問題，或與自動化帳戶相關的其他案例。 Azure 自動化不包含預先設定的警示規則，但您可以根據產生的資料建立自己的警示規則。 本文指引您如何根據變更追蹤和清查所識別的變更建立警示規則。

如果您不熟悉 Azure 監視器警示，請在開始之前先行參閱 Microsoft Azure 中的警示概觀。 若要深入了解使用記錄查詢的警示，請參閱 Azure 監視器中的記錄警示。

建立警示

下列範例顯示已在機器上修改檔案 C:\windows\system32\drivers\etc\hosts。 這個檔案很重要，因為 Windows 會使用此檔案將主機名稱解析為 IP 位址。 這項作業的優先順序高於 DNS，且可能會導致連線問題。 此外也可能會導致流量重新導向至惡意或危險的網站。

我們將使用此範例來討論建立變更警示的步驟。

1. 在虛擬機器的 [變更追蹤] 頁面上，選取 [Log Analytics]。

2. 在 [記錄] 搜尋中，使用查詢 ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts" 尋找 hosts 檔案的內容變更。 這個查詢會尋找包含 hosts 這個字之完整路徑名稱的檔案內容變更。 您也可以將路徑部分變更為其完整形式以要求特定檔案，例如使用 FileSystemPath == "c:\windows\system32\drivers\etc\hosts"。

3. 在查詢傳回結果之後，選取記錄搜尋中的 [新增警示規則]，開啟 [警示建立] 頁面。 您也可以在 Azure 入口網站中透過 [Azure 監視器] 瀏覽至此頁面。

4. 再次檢查我們的查詢並修改警示邏輯。 在此情況下，即使在環境中的所有電腦上偵測到一項變更，也要觸發警示。

   

5. 設定警示邏輯之後，指派動作群組來執行動作，回應觸發的警示。 在此案例中，我們設定要傳送的電子郵件，以及要建立的 IT 服務管理 (ITSM) 票證。

遵循下列步驟來設定警示，讓您得知更新部署的狀態。 如果您不熟悉 Azure 警示，請參閱 Azure 警示概觀。

設定警示的動作群組

設定好警示之後，您就可以設定動作群組，這是可跨多個警示使用的一組動作。 這些動作可包括電子郵件通知、Runbook、Webhook 和等多種項目。 若要深入了解動作群組，請參閱建立及管理動作群組。

1. 選取警示，然後選取 [動作群組] 下的 [新建]。

2. 輸入動作群組的完整名稱和簡短名稱。 當使用指定的群組傳送通知時，更新管理會使用簡短名稱。

3. 在 [動作] 中，輸入指定動作的名稱，例如電子郵件通知。

4. 針對 [動作類型]，選取適當的類型，例如 [電子郵件/簡訊/推送/語音]。

5. 選取 [鉛筆] 圖示來編輯動作詳細資料。

6. 在窗格中填入動作類型。 例如，如果是使用 [電子郵件/簡訊/推送/語音] 傳送電子郵件，請輸入動作名稱，選取 [電子郵件] 核取方塊，輸入有效的電子郵件地址，然後選取 [確定]。

   

7. 在 [新增動作群組] 窗格中，選取 [確定]。

8. 如需警示電子郵件，您可以自訂電子郵件主旨。 選取 [建立規則] 下的 [自訂動作]，然後選取 [電子郵件主旨]。

9. 當您完成時，選取 [建立警示規則]。

下一步

• 深入了解 Azure 監視器中的警示。

• 了解記錄查詢，以從 Log Analytics 工作區擷取和分析資料。

• 分析 Log Analytics 工作區中的使用量說明如何分析資料使用量及提出警示。