變更追蹤和清查概觀
警告
本文參考 CentOS,這是即將結束生命週期 (EOL) 狀態的 Linux 發行版。 請據以考慮您的使用和規劃。
重要
- 變更追蹤和清查 使用 Log Analytics 代理程式將於 2024 年 8 月 31 日淘汰,建議您使用 Azure 監視代理程式作為新的支援代理程式。 遵循從使用記錄分析的變更追蹤和清查至使用 Azure 監視代理程式版本的變更追蹤和清查的移轉指導方針。
本文介紹如何在 Azure 自動化 中 變更追蹤和清查。 此功能會追蹤裝載於 Azure、內部部署和其他雲端環境的虛擬機變更,以協助您找出散發 封裝管理員 所管理軟體的操作和環境問題。 變更追蹤和清查 追蹤的專案包括:
- Windows 軟體
- Linux 軟體 (套件)
- Windows 和 Linux 檔案
- Windows 登錄機碼
- Windows 服務
- Linux 精靈
注意
若要追蹤 Azure Resource Manager 屬性變更,請參閱 Azure Resource Graph 變更歷程記錄。
變更追蹤和清查 利用 適用於雲端的 Microsoft Defender 檔案完整性監視 (FIM) 來檢查操作系統和應用程式檔案,以及 Windows 登錄。 當 FIM 監視這些實體時,變更追蹤和清查 原生追蹤:
- 軟體變更
- Windows 服務
- Linux 精靈
啟用 變更追蹤和清查 中包含的所有功能可能會導致額外費用。 繼續進行之前,請先檢閱 自動化定價 和 Azure 監視器定價。
變更追蹤和清查 將數據轉送至 Azure 監視器記錄,而且此收集的數據會儲存在 Log Analytics 工作區中。 只有在啟用適用於伺服器的 Microsoft Defender 時,才能使用檔案完整性監視 (FIM) 功能。 若要深入瞭解,請參閱 適用於雲端的 Microsoft Defender 定價。 FIM 會將數據上傳至與建立用來儲存 變更追蹤和清查 數據的Log Analytics 工作區相同。 建議您監視連結的Log Analytics工作區,以追蹤確切的使用方式。 如需分析 Azure 監視器記錄數據使用量的詳細資訊,請參閱 在 Log Analytics 工作區中分析使用量。
聯機到 Log Analytics 工作區的電腦會使用 Log Analytics 代理程式 ,收集受監視伺服器上已安裝軟體、Windows 服務、Windows 登錄和檔案和 Linux 精靈變更的相關數據。 當數據可供使用時,代理程式會將它傳送至 Azure 監視器記錄進行處理。 Azure 監視器記錄會將邏輯套用至已接收的數據、記錄數據,並使其可供分析。
注意
變更追蹤和清查 需要將Log Analytics工作區連結至您的自動化帳戶。 如需支援區域的明確清單,請參閱 Azure 工作區對應。 區域對應不會影響在與自動化帳戶不同的區域中管理 VM 的能力。
身為服務提供者,您可能已將多個客戶租用戶上線至 Azure Lighthouse。 Azure Lighthouse 可讓您一次在數個 Microsoft Entra 租用戶之間大規模執行作業,讓管理工作如 變更追蹤和清查 為您負責的租使用者更有效率。 變更追蹤和清查 可以管理相同租使用者中多個訂用帳戶中的機器,或使用跨租使用者管理機器Azure 委派的資源管理。
目前的限制
變更追蹤和清查 不支援或有下列限制:
- Windows 登錄追蹤的遞歸
- 網路檔案系統
- 不同的安裝方法
- *.exe儲存在 Windows 上的檔案
- 目前 實作中未使用 [檔案大小上限] 資料行和值。
- 如果您要追蹤檔案變更,其大小限制為5 MB或更少。
- 如果檔案大小顯示為 >1.25MB,則 FileContentChecksum 因總和檢查碼計算中的記憶體限制而不正確。
- 如果您嘗試在 30 分鐘的收集週期中收集超過 2500 個檔案,變更追蹤和清查 效能可能會降低。
- 如果網路流量很高,變更記錄最多可能需要六個小時才能顯示。
- 如果您在機器或伺服器關機時修改設定,它可能會張貼屬於先前設定的變更。
- 收集 Windows Server 2016 Core RS3 機器上的 Hotfix 更新。
- 即使未發生任何變更,Linux 精靈仍可能會顯示已變更的狀態。 發生此問題的原因是 Azure 監視器 ConfigurationChange 數據表中的數據寫入方式
SvcRunLevels
。
限制
如需適用於 變更追蹤和清查 的限制,請參閱 Azure 自動化 服務限制。
受支援的作業系統
所有符合 Log Analytics 代理程式需求的作業系統都支援 變更追蹤和清查。 如需 Log Analytics 代理程式目前支援的 Windows 和 Linux 作業系統版本清單,請參閱 支援的作業系統 。
若要瞭解 TLS 1.2 或更高版本的用戶端需求,請參閱 TLS 1.2 或更高版本的 Azure 自動化。
Python 需求
變更追蹤和清查 現在支援 Python 2 和 Python 3。 如果您的電腦使用不包含其中一個版本的散發版本,則預設必須加以安裝。 下列範例命令會在不同的散發版本上安裝 Python 2 和 Python 3。
注意
若要使用與 Python 3 相容的 OMS 代理程式,請確定您先卸載 Python 2;否則,OMS 代理程式預設會繼續使用 python 2 執行。
- Red Hat、CentOS、Oracle:
sudo yum install -y python2
- Ubuntu、Debian:
sudo apt-get update
sudo apt-get install -y python2
- SUSE:
sudo zypper install -y python2
注意
Python 2 可執行文件必須別名為 python。
網路需求
如需 變更追蹤和清查 所需的埠、URL 和其他網路詳細數據的詳細資訊,請參閱 Azure 自動化 網路組態。
啟用變更追蹤和清查
您可以透過下列方式啟用 變更追蹤和清查:
從您的 自動化帳戶 中,針對一或多個 Azure 和非 Azure 機器。
手動針對非 Azure 機器,包括向 已啟用 Azure Arc 的伺服器註冊的電腦或伺服器。 針對混合式機器,建議您先將機器連線到已啟用 Azure Arc 的伺服器,然後使用 Azure 原則 將 Log Analytics 代理程式指派給 Linux 或 Windows Azure Arc 機器內建原則,以安裝適用於 Windows 的 Log Analytics 代理程式。 如果您也打算使用 適用於 VM 的 Azure 監視器 監視機器,請改用 [啟用 適用於 VM 的 Azure 監視器 方案]。
針對 Azure 入口網站 中 [虛擬機] 頁面的單一 Azure VM。 此案例適用於Linux和 Windows VM。
追蹤檔案變更
若要追蹤 Windows 和 Linux 上檔案中的變更,變更追蹤和清查 會使用檔案的 MD5 哈希。 此功能會使用哈希來偵測自上次清查之後是否已進行變更。 若要追蹤 Linux 檔案,請確定您具有 OMS 代理程式使用者的讀取許可權。
追蹤檔案內容變更
變更追蹤和清查 可讓您檢視 Windows 或 Linux 檔案的內容。 對於檔案的每個變更,變更追蹤和清查 會將檔案的內容儲存在 Azure 儲存體 帳戶中。 當您追蹤檔案時,您可以在變更前後檢視其內容。 檔案內容可以並排檢視。
追蹤登錄機碼
變更追蹤和清查 允許監視 Windows 登錄機碼的變更。 監視可讓您找出第三方程式代碼和惡意代碼可以啟用的擴充點。 下表列出預先設定的登錄機碼(但未啟用)。 若要追蹤這些金鑰,您必須啟用每個金鑰。
登錄機碼 | 目的 |
---|---|
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
監視在啟動時執行的腳本。 |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
監視在關機時執行的腳本。 |
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
監視使用者登入 Windows 帳戶之前所載入的金鑰。 金鑰用於 64 位電腦上執行的 32 位應用程式。 |
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
監視應用程式設定的變更。 |
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
監視直接連結至 Windows 檔案總管的內容功能表處理程式,且通常會使用 explorer.exe 執行同進程。 |
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
監視直接連結至 Windows 檔案總管的複製攔截處理程式,且通常會使用 explorer.exe 執行同進程。 |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
監視圖示重疊處理程序註冊。 |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
監視在64位電腦上執行的32位應用程式圖示重疊處理程式註冊。 |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
監視 Internet Explorer 的新瀏覽器協助程式物件外掛程式。 用來存取目前頁面的檔物件模型 (DOM),以及控制流覽。 |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
監視 Internet Explorer 的新瀏覽器協助程式物件外掛程式。 用來存取目前頁面的檔案物件模型 (DOM),以及控制在64位電腦上執行的32位應用程式的流覽。 |
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions |
監視新的 Internet Explorer 延伸模組,例如自訂工具功能表和自定義工具列按鈕。 |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
監視新的 Internet Explorer 擴充功能,例如 64 位電腦上執行的 32 位應用程式的自訂工具功能表和自訂工具列按鈕。 |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
監視與 wavemapper、wave1 和 wave2、msacm.imaadpcm、.msadpcm、.msgsm610 和 vidc 相關聯的 32 位驅動程式。 類似於 system.ini 檔案中的 [drivers] 區段。 |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
針對在64位電腦上執行的32位應用程式,監視與 wavemapper、wave1 和 wave2、msacm.imaadpcm、.msadpcm、.msgsm610 和 vidc 相關聯的 32 位驅動程式。 類似於 system.ini 檔案中的 [drivers] 區段。 |
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
監視已知或常用的系統 DLL 清單。 監視會藉由在特洛伊木馬版本的系統 DLL 中卸除,防止人們利用弱式應用程式目錄許可權。 |
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
監視可從 windows 的互動式登錄支援模型winlogon.exe接收事件通知的套件清單。 |
遞歸支援
變更追蹤和清查 支援遞歸,可讓您指定通配符來簡化跨目錄的追蹤。 遞歸也提供環境變數,讓您能夠追蹤具有多個或動態磁碟驅動器名稱的環境。 下列清單包含您在設定遞歸時應該知道的一般資訊:
需要萬用字元才能追蹤多個檔案。
您只能在檔案路徑的最後一個區段中使用通配符,例如 c:\folder\file* 或 /etc/*.conf。
如果環境變數的路徑無效,驗證會成功,但路徑在執行期間會失敗。
設定路徑時,您應該避免一般路徑名稱,因為這種類型的設定可能會導致太多資料夾周遊。
變更追蹤和清查 數據收集
下表顯示 變更追蹤和清查 所支援變更類型的數據收集頻率。 針對每個類型,目前狀態的數據快照集也會至少每隔 24 小時重新整理一次。
變更類型 | 頻率 |
---|---|
Windows 登錄 | 50 分鐘 |
Windows 檔案 | 30 分鐘 |
Linux 檔案 | 15 分鐘 |
Windows 服務 | 10 秒至 30 分鐘 預設值:30 分鐘 |
Linux 精靈 | 5 分鐘 |
Windows 軟體 | 30 分鐘 |
Linux 軟體 | 5 分鐘 |
下表顯示每部計算機的追蹤專案限制,變更追蹤和清查。
資源 | 限制 |
---|---|
檔案 | 500 |
登錄 | 250 |
Windows 軟體(不包括 Hotfix) | 250 |
Linux 套件 | 1250 |
服務 | 250 |
精靈 | 250 |
使用 變更追蹤和清查 之機器的平均Log Analytics資料使用量大約是每月40 MB,視您的環境而定。 使用 Log Analytics 工作區的 [使用量和估計成本] 功能,您可以在使用量圖表中檢視 變更追蹤和清查 所擷取的數據。 使用此數據檢視來評估您的數據使用量,並判斷其如何影響您的帳單。 請參閱 瞭解您的使用量和預估成本。
Windows 服務數據
Windows 服務的預設收集頻率為 30 分鐘。 您可以在 [編輯 設定] 底下的 [Windows 服務] 索引標籤上使用滑桿來設定頻率。
為了將效能優化,Log Analytics 代理程式只會追蹤變更。 如果服務回到其原始狀態,設定高閾值可能會遺漏變更。 將頻率設定為較小的值,可讓您攔截可能遺漏的變更。
對於重要服務,建議將啟動狀態標示為自動(延遲啟動),如此一旦 VM 重新啟動,MMA 代理程式啟動時,服務數據收集就會啟動,而不是在 VM 啟動時快速啟動。
注意
雖然代理程式可以追蹤 10 秒間隔的變更,但數據仍需要幾分鐘的時間才會顯示在 Azure 入口網站 中。 在入口網站中顯示期間發生的變更仍會追蹤和記錄。
支援設定狀態的警示
變更追蹤和清查的主要功能是針對混合式環境的設定狀態變更發出警示。 許多有用的動作可用來觸發以回應警示。 例如,Azure 函式、自動化 Runbook、Webhook 等動作。 針對計算機的 c:\windows\system32\drivers\etc\hosts 檔案變更發出警示,是 變更追蹤和清查 數據的良好警示應用程式。 此外,還有更多警示案例,包括下一個數據表中定義的查詢案例。
查詢 | 描述 |
---|---|
ConfigurationChange |其中 ConfigChangeType == “Files” 和 FileSystemPath 包含 “ c:\windows\system32\drivers\” |
適用於追蹤系統關鍵檔案的變更。 |
ConfigurationChange |其中 FieldsChanged 包含 “FileContentChecksum” 和 FileSystemPath == “c:\windows\system32\drivers\etc\hosts” |
適用於追蹤金鑰組態檔的修改。 |
ConfigurationChange |其中 ConfigChangeType == “WindowsServices” 和 SvcName 包含 “w3svc” 和 SvcState == “Stopped” |
適用於追蹤系統關鍵服務的變更。 |
ConfigurationChange |其中 ConfigChangeType == “Daemons” 和 SvcName 包含 “ssh” 和 SvcState!= “Running” |
適用於追蹤系統關鍵服務的變更。 |
ConfigurationChange |其中 ConfigChangeType == “Software” and ChangeCategory == “Added” |
適用於需要鎖定軟體組態的環境。 |
ConfigurationData |其中 SoftwareName 包含 “Monitoring Agent” 和 CurrentVersion!= “8.0.11081.0” |
適用於查看哪些計算機已安裝過期或不符合規範的軟體版本。 此查詢會報告上次回報的設定狀態,但不會報告變更。 |
ConfigurationChange |where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
適用於追蹤重要防毒金鑰的變更。 |
ConfigurationChange |其中 RegistryKey 包含 @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
適用於追蹤防火牆設定的變更。 |
將 Log Analytics 代理程式更新為最新版本
針對 變更追蹤 和清查,機器會使用Log Analytics代理程式收集已安裝軟體、Windows 服務、Windows 登錄和檔案,以及受監視伺服器上 Linux 精靈變更的相關數據。 不久,Azure 將不再接受舊版 Windows Log Analytics (LA) 代理程式的聯機,也稱為 Windows Microsoft Monitoring Agent (MMA),該代理程式會使用較舊的方法來處理憑證。 建議您儘快將您的代理程序升級至最新版本。
版本 - 10.20.18053(套件組合)和 1.0.18053.0(擴充功能) 或更新版本的代理程式不會因應這項變更而受到影響。 如果您之前在代理程式上,您的代理程式將無法連線,而且 變更追蹤 和清查管線和下游活動可能會停止。 您可以在 LA 工作區的 HeartBeat 數據表中檢查目前的 LA 代理程式版本。
請確定依照這些 指導方針升級至最新版的 Windows Log Analytics 代理程式 (MMA)。
下一步
若要從自動化帳戶啟用,請參閱從自動化帳戶啟用 變更追蹤和清查。
若要從 Azure 入口網站 啟用,請參閱從 Azure 入口網站 啟用 變更追蹤和清查。
若要從 Runbook 啟用,請參閱從 Runbook 啟用 變更追蹤和清查。
若要從 Azure VM 啟用,請參閱從 Azure VM 啟用 變更追蹤和清查。