نظرة عامة على تعقب التغييرات والمخزون باستخدام عامل مراقبة Azure

ينطبق على: ✔️ Windows VMs ✔️ Linux VMs ✔️ Windows Registry ✔️ Windows Files ✔️ Linux Files ✔️ Windows Software ✔️ Windows Services وLinux Daemons

هام

• حاليا، يستخدم تعقب التغيير والمخزون عامل Log Analytics ومن المقرر إيقاف هذا بحلول 31.أغسطس.2024. نوصي باستخدام عامل مراقبة Azure كعامل دعم جديد.
• ستتوفر إرشادات حول الترحيل من تعقب التغيير والمخزون باستخدام عامل Log Analytics إلى عامل مراقبة Azure بمجرد توفره بشكل عام. اعرف المزيد.
• نوصي باستخدام Change Tracking مع Azure Monitoring Agent مع إصدار ملحق تعقب التغيير 2.20.0.0 (أو أعلى) للوصول إلى إصدار GA من هذه الخدمة.

توضح هذه المقالة أحدث إصدار من دعم تعقب التغييرات باستخدام عامل مراقبة Azure كعامل مفرد لجمع البيانات.

إشعار

سيتم إهمال إصدار GA الحالي من File Integrity Monitoring استنادا إلى عامل Log Analytics في أغسطس 2024، وسيتم توفير إصدار جديد عبر MDE قريبا.  سيتم إهمال FIM Public Preview استنادا إلى عامل Azure Monitor (AMA)، عند توفير البديل عبر MDE. ومن ثم، لم يتم التخطيط لإصدار FIM مع AMA Public Preview ل GA. اقرأ الإعلان هنا.

المزايا الرئيسية

• التوافق مع عامل المراقبة الموحد - متوافق مع عامل Azure Monitor الذي يعزز الأمان والموثوقية ويسهل تجربة متعددة التوجيه لتخزين البيانات.
• التوافق مع أداة التعقب - متوافق مع ملحق تتبع التغييرات (CT) المنشور من خلال سياسة Azure على الجهاز الظاهري للعميل. يمكنك التبديل إلى عامل Azure Monitor (AMA)، ثم يدفع ملحق CT البرنامج والملفات والتسجيل إلى AMA.
• تجربة نظام التوجيه المتعدد - توفر توحيد الإدارة من مساحة عمل مركزية واحدة. يمكنك الانتقال من Log Analytics (LA) إلى AMA بحيث تشير جميع الأجهزة الظاهرية إلى مساحة عمل واحدة لجمع البيانات وصيانتها.
• إدارة القواعد - تستخدم قواعد جمع البيانات لتكوين أو تخصيص جوانب مختلفة من جمع البيانات. على سبيل المثال، يمكنك تغيير تكرار مجموعة الملفات.

القيود الحالية

لا يدعم Change Tracking and Inventory باستخدام Azure Monitoring Agent القيود التالية أو لديه:

• تكرار تعقب التسجيل Windows
• أنظمة ملفات الشبكة
• طرق تثبيت مختلفة
• *.exe الملفات المخزنة على Windows
• العمود Max File Size والقيم غير مستخدمة في التنفيذ الحالي.
• إذا كنت تتبع التغييرات في الملف، فتقتصر على حجم ملف 5 ميغابايت أو أقل.
• إذا ظهر >حجم الملف 1.25 ميغابايت، فإن FileContentChecksum غير صحيح بسبب قيود الذاكرة في حساب المجموع الاختباري.
• إذا حاولت تجميع أكثر من 2500 ملف في دورة جمع مدتها 30 دقيقة، قد ينخفض أداء Change Tracking and Inventory.
• إذا كانت حركة المرور على الشبكة عالية، فمن الممكن أن يستغرق عرض سجلات التغييرات ست ساعات.
• إذا قمت بإجراء تعديل على تكوين أثناء إغلاق جهاز أو خادم، فمن الممكن أن ترسل التغييرات المتعلقة بالتكوين السابق.
• تجميع تحديثات الإصلاح العاجل على أجهزة Windows Server 2016 Core RS3.
• قد تُظهر برامج Linux الخفية حالة تغيير على الرغم من عدم حدوث أي تغيير. تنشأ هذه المشكلة بسبب كيفية SvcRunLevels كتابة البيانات في جدول Azure Monitor ConfigurationChange .
• لا يدعم ملحق Change Tracking أي معايير تقوية لأي أنظمة تشغيل Linux أو Distros.

الحدود

يعرض الجدول التالي حدود العناصر المتعقبة لكل جهاز لتعقب التغييرات والمخزون.

المورد	حد	ملاحظات
الملف	500
حجم الملف	5 ميجابايت
السجل	250
برامج Windows	250	لا يتضمن تحديثات البرامج.
حزم Linux	1,250
خدمات Windows	250
برامج Linux الخفية	250

أنظمة التشغيل المدعومة

يتم دعم Change Tracking and Inventory على جميع أنظمة التشغيل التي تفي بمتطلبات عامل Azure Monitor. راجع أنظمة التشغيل المدعومة للحصول على قائمة بإصدارات نظام التشغيل Windows وLinux المدعومة حاليا من قبل عامل Azure Monitor.

لفهم متطلبات العميل ل TLS، راجع TLS ل Azure Automation.

تمكين Change Tracking and Inventory

يمكنك تمكين ميزة Change Tracking and Inventory بالطرق التالية:

• يدويا للأجهزة التي لا تدعم Azure Arc، راجع المبادرة تمكين تعقب التغيير والمخزون للأجهزة الظاهرية التي تدعم Arc في > تعريفات النهج > حدد الفئة = ChangeTrackingAndInventory. لتمكين Change Tracking and Inventory على نطاق واسع، استخدم الحل المستند إلى نهج DINE. لمزيد من المعلومات، راجع تمكين تعقب التغييرات والمخزون باستخدام عامل مراقبة Azure (معاينة).

• لجهاز Azure ظاهري واحد من صفحة الجهاز الظاهري في مدخل Microsoft Azure. يتوفر هذا السيناريو للأجهزة الظاهرية لـ Linux وWindows.

• بالنسبة إلى أجهزة Azure الظاهرية المتعددة عن طريق تحديدها من صفحة الأجهزة الظاهرية في مدخل Microsoft Azure.

تعقب تغييرات الملف

لتعقب التغييرات في الملفات على كل من Windows وLinux، يستخدم Change Tracking and Inventory تجزئات SHA256 للملفات. تستخدم الميزة هذه التجزئة للكشف عما إذا تم إجراء تغييرات منذ آخر مخزون.

تعقب التغييرات في محتوى الملف

تسمح لك Change Tracking and Inventory بعرض محتويات ملفات Windows أو Linux. لكل تغيير في ملف، يخزن Change Tracking and Inventory محتويات الملف في حساب Azure Storage. عندما تقوم بتتبع ملف، يمكنك عرض محتوياته قبل حدوث تغيير أو بعده. يمكن عرض محتوى الملف إما مضمنًا وإما جنبًا إلى جنبٍ. اعرف المزيد.

تعقب مفاتيح التسجيل

تسمح ميزة Change Tracking and Inventory بمراقبة التغييرات في مفاتيح التسجيل Windows. تسمح لك المراقبة بتحديد نقاط القابلية للتوسعة حيث يمكن أن تنشط التعليمات البرمجية والبرامج الضارة لجهة خارجية. يسرد الجدول التالي مفاتيح التسجيل المكونة مسبقا (ولكن غير ممكنة). لتعقب هذه المفاتيح، يجب تمكين كل مفتاح.

مفتاح التسجيل	الغرض
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup	مراقبة البرامج النصية التي يتم تشغيلها عند بدء التشغيل.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown	مراقبة البرامج النصية التي تعمل عند إيقاف التشغيل.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run	مراقبة المفاتيح التي يتم تحميلها قبل تسجيل دخول المستخدم إلى حساب Windows. يُستخدم المفتاح لتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components	مراقبة التغييرات في إعدادات التطبيق.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers	يراقب معالجات قائمة السياق التي ترتبط مباشرة بمستكشف Windows ويتم تشغيلها عادة أثناء المعالجة باستخدام explorer.exe.
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers	يراقب نسخ معالجات الوصل التي ترتبط مباشرة بمستكشف Windows وعادة ما يتم تشغيلها أثناء المعالجة باستخدام explorer.exe.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers	مراقبة تسجيل معالج تراكب الرموز.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers	مراقبة تسجيل معالج تراكب رمز للتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	مراقبة المكونات الإضافية الجديدة لعنصر مساعد المستعرض Internet Explorer. يُستخدم للوصول إلى نموذج عنصر المستند (DOM) للصفحة الحالية والتحكم في التنقل.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects	مراقبة المكونات الإضافية الجديدة لعنصر مساعد المستعرض Internet Explorer. يُستخدم للوصول إلى نموذج عنصر المستند (DOM) من الصفحة الحالية والتحكم في التنقل للتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت.
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions	مراقبة ملحقات Internet Explorer الجديدة، مثل قوائم الأدوات المخصصة وأزرار شريط الأدوات المخصصة.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions	مراقبة ملحقات Internet Explorer الجديدة، مثل قوائم الأدوات المخصصة وأزرار شريط الأدوات المخصصة لتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32	مراقبة برامج التشغيل 32 بت المرتبطة بـ wavemapper وwave1 وwave2 وmsacm.imaadpcm و.msadpcm و.msgsm610 وvidc. مشابه لقسم [برامج التشغيل] في ملف system.ini .
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32	مراقبة برامج التشغيل 32 بت المرتبطة بـ wavemapper وwave1 وwave2 msacm.imaadpcm و.msadpcm و.msgsm610 وvidc لتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت. مشابه لقسم [برامج التشغيل] في ملف system.ini .
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls	مراقبة قائمة النظام المعروف أو شائعة الاستخدام DLLs. تؤدي المراقبة إلى منع الناس من استغلال الأذونات الضعيفة لدليل التطبيق عن طريق إسقاط إصدارات حصان طروادة من نظام DLLs.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	يراقب قائمة الحزم التي يمكن أن تتلقى إعلامات الأحداث من winlogon.exe، نموذج دعم تسجيل الدخول التفاعلي لنظام التشغيل Windows.

دعم الإعادة

تدعم ميزة Change Tracking and Inventory عملية الإعادة، التي تسمح لك بتحديد أحرف البدل لتبسيط التتبع عبر الدلائل. توفر الإعادة أيضًا متغيرات البيئة للسماح لك بتعقب الملفات عبر بيئات ذات أسماء محركات أقراص متعددة أو حيوية. تتضمن القائمة التالية معلومات عامة يجب أن تعرفها عند تكوين الإعادة:

• يجب توفير Wildcards لتتبع عدة ملفات.

• يمكنك استخدام أحرف البدل فقط في الجزء الأخير من مسار الملف، على سبيل المثال، c:\folder\file* أو /etc/*.conf.

• إذا كان لمتغير بيئة مسار غير صالح، ينجح التحقق من الصحة بينما لا ينجح المسار أثناء التنفيذ.

• يجب تجنب أسماء المسارات العامة عند تعيين المسار، حيث يمكن أن يتسبب هذا النوع من الإعداد في اجتياز عدد كبير جدًّا من المجلدات.

تغيير جمع بيانات Change Tracking and Inventory

يعرض الجدول التالي تكرار جمع البيانات لأنواع التغييرات التي يدعمها Change Tracking and Inventory. لكل نوع، يتم تحديث لقطة البيانات من الحالة الحالية كل 24 ساعة على الأقل.

تغيير النوع	التردد
Windows registry	50 دقيقة
Windows file	من 30 إلى 40 دقيقة
ملف Linux	15 دقيقة
خدمات Windows	10 دقائق إلى 30 دقيقة افتراضي: 30 دقيقة
برامج Windows	30 دقيقة
برنامج Linux	5 دقائق
برامج Linux الخفية	5 دقائق

يعرض الجدول التالي حدود الصنف المتعقب لكل جهاز لـ Change Tracking and Inventory.

المورد	حد
الملف	500
السجل	250
برامج Windows (لا تتضمن الإصلاحات العاجلة)	250
حزم Linux	1250
خدمات Windows	250
برامج Linux الخفية	500

بيانات خدمات Windows

المتطلبات الأساسية

لتمكين تعقب بيانات Windows Services، يجب ترقية ملحق CT واستخدام ملحق أكثر من أو يساوي 2.11.0.0

لأجهزة Windows Azure الظاهرية

- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true

بالنسبة لأجهزة Linux Azure الظاهرية

– az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Linux --enable-auto-upgrade true

لأجهزة Windows الظاهرية التي تدعم Arc

– az connectedmachine extension create --name ChangeTracking-Windows --publisher Microsoft.Azure.ChangeTrackingAndInventory --type ChangeTracking-Windows --machine-name <arc-server-name> --resource-group <resource-group-name> --location <arc-server-location> --enable-auto-upgrade true

لأجهزة Linux الظاهرية الممكنة بواسطة Arc

- az connectedmachine extension create --name ChangeTracking-Linux --publisher Microsoft.Azure.ChangeTrackingAndInventory --type ChangeTracking-Linux --machine-name <arc-server-name> --resource-group <resource-group-name> --location <arc-server-location> --enable-auto-upgrade true

تكوين التردد

تردد التحصيل الافتراضي لخدمات Windows هو 30 دقيقة. لتكوين التردد،

• ضمن تحرير الإعدادات، استخدم شريط تمرير على علامة التبويب خدمات Windows.

دعم التنبيهات في حالة التكوين

تؤدي قدرة رئيسية لـ Change Tracking and Inventory إلى التنبيه بالتغييرات التي تحدث في حالة التكوين للبيئة المختلطة الخاصة بك. تتوفر العديد من الإجراءات المفيدة لتشغيل استجابةٍ للتنبيهات. على سبيل المثال، الإجراءات على وظائف Azure وكتب تشغيل Automation والإشعارات على الويب وما إلى ذلك. يعد التنبيه بشأن التغييرات في ملف c:\windows\system32\drivers\etc\hosts لجهاز ما أحد التطبيقات الجيدة للتنبيهات لبيانات تعقب التغييرات والمخزون. هناك العديد من السيناريوهات الخاصة بالتنبيه أيضًا، بما في ذلك سيناريوهات الاستعلام المحددة في الجدول التالي.

الاستعلام	‏‏الوصف
تغيير التكوين | حيث يحتوي ConfigChangeType == "Files" وFileSystemPath على " c:\windows\system32\drivers\"	مفيد لتعقب التغييرات على الملفات الهامة للنظام.
تغيير التكوين | حيث يحتوي FieldsChanged على "FileContentChecksum" وFilySystemPath == "c:\windows\system32\drivers\etc\hosts"	مفيد لتعقب التعديلات على ملفات التكوين الرئيسية.
تغيير التكوين | حيث يحتوي ConfigChangeType == "WindowsServices" وSvcName على "w3svc" وSvcState == "متوقف"	مفيد لتتبع التغييرات في الخدمات الحيوية للنظام.
تغيير التكوين | حيث يحتوي ConfigChangeType == "Daemons" وSvcName على "ssh" وSvcState!= "Running"	مفيد لتتبع التغييرات في الخدمات الحيوية للنظام.
تغيير التكوين | حيث ConfigChangeType == "Software" و ChangeCategory == "added"	مفيد للبيئات التي تحتاج إلى تكوينات برامج مؤمنة.
بيانات التكوين | حيث يحتوي SoftwareName على "عامل المراقبة" و CurrentVersion!= "8.0.11081.0"	مفيدة لرؤية الأجهزة التي لديها إصدار البرامج القديمة أو غير المتوافقة المثبتة. يقوم هذا الاستعلام بالإبلاغ عن حالة التكوين الأخيرة التي تم الإبلاغ عنها، ولكنه لا يبلغ عن التغييرات.
تغيير التكوين | حيث RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"	مفيدة لتتبع التغييرات في مفاتيح مكافحة الفيروسات الحاسمة.
تغيير التكوين | حيث يحتوي RegistryKey على @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"	مفيدة لتعقب التغييرات في إعدادات جدار الحماية.

الخطوات التالية

• للتمكين من مدخل Microsoft Azure، راجع تمكين Change Tracking and Inventory من مدخل Microsoft Azure.