Přehled Change Tracking a inventáře

Tento článek vás seznámí s Change Tracking a inventarizací v Azure Automation. Tato funkce sleduje změny virtuálních počítačů hostovaných v Azure, místním prostředí a dalších cloudových prostředích, které vám pomůžou identifikovat problémy v provozu a v životním prostředí pomocí softwaru spravovaného správcem distribuce balíčků. Položky, které jsou sledovány pomocí Change Tracking a inventáře, zahrnují:

  • Software systému Windows
  • Software pro Linux (balíčky)
  • Soubory Windows a Linux
  • Klíče registru Windows
  • Služby společnosti Microsoft
  • Procesy démon systému Linux

Poznámka

Pokud chcete sledovat změny vlastností Azure Resource Manager, přečtěte si téma historie změngrafu prostředků Azure.

Change Tracking a inventář využívá Azure Security Center sledování integrity souborů (FIM) k prohlédnutí souborů operačního systému a aplikací a registru systému Windows. I když FIM monitoruje tyto entity, Change Tracking a inventář nativně sleduje:

  • Změny softwaru
  • Služby společnosti Microsoft
  • Procesy démon systému Linux

Povolení všech funkcí, které jsou součástí Change Tracking a inventáře, může způsobit další poplatky. Než budete pokračovat, přečtěte si téma ceny služby Automation a ceny Azure monitor.

Sledování změn a inventář předává data do Azure Monitor protokolů a shromážděná data se ukládají v pracovním prostoru služby Log Analytics. Funkce monitorování integrity souborů (FIM) je dostupná jenom v případě, Azure Defender pro servery povolená. Další Azure Security Center v tématu Ceny služby . FIM nahrává data do stejného pracovního prostoru služby Log Analytics jako ten, který byl vytvořen k ukládání dat Sledování změn a inventář. Doporučujeme monitorovat propojený pracovní prostor služby Log Analytics, abyste měli přehled o přesném využití. Další informace o analýze využití dat Azure Monitor protokolů najdete v tématu Správa využití a nákladů.

Počítače připojené k pracovnímu prostoru služby Log Analytics používají agenta Log Analytics ke shromažďování dat o změnách nainstalovaného softwaru, služby Microsoft, registru a souborů Windows a linuxových démonů na monitorovaných serverech. Jakmile jsou data k dispozici, agent je odešle do Azure Monitor protokolů ke zpracování. Azure Monitor protokoly aplikují logiku na přijatá data, zachytá je a z dostupných pro analýzu.

Poznámka

Sledování změn a inventář propojení pracovního prostoru služby Log Analytics s vaším účtem Automation. Konečný seznam podporovaných oblastí najdete v tématu Mapování pracovních prostorů Azure. Mapování oblastí neovlivňuje schopnost spravovat virtuální počítače v samostatné oblasti od vašeho účtu Automation.

Jako poskytovatel služeb jste možná nasedli do několika tenantů zákazníků, aby Azure Lighthouse. Azure Lighthouse umožňuje provádět operace ve velkém měřítku napříč několika tenanty služby Azure Active Directory (Azure AD) najednou Sledování změn a inventář díky tomu jsou úlohy správy, jako je například , efektivnější v rámci tenantů, za které zodpovídáte. Sledování změn a inventář spravovat počítače ve více předplatných ve stejném tenantovi nebo mezi tenanty pomocí delegované správy prostředků Azure.

Aktuální omezení

Sledování změn a inventář nepodporuje nebo má následující omezení:

  • Rekurze pro sledování registru Systému Windows
  • Síťové systémy souborů
  • Různé metody instalace
  • *soubory . exe uložené ve Windows
  • Sloupec maximální velikost souboru a hodnoty jsou v aktuální implementaci nepoužitelné.
  • Pokud sledujete změny souborů, je omezena na velikost souboru o 5 MB nebo méně.
  • Pokud se pokusíte shromáždit více než 2500 souborů v cyklu shromažďování, Change Tracking a výkon inventáře může být snížený.
  • Pokud je síťový provoz vysoký, může zobrazení změn záznamů trvat až šest hodin.
  • Pokud konfiguraci upravíte v době, kdy je počítač nebo server vypnutý, může dojít k odeslání změn, které patří do předchozí konfigurace.
  • Shromažďování aktualizací hotfix na počítačích s Windows serverem 2016 Core RS3.
  • Procesy démon systému Linux mohou zobrazovat změněný stav, i když nedošlo k žádné změně. K tomuto problému dochází kvůli způsobu, jakým SvcRunLevels jsou data v tabulce Azure monitor ConfigurationChange zapsána.

Omezení

Omezení, která platí pro Change Tracking a inventář, najdete v tématu omezení služby Azure Automation.

Podporované operační systémy

Change Tracking a inventář se podporují ve všech operačních systémech, které splňují požadavky agenta Log Analytics. Seznam verzí operačních systémů Windows a Linux, které jsou aktuálně podporované agentem Log Analytics, najdete v části podporované operační systémy .

Informace o požadavcích klienta na TLS 1,2 najdete v tématu vynucení TLS 1,2 pro Azure Automation.

Požadavek Pythonu

Change Tracking a inventář podporuje jenom Python2. Pokud Váš počítač používá distribuce, který ve výchozím nastavení neobsahuje Python 2, musíte ho nainstalovat. Následující vzorové příkazy instalují Python 2 v různých distribuce.

  • Red Hat, CentOS, Oracle: yum install -y python2
  • Ubuntu, Debian: apt-get install -y python2
  • Suse: zypper install -y python2

Spustitelný soubor python2 musí mít alias pythonu.

Požadavky sítě

V Azure Automation konfigurace sítě najdete podrobné informace o portech, adresách URL a dalších síťových podrobnostech požadovaných pro Sledování změn a inventář.

Povolení řešení Change Tracking a Inventory

Můžete je Sledování změn a inventář následujícími způsoby:

Sledování změn souborů

Pro sledování změn v souborech ve Windows i Linuxu Sledování změn a inventář používá hash MD5 souborů. Tato funkce pomocí těchto hash zjišťuje, jestli se od posledního inventáře provedly změny.

Sledování změn obsahu souboru

Sledování změn a inventář umožňuje zobrazit obsah souboru s Windows nebo Linuxem. Při každé změně souboru Sledování změn a inventář uloží obsah souboru do účtu Azure Storage . Při sledování souboru můžete jeho obsah zobrazit před změnou nebo po jejím provedení. Obsah souboru je možné zobrazit buď přímo, nebo vedle sebe.

Zobrazení změn v souboru

Sledování klíčů registru

Change Tracking a inventář umožňuje sledovat změny klíčů registru Windows. Monitorování vám umožní určit body rozšiřitelnosti, které mohou aktivovat kód a malware třetí strany. V následující tabulce jsou uvedeny předem nakonfigurované klíče registru (ale ne povolené). Chcete-li sledovat tyto klíče, je nutné povolit každou z nich.

Klíč registru Účel
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Monitoruje skripty spouštěné při spuštění.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Monitoruje skripty, které se spouštějí při vypnutí.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Sleduje klíče, které jsou načteny před přihlášením uživatele k účtu systému Windows. Klíč se používá pro 32 aplikace běžící na 64 počítačích.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Monitoruje změny nastavení aplikace.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Monitoruje obslužné rutiny místní nabídky, které se připojovat přímo do Průzkumníka Windows, a obvykle spouštějí v procesu explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Monitoruje obslužné rutiny kopírovacího zavěšení, které se připojovat přímo do Průzkumníka Windows, a obvykle spouštějí v procesu explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitory pro registraci obslužné rutiny překrytí ikon
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitory pro registraci obslužné rutiny překrytí ikon pro 32 aplikace běžící na 64 počítačích.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitory pro nové objekty pomocníka pro prohlížeč pro Internet Explorer. Slouží k přístupu k model DOM (Document Object Model) (DOM) aktuální stránky a k ovládání navigace.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitory pro nové objekty pomocníka pro prohlížeč pro Internet Explorer. Slouží k přístupu k model DOM (Document Object Model) (DOM) aktuální stránky a k řízení navigace pro 32 aplikace běžící na 64 počítačích.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions Sleduje nové rozšíření aplikace Internet Explorer, například nabídky vlastních nástrojů a vlastní tlačítka panelu nástrojů.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Sleduje nové rozšíření aplikace Internet Explorer, například nabídky vlastních nástrojů a vlastní tlačítka panelu nástrojů pro 32 aplikace běžící na 64 počítačích.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitoruje 32bitové ovladače přidružené k wavemapperu, wave1 a wave2, msacm.imaadpcm, .msadpcm, .msgsm610 a vidc. Podobně jako v části [drivers] v system.ini souboru.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitoruje 32bitové ovladače přidružené ke wavemapperu, wave1 a wave2, msacm.imaadpcm, .msadpcm, .msgsm610 a vidc pro 32bitové aplikace běžící na 64bitových počítačích. Podobně jako v části [drivers] v system.ini souboru.
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Monitoruje seznam známých nebo běžně používaných systémových knihoven DLL. Monitorování brání uživatelům ve zneužití slabých oprávnění adresáře aplikace tím, že v systémových knihovnách DLL vyhodí trojské koně.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Monitoruje seznam balíčků, které mohou přijímat oznámení o událostech zwinlogon.exe, modelu podpory interaktivního přihlášení pro Windows.

Podpora rekurze

Sledování změn a inventář podporuje rekurzi, která umožňuje zadat zástupné znaky pro zjednodušení sledování napříč adresáři. Rekurze také poskytuje proměnné prostředí, které umožňují sledovat soubory napříč prostředími s více názvy nebo dynamickými názvy jednotky. Následující seznam obsahuje běžné informace, které byste měli znát při konfiguraci rekurze:

  • Pro sledování více souborů se vyžaduje zástupné znaky.

  • Zástupné znaky můžete použít pouze v posledním segmentu cesty k souboru, například c:\folder \ file _ nebo _ /etc/.conf**.

  • Pokud má proměnná prostředí neplatnou cestu, ověření proběhne úspěšně, ale cesta během provádění selže.

  • Při nastavování cesty byste se měli vyhnout obecným názvům cest, protože tento typ nastavení může způsobit, že se prochádí příliš mnoho složek.

Sledování změn a inventář shromažďování dat

Následující tabulka uvádí četnost shromažďování dat pro typy změn, které podporuje Sledování změn a inventář. Pro každý typ se nejméně každých 24 hodin aktualizuje také snímek dat aktuálního stavu.

Změnit typ Frekvence
Registr Systému Windows 50 minut
Soubor Windows 30 minut
Soubor Linux 15 minut
Služby společnosti Microsoft 10 sekund až 30 minut
Výchozí: 30 minut
Procesy démon systému Linux 5 minut
Software systému Windows 30 minut
Software pro Linux 5 minut

V následující tabulce jsou uvedené limity sledovaných položek na počítač pro Change Tracking a inventář.

Prostředek Omezení
Soubor 500
Registr 250
Software Windows (nezahrnuje opravy hotfix) 250
Balíčky Linux 1250
Služby 250
Procesy démon 250

Průměrné využití dat Log Analytics počítači pomocí Change Tracking a inventáře je přibližně 40 MB za měsíc v závislosti na vašem prostředí. Díky funkci využití a odhad nákladů v pracovním prostoru Log Analytics můžete zobrazit data ingestovaná pomocí Change Tracking a inventáře v grafu využití. Toto zobrazení dat slouží k vyhodnocení využití vašich dat a určení toho, jak má na faktuře vliv. Podívejte se na informace o využití a odhadované náklady.

Data služby společnosti Microsoft

Výchozí četnost shromažďování pro služby společnosti Microsoft je 30 minut. Frekvenci můžete nakonfigurovat pomocí posuvníku na kartě služby společnosti Microsoft v části Upravit nastavení.

Posuvník služeb Microsoftu

Za účelem optimalizace výkonu agent Log Analytics sleduje pouze změny. Pokud se služba vrátí do původního stavu, může nastavení vysoké prahové hodnoty promeškat změny. Nastavení frekvence na menší hodnotu umožňuje zachytit změny, které by jinak mohly být vynechány.

Poznámka

I když agent může sledovat změny v 10sekunových intervalech, zobrazení dat ve 10sekunových intervalech trvá několik Azure Portal. Změny, ke kterým došlo během doby zobrazení na portálu, se budou i nadále sledovat a protokolovat.

Podpora upozornění na stav konfigurace

Klíčovou funkcí Sledování změn a inventář je upozornění na změny stavu konfigurace hybridního prostředí. V reakci na výstrahy je k dispozici mnoho užitečných akcí, které je možné aktivovat. Například akce s funkcemi Azure, runbooky Automation, webhooky atd. Upozornění na změny souboru c:\windows\system32\drivers\etc\hosts pro počítač je jednou z dobrých aplikací výstrah pro Sledování změn a inventář data. Existuje také mnoho dalších scénářů pro upozornění, včetně scénářů dotazů definovaných v další tabulce.

Dotaz Description
Změna konfigurace
|, kde ConfigChangeType == "Files" a FileSystemPath obsahují " c: \ windows \ system32 \ drivers \ "
Užitečné pro sledování změn souborů kritických pro systém.
Změna konfigurace
|, kde FieldsChanged obsahuje "FileContentChecksum" a FileSystemPath == "c: \ windows \ system32 \ drivers etc \ \ hosts"
Užitečné pro sledování úprav konfiguračních souborů klíčů.
Změna konfigurace
|, kde ConfigChangeType == "WindowsServices" a SvcName obsahují "w3svc" a SvcState == "Stopped"
Užitečné pro sledování změn důležitých systémových služeb.
ConfigurationChange
|, kde ConfigChangeType = = "démoni" a SvcName obsahuje "SSH" a SvcState! = "Running"
Hodí se ke sledování změn pro důležité systémové služby.
ConfigurationChange
| WHERE ConfigChangeType = = "software" a ChangeCategory = = "přidáno"
Užitečné pro prostředí, která potřebují uzamčené softwarové konfigurace.
ConfigurationData
|, kde software obsahuje "agent monitorování" a CurrentVersion! = "8.0.11081.0"
Užitečné pro zobrazení, které počítače mají nainstalovanou zastaralou nebo nekompatibilní verzi softwaru. Tento dotaz oznamuje poslední nahlášený stav konfigurace, ale neoznamuje změny.
ConfigurationChange
| WHERE RegistryKey = = @ "HKEY_LOCAL_MACHINE \ software \ Microsoft \ Windows \ CurrentVersion \ QualityCompat"
Hodí se ke sledování změn v důležitých antivirových klíčích.
ConfigurationChange
|, kde RegistryKey obsahuje @ "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy"
Hodí se ke sledování změn nastavení brány firewall.

Další kroky