přehled Sledování změn a inventář

  • Článek

Upozornění

Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.

Důležité

Tento článek vás seznámí s Sledování změn a inventář ve službě Azure Automation. Tato funkce sleduje změny ve virtuálních počítačích hostovaných v Azure, v místním prostředí a dalších cloudových prostředích, které vám pomůžou určit provozní a environmentální problémy se softwarem spravovaným distribučním Správce balíčků. Položky sledované Sledování změn a inventář zahrnují:

  • Software pro Windows
  • Linux software (balíčky)
  • Soubory s Windows a Linuxem
  • Klíče registru Windows
  • Služby systému Windows
  • Démony Linuxu

Poznámka:

Pokud chcete sledovat změny vlastností Azure Resource Manageru, podívejte se na historii změn Azure Resource Graphu.

Sledování změn a inventář využívá Microsoft Defender for Cloud File Integrity Monitoring (FIM) k prozkoumání souborů operačního systému a aplikací a registru Windows. Zatímco FIM tyto entity monitoruje, Sledování změn a inventář nativně sleduje:

  • Změny softwaru
  • Služby systému Windows
  • Démony Linuxu

Povolení všech funkcí zahrnutých v Sledování změn a inventář může způsobit další poplatky. Než budete pokračovat, projděte si ceny služby Automation a ceny služby Azure Monitor.

Sledování změn a inventář předává data do protokolů služby Azure Monitor a tato shromážděná data se ukládají do pracovního prostoru služby Log Analytics. Funkce Monitorování integrity souborů (FIM) je dostupná jenom v případě, že je povolený Program Microsoft Defender pro servery . Další informace najdete v programu Microsoft Defender for Cloud Pricing . FIM nahraje data do stejného pracovního prostoru služby Log Analytics jako ten vytvořený pro ukládání dat z Sledování změn a inventář. Doporučujeme monitorovat propojený pracovní prostor služby Log Analytics, abyste měli přehled o vašem přesném využití. Další informace o analýze využití dat protokolů služby Azure Monitor najdete v tématu Analýza využití v pracovním prostoru služby Log Analytics.

Počítače připojené k pracovnímu prostoru Log Analytics používají agenta Log Analytics ke shromažďování dat o změnách nainstalovaného softwaru, služeb Windows, registru a souborů Systému Windows a démonů Linuxu na monitorovaných serverech. Pokud jsou data dostupná, agent je odešle do protokolů služby Azure Monitor ke zpracování. Protokoly Služby Azure Monitor používají logiku pro přijatá data, zaznamenává je a zpřístupňuje je k analýze.

Poznámka:

Sledování změn a inventář vyžaduje propojení pracovního prostoru služby Log Analytics s účtem Automation. Konečný seznam podporovaných oblastí najdete v tématu Mapování pracovních prostorů Azure. Mapování oblastí nemá vliv na schopnost spravovat virtuální počítače v samostatné oblasti od vašeho účtu Automation.

Jako poskytovatel služeb jste možná do služby Azure Lighthouse onboardovali tenanty několika zákazníků. Azure Lighthouse umožňuje provádět operace ve velkém měřítku napříč několika tenanty Microsoft Entra najednou, což usnadňuje úlohy správy, jako je Sledování změn a inventář efektivnější napříč těmito tenanty, za které zodpovídáte. Sledování změn a inventář může spravovat počítače ve více předplatných ve stejném tenantovi nebo napříč tenanty pomocí Delegovaná správa prostředků Azure

Aktuální omezení

Sledování změn a inventář nepodporuje nebo má následující omezení:

  • Rekurze pro sledování registru Windows
  • Síťové systémy souborů
  • Různé metody instalace
  • *.exe soubory uložené ve Windows
  • Sloupec Maximální velikost souboru a hodnoty se v aktuální implementaci nepoužívají.
  • Pokud sledujete změny souboru, je omezena na velikost souboru o velikosti 5 MB nebo méně.
  • Pokud se velikost souboru zobrazí >1,25 MB, pak fileContentChecksum je nesprávný z důvodu omezení paměti ve výpočtu kontrolního součtu.
  • Pokud se pokusíte shromáždit více než 2500 souborů v 30minutovém cyklu kolekce, může dojít ke snížení výkonu Sledování změn a inventář.
  • Pokud je síťový provoz vysoký, může zobrazení záznamů změn trvat až šest hodin.
  • Pokud upravíte konfiguraci, když se počítač nebo server vypne, může se stát, že se změní, které patří do předchozí konfigurace.
  • Shromažďování aktualizací oprav hotfix na počítačích s Windows Serverem 2016 Core RS3
  • Démoni Linuxu můžou zobrazit změněný stav, i když nedošlo k žádné změně. K tomuto problému dochází kvůli způsobu zápisu SvcRunLevels dat v tabulce ConfigurationChange služby Azure Monitor.

Omezení

Omezení, která platí pro Sledování změn a inventář, najdete v tématu Omezení služby Azure Automation.

Podporované operační systémy

Sledování změn a inventář se podporuje ve všech operačních systémech, které splňují požadavky agenta Log Analytics. Seznam verzí operačního systému Windows a Linux, které aktuálně podporuje agent Log Analytics, najdete v podporovaných operačních systémech .

Pokud chcete porozumět požadavkům klientů na tls 1.2 nebo vyšší, přečtěte si téma TLS pro Azure Automation.

Požadavek Pythonu

Sledování změn a inventář teď podporují Python 2 a Python 3. Pokud váš počítač používá distribuci, která neobsahuje některou z těchto verzí, musíte je ve výchozím nastavení nainstalovat. Následující ukázkové příkazy nainstalují Python 2 a Python 3 na různé distribuce.

Poznámka:

Pokud chcete používat agenta OMS kompatibilního s Pythonem 3, ujistěte se, že jste nejprve odinstalovali Python 2; jinak bude agent OMS ve výchozím nastavení s pythonem 2 dál běžet.

  • Red Hat, CentOS, Oracle:
   sudo yum install -y python2
  • Ubuntu, Debian:
   sudo apt-get update
   sudo apt-get install -y python2
  • SUSE:
   sudo zypper install -y python2

Poznámka:

Spustitelný soubor Pythonu 2 musí být aliasován pythonu.

Síťové požadavky

Podrobné informace o portech, adresách URL a dalších podrobnostech o síti požadovaných pro Sledování změn a inventář najdete v konfiguraci sítě Azure Automation.

Povolení řešení Change Tracking a Inventory

Sledování změn a inventář můžete povolit následujícími způsoby:

  • Z účtu Automation pro jeden nebo více počítačů Azure a počítačů mimo Azure.

  • Ručně pro počítače mimo Azure, včetně počítačů nebo serverů zaregistrovaných na serverech s podporou Azure Arc. U hybridních počítačů doporučujeme nainstalovat agenta Log Analytics pro Windows tak, že nejprve připojíte počítač k serverům s podporou Azure Arc a pak pomocí služby Azure Policy přiřadíte agenta Log Analytics k počítačům s Linuxem nebo Windows Azure Arc integrovanými zásadami. Pokud plánujete monitorovat také počítače s Azure Monitor pro virtuální počítače, použijte místo toho iniciativu Povolit Azure Monitor pro virtuální počítače.

  • Pro jeden virtuální počítač Azure ze stránky virtuálního počítače na webu Azure Portal. Tento scénář je k dispozici pro virtuální počítače s Linuxem a Windows.

  • Pro více virtuálních počítačů Azure jejich výběrem na stránce Virtuální počítače na webu Azure Portal.

Sledování změn souborů

Pro sledování změn v souborech ve Windows i Linuxu Sledování změn a inventář používá hodnoty hash MD5 souborů. Tato funkce pomocí hodnot hash zjistí, jestli byly provedeny změny od posledního inventáře. Pokud chcete sledovat soubory Linuxu, ujistěte se, že máte pro uživatele agenta OMS přístup pro čtení.

Sledování změn obsahu souboru

Sledování změn a inventář umožňuje zobrazit obsah souboru systému Windows nebo Linux. Pro každou změnu souboru Sledování změn a inventář ukládá obsah souboru do účtu Azure Storage. Když sledujete soubor, můžete jeho obsah zobrazit před nebo po změně. Obsah souboru se dá zobrazit buď přímo, nebo vedle sebe.

Zobrazení změn v souboru

Sledování klíčů registru

Sledování změn a inventář umožňuje monitorování změn klíčů registru Systému Windows. Monitorování umožňuje určit body rozšiřitelnosti, kde se může aktivovat kód a malware třetích stran. Následující tabulka uvádí předkonfigurované (ale nepovolené) klíče registru. Pokud chcete tyto klíče sledovat, musíte je povolit.

Klíč registru Účel
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Monitoruje skripty, které se spouští při spuštění.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Monitoruje skripty, které běží při vypnutí.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Monitoruje klíče načtené před přihlášením uživatele k účtu Systému Windows. Klíč se používá pro 32bitové aplikace běžící na 64bitových počítačích.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Monitoruje změny nastavení aplikace.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Monitoruje obslužné rutiny místní nabídky, které se připojují přímo k Průzkumníku Windows a obvykle běží v procesu pomocí explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Monitoruje obslužné rutiny háku kopírování, které se připojují přímo do Průzkumníka Windows a obvykle běží v procesu pomocí explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitoruje registraci obslužné rutiny překrytí ikon.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitoruje registraci obslužné rutiny překrytí ikon pro 32bitové aplikace spuštěné na 64bitových počítačích.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitory pro nové moduly plug-in pomocných objektů prohlížeče pro Internet Explorer. Používá se pro přístup k modelu DOM (Document Object Model) aktuální stránky a k řízení navigace.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitory pro nové moduly plug-in pomocných objektů prohlížeče pro Internet Explorer. Používá se pro přístup k modelu DOM (Document Object Model) aktuální stránky a k řízení navigace pro 32bitové aplikace spuštěné na 64bitových počítačích.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions Monitory pro nová rozšíření Internet Exploreru, například vlastní nabídky nástrojů a tlačítka vlastního panelu nástrojů.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Monitory pro nová rozšíření Internet Exploreru, jako jsou vlastní nabídky nástrojů a tlačítka vlastních panelů nástrojů pro 32bitové aplikace spuštěné na 64bitových počítačích.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitoruje 32bitové ovladače asociované s wavemapperem, wave1 a wave2, msacm.imaadpcm, .msadpcm, .msgsm610 a vidc. Podobá se části [ovladače] v souboru system.ini .
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitoruje 32bitové ovladače asociované s wavemapperem, wave1 a wave2, msacm.imaadpcm, .msadpcm, .msgsm610 a vidc pro 32bitové aplikace běžící na 64bitových počítačích. Podobá se části [ovladače] v souboru system.ini .
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Monitoruje seznam známých nebo běžně používaných systémových knihoven DLL. Monitorování brání uživatelům v zneužití slabých oprávnění adresářů aplikací vyřazením v trojských verzích systémových knihoven DLL.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Monitoruje seznam balíčků, které můžou přijímat oznámení událostí z winlogon.exe, interaktivní model podpory přihlášení pro Windows.

Podpora rekurze

Sledování změn a inventář podporuje rekurz, což umožňuje zadat zástupné cardy pro zjednodušení sledování napříč adresáři. Rekurze také poskytuje proměnné prostředí, které umožňují sledovat soubory napříč prostředími s názvy více nebo dynamických jednotek. Následující seznam obsahuje běžné informace, které byste měli vědět při konfiguraci rekurze:

  • Pro sledování více souborů se vyžadují zástupné cardy.

  • Zástupné znaky můžete použít pouze v posledním segmentu cesty k souboru, například c:\folder\file* nebo /etc/*.conf.

  • Pokud má proměnná prostředí neplatnou cestu, ověření proběhne úspěšně, ale cesta se během provádění nezdaří.

  • Při nastavování cesty byste se měli vyhnout obecným názvům cest, protože tento typ nastavení může způsobit procházení příliš velkého počtu složek.

Sledování změn a inventář shromažďování dat

Následující tabulka ukazuje frekvenci shromažďování dat pro typy změn podporovaných Sledování změn a inventář. Pro každý typ se také aktualizuje snímek dat aktuálního stavu alespoň každých 24 hodin.

Změnit typ Četnost
Registr Systému Windows 50 min
Soubor Windows 30 minut
Soubor s Linuxem 15 minut
Služby systému Windows Výchozí hodnota: 10 sekund až 30 minut
: 30 minut
Démony Linuxu 5 minut
Software pro Windows 30 minut
Software pro Linux 5 minut

Následující tabulka uvádí limity sledovaných položek na počítač pro Sledování změn a inventář.

Prostředek Omezení
Soubor 500
Registr 250
Software systému Windows (nezahrnuje opravy hotfix) 250
Linuxové balíčky 1250
Služby 250
Démonů 250

Průměrné využití dat Log Analytics pro počítač používající Sledování změn a inventář je přibližně 40 MB za měsíc v závislosti na vašem prostředí. Pomocí funkce Využití a odhadované náklady v pracovním prostoru služby Log Analytics můžete zobrazit data ingestována Sledování změn a inventář v grafu využití. Pomocí tohoto zobrazení dat můžete vyhodnotit využití dat a určit, jak ovlivní vaši fakturu. Přečtěte si informace o využití a odhadu nákladů.

Data služeb systému Windows

Výchozí frekvence shromažďování pro služby Windows je 30 minut. Frekvenci můžete nakonfigurovat pomocí posuvníku na kartě Služby systému Windows v části Upravit Nastavení.

Posuvník služeb systému Windows

Aby se optimalizoval výkon, agent Log Analytics sleduje pouze změny. Nastavení vysoké prahové hodnoty může vynechat změny, pokud se služba vrátí do původního stavu. Nastavením frekvence na menší hodnotu můžete zachytit změny, které by jinak mohly chybět.

U důležitých služeb doporučujeme označit stav spuštění jako automatický (zpožděný začátek), aby se po restartování virtuálního počítače spustilo shromažďování dat služeb po spuštění agenta MMA místo toho, aby se spustilo rychle po spuštění virtuálního počítače.

Poznámka:

I když agent může sledovat změny v intervalu 10 sekund, zobrazení dat na webu Azure Portal trvá několik minut. Změny, ke kterým dochází během doby zobrazení na portálu, se stále sledují a protokolují.

Podpora upozornění na stav konfigurace

Klíčovou funkcí Sledování změn a inventář je upozorňování na změny stavu konfigurace vašeho hybridního prostředí. K dispozici je mnoho užitečných akcí, které se dají aktivovat v reakci na výstrahy. Například akce ve službě Azure Functions, runbooky Automation, webhooky a podobné akce. Upozorňování na změny souboru c:\windows\system32\drivers\etc\hosts pro počítač je jednou z vhodných aplikací výstrah pro Sledování změn a inventář data. Existuje mnoho dalších scénářů pro upozorňování, včetně scénářů dotazů definovaných v další tabulce.

Dotaz Popis
ConfigurationChange
| where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\"		 Užitečné pro sledování změn v systémově důležitých souborech.
ConfigurationChange
| where FieldsChanged obsahuje "FileContentChecksum" a FileSystemPath == "c:\windows\system32\drivers\etc\hosts"		 Užitečné pro sledování změn klíčových konfiguračních souborů.
ConfigurationChange
| where ConfigChangeType == "WindowsServices" a SvcName obsahuje "w3svc" a SvcState == "Zastaveno"		 Užitečné pro sledování změn systémově důležitých služeb.
ConfigurationChange
| where ConfigChangeType == "Daemons" a SvcName obsahuje "ssh" a SvcState!= "Running"		 Užitečné pro sledování změn systémově důležitých služeb.
ConfigurationChange
| where ConfigChangeType == "Software" a ChangeCategory == "Added"		 Užitečné pro prostředí, která potřebují uzamčené konfigurace softwaru.
ConfigurationData
| where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"		 Užitečné pro zjištění, které počítače mají nainstalovanou zastaralou nebo nekompatibilní verzi softwaru. Tento dotaz hlásí poslední hlášený stav konfigurace, ale nehlásí změny.
ConfigurationChange
| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"		 Užitečné pro sledování změn zásadních antivirových klíčů.
ConfigurationChange
| where RegistryKey contains @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"		 Užitečné pro sledování změn nastavení brány firewall.

Aktualizace agenta Log Analytics na nejnovější verzi

V případě řešení Change Tracking & Inventory používají počítače agenta Log Analytics ke shromažďování dat o změnách nainstalovaného softwaru, služeb Windows, registru a souborů systému Windows a démonů Linuxu na monitorovaných serverech. Brzy Už Azure nebude přijímat připojení ze starších verzí agenta Windows Log Analytics (LA), označovaného také jako Agent microsoft Microsoft Monitoring Agent (MMA), který používá starší metodu pro zpracování certifikátů. Doporučujeme, abyste agenta co nejdříve upgradovali na nejnovější verzi.

Agenti, kteří jsou ve verzi – 10.20.18053 (bundle) a 1.0.18053.0 (rozšíření) nebo novější, nejsou v reakci na tuto změnu ovlivněni. Pokud jste předtím na agentovi, váš agent se nebude moct připojit a aktivity kanálu Change Tracking a Inventory se můžou zastavit. Aktuální verzi agenta LA můžete zkontrolovat v tabulce Prezenčních signálů v pracovním prostoru LA.

Podle těchto pokynů se ujistěte, že upgradujete na nejnovější verzi agenta Windows Log Analytics (MMA).

Další kroky