változáskövetés és leltározás áttekintése

  • Cikk

Figyelemfelhívás

Ez a cikk a CentOS-ra, egy olyan Linux-disztribúcióra hivatkozik, amely közel áll az élettartam (EOL) állapotához. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.

Fontos

Ez a cikk bemutatja, hogyan változáskövetés és leltározás az Azure Automationben. Ez a funkció nyomon követi az Azure-ban, a helyszínen és más felhőkörnyezetekben üzemeltetett virtuális gépek változásait, hogy könnyebben megállapíthassa a terjesztési Csomagkezelő által felügyelt szoftverekkel kapcsolatos üzemeltetési és környezeti problémákat. Az változáskövetés és leltározás által nyomon követett elemek a következők:

  • Windows-szoftver
  • Linux-szoftver (csomagok)
  • Windows- és Linux-fájlok
  • Windows beállításkulcsok
  • Windows-szolgáltatások
  • Linux démonok

Feljegyzés

Az Azure Resource Manager-tulajdonságok változásainak nyomon követéséhez tekintse meg az Azure Resource Graph változási előzményeit.

változáskövetés és leltározás Felhőhöz készült Microsoft Defender fájlintegritási monitorozást (FIM) használ az operációs rendszer- és alkalmazásfájlok, valamint a Windows Registry vizsgálatához. Bár a FIM figyeli ezeket az entitásokat, natív módon változáskövetés és leltározás nyomon követni:

  • Szoftvermódosítások
  • Windows-szolgáltatások
  • Linux démonok

A változáskövetés és leltározás minden funkció engedélyezése további díjakat okozhat. A folytatás előtt tekintse át az Automation díjszabását és az Azure Monitor díjszabását.

változáskövetés és leltározás továbbítja az adatokat az Azure Monitor-naplóknak, és az összegyűjtött adatokat egy Log Analytics-munkaterület tárolja. A fájlintegritási monitorozás (FIM) funkció csak akkor érhető el, ha engedélyezve van a Kiszolgálókhoz készült Microsoft Defender. További információért tekintse meg Felhőhöz készült Microsoft Defender díjszabását. A FIM ugyanarra a Log Analytics-munkaterületre tölt fel adatokat, mint amelyet a változáskövetés és leltározás adatainak tárolására hoztak létre. Javasoljuk, hogy figyelje a csatolt Log Analytics-munkaterületet a pontos használat nyomon követése érdekében. Az Azure Monitor-naplók adathasználatának elemzésével kapcsolatos további információkért lásd : Használat elemzése a Log Analytics-munkaterületen.

A Log Analytics-munkaterülethez csatlakoztatott gépek a Log Analytics-ügynökkel gyűjtenek adatokat a telepített szoftverek, a Windows-szolgáltatások, a Windows-beállításjegyzék és -fájlok, valamint a Linux démonok monitorozott kiszolgálókon végzett változásairól. Ha az adatok rendelkezésre állnak, az ügynök elküldi azokat az Azure Monitor-naplóknak feldolgozás céljából. Az Azure Monitor-naplók logikát alkalmaznak a fogadott adatokra, rögzítik és elérhetővé teszik azokat elemzéshez.

Feljegyzés

változáskövetés és leltározás egy Log Analytics-munkaterületet kell összekapcsolnia az Automation-fiókjával. A támogatott régiók végleges listájáért tekintse meg az Azure Workspace-leképezéseket. A régióleképezések nem befolyásolják az Automation-fióktól eltérő régióban lévő virtuális gépek kezelését.

Előfordulhat, hogy szolgáltatóként több ügyfélbérlőt is előkészített az Azure Lighthouse-hoz. Az Azure Lighthouse lehetővé teszi, hogy egyszerre több Microsoft Entra-bérlőn is nagy léptékben hajtsa végre a műveleteket, így az olyan felügyeleti feladatok, mint a változáskövetés és leltározás hatékonyabbak a felelős bérlők esetében. változáskövetés és leltározás több előfizetésben lévő gépeket kezelhet ugyanabban a bérlőben, vagy a bérlők között a Azure delegált erőforrás-kezelés.

Jelenlegi korlátozások

változáskövetés és leltározás nem támogatja vagy az alábbi korlátozásokkal rendelkezik:

  • A Windows beállításjegyzék-nyomkövetésének rekurziója
  • Hálózati fájlrendszerek
  • Különböző telepítési módszerek
  • * Windowson tárolt fájlok .exe
  • A Maximális fájlméret oszlop és értékek nincsenek használatban az aktuális implementációban.
  • Ha fájlmódosításokat követ nyomon, az legfeljebb 5 MB méretű fájlméretre korlátozódik.
  • Ha a fájlméret >1,25 MB, akkor a FileContentChecksum helytelen az ellenőrzőösszeg számításában szereplő memóriakorlátok miatt.
  • Ha 30 perces gyűjtési ciklusban több mint 2500 fájlt próbál összegyűjteni, változáskövetés és leltározás teljesítménye csökkenhet.
  • Ha a hálózati forgalom magas, a rekordok módosítása akár hat órát is igénybe vehet.
  • Ha módosít egy konfigurációt egy gép vagy kiszolgáló leállítása közben, az közzéteheti az előző konfigurációhoz tartozó módosításokat.
  • Gyorsjavítás-frissítések gyűjtése Windows Server 2016 Core RS3 rendszerű gépeken.
  • A Linux démonok módosult állapotot mutathatnak, még akkor is, ha nem történt változás. Ez a probléma az Azure Monitor ConfigurationChange tábla adatainak írási módja SvcRunLevels miatt merül fel.

Korlátok

A változáskövetés és leltározás vonatkozó korlátokért tekintse meg az Azure Automation szolgáltatáskorlátait.

Támogatott operációs rendszerek

változáskövetés és leltározás minden olyan operációs rendszeren támogatott, amely megfelel a Log Analytics-ügynök követelményeinek. A Log Analytics-ügynök által jelenleg támogatott Windows- és Linux operációsrendszer-verziók listáját a támogatott operációs rendszerekben találja.

A TLS 1.2 vagy újabb verzió ügyfélkövetelményeinek megismeréséhez tekintse meg az Azure Automation TLS-ét.

Python-követelmény

változáskövetés és leltározás mostantól támogatja a Python 2-t és a Python 3-at. Ha a gép olyan disztribúciót használ, amely egyik verziót sem tartalmazza, alapértelmezés szerint telepítenie kell őket. Az alábbi mintaparancsok a Python 2-t és a Python 3-at telepítik különböző disztribúciókra.

Feljegyzés

A Python 3-nal kompatibilis OMS-ügynök használatához először távolítsa el a Python 2-t; ellenkező esetben az OMS-ügynök alapértelmezés szerint továbbra is a Python 2-vel fog futni.

  • Red Hat, CentOS, Oracle:
   sudo yum install -y python2
  • Ubuntu, Debian:
   sudo apt-get update
   sudo apt-get install -y python2
  • SU Standard kiadás:
   sudo zypper install -y python2

Feljegyzés

A Python 2 végrehajtható fájlnak Python-aliasként kell lennie.

Hálózati követelmények

A változáskövetés és leltározás szükséges portokkal, URL-címekkel és egyéb hálózatkezelési adatokkal kapcsolatos részletes információkért tekintse meg az Azure Automation hálózati konfigurációját.

A Change Tracking és az Inventory engedélyezése

A változáskövetés és leltározás a következő módokon engedélyezheti:

Fájlmódosítások nyomon követése

A windowsos és linuxos fájlok változásainak nyomon követéséhez változáskövetés és leltározás A fájlok MD5 kivonatát használja. A funkció a kivonatokkal észleli, hogy történt-e módosítás az utolsó készlet óta. A Linux-fájlok nyomon követéséhez győződjön meg arról, hogy olvasási hozzáféréssel rendelkezik az OMS-ügynök felhasználójához.

Fájltartalom változásainak nyomon követése

változáskövetés és leltározás lehetővé teszi egy Windows- vagy Linux-fájl tartalmának megtekintését. A fájl minden módosításához változáskövetés és leltározás a fájl tartalmát egy Azure Storage-fiókban tárolja. Ha nyomon követ egy fájlt, megtekintheti annak tartalmát a módosítás előtt vagy után. A fájl tartalma beágyazottan vagy egymás mellett is megtekinthető.

Módosítások megtekintése egy fájlban

Beállításkulcsok nyomon követése

változáskövetés és leltározás lehetővé teszi a Windows beállításkulcsok módosításainak monitorozását. A monitorozással rögzítheti azokat a bővíthetőségi pontokat, ahol külső kód és kártevő aktiválható. Az alábbi táblázat az előre konfigurált (de nem engedélyezett) beállításkulcsokat sorolja fel. A kulcsok nyomon követéséhez engedélyeznie kell őket.

Beállításkulcs Cél
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Az indításkor futó szkripteket figyeli.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Figyeli a leállításkor futó szkripteket.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Figyeli a windowsos fiókba való bejelentkezés előtt betöltött kulcsokat. A kulcs a 64 bites számítógépeken futó 32 bites alkalmazásokhoz használható.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Figyeli az alkalmazásbeállítások módosításait.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Figyeli a helyi menükezelőket, amelyek közvetlenül a Windows Intézőbe csatlakoznak, és általában folyamatban futnak explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers A monitorok közvetlenül a Windows Intézőbe horgoló horogkezelőket másolnak, és általában folyamatban futtatják a explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Ikont átfedő kezelő regisztrációjának figyelése.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers A 64 bites számítógépeken futó 32 bites alkalmazások ikonszintű átfedéskezelő-regisztrációjának monitorozása.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Figyeli az Internet Explorer új böngésző segédobjektum-beépülő moduljait. Az aktuális oldal dokumentumobjektum-modelljének (DOM) elérésére és a navigáció szabályozására szolgál.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Figyeli az Internet Explorer új böngésző segédobjektum-beépülő moduljait. Az aktuális lap dokumentumobjektum-modelljének (DOM) elérésére és a 64 bites számítógépeken futó 32 bites alkalmazások navigációjának szabályozására szolgál.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions Figyeli az új Internet Explorer-bővítményeket, például az egyéni eszközmenüket és az egyéni eszköztárgombokat.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Figyeli az új Internet Explorer-bővítményeket, például az egyéni eszközmenüket és az egyéni eszköztárgombokat a 64 bites számítógépeken futó 32 bites alkalmazásokhoz.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Figyeli a wavemapper, a wave1 és a wave2, az msacm.imaadpcm, a .msadpcm, a .msgsm610 és a vidc 32 bites illesztőprogramjait. Hasonló a system.ini fájl [illesztőprogramok] szakaszához.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Figyeli a 32 bites illesztőprogramokat, amelyek a 64 bites számítógépeken futó 32 bites alkalmazásokhoz tartoznak: wavemapper, wave1 és wave2, msacm.imaadpcm, .msadpcm, .msgsm610 és vidc. Hasonló a system.ini fájl [illesztőprogramok] szakaszához.
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Figyeli az ismert vagy gyakran használt rendszer DLL-ek listáját. A figyelés megakadályozza, hogy a felhasználók kihasználhassák a gyenge alkalmazáskönyvtár-engedélyeket a rendszer DLL-jének trójai falóverzióinak elvetésével.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Figyeli azoknak a csomagoknak a listáját, amelyek eseményértesítéseket fogadhatnak winlogon.exe, a Windows interaktív bejelentkezési támogatási modelljétől.

Rekurziós támogatás

változáskövetés és leltározás támogatja a rekurziót, amely lehetővé teszi helyettesítő karakterek megadását a könyvtárak közötti nyomon követés egyszerűsítése érdekében. A Recursion környezeti változókat is biztosít, amelyek lehetővé teszik a fájlok nyomon követését több vagy dinamikus meghajtónévvel rendelkező környezetekben. Az alábbi lista a rekurzió konfigurálásakor ismert gyakori információkat tartalmazza:

  • Több fájl nyomon követéséhez helyettesítő karakterekre van szükség.

  • Helyettesítő karaktereket csak a fájl elérési útjának utolsó szegmensében használhat, például c:\folder\file* vagy /etc/*.conf.

  • Ha egy környezeti változó elérési útja érvénytelen, az ellenőrzés sikeres, de az elérési út sikertelen a végrehajtás során.

  • Az elérési út beállításakor kerülnie kell az általános elérési utak nevét, mivel ez a beállítás túl sok mappát okozhat.

változáskövetés és leltározás adatgyűjtés

A következő táblázat a változáskövetés és leltározás által támogatott módosítástípusok adatgyűjtési gyakoriságát mutatja. Az aktuális állapot adatpillanatképe minden típus esetében legalább 24 óránként frissül.

Típus módosítása Gyakoriság
Windows-beállításjegyzék 50 perc
Windows-fájl 30 perc
Linux-fájl 15 perc
Windows-szolgáltatások 10 másodperc és 30 perc
között Alapértelmezés: 30 perc
Linux démonok 5 perc
Windows-szoftver 30 perc
Linux-szoftver 5 perc

Az alábbi táblázat a változáskövetés és leltározás gépenkénti nyomon követett elemkorlátait mutatja be.

Erőforrás Korlát
Fájl 500
Beállításjegyzék 250
Windows-szoftver (a gyorsjavításokat nem beleértve) 250
Linux-csomagok 1250
Szolgáltatások 250
Démonok 250

A változáskövetés és leltározás használó gépek átlagos Log Analytics-adathasználata a környezettől függően havonta körülbelül 40 MB. A Log Analytics-munkaterület Használat és becsült költségek funkciójával megtekintheti a változáskövetés és leltározás által betöltött adatokat egy használati diagramon. Ezzel az adatnézetel kiértékelheti az adathasználatot, és meghatározhatja, hogy az hogyan befolyásolja a számláját. Lásd: A használat és a költségek becslése.

Windows-szolgáltatások adatai

A Windows-szolgáltatások alapértelmezett gyűjtési gyakorisága 30 perc. A gyakoriságot a Windows-szolgáltatások lap Szerkesztés Gépház csoportjában található csúszkával konfigurálhatja.

Windows-szolgáltatások csúszka

A teljesítmény optimalizálása érdekében a Log Analytics-ügynök csak a változásokat követi nyomon. Ha a szolgáltatás visszatér az eredeti állapotához, előfordulhat, hogy a magas küszöbérték beállítása nem változik. Ha a gyakoriságot kisebb értékre állítja, akkor az egyébként kihagyott módosításokat is észlelheti.

Kritikus szolgáltatások esetén javasoljuk, hogy az indítási állapotot automatikusként (késleltetett indítás) jelölje meg, hogy a virtuális gép újraindítása után a szolgáltatások adatgyűjtése az MMA-ügynök elindítása után induljon el ahelyett, hogy a virtuális gép üzembe helyezése után azonnal elindul.

Feljegyzés

Bár az ügynök 10 másodperces időközre tudja nyomon követni a változásokat, az adatok megjelenítése még néhány percet vesz igénybe az Azure Portalon. A portálon való megjelenítés ideje alatt bekövetkező módosításokat a rendszer továbbra is nyomon követi és naplózza.

A konfigurációs állapotra vonatkozó riasztások támogatása

A változáskövetés és leltározás egyik fő képessége, hogy riasztást küld a hibrid környezet konfigurációs állapotának változásairól. A riasztásokra adott válaszként számos hasznos művelet aktiválható. Például az Azure-függvényeken, az Automation-runbookokon, a webhookokon és hasonlókon végzett műveletek. A gép c:\windows\system32\drivers\etc\hosts fájljának változásaival kapcsolatos riasztások az változáskövetés és leltározás adatok riasztásainak egyik jó alkalmazása. A riasztáshoz számos további forgatókönyv is rendelkezésre áll, beleértve a következő táblázatban definiált lekérdezési forgatókönyveket is.

Lekérdezés Leírás
ConfigurationChange
| where ConfigChangeType == "Files" és FileSystemPath contains " c:\windows\system32\drivers\"		 Hasznos a rendszerkritikus fájlok változásainak nyomon követéséhez.
ConfigurationChange
| where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"		 Hasznos a kulcskonfigurációs fájlok módosításainak nyomon követéséhez.
ConfigurationChange
| ahol a ConfigChangeType == "WindowsServices" és az SvcName a "w3svc" és az SvcState == "Leállítva" értéket tartalmazza		 Hasznos a rendszerkritikus szolgáltatások változásainak nyomon követéséhez.
ConfigurationChange
| ahol a ConfigChangeType == "Démonok" és az SvcName az "ssh" és az SvcState!= "Running" értéket tartalmazzák		 Hasznos a rendszerkritikus szolgáltatások változásainak nyomon követéséhez.
ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Added"		 Zárolt szoftverkonfigurációkat igénylő környezetekben hasznos.
ConfigurationData
| where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"		 Hasznos, ha azt látja, hogy mely gépeken van telepítve elavult vagy nem megfelelő szoftververzió. Ez a lekérdezés az utolsó jelentett konfigurációs állapotot jelenti, de nem jelenti a változásokat.
ConfigurationChange
| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"		 Hasznos a kulcsfontosságú víruskereső kulcsok változásainak nyomon követéséhez.
ConfigurationChange
| ahol a RegistryKey tartalmaz @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"		 Hasznos a tűzfalbeállítások változásainak nyomon követéséhez.

A Log Analytics-ügynök frissítése a legújabb verzióra

A Változáskövetés > Leltár esetében a gépek a Log Analytics-ügynök segítségével gyűjtenek adatokat a telepített szoftverek, a Windows-szolgáltatások, a Windows-beállításjegyzék és -fájlok, valamint a Linux démonok monitorozott kiszolgálókon végzett változásairól. Az Azure hamarosan már nem fogadja el a Windows Log Analytics (LA) ügynök régebbi verzióiból származó kapcsolatokat, más néven a Windows Microsoft Monitoring Agent (MMA), amely egy régebbi módszert használ a tanúsítványkezeléshez. Javasoljuk, hogy a lehető leghamarabb frissítse az ügynököt a legújabb verzióra.

A változásra a 10.20.18053-es (csomag) és az 1.0.18053.0-s (bővítmény) verziójú vagy újabb verziójú ügynökök nem lesznek hatással. Ha korábban ügynökkel dolgozik, az ügynök nem tud csatlakozni, és a Változáskövetési és készletezési folyamat > lefelé irányuló tevékenységek leállhatnak. Az LA-munkaterületen a HeartBeat táblában ellenőrizheti az aktuális LA-ügynökverziót.

Az irányelveknek megfelelően frissítsen a Windows Log Analytics-ügynök (MMA) legújabb verziójára.

Következő lépések