A Change Tracking és a leltár áttekintéseChange Tracking and Inventory overview

Ez a cikk a Azure Automation Change Tracking és leltározását ismerteti.This article introduces you to Change Tracking and Inventory in Azure Automation. Ez a szolgáltatás nyomon követi az Azure-ban, a helyszínen és más felhőalapú környezetekben üzemeltetett virtuális gépek változásait, így könnyebben azonosíthatja az üzemeltetési és környezeti problémákat a Distribution Package Manager által kezelt szoftverekkel.This feature tracks changes in virtual machines hosted in Azure, on-premises, and other cloud environments to help you pinpoint operational and environmental issues with software managed by the Distribution Package Manager. A Change Tracking és a leltár által követett elemek a következők:Items that are tracked by Change Tracking and Inventory include:

  • Windows-szoftverWindows software
  • Linuxos szoftverek (csomagok)Linux software (packages)
  • Windows-és Linux-fájlokWindows and Linux files
  • Windows-beállításkulcsokWindows registry keys
  • Microsoft-szolgáltatásokMicrosoft services
  • Linux-démonokLinux daemons

Megjegyzés

A Azure Resource Manager tulajdonságok változásainak nyomon követéséhez tekintse meg az Azure Resource Graph változási előzményeit.To track Azure Resource Manager property changes, see the Azure Resource Graph change history.

A Change Tracking és a leltár a Azure Security Center file Integrity monitoring (FIM) használatával vizsgálja meg az operációs rendszer és az alkalmazások fájljait, valamint a Windows beállításjegyzékét.Change Tracking and Inventory makes use of Azure Security Center File Integrity Monitoring (FIM) to examines operating system and application files, and Windows Registry. Míg a FIM figyeli ezeket az entitásokat, Change Tracking és leltárt natívan nyomon követi:While FIM monitors those entities, Change Tracking and Inventory natively tracks:

  • A szoftver módosításaiSoftware changes
  • Microsoft-szolgáltatásokMicrosoft services
  • Linux-démonokLinux daemons

A Change Tracking és a leltárban foglalt összes szolgáltatás engedélyezése további díjakat eredményezhet.Enabling all features included in Change Tracking and Inventory might cause additional charges. A továbblépés előtt tekintse át az Automation díjszabását és a Azure monitor díjszabását.Before proceeding, review Automation Pricing and Azure Monitor Pricing.

A Change Tracking és a leltár Azure Monitor naplókba továbbítja az adatokat, és az összegyűjtött adatokat egy Log Analytics munkaterületen tárolja.Change Tracking and Inventory forwards data to Azure Monitor Logs, and this collected data is stored in a Log Analytics workspace. A fájlok integritásának figyelése (FIM) szolgáltatás csak akkor érhető el, ha engedélyezve van az Azure Defender for Servers .The File Integrity Monitoring (FIM) feature is available only when Azure Defender for servers is enabled. További információkért tekintse meg a Azure Security Center díjszabását .See Azure Security Center Pricing to learn more. A FIM feltölti az adatait ugyanarra a Log Analytics munkaterületre, mint amelyet az adatok Change Tracking és leltárból való tárolásához hoztak létre.FIM uploads data to the same Log Analytics workspace as the one created to store data from Change Tracking and Inventory. Javasoljuk, hogy figyelje a csatolt Log Analytics munkaterületet, hogy nyomon követhesse a pontos használatot.We recommend that you monitor your linked Log Analytics workspace to keep track of your exact usage. A Azure Monitor naplók adatfelhasználásának elemzésével kapcsolatos további információkért lásd: a használat és a költséghatékonyság kezelése.For more information about analyzing Azure Monitor Logs data usage, see Manage usage and cost.

A Log Analytics munkaterülethez csatlakozó gépek a log Analytics ügynökkel gyűjtenek adatokat a telepített szoftverek, a Microsoft-szolgáltatások, a Windows-beállításjegyzék és-fájlok, valamint a figyelt kiszolgálókon futó Linux-démonok változásairól.Machines connected to the Log Analytics workspace use the Log Analytics agent to collect data about changes to installed software, Microsoft services, Windows registry and files, and Linux daemons on monitored servers. Ha az adatokat elérhetővé teszi, az ügynök elküldi a feldolgozásra Azure Monitor naplókba.When data is available, the agent sends it to Azure Monitor Logs for processing. Azure Monitor naplók a fogadott adatokra vonatkozó logikát alkalmaznak, rögzítik, és elemzés céljából elérhetővé teszik.Azure Monitor Logs applies logic to the received data, records it, and makes it available for analysis.

Megjegyzés

A Change Tracking és a leltár használatához Log Analytics munkaterületet kell összekapcsolni az Automation-fiókkal.Change Tracking and Inventory requires linking a Log Analytics workspace to your Automation account. A támogatott régiók végleges listáját az Azure Workspace-hozzárendelésekcímű témakörben tekintheti meg.For a definitive list of supported regions, see Azure Workspace mappings. A régió-hozzárendelések nem befolyásolják a virtuális gépek az Automation-fióktól eltérő régióban való felügyeletének képességét.The region mappings don't affect the ability to manage VMs in a separate region from your Automation account.

Szolgáltatóként több ügyfél-bérlőt is felkészített az Azure világítótoronyba.As a service provider, you may have onboarded multiple customer tenants to Azure Lighthouse. Az Azure Lighthouse lehetővé teszi, hogy egyszerre több Azure Active Directory (Azure AD) bérlőre kiterjedő műveleteket hajtson végre, így a felügyeleti feladatok, például a Change Tracking és a leltár hatékonyabban használhatók a felelős bérlők számára.Azure Lighthouse allows you to perform operations at scale across several Azure Active Directory (Azure AD) tenants at once, making management tasks like Change Tracking and Inventory more efficient across those tenants you're responsible for. A Change Tracking és a leltár több előfizetésben lévő gépeket is kezelhet ugyanazon a bérlőn vagy az Azure-beli delegált erőforrás-kezelésthasználó bérlők között.Change Tracking and Inventory can manage machines in multiple subscriptions in the same tenant, or across tenants using Azure delegated resource management.

Aktuális korlátozásokCurrent limitations

A Change Tracking és a leltár nem támogatja, vagy a következő korlátozások vonatkoznak rá:Change Tracking and Inventory doesn't support or has the following limitations:

  • Rekurzió a Windows beállításjegyzékének nyomon követéséhezRecursion for Windows registry tracking
  • Hálózati fájlrendszerekNetwork file systems
  • Különböző telepítési módszerekDifferent installation methods
  • *a Windowson tárolt . exe fájlok*.exe files stored on Windows
  • A Maximális fájlméret oszlop és az értékek nem használhatók az aktuális implementációban.The Max File Size column and values are unused in the current implementation.
  • Ha egy 30 perces gyűjtési ciklusban több mint 2500 fájlt próbál összegyűjteni, a Change Tracking és a leltározás teljesítménye csökkenhet.If you try to collect more than 2500 files in a 30-minute collection cycle, Change Tracking and Inventory performance might be degraded.
  • Ha a hálózati forgalom magas, a rekordok módosítása akár hat órát is igénybe vehet.If network traffic is high, change records can take up to six hours to display.
  • Ha egy számítógép vagy kiszolgáló leállítása közben módosítja a konfigurációt, akkor az előző konfigurációhoz tartozó módosításokat is közzéteheti.If you modify a configuration while a machine or server is shut down, it might post changes belonging to the previous configuration.
  • Gyorsjavítások frissítéseinek gyűjtése a Windows Server 2016 Core RS3-gépeken.Collecting Hotfix updates on Windows Server 2016 Core RS3 machines.
  • Előfordulhat, hogy a Linux-démonok módosult állapotot mutatnak, de nem történt változás.Linux daemons might show a changed state even though no change has occurred. Ez a probléma a SvcRunLevels Azure monitor konfigurációváltozás táblázatában lévő adatírások miatt fordul elő.This issue arises because of the way the SvcRunLevels data in the Azure Monitor ConfigurationChange table is written.

Támogatott operációs rendszerekSupported operating systems

A Change Tracking és a leltár minden olyan operációs rendszeren támogatott, amely megfelel Log Analytics ügynök követelményeinek.Change Tracking and Inventory is supported on all operating systems that meet Log Analytics agent requirements. A Log Analytics ügynök által jelenleg támogatott Windows és Linux operációsrendszer-verziók listáját a támogatott operációs rendszerek című részben tekintheti meg.See supported operating systems for a list of the Windows and Linux operating system versions that are currently supported by the Log Analytics agent.

A TLS 1,2-hez szükséges ügyfél-követelmények megismeréséhez lásd: tls 1,2 kényszerítés Azure Automation.To understand client requirements for TLS 1.2, see TLS 1.2 enforcement for Azure Automation.

Python-követelményPython requirement

A Change Tracking és a leltár csak a Python2 támogatja.Change Tracking and Inventory only supports Python2. Ha a gép olyan disztribúciót használ, amely alapértelmezés szerint nem tartalmazza a Python 2-et, akkor telepítenie kell azt.If your machine is using a distro that doesn't include Python 2 by default then you must install it. A következő minta parancsok a Python 2 különböző disztribúciókban való telepítését teszik ki.The following sample commands will install Python 2 on different distros.

  • Red Hat, CentOS, Oracle: yum install -y python2Red Hat, CentOS, Oracle: yum install -y python2
  • Ubuntu, Debian: apt-get install -y python2Ubuntu, Debian: apt-get install -y python2
  • SUSE zypper install -y python2SUSE: zypper install -y python2

A python2 végrehajtható fájljának aliasnak kell lennie a Pythonhoz.The python2 executable must be aliased to python.

A hálózatra vonatkozó követelményekNetwork requirements

A Change Tracking és a leltárhoz szükséges portok, URL-címek és egyéb hálózatkezelési adatok részletes ismertetését Azure Automation hálózati konfigurációban találja.Check Azure Automation Network Configuration for detailed information on the ports, URLs, and other networking details required for Change Tracking and Inventory.

A Change Tracking és az Inventory engedélyezéseEnable Change Tracking and Inventory

A következő módokon engedélyezheti a Change Tracking és a leltárt:You can enable Change Tracking and Inventory in the following ways:

A fájlok változásainak követéseTracking file changes

A Windows és a Linux rendszerű fájlok változásainak nyomon követéséhez a Change Tracking és a leltár a fájlok MD5 kivonatait használja.For tracking changes in files on both Windows and Linux, Change Tracking and Inventory uses MD5 hashes of the files. A szolgáltatás a kivonatok használatával észleli, hogy történtek-e változások az utolsó leltár óta.The feature uses the hashes to detect if changes have been made since the last inventory.

A fájl tartalmának változásai nyomon követéseTracking file content changes

A Change Tracking és a leltár lehetővé teszi egy Windows-vagy Linux-fájl tartalmának megtekintését.Change Tracking and Inventory allows you to view the contents of a Windows or Linux file. Egy fájl minden módosítása esetén a Change Tracking és a leltár egy Azure Storage-fiókbantárolja a fájl tartalmát.For each change to a file, Change Tracking and Inventory stores the contents of the file in an Azure Storage account. Egy fájl nyomon követése után megtekintheti annak tartalmát a módosítás előtt vagy után.When you're tracking a file, you can view its contents before or after a change. A fájl tartalma beágyazott vagy egymás mellett is megtekinthető.The file content can be viewed either inline or side by side.

Egy fájl változásainak megtekintése

Beállításkulcsok nyomon követéseTracking of registry keys

A Change Tracking és a leltár lehetővé teszi a Windows-beállításkulcsok változásainak figyelését.Change Tracking and Inventory allows monitoring of changes to Windows registry keys. A figyeléssel megadhatja azokat a bővíthetőségi pontokat, amelyekben a harmadik féltől származó kód és a kártevő is aktiválható.Monitoring allows you to pinpoint extensibility points where third-party code and malware can activate. Az alábbi táblázat az előre konfigurált (de nem engedélyezett) beállításkulcsokat sorolja fel.The following table lists preconfigured (but not enabled) registry keys. A kulcsok nyomon követéséhez engedélyeznie kell mindegyiket.To track these keys, you must enable each one.

Beállításjegyzék kulcsaRegistry Key CélPurpose
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Az indításkor futó parancsfájlokat figyeli.Monitors scripts that run at startup.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown A leállításkor futó parancsfájlokat figyeli.Monitors scripts that run at shutdown.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Figyeli azokat a kulcsokat, amelyek betöltődik, mielőtt a felhasználó bejelentkezik a Windows-fiókba.Monitors keys that are loaded before the user signs in to the Windows account. A kulcs a 64 bites számítógépeken futó 32 bites alkalmazásokhoz használatos.The key is used for 32-bit applications running on 64-bit computers.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Az Alkalmazásbeállítások változásainak figyelése.Monitors changes to application settings.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Azokat a helyi menüparancsokat figyeli, amelyek közvetlenül a Windows Intézőben csatlakoztathatók, és általában folyamatban van a explorer.exe használatával történő futtatás.Monitors context menu handlers that hook directly into Windows Explorer and usually run in-process with explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers A figyeli a közvetlenül a Windows Intézőben összekapcsoló Hook-kezelőket, és általában a explorer.exe használatával futtatja a folyamatot.Monitors copy hook handlers that hook directly into Windows Explorer and usually run in-process with explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Figyelők az ikon átfedését kezelő regisztrációja.Monitors for icon overlay handler registration.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Figyelők a 64 bites számítógépeken futó 32 bites alkalmazásokhoz tartozó ikon átfedési kezelői regisztrációja.Monitors for icon overlay handler registration for 32-bit applications running on 64-bit computers.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Figyelők az Internet Explorer új böngésző Helper Object beépülő moduljaihoz.Monitors for new browser helper object plugins for Internet Explorer. Az aktuális oldal Document Object Model (DOM) elérésére és a Navigálás vezérlésére szolgál.Used to access the Document Object Model (DOM) of the current page and to control navigation.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Figyelők az Internet Explorer új böngésző Helper Object beépülő moduljaihoz.Monitors for new browser helper object plugins for Internet Explorer. Az aktuális oldal Document Object Model (DOM) elérésére, valamint a 64 bites számítógépeken futó 32 bites alkalmazások navigálásának vezérlésére használatos.Used to access the Document Object Model (DOM) of the current page and to control navigation for 32-bit applications running on 64-bit computers.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions Figyelők az új Internet Explorer-bővítményekhez, például az egyéni eszközök menüihez és az egyéni eszköztárak gombjaihoz.Monitors for new Internet Explorer extensions, such as custom tool menus and custom toolbar buttons.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Az új Internet Explorer-bővítmények, például a 64 bites számítógépeken futó 32 bites alkalmazásokhoz készült egyéni eszköztárak és egyéni eszköztárgombok figyelése.Monitors for new Internet Explorer extensions, such as custom tool menus and custom toolbar buttons for 32-bit applications running on 64-bit computers.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 A Wavemapper, a wave1 és a Wave2, a MSACM. imaadpcm, a. msadpcm, a. msgsm610 és a vidc társított 32 bites illesztőprogramokat figyeli.Monitors 32-bit drivers associated with wavemapper, wave1 and wave2, msacm.imaadpcm, .msadpcm, .msgsm610, and vidc. Hasonló a system.ini fájl [Drivers] szakaszához.Similar to the [drivers] section in the system.ini file.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 A Wavemapper, a wave1 és a Wave2, a MSACM. imaadpcm, a. msadpcm, a. msgsm610 és a vidc társított 32 bites illesztőprogramokat figyeli a 64 bites számítógépeken futó 32 bites alkalmazásokhoz.Monitors 32-bit drivers associated with wavemapper, wave1 and wave2, msacm.imaadpcm, .msadpcm, .msgsm610, and vidc for 32-bit applications running on 64-bit computers. Hasonló a system.ini fájl [Drivers] szakaszához.Similar to the [drivers] section in the system.ini file.
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Az ismert vagy leggyakrabban használt rendszerdll-fájlok listáját figyeli.Monitors the list of known or commonly used system DLLs. A figyelés megakadályozza, hogy a felhasználók a rendszer DLL-fájljainak eldobásával kihasználják a gyenge alkalmazásspecifikus címtárbeli engedélyeket.Monitoring prevents people from exploiting weak application directory permissions by dropping in Trojan horse versions of system DLLs.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify A Windows rendszerhez készült interaktív bejelentkezési támogatási modellben figyeli azon csomagok listáját, amelyekről értesítéseket kaphat a winlogon.exeról.Monitors the list of packages that can receive event notifications from winlogon.exe, the interactive logon support model for Windows.

Rekurzió támogatásaRecursion support

A Change Tracking és a leltár támogatja a rekurziót, ami lehetővé teszi helyettesítő karakterek megadását a címtárak közötti nyomkövetés egyszerűsítése érdekében.Change Tracking and Inventory supports recursion, which allows you to specify wildcards to simplify tracking across directories. A rekurzió olyan környezeti változókat is biztosít, amelyek lehetővé teszik a fájlok különböző környezetekben történő nyomon követését több vagy dinamikus meghajtó nevével.Recursion also provides environment variables to allow you to track files across environments with multiple or dynamic drive names. A következő lista a rekurzió konfigurálásakor szükséges általános tudnivalókat tartalmazza:The following list includes common information you should know when configuring recursion:

  • Több fájl nyomon követéséhez helyettesítő karakterek szükségesek.Wildcards are required for tracking multiple files.

  • A helyettesítő karaktereket csak a fájl elérési útjának utolsó szegmensében használhatja, például c:\mappa \ file _ vagy _ /etc/. conf * *.You can use wildcards only in the last segment of a file path, for example, c:\folder\file _ or _ /etc/.conf**.

  • Ha egy környezeti változónak érvénytelen az elérési útja, az érvényesítés sikeres lesz, de az elérési út meghiúsul.If an environment variable has an invalid path, validation succeeds but the path fails during execution.

  • Az elérési út beállításakor el kell kerülnie az általános elérési utak nevét, mivel az ilyen típusú beállítás túl sok mappa átjárását okozhatja.You should avoid general path names when setting the path, as this type of setting can cause too many folders to be traversed.

Change Tracking és leltározási adatgyűjtésChange Tracking and Inventory data collection

A következő táblázat a Change Tracking és a leltár által támogatott változások típusának adatgyűjtési gyakoriságát mutatja.The next table shows the data collection frequency for the types of changes supported by Change Tracking and Inventory. Minden típus esetében az aktuális állapot adatpillanatképe legalább 24 óránként frissül.For every type, the data snapshot of the current state is also refreshed at least every 24 hours.

Típus módosításaChange Type GyakoriságFrequency
Windows beállításjegyzékWindows registry 50 perc50 minutes
Windows-fájlWindows file 30 perc30 minutes
Linux-fájlLinux file 15 perc15 minutes
Microsoft-szolgáltatásokMicrosoft services 10 másodperc és 30 perc között10 seconds to 30 minutes
Alapértelmezett: 30 percDefault: 30 minutes
Linux-démonokLinux daemons 5 perc5 minutes
Windows-szoftverWindows software 30 perc30 minutes
Linuxos szoftverekLinux software 5 perc5 minutes

A következő táblázat a nyomon követett elemek korlátozásait mutatja gépenként a Change Tracking és a leltár esetében.The following table shows the tracked item limits per machine for Change Tracking and Inventory.

ErőforrásResource KorlátotLimit
FájlFile 500500
Regisztrációs adatbázisRegistry 250250
Windows-szoftver (nem tartalmazza a gyorsjavításokat)Windows software (not including hotfixes) 250250
Linux-csomagokLinux packages 12501250
SzolgáltatásokServices 250250
DémonokDaemons 250250

A Change Tracking és a leltárt használó gépek átlagos Log Analytics adatfelhasználása körülbelül 40 MB/hó, a környezettől függően.The average Log Analytics data usage for a machine using Change Tracking and Inventory is approximately 40 MB per month, depending on your environment. A Log Analytics munkaterület használati és becsült költségek funkciójával megtekintheti a Change Tracking és a leltár által betöltött adatokat egy használati diagramon.With the Usage and Estimated Costs feature of the Log Analytics workspace, you can view the data ingested by Change Tracking and Inventory in a usage chart. Ezzel az adatnézettel kiértékelheti az adathasználatot, és meghatározhatja, hogyan befolyásolja a számláját.Use this data view to evaluate your data usage and determine how it affects your bill. Lásd: a használat és a becsült költségek megismerése.See Understand your usage and estimate costs.

Microsoft-szolgáltatásokra vonatkozó adatkezelésMicrosoft service data

A Microsoft-szolgáltatások alapértelmezett gyűjtési gyakorisága 30 perc.The default collection frequency for Microsoft services is 30 minutes. A gyakoriságot a beállítások szerkesztése elemre a Microsoft-szolgáltatások lapon található csúszka használatával konfigurálhatja.You can configure the frequency using a slider on the Microsoft services tab under Edit Settings.

Microsoft-szolgáltatások csúszka

A teljesítmény optimalizálása érdekében a Log Analytics ügynök csak a változásokat követi nyomon.To optimize performance, the Log Analytics agent only tracks changes. Ha a szolgáltatás visszatér az eredeti állapotába, a magas küszöbérték beállítása nem fog módosulni.Setting a high threshold might miss changes if the service returns to its original state. Ha a gyakoriságot kisebb értékre állítja, az esetlegesen kihagyott módosításokat is elvégezheti.Setting the frequency to a smaller value allows you to catch changes that might be missed otherwise.

Megjegyzés

Míg az ügynök 10 másodperces intervallumban nyomon követheti a változásokat, az adat továbbra is néhány percet vesz igénybe, hogy megjelenjen a Azure Portal.While the agent can track changes down to a 10-second interval, the data still takes a few minutes to display in the Azure portal. A portálon megjelenő időpontokban végrehajtott módosítások továbbra is nyomon követhetők és naplózhatók.Changes that occur during the time to display in the portal are still tracked and logged.

Riasztások támogatása a konfiguráció állapotábanSupport for alerts on configuration state

Az Change Tracking és a leltár kulcsfontosságú funkciója, hogy a hibrid környezet konfigurációs állapotának változásairól riasztást küld.A key capability of Change Tracking and Inventory is alerting on changes to the configuration state of your hybrid environment. Számos hasznos művelet aktiválható a riasztásokra adott válaszként.Many useful actions are available to trigger in response to alerts. Például az Azure functions, az Automation runbookok, a webhookok és a hasonló műveletek.For example, actions on Azure functions, Automation runbooks, webhooks, and the like. A c:\Windows\System32\drivers\etc\hosts -fájl változásainak riasztása egy adott gépen a riasztások helyes alkalmazása Change Tracking és leltározási adatként.Alerting on changes to the c:\windows\system32\drivers\etc\hosts file for a machine is one good application of alerts for Change Tracking and Inventory data. Számos további forgatókönyv is létezik a riasztásokhoz, beleértve a következő táblázatban definiált lekérdezési forgatókönyveket is.There are many more scenarios for alerting as well, including the query scenarios defined in the next table.

LekérdezésQuery LeírásDescription
KonfigurációváltozásConfigurationChange
|, ahol a ConfigChangeType = = "files" és a FileSystemPath a "c: \ Windows \ System32 \ Drivers \ " kifejezést tartalmazza| where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\"
A rendszerkritikus fájlok változásainak nyomon követésére használható.Useful for tracking changes to system-critical files.
KonfigurációváltozásConfigurationChange
|, hogy a FieldsChanged tartalmazza-e a "FileContentChecksum" és a FileSystemPath = = "c: \ Windows system32 illesztőprogramok, illetve a \ \ \ \ gazdagépek"| where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"
Hasznos a legfontosabb konfigurációs fájlok módosításainak nyomon követéséhez.Useful for tracking modifications to key configuration files.
KonfigurációváltozásConfigurationChange
|, ahol a ConfigChangeType = = "WindowsServices" és a SvcName tartalmazza a "W3SVC" és a SvcState = = "leállítva"| where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped"
A rendszerkritikus szolgáltatások változásainak nyomon követésére használható.Useful for tracking changes to system-critical services.
KonfigurációváltozásConfigurationChange
|, ahol a ConfigChangeType = = "DAEMONS" és a SvcName tartalmazza az "SSH" és a SvcState! = "Running"| where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState!= "Running"
A rendszerkritikus szolgáltatások változásainak nyomon követésére használható.Useful for tracking changes to system-critical services.
KonfigurációváltozásConfigurationChange
|, ahol a ConfigChangeType = = "szoftver" és a ChangeCategory = = "hozzáadva"| where ConfigChangeType == "Software" and ChangeCategory == "Added"
Olyan környezetekhez hasznos, amelyeknek szükségük van a zárolt szoftveres konfigurációkra.Useful for environments that need locked-down software configurations.
ConfigurationDataConfigurationData
|, ahol a SoftwareName tartalmazza a "figyelési ügynököt" és a CurrentVersion! = "8.0.11081.0"| where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"
Hasznos, ha azt látja, hogy mely gépeken van telepítve elavult vagy nem megfelelő szoftververzió.Useful for seeing which machines have outdated or noncompliant software version installed. Ez a lekérdezés a legutóbbi jelentett konfigurációs állapotot jelenti, de nem jelenti a módosításokat.This query reports the last reported configuration state, but doesn't report changes.
KonfigurációváltozásConfigurationChange
|, ahol a RegistryKey = = @ "HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ QualityCompat"| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"
Hasznos a kritikus vírusvédelmi kulcsok változásainak nyomon követéséhez.Useful for tracking changes to crucial antivirus keys.
KonfigurációváltozásConfigurationChange
|, ahol a RegistryKey a következőt tartalmazza: @ "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy"| where RegistryKey contains @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"
Hasznos a tűzfalbeállítások változásainak nyomon követéséhez.Useful for tracking changes to firewall settings.

Következő lépésekNext steps