Gambaran umum Pelacakan Perubahan dan Inventaris

Artikel ini memperkenalkan Pelacakan Perubahan dan Inventaris di Azure Automation. Fitur ini melacak perubahan dalam mesin virtual yang dihosting di Azure, secara lokal, dan lingkungan cloud lainnya untuk membantu Anda menentukan masalah operasional dan lingkungan dengan perangkat lunak yang dikelola oleh Pengelola Paket Distribusi. Item yang dilacak oleh Pelacakan Perubahan dan Inventaris meliputi:

  • Perangkat lunak Windows
  • Perangkat lunak Linux (paket)
  • File Windows dan Linux
  • Kunci registri Windows
  • Layanan Windows
  • Daemon Linux

Catatan

Untuk melacak perubahan properti Azure Resource Manager, lihat riwayat perubahan Azure Resource Graph.

Pelacakan Perubahan dan Inventaris menggunakan File Integrity Monitoring (FIM) Microsoft Defender for Cloud untuk memeriksa sistem operasi dan file aplikasi, serta Registri Windows. Sementara FIM memantau entitas tersebut, Pelacakan Perubahan dan Inventaris secara native melacak:

  • Perubahan perangkat lunak
  • Layanan Windows
  • Daemon Linux

Mengaktifkan semua fitur yang disertakan dalam Pelacakan Perubahan dan Inventaris dapat menyebabkan biaya tambahan. Sebelum melanjutkan, tinjau Harga Automation dan Harga Azure Monitor.

Pelacakan Perubahan dan Inventaris meneruskan data ke Azure Monitor Logs, dan data yang dikumpulkan ini disimpan di ruang kerja Analitik Log. Fitur File Integrity Monitoring (FIM) hanya tersedia saat Microsoft Defender untuk server diaktifkan. Lihat Harga Microsoft Defender for Cloud untuk mempelajari selengkapnya. FIM mengunggah data ke ruang kerja Analitik Log yang sama dengan yang dibuat untuk menyimpan data dari Pelacakan Perubahan dan Inventaris. Sebaiknya pantau ruang kerja Analitik Log yang ditautkan untuk melacak penggunaan yang tepat. Untuk mengetahui informasi selengkapnya tentang menganalisis penggunaan data Azure Monitor Logs, lihat Mengelola penggunaan dan biaya.

Komputer yang terhubung ke ruang kerja Log Analytics menggunakan agen Log Analytics untuk mengumpulkan data tentang perubahan pada perangkat lunak yang diinstal, layanan Windows, registri dan file Windows, dan daemon Linux di server yang dipantau. Saat data tersedia, agen mengirimkannya ke Azure Monitor Logs untuk diproses. Azure Monitor Logs menerapkan logika ke data yang diterima, mencatatnya, dan membuatnya tersedia untuk analisis.

Catatan

Pelacakan Perubahan dan Inventaris memerlukan penautan ruang kerja Analitik Log ke akun Automation Anda. Untuk daftar pasti wilayah yang didukung, lihat Pemetaan Ruang Kerja Azure. Pemetaan wilayah tidak memengaruhi kemampuan untuk mengelola VM di wilayah terpisah dari akun Automation Anda.

Sebagai penyedia layanan, Anda mungkin telah melakukan onboarding beberapa penyewa pelanggan ke Azure Lighthouse. Azure Lighthouse memungkinkan Anda melakukan operasi dalam skala besar di beberapa penyewa Azure Active Directory (Azure AD) sekaligus, membuat tugas pengelolaan seperti Pelacakan Perubahan dan Inventaris lebih efisien di seluruh penyewa yang menjadi tanggung jawab Anda. Pelacakan Perubahan dan Inventaris dapat mengelola mesin di beberapa langganan di penyewa yang sama, atau di seluruh penyewa menggunakan Pengelolaan sumber daya yang didelegasikan Azure.

Batasan saat ini

Pelacakan Perubahan dan Inventaris tidak mendukung atau memiliki batasan berikut:

  • Rekursi untuk pelacakan registri Windows
  • Sistem file jaringan
  • Metode penginstalan yang berbeda
  • ** file yang disimpan di Windows
  • Kolom Ukuran File Maksimum dan nilai tidak digunakan dalam implementasi saat ini.
  • Jika Anda melacak perubahan file, maka dibatasi ke ukuran file 5MB atau kurang.
  • Jika Anda mencoba mengumpulkan lebih dari 2500 file dalam siklus pengumpulan 30 menit, performa Pelacakan Perubahan dan Inventaris mungkin menurun.
  • Jika lalu lintas jaringan tinggi, catatan perubahan bisa memakan waktu hingga enam jam untuk ditampilkan.
  • Jika Anda mengubah konfigurasi saat mesin atau server dimatikan, perubahan milik konfigurasi sebelumnya mungkin akan diposting.
  • Mengumpulkan pembaruan Hotfix pada mesin Windows Server 2016 Core RS3.
  • Daemon Linux mungkin menunjukkan status berubah meskipun tidak ada perubahan yang terjadi. Masalah ini muncul karena cara SvcRunLevels data dalam tabel Azure Monitor SvcRunLevels ditulis.

Batas

Untuk batas yang berlaku untuk Pelacakan dan Inventaris Perubahan, lihat Batas layanan Azure Automation.

Sistem operasi yang didukung

Pelacakan Perubahan dan Inventaris didukung di semua sistem operasi yang memenuhi persyaratan agen Analitik Log. Lihat sistem operasi yang didukung untuk daftar versi sistem operasi Windows dan Linux yang saat ini didukung oleh agen Analitik Log.

Untuk memahami persyaratan klien untuk TLS 1.2, lihat TLS 1.2 untuk Azure Automation.

Persyaratan Python

Pelacakan Perubahan dan Inventaris hanya mendukung Python2. Jika mesin Anda menggunakan distro yang tidak menyertakan Python 2 secara default, Anda harus menginstalnya. Sampel perintah berikut akan menginstal Python 2 pada distro yang berbeda.

  • Red Hat, CentOS, Oracle: yum install -y python2
  • Ubuntu, Debian: apt-get install -y python2
  • SUSE: zypper install -y python2

Yang dapat dieksekusi Python2 harus dialiskan ke python.

Persyaratan jaringan

Periksa Konfigurasi Jaringan Azure Automation untuk mengetahui informasi mendetail tentang port, URL, dan detail jaringan lainnya yang diperlukan untuk Pelacakan Perubahan dan Inventaris.

Mengaktifkan Pelacakan Perubahan dan Inventaris

Anda dapat mengaktifkan Pelacakan Perubahan dan Inventaris dengan cara berikut:

Melacak perubahan file

Untuk melacak perubahan dalam file di Windows dan Linux, Pelacakan Perubahan dan Inventaris menggunakan hash MD5 dari file. Fitur ini menggunakan hash untuk mendeteksi apakah perubahan telah dilakukan sejak inventaris terakhir.

Melacak perubahan konten file

Pelacakan Perubahan dan Inventaris memungkinkan Anda untuk melihat konten file Windows atau Linux. Untuk setiap perubahan pada file, Pelacakan Perubahan dan Inventaris menyimpan konten file di akun Azure Storage. Saat melacak file, Anda dapat melihat kontennya sebelum atau sesudah perubahan. Konten file dapat dilihat secara sebaris atau berdampingan.

View changes in a file

Pelacakan kunci registri

Pelacakan Perubahan dan Inventaris memungkinkan pemantauan perubahan pada kunci registri Windows. Pemantauan memungkinkan Anda menentukan titik ekstensibilitas saat kode pihak ketiga dan malware dapat diaktifkan. Tabel berikut ini mencantumkan kunci registri yang telah dikonfigurasi sebelumnya (tetapi tidak diaktifkan). Untuk melacak kunci ini, Anda harus mengaktifkan masing-masing kunci.

Kunci Registri Tujuan
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Memantau skrip yang berjalan saat startup.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Memantau skrip yang berjalan saat pematian.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Memantau kunci yang dimuat sebelum pengguna masuk ke akun Windows. Kunci ini digunakan untuk aplikasi 32-bit yang berjalan pada komputer 64-bit.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Memantau perubahan pada pengaturan aplikasi.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Memantau handel menu konteks yang terhubung langsung ke Windows Explorer dan biasanya berjalan dalam proses dengan explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Memantau handel hook salinan yang terhubung langsung ke Windows Explorer dan biasanya berjalan dalam proses dengan explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Memantau pendaftaran handel overlay ikon.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Memantau pendaftaran handel overlay ikon untuk aplikasi 32-bit yang berjalan pada komputer 64-bit.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Memantau plugin objek pembantu browser baru untuk Internet Explorer. Digunakan untuk mengakses Model Objek Dokumen (DOM) dari halaman saat ini dan untuk mengontrol navigasi.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Memantau plugin objek pembantu browser baru untuk Internet Explorer. Digunakan untuk mengakses Model Objek Dokumen (DOM) halaman saat ini dan untuk mengontrol navigasi untuk aplikasi 32-bit yang berjalan pada komputer 64-bit.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions Memantau ekstensi Internet Explorer baru, seperti menu alat kustom dan tombol toolbar kustom.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Memantau ekstensi Internet Explorer baru, seperti menu alat kustom dan tombol toolbar kustom untuk aplikasi 32-bit yang berjalan pada komputer 64-bit.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Memantau driver 32-bit yang terkait dengan wavemapper, wave1 dan wave2, msacm.imaadpcm, .msadpcm, .msgsm610, dan vidc. Mirip dengan bagian [driver] dalam file system.ini.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Memantau driver 32-bit yang terkait dengan wavemapper, wave1 dan wave2, msacm.imaadpcm, .msadpcm, .msgsm610, dan vidc untuk aplikasi 32-bit yang berjalan pada komputer 64-bit. Mirip dengan bagian [driver] dalam file system.ini.
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Memantau daftar DLL sistem yang diketahui atau umum digunakan. Pemantauan mencegah orang mengeksploitasi izin direktori aplikasi yang lemah dengan meletakkan DL sistem versi kuda Trojan.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Memantau daftar paket yang dapat menerima pemberitahuan peristiwa dari winlogon.exe, model dukungan masuk interaktif untuk Windows.

Dukungan rekursi

Pelacakan Perubahan dan Inventaris mendukung rekursi, yang memungkinkan Anda menentukan wildcard untuk menyederhanakan pelacakan di seluruh direktori. Rekursi juga menyediakan variabel lingkungan untuk memungkinkan Anda melacak file di seluruh lingkungan dengan beberapa atau nama drive dinamis. Daftar berikut ini mencakup informasi umum yang harus Anda ketahui saat mengonfigurasi rekursi:

  • Wildcard diperlukan untuk melacak beberapa file.

  • Anda dapat menggunakan wildcard hanya di segmen terakhir jalur file, misalnya, c:\folder\file* atau /etc/*.conf.

  • Jika variabel lingkungan memiliki jalur yang tidak valid, validasi berhasil tetapi jalur gagal selama eksekusi.

  • Anda harus menghindari nama jalur umum saat mengatur jalur, karena jenis pengaturan ini dapat menyebabkan terlalu banyak folder dilalui.

Pengumpulan data Pelacakan Perubahan dan Inventaris

Tabel berikutnya menunjukkan frekuensi pengumpulan data untuk jenis perubahan yang didukung oleh Pelacakan Perubahan dan Inventaris. Untuk setiap jenis, rekam jepret data dari status saat ini juga direfresh setidaknya setiap 24 jam.

Jenis Perubahan Frekuensi
Registri Windows 50 menit
File Windows 30 menit
File Linux 15 menit
Layanan Windows 10 detik hingga 30 menit
Default: 30 menit
Daemon Linux 5 menit
Perangkat lunak Windows 30 menit
Perangkat lunak Linux 5 menit

Tabel berikut menunjukkan batasan item terlacak per mesin untuk Pelacakan Perubahan dan Inventaris.

Sumber daya Batas
File 500
Registri 250
Perangkat lunak Windows (tidak termasuk perbaikan) 250
Paket Linux 1250
Layanan 250
Daemon 250

Rata-rata penggunaan data Analitik Log untuk mesin menggunakan Pelacakan Perubahan dan Inventaris sekitar 40 MB per bulan, tergantung pada lingkungan Anda. Dengan fitur Penggunaan dan Perkiraan Biaya ruang kerja Analitik Log, Anda dapat melihat data yang diserap oleh Pelacakan Perubahan dan Inventaris dalam bagan penggunaan. Gunakan tampilan data ini untuk mengevaluasi penggunaan data Anda dan menentukan pengaruhnya terhadap tagihan Anda. Lihat Memahami penggunaan Anda dan memperkirakan biaya.

Data layanan Windows

Frekuensi pengumpulan default untuk layanan Windows adalah 30 menit. Anda dapat mengonfigurasi frekuensi menggunakan penggeser pada tab Layanan Windows di bawah Edit Pengaturan.

Windows services slider

Untuk mengoptimalkan performa, agen Analitik Log hanya melacak perubahan. Menetapkan ambang batas tinggi mungkin akan melewatkan perubahan jika layanan kembali ke statusnya semula. Jika tidak, mengatur frekuensi ke nilai yang lebih kecil memungkinkan Anda mengambil perubahan yang mungkin terlewatkan.

Catatan

Meskipun agen dapat melacak perubahan hingga interval 10 detik, data masih membutuhkan beberapa menit untuk ditampilkan di portal Microsoft Azure. Perubahan yang terjadi selama waktu untuk ditampilkan di portal masih dilacak dan dicatat.

Dukungan untuk pemberitahuan tentang status konfigurasi

Kemampuan utama Pelacakan Perubahan dan Inventaris memberi pemberitahuan terkait perubahan pada status konfigurasi lingkungan hibrid Anda. Banyak tindakan berguna yang tersedia untuk dipicu sebagai respons terhadap pemberitahuan. Misalnya, tindakan pada fungsi Azure, runbook Automation, webhook, dan yang lainnya. Memberi pemberitahuan terkait perubahan pada file c:\windows\system32\drivers\etc\hosts untuk mesin adalah salah satu aplikasi pemberitahuan yang baik untuk data Pelacakan Perubahan dan Inventaris. Ada lebih banyak skenario untuk memberi pemberitahuan juga, termasuk skenario kueri yang ditentukan dalam tabel berikutnya.

Kueri Deskripsi
ConfigurationChange
| di mana ConfigChangeType == "File" dan FileSystemPath berisi "c:\windows\system32\drivers\"
Berguna untuk melacak perubahan pada file yang penting bagi sistem.
ConfigurationChange
| di mana FieldsChanged berisi "FileContentChecksum" dan FileSystemPath == "c:\windows\system32\drivers\etc\hosts"
Berguna untuk melacak modifikasi pada file konfigurasi utama.
ConfigurationChange
| di mana ConfigChangeType == "WindowsServices" dan SvcName berisi "w3svc" dan SvcState == "Stopped"
Berguna untuk melacak perubahan pada file yang penting bagi sistem.
ConfigurationChange
| di mana ConfigChangeType == "Daemons" dan SvcName berisi "ssh" dan SvcState!= "Running"
Berguna untuk melacak perubahan pada file yang penting bagi sistem.
ConfigurationChange
| di mana ConfigChangeType == "Perangkat Lunak" dan ChangeCategory == "Ditambahkan"
Berguna untuk lingkungan yang memerlukan konfigurasi perangkat lunak yang dikunci.
ConfigurationData
| di mana SoftwareName berisi "Agen Pemantauan" dan CurrentVersion!= "8.0.11081.0"
Berguna untuk melihat mesin mana yang telah usang atau versi perangkat lunak yang tidak sesuai yang terinstal. Kueri ini melaporkan status konfigurasi terakhir yang dilaporkan, tetapi tidak melaporkan perubahan.
ConfigurationChange
| di mana RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"
Berguna untuk melacak perubahan pada kunci antivirus penting.
ConfigurationChange
| di mana RegistryKey berisi @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"
Berguna untuk melacak perubahan pada pengaturan firewall.

Langkah berikutnya