Rilevare le modifiche software nell'ambiente in uso con la soluzione di rilevamento modificheTrack software changes in your environment with the Change Tracking solution

Simbolo di Rilevamento modifiche

Questo articolo spiega come usare la soluzione di rilevamento delle modifiche in Log Analytics per identificare facilmente le modifiche nell'ambiente.This article helps you use the Change Tracking solution in Log Analytics to easily identify changes in your environment. La soluzione rileva le modifiche apportate al software Windows e Linux, ai file e alle chiavi del Registro di Sistema di Windows, ai servizi di Windows e ai daemon Linux.The solution tracks changes to Windows and Linux software, Windows files and registry keys, Windows services, and Linux daemons. Rilevando le modifiche alla configurazione è possibile localizzare eventuali problemi operativi.Identifying configuration changes can help you pinpoint operational issues.

La soluzione viene installata per aggiornare il tipo di agente che è stato installato.You install the solution to update the type of agent that you have installed. Vengono lette le modifiche al software installato, ai servizi di Windows e ai daemon di Linux sui server monitorati.Changes to installed software, Windows services, and Linux daemons on the monitored servers are read. Quindi, i dati vengono inviati al servizio di Log Analytics nel cloud per l'elaborazione.Then, the data is sent to the Log Analytics service in the cloud for processing. Viene applicata la logica ai dati ricevuti, quindi questi ultimi vengono registrati nel servizio cloud.Logic is applied to the received data and the cloud service records the data. Usando le informazioni nel dashboard Change Tracking, è possibile visualizzare facilmente le modifiche apportate all'infrastruttura del server.By using the information on the Change Tracking dashboard, you can easily see the changes that were made in your server infrastructure.

Installazione e configurazione della soluzioneInstalling and configuring the solution

Usare le informazioni seguenti per installare e configurare la soluzione.Use the following information to install and configure the solution.

Configurare i file di Linux da rilevareConfigure Linux files to track

Seguire questa procedura per configurare i file da rilevare in computer Linux.Use the following steps to configure files to track on Linux computers.

  1. Nel portale di OMS, fare clic su Impostazioni (simbolo dell'ingranaggio).In the OMS portal, click Settings (the gear symbol).
  2. Nella pagina Impostazioni fare clic su Dati e quindi su Rilevamento file di Linux.On the Settings page, click Data, and then click Linux File Tracking.
  3. In Rilevamento modifiche file di Linux digitare l'intero percorso, includendo il nome del file che si vuole rilevare, e quindi fare clic sul simbolo Aggiungi.Under Linux File Change Tracking, type the entire path, including the file name of the file that you want to track and then click the Add symbol. Ad esempio: "/etc/.conf"For example: "/etc/.conf"
  4. Fare clic su Salva.Click Save.

Nota

Il rilevamento dei file di Linux include funzionalità aggiuntive, tra cui il rilevamento di directory, la ricorsione tramite directory e il rilevamento di caratteri jolly.Linux file tracking has additional capabilities including directory tracking, recursion through directories, and wildcard tracking.

Configurare i file di Windows da rilevareConfigure Windows files to track

Seguire questa procedura per configurare i file da rilevare in computer Windows.Use the following steps to configure files to track on Windows computers.

  1. Nel portale di OMS, fare clic su Impostazioni (simbolo dell'ingranaggio).In the OMS portal, click Settings (the gear symbol).
  2. Nella pagina Impostazioni fare clic su Dati e poi su Rilevamento file di Windows.On the Settings page, click Data, and then click Windows File Tracking.
  3. In Rilevamento modifiche file di Windows digitare l'intero percorso, includendo il nome del file che si vuole rilevare, e fare clic sul simbolo Aggiungi.Under Windows File Change Tracking, type the entire path, including the file name of the file that you want to track and then click the Add symbol. Ad esempio: C:\Programmi (x86)\Internet Explorer\iexplore.exe o C:\Windows\System32\drivers\etc\hosts.For example: C:\Program Files (x86)\Internet Explorer\iexplore.exe or C:\Windows\System32\drivers\etc\hosts.
  4. Fare clic su Save.Click Save.
    Rilevamento modifiche file di WindowsWindows File Change Tracking

Configurare le chiavi del Registro di Sistema di Windows da rilevareConfigure Windows registry keys to track

Seguire questa procedura per configurare le chiavi del Registro di Sistema da rilevare nei computer Windows.Use the following steps to configure registry keys to track on Windows computers.

  1. Nel portale di OMS, fare clic su Impostazioni (simbolo dell'ingranaggio).In the OMS portal, click Settings (the gear symbol).
  2. Nella pagina Impostazioni fare clic su Dati e poi su Rilevamento del Registro di sistema di Windows.On the Settings page, click Data, and then click Windows Registry Tracking.
  3. In Rilevamento modifiche del Registro di sistema di Windows digitare l'intera chiave che si vuole rilevare e fare clic sul simbolo Aggiungi.Under Windows Registry Change Tracking, type the entire key that you want to track and then click the Add symbol.
  4. Fare clic su Salva.Click Save.
    Rilevamento modifiche del Registro di sistema WindowsWindows Registry Change Tracking

Spiegazione delle proprietà di raccolta di file di LinuxExplanation of Linux File Collection Properties

  1. TipoType
    • File (Indicare i metadati di file: dimensioni, data di modifica, hash, ecc.)File (Report file metadata - size, modification date, hash, etc.)
    • Directoy (Indicare i metadati di directory: dimensioni, data di modifica, ecc.)Directory (Report directory metadata - size, modification date, etc.)
  2. Collegamenti (Gestione dei riferimenti dei collegamenti simbolici di Linux ad altri file o directory)Links (Handling Linux symlink references to other files or directories)

    • Ignora (ignorare i collegamenti simbolici durante le ricorsioni per non includere i file/le directory a cui viene fatto riferimento)Ignore (Ignore symlinks during recursion to not include the files/directories referenced)
    • Segui (Seguire i collegamenti simbolici durante la ricorsione per includere anche i file/le directory a cui viene fatto riferimento)Follow (Follow the symlinks during recursion to also include the files/directories referenced)
    • Gestisci (Seguire i collegamenti simbolici e modificare la modalità di gestione del contenuto restituito)Manage (Follow the symlinks and alter the treatment of returned content)

    Nota

    Questa opzione dei collegamenti "Gestisci" non è consigliata.The "Manage" links option is not recommended. Il recupero del contenuto del file non è supportato.File content retrieval is not supported.

  3. Esegui ricorsione (Eseguire la ricorsione dei livelli di cartelle e rilevare tutti i file che soddisfano l'istruzione di percorso)Recurse (Recurse through folder levels and track all files meeting the path statement)

  4. Sudo (Consentire di accedere a file o directory che richiedono il privilegio sudo)Sudo (Enable access files or directories that require sudo privilege)

LimitazioniLimitations

La soluzione di Rilevamento modifiche non supporta attualmente gli elementi seguenti:The Change Tracking solution does not currently support the following items:

  • Cartelle (directory) per Rilevamento file di WindowsFolders (directories) for Windows File Tracking
  • Ricorsione per Rilevamento file di WindowsRecursion for Windows File Tracking
  • Caratteri jolly per Rilevamento file di WindowsWild cards for Windows File Tracking
  • Variabili di percorsoPath variables
  • File system di reteNetwork file systems
  • File ContentFile Content

Altre limitazioni:Other limitations:

  • La colonna Dimensioni massime file e i valori non sono usati nell'implementazione corrente.The Max File Size column and values are unused in the current implementation.
  • Se si raccolgono oltre 2500 file in un ciclo di recupero di 30 minuti, è possibile assistere a una riduzione delle prestazioni della soluzione.If you collect more than 2500 files in the 30-minute collection cycle, solution performance might be degraded.
  • Quando il traffico di rete è elevato, i record di modifica possono impiegare fino a un massimo di sei ore prima di essere visualizzati.When network traffic is high, change records may take up to a maximum of six hours to display.
  • Se si modifica la configurazione mentre un computer è arrestato, il computer potrebbe registrare le modifiche ai file che appartenevano alla configurazione precedente.If you modify the configuration while a computer is shut down, the computer might post file changes that belonged to the previous configuration.

Problemi notiKnown Issues

La soluzione Rilevamento modifiche sta riscontrando attualmente i problemi seguenti:The Change Tracking solution is currently experiencing the following issues:

  • Gli aggiornamenti rapidi non vengono raccolti per le macchine Windows 10 Creators Update e Windows Server 2016 Core RS3.Hotfix updates are not collected for Windows 10 Creators Update and Windows Server 2016 Core RS3 machines.

Informazioni dettagliate sulla raccolta dei dati di Change TrackingChange Tracking data collection details

Change Tracking consente di raccogliere l'inventario software e i metadati del servizio Windows tramite gli agenti abilitati.Change Tracking collects software inventory and Windows Service metadata using the agents that you have enabled.

La tabella seguente mostra i metodi di raccolta di dati e altre informazioni dettagliate sul modo in cui vengono raccolti i dati per Change Tracking.The following table shows data collection methods and other details about how data is collected for Change Tracking.

piattaformaplatform Agente direttoDirect Agent Agente di Operations ManagerOperations Manager agent Agente LinuxLinux agent Archiviazione di AzureAzure Storage È necessario Operations Manager?Operations Manager required? Dati dell'agente Operations Manager inviati con il gruppo di gestioneOperations Manager agent data sent via management group Frequenza della raccoltaCollection frequency
Windows e LinuxWindows and Linux Da 5 minuti a 50 minuti, a seconda del tipo di modifica.5 minutes to 50 minutes, depending on the change type. Per altre informazioni, vedere la tabella seguente.For more information, view the following table.

La tabella seguente mostra la frequenza di raccolta dati per i tipi di modifiche.The following table shows the data collection frequency for the types of changes.

tipo di modificachange type frequencyfrequency L'agente invia le differenze quando vengono rilevate? Does agent send differences when found?
Registro di sistema di WindowsWindows registry 50 minuti50 minutes NoNo
File WindowsWindows file 30 minuti30 minutes Sì.Yes. Se non si verifica alcun cambiamento in 24 ore, viene inviato uno snapshot.If there is no change in 24 hours, a snapshot is sent.
File LinuxLinux file 15 minuti15 minutes Sì.Yes. Se non si verifica alcun cambiamento in 24 ore, viene inviato uno snapshot.If there is no change in 24 hours, a snapshot is sent.
Servizi WindowsWindows services 30 minuti30 minutes Sì, ogni 30 minuti quando vengono rilevate modifiche.Yes, every 30 minutes when changes are found. Ogni 24 ore viene inviato uno snapshot, indipendentemente dalle modifiche.Every 24 hours a snapshot is sent, regardless of change. Pertanto, lo snapshot viene inviato anche se sono state apportate modifiche.So, the snapshot is sent even where there are no changes.
Daemon LinuxLinux daemons 5 minuti5 minutes Sì.Yes. Se non si verifica alcun cambiamento in 24 ore, viene inviato uno snapshot.If there is no change in 24 hours, a snapshot is sent.
Software WindowsWindows software 30 minuti30 minutes Sì, ogni 30 minuti quando vengono rilevate modifiche.Yes, every 30 minutes when changes are found. Ogni 24 ore viene inviato uno snapshot, indipendentemente dalle modifiche.Every 24 hours a snapshot is sent, regardless of change. Pertanto, lo snapshot viene inviato anche se sono state apportate modifiche.So, the snapshot is sent even where there are no changes.
Software LinuxLinux software 5 minuti5 minutes Sì.Yes. Se non si verifica alcun cambiamento in 24 ore, viene inviato uno snapshot.If there is no change in 24 hours, a snapshot is sent.

Rilevamento delle modifiche della chiave del Registro di SistemaRegistry key change tracking

Log Analytics esegue il monitoraggio e rilevamento del Registro di sistema Windows con la soluzione Rilevamento modifiche.Log Analytics performs Windows registry monitoring and tracking with the Change Tracking solution. Lo scopo del monitoraggio delle modifiche alle chiavi del Registro di sistema è di eseguire il pinpoint dei punti di estensibilità dove è possibile che vengano attivati codice di terze parti e malware.The purpose of monitoring changes to registry keys is to pinpoint extensibility points where third-party code and malware can activate. L'elenco seguente mostra le chiavi del Registro di sistema predefinite che vengono rilevate dalla soluzione e perché.The following list shows the default registry keys that are tracked by the solution and why each is tracked.

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\StartupHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup
    • Monitora gli script eseguiti all'avvio.Monitors scripts that run at startup.
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\ShutdownHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown
    • Monitora gli script eseguiti all'arresto del sistema.Monitors scripts that run at shutdown.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
    • Monitora le chiavi che vengono caricate prima dell'accesso degli utenti nel proprio account di Windows.Monitors keys that are loaded before the user signs in to their Windows account. La chiave viene usata per i programmi a 32 bit in esecuzione nei computer a 64 bit.The key is used for 32-bit programs running on 64-bit computers.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed ComponentsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
    • Monitora le modifiche apportate alle impostazioni dell'applicazione.Monitors changes to application settings.
  • HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlersHKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers
    • Monitora le voci di avvio automatico che si collegano direttamente in Esplora risorse e che in genere funzionano in-process con Explorer.exe.Monitors common autostart entries that hook directly into Windows Explorer and usually run in-process with Explorer.exe.
  • HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlersHKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers
    • Monitora le voci di avvio automatico che si collegano direttamente in Esplora risorse e che in genere funzionano in-process con Explorer.exe.Monitors common autostart entries that hook directly into Windows Explorer and usually run in-process with Explorer.exe.
  • HKEY_LOCAL_MACHINE\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlersHKEY_LOCAL_MACHINE\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
    • Monitora le voci di avvio automatico che si collegano direttamente in Esplora risorse e che in genere funzionano in-process con Explorer.exe.Monitors common autostart entries that hook directly into Windows Explorer and usually run in-process with Explorer.exe.
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiersHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
    • Monitora la registrazione del gestore della sovrapposizione delle icone.Monitors for icon overlay handler registration.
  • HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiersHKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
    • Monitora la registrazione del gestore della sovrapposizione delle icone per i programmi a 32 bit in esecuzione su computer a 64 bit.Monitors for icon overlay handler registration for 32-bit programs running on 64-bit computers.
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper ObjectsHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    • Monitora i nuovi plug-in dell'oggetto browser helper per Internet Explorer.Monitors for new browser helper object plugins for Internet Explorer. Usati per accedere al DOM (Document Object Model) della pagina corrente e per controllare la navigazione.Used to access the Document Object Model (DOM) of the current page and to control navigation.
  • HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper ObjectsHKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    • Monitora i nuovi plug-in dell'oggetto browser helper per Internet Explorer.Monitors for new browser helper object plugins for Internet Explorer. Usati per accedere al DOM (Document Object Model) della pagina corrente e per controllare la navigazione per i programmi a 32 bit in esecuzione su computer a 64 bit.Used to access the Document Object Model (DOM) of the current page and to control navigation for 32-bit programs running on 64-bit computers.
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ExtensionsHKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions
    • Monitora le nuove estensioni di Internet Explorer, come i menu degli strumenti personalizzati e i pulsanti della barra degli strumenti personalizzata.Monitors for new Internet Explorer extensions, such as custom tool menus and custom toolbar buttons.
  • HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\ExtensionsHKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions
    • Monitora le nuove estensioni di Internet Explorer, come i menu degli strumenti personalizzati e i pulsanti della barra degli strumenti personalizzata per i programmi a 32 bit in esecuzione su computer a 64 bit.Monitors for new Internet Explorer extensions, such as custom tool menus and custom toolbar buttons for 32-bit programs running on 64-bit computers.
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32
    • Monitora i driver a 32 bit associati con wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc.Monitors the 32-bit drivers associated with wavemapper, wave1 and wave2, msacm.imaadpcm, .msadpcm, .msgsm610, and vidc. È simile alla sezione [driver] nel file SYSTEM.INI.Similar to the [drivers] section in the SYSTEM.INI file.
  • HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32
    • Monitora i driver a 32 bit associati con wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc per i programmi a 32 bit in esecuzione su computer a 64 bit.Monitors the 32-bit drivers associated with wavemapper, wave1 and wave2, msacm.imaadpcm, .msadpcm, .msgsm610, and vidc for 32-bit programs running on 64-bit computers. È simile alla sezione [driver] nel file SYSTEM.INI.Similar to the [drivers] section in the SYSTEM.INI file.
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDllsHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls
    • Monitora l'elenco delle DLL di sistema note o comunemente usate. Questo sistema impedisce alle persone di sfruttare autorizzazioni vulnerabili delle directory delle applicazioni rilasciando trojan nelle DLL di sistema.Monitors the list of known or commonly used system DLLs; this system prevents people from exploiting weak application directory permissions by dropping in Trojan horse versions of system DLLs.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\NotifyHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
    • Monitora l'elenco dei pacchetti in grado di ricevere le notifiche degli eventi da Winlogon, il modello di supporto di accesso interattivo per il sistema operativo Windows.Monitors the list of packages able to receive event notifications from Winlogon, the interactive logon support model for the Windows operating system.

Uso di Change TrackingUse Change Tracking

Dopo l'installazione della soluzione, è possibile visualizzare il riepilogo delle modifiche per i server monitorati usando il riquadro Rilevamento modifiche nella pagina Panoramica di OMS.After the solution is installed, you can view the summary of changes for your monitored servers by using the Change Tracking tile on the Overview page in OMS.

immagine del riquadro Change Tracking

È possibile vedere le modifiche all'infrastruttura e quindi analizzare i dettagli per le categorie seguenti:You can view changes to your infrastructure and then drill-into details for the following categories:

  • Modifiche per tipo di configurazione per i servizi software e di Windows.Changes by configuration type for software and Windows services
  • Modifiche software ad applicazioni e aggiornamenti per singoli server.Software changes to applications and updates for individual servers
  • Numero totale di modifiche software per ogni applicazione.Total number of software changes for each application
  • Pacchetti LinuxLinux packages
  • Modifiche dei servizi di Windows per singoli server.Windows service changes for individual servers
  • Modifiche a daemon LinuxLinux daemon changes

image of Change Tracking dashboard

image of Change Tracking dashboard

Per visualizzare le modifiche di qualsiasi tipoTo view changes for any change type

  1. Nella pagina Panoramica fare clic sul riquadro Rilevamento modifiche.On the Overview page, click the Change Tracking tile.
  2. Nel dashboard Rilevamento modifiche esaminare le informazioni di riepilogo in uno dei pannelli dei tipi di modifiche e quindi fare clic su un tipo per visualizzare le relative informazioni dettagliate nella pagina di ricerca nei log.On the Change Tracking dashboard, review the summary information in one of the change type blades and then click one to view detailed information about it in the log search page.
  3. In una pagina di ricerca di log qualsiasi è possibile visualizzare i risultati in base all'ora, ai dettagli e alla cronologia di ricerca.On any of the log search pages, you can view results by time, detailed results, and your log search history. È anche possibile filtrare per facet in modo da limitare i risultati.You can also filter by facets to narrow the results.

Passaggi successiviNext steps