Change Tracking ソリューションを使用してユーザーの環境内の変更を追跡するTrack changes in your environment with the Change Tracking solution

この記事では、Change Tracking ソリューションを使用して、ユーザーの環境内の変更箇所を簡単に識別する方法を説明します。This article helps you use the Change Tracking solution to easily identify changes in your environment. このソリューションは、Windows および Linux ソフトウェア、Windows および Linux ファイル、Windows レジストリ キー、Windows サービス、および Linux デーモンに対する変更を追跡します。The solution tracks changes to Windows and Linux software, Windows and Linux files, Windows registry keys, Windows services, and Linux daemons. 構成の変更を識別することで、運用上の問題を特定できるようになります。Identifying configuration changes can help you pinpoint operational issues.

監視対象サーバーにインストールされているソフトウェア、Windows サービス、Windows レジストリとファイル、および Linux デーモンの変更が、クラウドの Azure Monitor サービスに送信され、処理されます。Changes to installed software, Windows services, Windows registry and files, and Linux daemons on the monitored servers are sent to the Azure Monitor service in the cloud for processing. 受信したデータにロジックが適用され、クラウド サービスによってそのデータが記録されます。Logic is applied to the received data and the cloud service records the data. [変更の追跡] ダッシュボードの情報を使用して、サーバー インフラストラクチャで行われた変更を簡単に確認できます。By using the information on the Change Tracking dashboard, you can easily see the changes that were made in your server infrastructure.

注意

Azure Automation Change Tracking では、仮想マシンでの変更が追跡されます。Azure Automation Change Tracking tracks changes in virtual machines. Azure Resource Manager のプロパティの変更を追跡するには、Azure Resource Graph の変更履歴を参照してください。To track Azure Resource Manager property changes, see Azure Resource Graph's Change history.

サポートされている Windows オペレーティング システムSupported Windows operating systems

Windows エージェントでは、次のバージョンの Windows オペレーティング システムが正式にサポートされています。The following versions of the Windows operating system are officially supported for the Windows agent:

  • Windows Server 2008 R2 以降Windows Server 2008 R2 or later

サポートされている Linux オペレーティング システムSupported Linux operating systems

次の Linux ディストリビューションは公式にサポートされています。The following Linux distributions are officially supported. ただし、Linux エージェントは、ここに記載されていないディストリビューションでも動作する可能性があります。However, the Linux agent might also run on other distributions not listed. 記載されている各メジャー バージョンのマイナー リリースは、特に記載がない限りすべてサポートされます。Unless otherwise noted, all minor releases are supported for each major version listed.

64 ビット64-bit

  • CentOS 6 および 7CentOS 6 and 7
  • Amazon Linux 2017.09Amazon Linux 2017.09
  • Oracle Linux 6 および 7Oracle Linux 6 and 7
  • Red Hat Enterprise Linux Server 6 および 7Red Hat Enterprise Linux Server 6 and 7
  • Debian GNU/Linux 8 および 9Debian GNU/Linux 8 and 9
  • Ubuntu Linux 14.04 LTS、16.04 LTS、および 18.04 LTSUbuntu Linux 14.04 LTS, 16.04 LTS, and 18.04 LTS
  • SUSE Linux Enterprise Server 12SUSE Linux Enterprise Server 12

32 ビット32-bit

  • CentOS 6CentOS 6
  • Oracle Linux 6Oracle Linux 6
  • Red Hat Enterprise Linux Server 6Red Hat Enterprise Linux Server 6
  • Debian GNU/Linux 8 および 9Debian GNU/Linux 8 and 9
  • Ubuntu Linux 14.04 LTS および 16.04 LTSUbuntu Linux 14.04 LTS and 16.04 LTS

Change Tracking とインベントリの有効化Enable Change Tracking and Inventory

変更の追跡を開始するには、Change Tracking および Inventory ソリューションを有効にする必要があります。To begin tracking changes, you need to enable the Change Tracking and Inventory solution. Change Tracking と Inventory にマシンをオンボーディングする方法は多数あります。There are many ways to onboard machines to Change Tracking and Inventory. 以下に、推奨およびサポートされている、ソリューションにオンボードする方法を示します。The following are the recommended and supported ways to onboard the solution.

Change Tracking と Inventory の構成Configuring Change Tracking and Inventory

ソリューションにコンピューターをオンボードする方法については、Automation ソリューションのオンボードに関するページを参照してください。To learn how to onboard computers to the solution visit: Onboarding Automation solutions. Change Tracking と Inventory ソリューションでのマシンのオンボードが完了したら、追跡する項目を構成できます。新しいファイルまたはレジストリ キーの追跡を有効にすると、Change Tracking と Inventory の両方に対して有効になります。Once you have a machine onboarding with the Change Tracking and Inventory solution, you can configure the items to track. When you enable a new file or registry key to track, it is enabled for both Change Tracking and Inventory.

Windows と Linux の両方でファイルの変更を追跡する場合、ファイルの MD5 ハッシュが使用されます。For tracking changes in files on both Windows and Linux, MD5 hashes of the files are used. これらのハッシュは、前回のインベントリから変更が加えられたかどうかを検出するために使用されます。Theses hashes are then used to detect if a change has been made since the last inventory.

Azure Security Center のファイルの整合性の監視File Integrity Monitoring in Azure Security Center

Azure Security Center は、Azure Change Tracking 上に構築されたファイルの整合性の監視 (FIM) を追加しました。Azure Security Center has added File Integrity Monitoring (FIM) built on Azure Change Tracking. FIM はファイルとレジストリのみを監視しますが、完全な Change Tracking ソリューションには次のものも含まれます。While FIM monitors Files and Registries only, the full Change Tracking solution also includes:

  • ソフトウェアの変更Software changes
  • Windows サービスWindows Services
  • Linux デーモンLinux Daemons

FIM が既に有効になっていて、完全な Change Tracking ソリューションを試したい場合は、次の手順を実行する必要があります。If you have already enabled FIM and would like to try out the full Change Tracking solution, you need to perform the following steps. お使いの設定はこの処理によって削除されません。You settings are not removed by this process.

注意

完全な Change Tracking ソリューションを有効にすると、追加料金が発生することがあります。詳細については、「Automation の価格」を参照してください。Enabling the full Change Tracking solution may cause additional charges, for more information, see Automation Pricing.

  1. ワークスペースに移動し、インストールされている監視ソリューションの一覧から監視ソリューションを見つけて削除します。Remove the monitoring solution by navigating to the workspace and locating it in the List of installed monitoring solutions.
  2. 監視ソリューションを削除する」で説明されているように、ソリューション名をクリックして [概要] ページを開き、 [削除] をクリックします。Click on the name of the solution to open its summary page and then click on Delete, as detailed in Remove a monitoring solution.
  3. Automation アカウントに移動し、 [構成管理] のリソース メニューから [Change Tracking](変更の追跡) を選択して、ソリューションを再度有効にします。Re-enable the solution by navigating to the Automation account and selecting Change Tracking from the resource menu under Configuration Management.
  4. ワークスペースの設定の詳細を確認し、 [Enable](有効にする) をクリックします。Confirm your workspace setting details, and click Enable.

追跡する Linux ファイルを構成するConfigure Linux files to track

次の手順を使用して、Linux コンピューターでのファイル追跡を構成します。Use the following steps to configure file tracking on Linux computers:

  1. Automation アカウントで、 [構成管理][Change Tracking](変更の追跡) を選択します。In your Automation Account, select Change tracking under CONFIGURATION MANAGEMENT. [設定の編集] (歯車アイコン) をクリックします。Click Edit Settings (the gear symbol).
  2. [変更の追跡] ページで、 [Linux ファイル] を選択し、 [+ 追加] をクリックして、追跡する新しいファイルを追加します。On the Change Tracking page, select Linux Files, then click + Add to add a new file to track.
  3. [変更履歴用の Linux ファイルを追加する] で、追跡するファイルまたはディレクトリの情報を入力し、 [保存] をクリックします。On the Add Linux File for Change Tracking, enter the information for the file or directory to track and click Save.
プロパティProperty [説明]Description
有効Enabled 設定が適用されるかどうかを決定します。Determines if the setting is applied.
Item NameItem Name 追跡するファイルのフレンドリ名。Friendly name of the file to be tracked.
GroupGroup ファイルを論理的にグループ化するためのグループ名。A group name for logically grouping files.
パスの入力Enter Path ファイル確認のためのパス。The path to check for the file. 例: "/etc/*.conf"For example: "/etc/*.conf"
パスの種類Path Type 追跡する項目の種類。"ファイル" または "ディレクトリ" を指定できます。Type of item to be tracked, possible values are File and Directory.
再帰Recursion 追跡する項目を検索するときに、再帰を使用するかどうかを決定します。Determines if recursion is used when looking for the item to be tracked.
sudo の使用Use Sudo この設定により、項目を確認するときに、sudo を使用するかどうかが決まります。This setting determines if sudo is used when checking for the item.
リンクLinks この設定により、ディレクトリを走査するときの、シンボリック リンクの処理方法が決まります。This setting determines how symbolic links dealt with when traversing directories.
無視 - シンボリック リンクを無視し、参照先のファイル/ディレクトリを含めません。Ignore - Ignores symbolic links and doesn't include the files/directories referenced.
フォロー - 再帰中、シンボリック リンクに従います。参照先のファイル/ディレクトリも含めます。Follow - Follows the symbolic links during recursion and also includes the files/directories referenced.
管理 - シンボリック リンクに従います。また、返却された内容の変更を許可します。Manage - Follows the symbolic links and allows altering of returned content.
すべての設定のファイル コンテンツをアップロードするUpload file content for all settings 追跡した変更についてファイル コンテンツのアップロードをオンまたはオフにします。Turns on or off file content upload on tracked changes. 使用できるオプションは True または False です。Available options: True or False.

注意

"管理" リンク オプションはお勧めしません。The "Manage" links option is not recommended. ファイルのコンテンツの取得はサポートされていません。File content retrieval is not supported.

追跡する Windows ファイルの構成Configure Windows files to track

次の手順を使用して、Windows コンピューターでのファイル追跡を構成します。Use the following steps to configure files tracking on Windows computers:

  1. Automation アカウントで、 [構成管理][Change Tracking](変更の追跡) を選択します。In your Automation Account, select Change tracking under CONFIGURATION MANAGEMENT. [設定の編集] (歯車アイコン) をクリックします。Click Edit Settings (the gear symbol).
  2. [Change Tracking](変更の追跡) ページで、 [Windows ファイル] を選択し、 [+ 追加] をクリックして、追跡する新しいファイルを追加します。On the Change Tracking page, select Windows Files, then click + Add to add a new file to track.
  3. [変更履歴用の Windows ファイルを追加する] で、追跡するファイルの情報を入力し、 [保存] をクリックします。On the Add Windows File for Change Tracking, enter the information for the file to track and click Save.
プロパティProperty [説明]Description
有効Enabled 設定が適用されるかどうかを決定します。Determines if the setting is applied.
Item NameItem Name 追跡するファイルのフレンドリ名。Friendly name of the file to be tracked.
GroupGroup ファイルを論理的にグループ化するためのグループ名。A group name for logically grouping files.
パスの入力Enter Path ファイル確認のためのパス (例: "c:\temp\*.txt")。The path to check for the file For example: "c:\temp\*.txt"
"%winDir%\System32\*.*" などの環境変数も使用できます。You can also use environment variables such as "%winDir%\System32\*.*"
再帰Recursion 追跡する項目を検索するときに、再帰を使用するかどうかを決定します。Determines if recursion is used when looking for the item to be tracked.
すべての設定のファイル コンテンツをアップロードするUpload file content for all settings 追跡した変更についてファイル コンテンツのアップロードをオンまたはオフにします。Turns on or off file content upload on tracked changes. 使用できるオプションは True または False です。Available options: True or False.

ワイルドカード、再帰、環境設定Wildcard, recursion, and environment settings

再帰を使用すると、ワイルドカードを指定することで、複数のディレクトリを対象とした追跡を簡単に行うことができます。また、環境変数を指定すれば、複数のドライブ名や動的なドライブ名を使って、複数の環境を対象にファイルを追跡できます。Recursion allows you to specify wildcards to simplify tracking across directories, and environment variables to allow you to track files across environments with multiple or dynamic drive names. 次の一覧に、再帰を構成するときに知っておくべき基本的な情報を示します。The following list shows common information you should know when configuring recursion:

  • 複数のファイルを追跡するにはワイルドカードが必要です。Wildcards are required for tracking multiple files
  • ワイルドカードは、パスの最後のセグメントでしか使用できませんIf using wildcards, they can only be used in the last segment of a path. (c:\folder\*file*/etc/*.conf など)。(such as c:\folder\*file* or /etc/*.conf)
  • 環境変数に無効なパスが存在する場合、検証は成功しますが、インベントリの実行時にそのパスはエラーになります。If an environment variable has an invalid path, validation will succeed but that path will fail when inventory runs.
  • パスを設定するとき、漠然としたパス (c:\*.* など) は避けてください。走査の対象になるフォルダーが膨大な数に上ります。Avoid general paths such as c:\*.* when setting the path, as this would result in too many folders being traversed.

ファイル コンテンツの追跡を構成するConfigure File Content tracking

ファイル コンテンツの変更の追跡を使用して、ファイル変更の前後のコンテンツを表示できます。You can view the contents before and after a change of a file with File Content Change Tracking. これは、Windows および Linux ファイルに対して使用できます。ファイルが変更されるたびに、ファイルのコンテンツがストレージ アカウントに格納され、変更の前後のファイルがインラインで、または横に並べて表示されます。This is available for Windows and Linux files, for each change to the file, the contents of the file is stored in a storage account, and shows the file before and after the change, inline, or side by side. 詳細については、追跡されたファイルのコンテンツの表示に関するページを参照してください。To learn more, see View the contents of a tracked file.

ファイル内の変更を表示する

追跡する Windows レジストリ キーを構成するConfigure Windows registry keys to track

次の手順を使用して、Windows コンピューターでのレジストリ キー追跡を構成します。Use the following steps to configure registry key tracking on Windows computers:

  1. Automation アカウントで、 [構成管理][Change Tracking](変更の追跡) を選択します。In your Automation Account, select Change tracking under CONFIGURATION MANAGEMENT. [設定の編集] (歯車アイコン) をクリックします。Click Edit Settings (the gear symbol).
  2. [Change Tracking](変更の追跡) ページで、 [Windows レジストリ] を選択し、 [+ 追加] をクリックして、追跡する新しいレジストリ キーを追加します。On the Change Tracking page, select Windows Registry, then click + Add to add a new registry key to track.
  3. [変更履歴用の Windows レジストリを追加する] で、追跡するキーの情報を入力し、 [保存] をクリックします。On the Add Windows Registry for Change Tracking, enter the information for the key to track and click Save.
プロパティProperty [説明]Description
有効Enabled 設定が適用されるかどうかを決定します。Determines if the setting is applied.
Item NameItem Name 追跡するレジストリ キーのフレンドリ名。Friendly name of the registry key to be tracked.
GroupGroup レジストリ キーを論理的にグループ化するためのグループ名。A group name for logically grouping registry keys.
Windows レジストリ キーWindows Registry Key レジストリ キーを確認するためのパス。The path to check for the registry key. 次に例を示します。"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Startup"For example: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Startup"

制限事項Limitations

現在、Change Tracking ソリューションでは以下の項目に対応していません。The Change Tracking solution doesn't currently support the following items:

  • Windows レジストリ追跡用の再帰Recursion for Windows registry tracking
  • ネットワーク ファイル システムNetwork file systems

その他の制限事項:Other limitations:

  • [最大ファイル サイズ] 列と値は現在の実装では使用されません。The Max File Size column and values are unused in the current implementation.
  • 30 分間の収集サイクルで収集するファイル数が 2500 を超えると、ソリューションのパフォーマンスが低下する可能性があります。If you collect more than 2500 files in the 30-minute collection cycle, solution performance might be degraded.
  • ネットワーク トラフィックが高いとき、変更レコードが表示されるまでに最大 6 時間かかることがあります。When network traffic is high, change records may take up to six hours to display.
  • コンピューターのシャットダウン中に構成を変更した場合、そのコンピューターから前の構成に対応する変更が送信される可能性があります。If you modify the configuration while a computer is shut down, the computer might post changes that belonged to the previous configuration.

既知の問題Known Issues

現在、Change Tracking ソリューションでは、以下の問題が発生しています。The Change Tracking solution is currently experiencing the following issues:

  • Windows Server 2016 Core RS3 マシンについては、修正プログラムの更新は収集されていません。Hotfix updates are not collected on Windows Server 2016 Core RS3 machines.
  • Linux デーモンは、変更がなかった場合でも、変更された状態を表示する可能性があります。Linux Daemons may show a changed state even though there was no change. これは、SvcRunLevels フィールドのキャプチャ方法が原因です。This is due to how the SvcRunLevels field is captured.

変更の追跡データ収集の詳細Change Tracking data collection details

次の表は、変更の種類ごとにデータ収集の頻度を示したものです。The following table shows the data collection frequency for the types of changes. すべての種類について、現在の状態のデータ スナップショットも、少なくとも 24 時間ごとに更新されます。For every type the data snapshot of the current state is also refreshed at least every 24 hours:

変更の種類Change type 頻度Frequency
Windows レジストリWindows registry 50 分50 minutes
Windows ファイルWindows file 30 分30 minutes
Linux ファイルLinux file 約 15 分15 minutes
Windows サービスWindows services 10 秒から 30 分10 seconds to 30 minutes
既定値は30 分Default: 30 minutes
Linux デーモンLinux daemons 5 分5 minutes
Windows ソフトウェアWindows software 30 分30 minutes
Linux ソフトウェアLinux software 5 分5 minutes

次の表は、Change Tracking でのマシンごとの追跡項目制限を示します。The following table shows the tracked item limits per machine for Change Tracking.

リソースResource 制限Limit メモNotes
ファイルFile 500500
レジストリRegistry 250250
Windows ソフトウェアWindows software 250250 ソフトウェア修正プログラムは含まれませんDoesn't include software hotfixes
Linux パッケージLinux packages 12501250
サービスServices 250250
デーモンDaemon 250250

Change Tracking と Inventory を使用しているマシンでの Log Analytics の平均データ使用量は、1 か月あたり約 40 MB です。The average Log Analytics data usage for a machine using Change Tracking and Inventory is approximately 40MB per month. この値は概数にすぎず、環境によって異なる可能性があります。This value is only an approximation and is subject to change based on your environment. お使いの環境を監視し、実際に必要な正確な使用量を確認することをお勧めします。It's recommended that you monitor your environment to see the exact usage that you have.

Windows サービスの追跡Windows service tracking

Windows サービスに対する既定の収集の頻度は 30 分です。The default collection frequency for Windows services is 30 minutes. この頻度を構成するには、 [変更の追跡] に移動します。To configure the frequency, go to Change Tracking. [Windows サービス] タブの [設定の編集] には、Windows サービスに対する収集の頻度を 10 秒から 30 分まで変更できるスライダーがあります。Under Edit Settings on the Windows Services tab, there's a slider that allows you to change the collection frequency for Windows services from as quickly as 10 seconds to as long as 30 minutes. このスライダーを必要な頻度に移動すると、その頻度が自動的に保存されます。Move the slider bar to the frequency you want and it automatically saves it.

Windows サービスのスライダー

エージェントは変更のみを追跡します。これにより、エージェントのパフォーマンスが最適化されます。The agent only tracks changes, this optimizes the performance of the agent. 大きいしきい値を設定すると、サービスがその元の状態に戻した場合に変更が検出されない可能性があります。Setting a high threshold may miss changes if the service reverted to their original state. 頻度を小さな値に設定すると、そうしないと検出されなかった可能性がある変更を捕まえることができます。Setting the frequency to a smaller value allows you to catch changes that may be missed otherwise.

注意

エージェントは変更を 10 秒の間隔まで追跡できますが、データがポータルに表示されるにはまだ数分かかります。While the agent can track changes down to a 10 second interval, the data still takes a few minutes to be displayed in the portal. ポータルに表示される期間中の変更も引き続き追跡され、ログに記録されます。Changes during the time to display in the portal are still tracked and logged.

レジストリ キーの変更追跡Registry key change tracking

レジストリ キーへの変更を監視する目的は、サード パーティのコードやマルウェアがアクティブ化できる拡張性のポイントを正確に特定することです。The purpose of monitoring changes to registry keys is to pinpoint extensibility points where third-party code and malware can activate. 次の一覧は、事前構成されたレジストリ キーを示しています。The following list shows the list of pre-configured registry keys. これらのキーは構成されていますが、有効にはなっていません。These keys are configured but not enabled. これらのレジストリ キーを追跡するには、それぞれを有効にする必要があります。To track these registry keys, you must enable each one.

レジストリ キーRegistry Key 目的Purpose
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Windows Explorer に直接フックされ、通常は Explorer.exe でインプロセスで実行される共通自動開始エントリを監視します。Monitors common autostart entries that hook directly into Windows Explorer and usually run in-process with Explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup スタートアップ時に実行されるスクリプトを監視します。Monitors scripts that run at startup.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown シャットアップ時に実行されるスクリプトを監視します。Monitors scripts that run at shutdown.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run ユーザーが Windows アカウントにサインインする前に読み込まれるキーを監視します。Monitors keys that are loaded before the user signs in to their Windows account. このキーは、64 ビット コンピューターで実行される 32 ビット プログラムに使用されます。The key is used for 32-bit programs running on 64-bit computers.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components アプリケーションの設定の変更を監視します。Monitors changes to application settings.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Windows Explorer に直接フックされ、通常は Explorer.exe でインプロセスで実行される共通自動開始エントリを監視します。Monitors common autostart entries that hook directly into Windows Explorer and usually run in-process with Explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Windows Explorer に直接フックされ、通常は Explorer.exe でインプロセスで実行される共通自動開始エントリを監視します。Monitors common autostart entries that hook directly into Windows Explorer and usually run in-process with Explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers アイコン オーバーレイ ハンドラーの登録を監視します。Monitors for icon overlay handler registration.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers 64 ビット コンピューターで実行される 32 ビット プログラムのアイコン オーバーレイ ハンドラーの登録を監視します。Monitors for icon overlay handler registration for 32-bit programs running on 64-bit computers.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Internet Explorer の新しいブラウザー ヘルパー オブジェクト プラグインを監視します。Monitors for new browser helper object plugins for Internet Explorer. 現在のページのドキュメント オブジェクト モデル (DOM) にアクセスし、ナビゲーションを制御するときに使用されます。Used to access the Document Object Model (DOM) of the current page and to control navigation.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Internet Explorer の新しいブラウザー ヘルパー オブジェクト プラグインを監視します。Monitors for new browser helper object plugins for Internet Explorer. 現在のページのドキュメント オブジェクト モデル (DOM) にアクセスし、64 ビットコンピューターで実行される 32 ビット プログラムのナビゲーションを制御するときに使用されます。Used to access the Document Object Model (DOM) of the current page and to control navigation for 32-bit programs running on 64-bit computers.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions カスタム ツール メニューやカスタム ツール バー ボタンなどの新しい Internet Explorer の拡張機能を監視します。Monitors for new Internet Explorer extensions, such as custom tool menus and custom toolbar buttons.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions 64 ビットコンピューターで実行される 32 ビット プログラムのカスタム ツールのメニューや 64 ビット コンピューター上で実行する 32 ビット プログラムのカスタム ツール バー ボタンなどの新しい Internet Explorer の拡張機能を監視します。Monitors for new Internet Explorer extensions, such as custom tool menus and custom toolbar buttons for 32-bit programs running on 64-bit computers.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 wavemapper、wave1、wave2、msacm.imaadpcm、.msadpcm、.msgsm610、および vidc に関連付けられている 32 ビット ドライバーを監視します。Monitors the 32-bit drivers associated with wavemapper, wave1 and wave2, msacm.imaadpcm, .msadpcm, .msgsm610, and vidc. SYSTEM.INI ファイルの [drivers] セクションに似ています。Similar to the [drivers] section in the SYSTEM.INI file.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 64 ビットコンピューターで実行される 32 ビット プログラムの wavemapper、wave1、wave2、msacm.imaadpcm、.msadpcm、.msgsm610、および vidc に関連付けられている 32 ビット ドライバーを監視します。Monitors the 32-bit drivers associated with wavemapper, wave1 and wave2, msacm.imaadpcm, .msadpcm, .msgsm610, and vidc for 32-bit programs running on 64-bit computers. SYSTEM.INI ファイルの [drivers] セクションに似ています。Similar to the [drivers] section in the SYSTEM.INI file.
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls 既知のまたは一般的に使用されるシステムの DLL の一覧を監視します。このシステムは、システム DLL のトロイの木馬バージョンを削除することで、弱いアプリケーション ディレクトリのアクセス許可が悪用されることを防止します。Monitors the list of known or commonly used system DLLs; this system prevents people from exploiting weak application directory permissions by dropping in Trojan horse versions of system DLLs.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Windows オペレーティング システムの対話型ログオン サポート モデルである Winlogon からイベント通知を受信できるパッケージの一覧を監視します。Monitors the list of packages able to receive event notifications from Winlogon, the interactive logon support model for the Windows operating system.

ネットワークの要件Network requirements

Change Tracking には次のアドレスが明示的に必要です。The following addresses are required specifically for Change Tracking. このアドレスへの通信は、ポート 443 を使用して行われます。Communication to these addresses is done over port 443.

Azure PublicAzure Public Azure GovernmentAzure Government
*.ods.opinsights.azure.com*.ods.opinsights.azure.com *.ods.opinsights.azure.us*.ods.opinsights.azure.us
*.oms.opinsights.azure.com*.oms.opinsights.azure.com *.oms.opinsights.azure.us*.oms.opinsights.azure.us
*.blob.core.windows.net*.blob.core.windows.net *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
*.azure-automation.net*.azure-automation.net *.azure-automation.us*.azure-automation.us

変更の追跡を使用するUse Change Tracking

ソリューションを有効にした後、監視対象コンピューターの変更の概要を表示するには、Automation アカウントの [構成管理][Change Tracking](変更の追跡) を選択します。After the solution is enabled, you can view the summary of changes for your monitored computers by selecting Change Tracking under CONFIGURATION MANAGEMENT in your Automation account.

コンピューターに対する変更を表示し、各イベントの詳細を確認することができます。You can view changes to your computers and then drill-into details for each event. グラフ上部にあるドロップ ダウンを使用すると、変更の種類および時間の範囲に基づいて、グラフと詳細情報を制限できます。Drop downs are available at the top of the chart to limit the chart and detailed information based on change type and time ranges. グラフ上をクリックしてドラッグすることで、カスタムの時間の範囲を選択することもできます。You can also click and drag on the chart to select a custom time range. 変更の種類は、EventsDaemonsFilesRegistrySoftwareWindows Services のいずれかの値になります。Change Type will be one of the following values Events, Daemons, Files, Registry, Software, Windows Services. カテゴリは変更の種類を示し、AddedModified、または Removed になります。Category shows you the type of change and can be Added, Modified, or Removed.

[変更の追跡] ダッシュボードの画像

変更またはイベントをクリックすると、その変更に関する詳細情報が表示されます。Clicking on a change or event brings up the detailed information about that change. 例に示すように、サービスの起動の種類が手動から自動に変更されました。As you can see from the example, the startup type of the service was changed from Manual to Auto.

変更追跡の詳細の画像

検索ログSearch logs

ポータルで提供されている詳細のほか、ログに対して検索を実行できます。In addition to the details that are provided in the portal, searches can be done against the logs. [Change Tracking](変更の追跡) ページを開いた状態で、 [Log Analytics] をクリックします。これにより、 [ログ] ページが開きます。With the Change Tracking page open, click Log Analytics, this opens the Logs page.

サンプル クエリSample queries

次の表は、このソリューションによって収集された変更レコードを探すログ検索の例です。The following table provides sample log searches for change records collected by this solution:

クエリQuery [説明]Description
ConfigurationDataConfigurationData
| where ConfigDataType == "WindowsServices" and SvcStartupType == "Auto"| where ConfigDataType == "WindowsServices" and SvcStartupType == "Auto"
| where SvcState == "Stopped"| where SvcState == "Stopped"
| summarize arg_max(TimeGenerated, *) by SoftwareName, Computer| summarize arg_max(TimeGenerated, *) by SoftwareName, Computer
Windows サービスの最新のインベントリ レコードで、自動に設定されたが、停止中として報告されたものを表示しますShows the most recent inventory records for Windows Services that were set to Auto but were reported as being Stopped
結果はその SoftwareName と Computer の最新のレコードに限定されますResults are limited to the most recent record for that SoftwareName and Computer
ConfigurationChangeConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Removed"| where ConfigChangeType == "Software" and ChangeCategory == "Removed"
| order by TimeGenerated desc| order by TimeGenerated desc
削除されたソフトウェアの変更レコードを表示しますShows the change records for removed software

変更に関するアラートAlert on changes

Change Tracking と Inventory の重要な機能は、構成の状態と、ハイブリッド環境の構成の状態に対する変更のアラートを生成する機能です。A key capability of Change Tracking and Inventory is the ability to alert on the configuration state and any changes to the configuration state of your hybrid environment.

次の例では、スクリーンショットで、マシン上でファイル C:\windows\system32\drivers\etc\hosts が変更されていることを示しています。In the following example, the screenshot shows that the file C:\windows\system32\drivers\etc\hosts has been modified on a machine. Hosts ファイルは Windows でホスト名を IP アドレスに解決して DNS にも優先するようにするために使用され、それによって接続の問題や、悪質な Web サイトや危険な Web サイトへのトラフィックのリダイレクトが生じる可能性があるため、このファイルは重要です。This file is important because the Hosts file is used by Windows to resolve hostnames to IP addresses and takes precedence over even DNS, which could result in connectivity issues or the redirection of traffic to malicious or otherwise dangerous websites.

hosts ファイルの変更を示すグラフ

この変更をさらに分析するには、 [Log Analytics] をクリックしてログ検索に移動します。To analyze this change further, go to Log search from clicking Log Analytics. ログ検索で、クエリ ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts" を使って Hosts ファイルに対するコンテンツの変更を検索します。Once in Log search, search for content changes to the Hosts file with the query ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts". このクエリは、完全修飾パスに "hosts" という単語が含まれているファイルのうち、ファイル コンテンツの変更が含まれている変更を検索します。This query looks for changes that included a change of file content for files whose fully qualified path contains the word “hosts”. パスの部分を完全修飾された形式 (FileSystemPath == "c:\windows\system32\drivers\etc\hosts" など) に変更することで、特定のファイルを確認することもできます。You can also ask for a specific file by changing the path portion to its fully qualified form (such as FileSystemPath == "c:\windows\system32\drivers\etc\hosts").

クエリが目的の結果を返したら、ログ検索エクスペリエンスで [新しいアラート ルール] ボタンをクリックしてアラート作成ページを開きます。After the query returns the desired results, click the New alert rule button in the Log search experience to open the alert creation page. このエクスペリエンスには Azure portal の Azure Monitor から移動することもできます。You could also navigate to this experience through Azure Monitor in the Azure portal. アラート作成エクスペリエンスで、クエリをもう一度確認し、アラート ロジックを変更します。In the alert creation experience, check our query again and modify the alert logic. この場合は、環境内のすべてのマシンで 1 つでも変更が検出されたら、アラートがトリガーされるようにします。In this case, you want the alert to be triggered if there's even one change detected across all the machines in the environment.

hosts ファイルに対する変更を追跡するための変更クエリを示すイメージ

条件ロジックを設定した後、トリガーされるアラートに対応するアクションを実行するアクション グループを割り当てます。After the condition logic is set, assign action groups to perform actions in response to the alert being triggered. この場合は、電子メールの送信と ITSM チケットの作成を設定しています。In this case, I have set up emails to be sent and an ITSM ticket to be created. Azure 関数、Automation Runbook、Webhook、ロジック アプリのトリガーなど、役に立つその他の多くのアクションも実行できます。Many other useful actions can also be taken such as triggering an Azure Function, Automation runbook, webhook, or Logic App.

変更に関するアラートに対するアクション グループの構成のイメージ

すべてのパラメーターとロジックを設定した後、アラートを環境に適用できます。After all the parameters and logic are set, we can apply the alert to the environment.

アラートに関する推奨事項Alert suggestions

Hosts ファイルへの変更に関するアラートは、Change Tracking や Inventory のデータに関するアラートの 1 つの適切な利用ですが、以下のセクションでクエリの例と共に定義されているケースを含み、アラートにはその他多くのシナリオがあります。While alerting on changes to the Hosts file is one good application of alerts for Change Tracking or Inventory data, there are many more scenarios for alerting, including the cases defined along with their example queries in the section below.

クエリQuery [説明]Description
ConfigurationChangeConfigurationChange
| where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\"| where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\"
システムの重要なファイルに対する変更を追跡するのに役立ちますUseful for tracking changes to system critical files
ConfigurationChangeConfigurationChange
| where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"| where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"
キー構成ファイルに対する変更を追跡するのに役立ちますUseful for tracking modifications to key configuration files
ConfigurationChangeConfigurationChange
| where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped"| where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped"
システムの重要なサービスに対する変更を追跡するのに役立ちますUseful for tracking changes to system critical services
ConfigurationChangeConfigurationChange
| where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState != "Running"| where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState != "Running"
システムの重要なサービスに対する変更を追跡するのに役立ちますUseful for tracking changes to system critical services
ConfigurationChangeConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Added"| where ConfigChangeType == "Software" and ChangeCategory == "Added"
ロックダウンされたソフトウェア構成が必要な環境で役立ちますUseful for environments that need locked down software configurations
ConfigurationDataConfigurationData
| where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"| where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"
古いソフトウェア バージョンや非準拠のソフトウェア バージョンがインストールされているマシンを確認するのに役立ちます。Useful for seeing which machines have an outdated or non-compliant software version installed. 変更ではなく、最後に報告された構成の状態を報告します。It reports the last reported configuration state, not changes.
ConfigurationChangeConfigurationChange
| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"
重要なウイルス対策キーに対する変更を追跡するのに役立ちますUseful for tracking changes to crucial anti-virus keys
ConfigurationChangeConfigurationChange
| where RegistryKey contains @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"| where RegistryKey contains @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"
ファイアウォール設定に対する変更を追跡するのに役立ちますUseful for tracking changes to firewall settings

次のステップNext steps

ソリューションの使用方法の詳細については、Change Tracking のチュートリアルを参照してください。Visit the tutorial on Change Tracking to learn more about using the solution: