変更履歴とインベントリの概要Change Tracking and Inventory overview

この記事では、Azure Automation の変更履歴とインベントリを紹介します。This article introduces you to Change Tracking and Inventory in Azure Automation. この機能は、Azure やオンプレミスなどのクラウド環境でホストされている仮想マシンで変更を追跡することで、配布パッケージ マネージャーによって管理されているソフトウェアの運用上の問題と環境上の問題を特定するのに役立ちます。This feature tracks changes in virtual machines hosted in Azure, on-premises, and other cloud environments to help you pinpoint operational and environmental issues with software managed by the Distribution Package Manager. 変更履歴とインベントリによって追跡される項目には次のものがあります。Items that are tracked by Change Tracking and Inventory include:

  • Windows ソフトウェアWindows software
  • Linux ソフトウェア (パッケージ)Linux software (packages)
  • Windows ファイルと Linux ファイルWindows and Linux files
  • Windows レジストリ キーWindows registry keys
  • Microsoft サービスMicrosoft services
  • Linux デーモンLinux daemons

注意

Azure Resource Manager のプロパティの変更を追跡するには、Azure Resource Graph の変更履歴を参照してください。To track Azure Resource Manager property changes, see the Azure Resource Graph change history.

変更履歴とインベントリでは、Azure Security Center のファイルの整合性の監視 (FIM) を使用して、オペレーティング システム、アプリケーション ファイル、および Windows レジストリが調査されます。Change Tracking and Inventory makes use of Azure Security Center File Integrity Monitoring (FIM) to examines operating system and application files, and Windows Registry. これらのエンティティは FIM で監視されますが、変更履歴とインベントリでネイティブに追跡されます。While FIM monitors those entities, Change Tracking and Inventory natively tracks:

  • ソフトウェアの変更Software changes
  • Microsoft サービスMicrosoft services
  • Linux デーモンLinux daemons

変更履歴とインベントリに含まれる機能をすべて有効にすると、追加料金が発生する可能性があります。Enabling all features included in Change Tracking and Inventory might cause additional charges. 続行する前に、Automation の価格Azure Monitor の価格を確認してください。Before proceeding, review Automation Pricing and Azure Monitor Pricing.

変更履歴とインベントリでは、Azure Monitor ログにデータが転送され、収集されたデータが Log Analytics ワークスペースに格納されます。Change Tracking and Inventory forwards data to Azure Monitor Logs, and this collected data is stored in a Log Analytics workspace. ファイルの整合性の監視 (FIM) 機能は、Azure Defender for servers が有効な場合にのみ使用できます。The File Integrity Monitoring (FIM) feature is available only when Azure Defender for servers is enabled. 詳細については、Azure Security Center の価格を参照してください。See Azure Security Center Pricing to learn more. FIM では、変更履歴とインベントリのデータを格納するために作成されたものと同じ Log Analytics ワークスペースにデータがアップロードされます。FIM uploads data to the same Log Analytics workspace as the one created to store data from Change Tracking and Inventory. 正確な使用量を把握するために、リンクされた Log Analytics ワークスペースを監視することが推奨されています。We recommend that you monitor your linked Log Analytics workspace to keep track of your exact usage. Azure Monitor ログのデータ使用量を分析する方法の詳細については、使用量とコストの管理に関するページを参照してください。For more information about analyzing Azure Monitor Logs data usage, see Manage usage and cost.

Log Analytics ワークスペースに接続されているマシンでは、Log Analytics エージェントを使用して、監視対象サーバーにインストールされているソフトウェア、Microsoft サービス、Windows のレジストリとファイル、および Linux デーモンの変更に関するデータが収集されます。Machines connected to the Log Analytics workspace use the Log Analytics agent to collect data about changes to installed software, Microsoft services, Windows registry and files, and Linux daemons on monitored servers. データが使用可能になると、処理のためにエージェントから Azure Monitor ログに送信されます。When data is available, the agent sends it to Azure Monitor Logs for processing. Azure Monitor ログでは、受信したデータにロジックが適用され、記録されて分析可能になります。Azure Monitor Logs applies logic to the received data, records it, and makes it available for analysis.

注意

Change Tracking とインベントリでは、Log Analytics ワークスペースを Automation アカウントにリンクする必要があります。Change Tracking and Inventory requires linking a Log Analytics workspace to your Automation account. サポートされているリージョンの確定的な一覧については、Azure でのワークスペースのマッピングに関する記事をご覧ください。For a definitive list of supported regions, see Azure Workspace mappings. リージョン マッピングは、Automation アカウントとは別のリージョンの VM を管理する機能には影響しません。The region mappings don't affect the ability to manage VMs in a separate region from your Automation account.

現在の制限Current limitations

変更履歴とインベントリでは、次の制限がサポートされていません。Change Tracking and Inventory doesn't support or has the following limitations:

  • Windows レジストリ追跡用の再帰Recursion for Windows registry tracking
  • ネットワーク ファイル システムNetwork file systems
  • さまざまなインストール方法Different installation methods
  • Windows に格納されている *.exe ファイル*.exe files stored on Windows
  • [最大ファイル サイズ] 列と値は現在の実装では使用されません。The Max File Size column and values are unused in the current implementation.
  • 30 分間の収集サイクルで 2500 を超えるファイルを収集しようとすると、変更履歴とインベントリのパフォーマンスが低下する可能性があります。If you try to collect more than 2500 files in a 30-minute collection cycle, Change Tracking and Inventory performance might be degraded.
  • ネットワーク トラフィックが高い場合は、変更レコードが表示されるまでに最大 6 時間かかることがあります。If network traffic is high, change records can take up to six hours to display.
  • マシンやサーバーのシャットダウン中に構成を変更した場合は、以前の構成に対応する変更が送信される可能性があります。If you modify a configuration while a machine or server is shut down, it might post changes belonging to the previous configuration.
  • Windows Server 2016 Core RS3 マシンで修正プログラムの更新を収集する。Collecting Hotfix updates on Windows Server 2016 Core RS3 machines.
  • Linux デーモンでは、変更が発生していなくても、変更された状態が表示される場合があります。Linux daemons might show a changed state even though no change has occurred. この問題は、Azure Monitor ConfigurationChange テーブルに SvcRunLevels データが書き込まれる方法が原因で発生します。This issue arises because of the way the SvcRunLevels data in the Azure Monitor ConfigurationChange table is written.

サポートされるオペレーティング システムSupported operating systems

変更履歴とインベントリは、Log Analytics エージェントの要件を満たすすべてのオペレーティング システムでサポートされます。Change Tracking and Inventory is supported on all operating systems that meet Log Analytics agent requirements. Log Analytics エージェントで現在サポートされている Windows および Linux オペレーティング システムのバージョンの一覧については、「サポートされるオペレーティング システム」を参照してください。See supported operating systems for a list of the Windows and Linux operating system versions that are currently supported by the Log Analytics agent.

TLS 1.2 のクライアント要件を理解するには、「Azure Automation に対する TLS 1.2 の強制」を参照してください。To understand client requirements for TLS 1.2, see TLS 1.2 enforcement for Azure Automation.

Python の要件Python requirement

変更履歴とインベントリは、Python 2 でのみサポートされています。Change Tracking and Inventory only supports Python2. 既定で Python 2 を含まないディストリビューションがマシンで使用されている場合は、Python 2 をインストールする必要があります。If your machine is using a distro that doesn't include Python 2 by default then you must install it. 次のサンプル コマンドでは、異なるディストリビューションに Python 2 がインストールされます。The following sample commands will install Python 2 on different distros.

  • Red Hat、CentOS、Oracle: yum install -y python2Red Hat, CentOS, Oracle: yum install -y python2
  • Ubuntu、Debian: apt-get install -y python2Ubuntu, Debian: apt-get install -y python2
  • SUSE: zypper install -y python2SUSE: zypper install -y python2

python2 実行可能ファイルに python という別名を付ける必要があります。The python2 executable must be aliased to python.

ネットワークの要件Network requirements

変更履歴とインベントリには、次のアドレスが明示的に必要です。The following addresses are required specifically for Change Tracking and Inventory. このアドレスへの通信は、ポート 443 を使用して行われます。Communication to these addresses occurs over port 443.

Azure PublicAzure Public Azure GovernmentAzure Government
*.ods.opinsights.azure.com*.ods.opinsights.azure.com *.ods.opinsights.azure.us*.ods.opinsights.azure.us
*.oms.opinsights.azure.com*.oms.opinsights.azure.com *.oms.opinsights.azure.us*.oms.opinsights.azure.us
*.blob.core.windows.net*.blob.core.windows.net *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
*.azure-automation.net*.azure-automation.net *.azure-automation.us*.azure-automation.us

ネットワーク グループのセキュリティ規則を作成する場合、または Automation サービスと Log Analytics ワークスペースへのトラフィックを許可するように Azure Firewall を構成する場合は、サービス タグGuestAndHybridManagementAzureMonitor を使用します。When you create network group security rules or configure Azure Firewall to allow traffic to the Automation service and the Log Analytics workspace, use the service tag GuestAndHybridManagement and AzureMonitor. これにより、ネットワーク セキュリティ規則の継続的な管理が簡単になります。This simplifies the ongoing management of your network security rules. Azure VM から安全かつプライベートに Automation サービスに接続するには、Azure Private Link の使用に関するページを確認してください。To connect to the Automation service from your Azure VMs securely and privately, review Use Azure Private Link. 現在のサービス タグと範囲情報を、オンプレミスのファイアウォール構成の一部として取得して含めるには、ダウンロード可能な JSON ファイルに関するページを参照してください。To obtain the current service tag and range information to include as part of your on-premises firewall configurations, see downloadable JSON files.

Change Tracking と Inventory の有効化Enable Change Tracking and Inventory

変更履歴とインベントリは、次の方法で有効にすることができます。You can enable Change Tracking and Inventory in the following ways:

ファイルの変更を追跡するTracking file changes

Windows と Linux の両方でファイルの変更を追跡する場合、変更履歴とインベントリでは、ファイルの MD5 ハッシュが使用されます。For tracking changes in files on both Windows and Linux, Change Tracking and Inventory uses MD5 hashes of the files. この機能では、ハッシュを使用して、前回のインベントリ以降に変更が加えられたかどうかが検出されます。The feature uses the hashes to detect if changes have been made since the last inventory.

ファイル コンテンツの変更を追跡するTracking file content changes

Change Tracking とインベントリを使用すると、Windows または Linux のファイルのコンテンツを表示できます。Change Tracking and Inventory allows you to view the contents of a Windows or Linux file. ファイルを変更するたびに、変更履歴とインベントリによって、Azure Storage アカウントにファイルのコンテンツが格納されます。For each change to a file, Change Tracking and Inventory stores the contents of the file in an Azure Storage account. ファイルを追跡しているときに、変更前後のそのコンテンツを表示できます。When you're tracking a file, you can view its contents before or after a change. ファイルのコンテンツは、インラインで、または並べて表示できます。The file content can be viewed either inline or side by side.

ファイル内の変更を表示する

レジストリ キーの追跡Tracking of registry keys

Change Tracking とインベントリを使用すると、Windows レジストリ キーへの変更を監視できます。Change Tracking and Inventory allows monitoring of changes to Windows registry keys. 監視により、サード パーティのコードやマルウェアでアクティブ化できる拡張性のポイントを正確に特定できます。Monitoring allows you to pinpoint extensibility points where third-party code and malware can activate. 次の表に、事前に構成された (有効ではない) レジストリ キーの一覧を示します。The following table lists preconfigured (but not enabled) registry keys. これらのキーを追跡するには、それぞれを有効にする必要があります。To track these keys, you must enable each one.

レジストリ キーRegistry Key 目的Purpose
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup スタートアップ時に実行されるスクリプトを監視します。Monitors scripts that run at startup.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown シャットアップ時に実行されるスクリプトを監視します。Monitors scripts that run at shutdown.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run ユーザーが Windows アカウントにサインインする前に読み込まれるキーを監視します。Monitors keys that are loaded before the user signs in to the Windows account. このキーは、64 ビット コンピューターで実行される 32 ビット アプリケーションに使用されます。The key is used for 32-bit applications running on 64-bit computers.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components アプリケーションの設定の変更を監視します。Monitors changes to application settings.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Windows エクスプローラーに直接フックされ、通常は explorer.exe でインプロセスで実行されるコンテキスト メニュー ハンドラーを監視します。Monitors context menu handlers that hook directly into Windows Explorer and usually run in-process with explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Windows エクスプローラーに直接フックされ、通常は explorer.exe でインプロセスで実行されるコピー フック ハンドラーを監視します。Monitors copy hook handlers that hook directly into Windows Explorer and usually run in-process with explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers アイコン オーバーレイ ハンドラーの登録を監視します。Monitors for icon overlay handler registration.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers 64 ビット コンピューターで実行される 32 ビット アプリケーションのアイコン オーバーレイ ハンドラーの登録を監視します。Monitors for icon overlay handler registration for 32-bit applications running on 64-bit computers.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Internet Explorer の新しいブラウザー ヘルパー オブジェクト プラグインを監視します。Monitors for new browser helper object plugins for Internet Explorer. 現在のページのドキュメント オブジェクト モデル (DOM) にアクセスし、ナビゲーションを制御するときに使用されます。Used to access the Document Object Model (DOM) of the current page and to control navigation.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Internet Explorer の新しいブラウザー ヘルパー オブジェクト プラグインを監視します。Monitors for new browser helper object plugins for Internet Explorer. 現在のページのドキュメント オブジェクト モデル (DOM) にアクセスし、64 ビットコンピューターで実行される 32 ビット アプリケーションのナビゲーションを制御するときに使用されます。Used to access the Document Object Model (DOM) of the current page and to control navigation for 32-bit applications running on 64-bit computers.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions カスタム ツール メニューやカスタム ツール バー ボタンなどの新しい Internet Explorer の拡張機能を監視します。Monitors for new Internet Explorer extensions, such as custom tool menus and custom toolbar buttons.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions 64 ビットコンピューターで実行される 32 ビット アプリケーションのカスタム ツールのメニューやカスタム ツール バー ボタンなどの新しい Internet Explorer の拡張機能を監視します。Monitors for new Internet Explorer extensions, such as custom tool menus and custom toolbar buttons for 32-bit applications running on 64-bit computers.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 wavemapper、wave1、wave2、msacm.imaadpcm、.msadpcm、.msgsm610、および vidc に関連付けられている 32 ビット ドライバーを監視します。Monitors 32-bit drivers associated with wavemapper, wave1 and wave2, msacm.imaadpcm, .msadpcm, .msgsm610, and vidc. system.ini ファイルの [drivers] セクションに似ています。Similar to the [drivers] section in the system.ini file.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 64 ビットコンピューターで実行される 32 ビット アプリケーションの wavemapper、wave1、wave2、msacm.imaadpcm、.msadpcm、.msgsm610、および vidc に関連付けられている 32 ビット ドライバーを監視します。Monitors 32-bit drivers associated with wavemapper, wave1 and wave2, msacm.imaadpcm, .msadpcm, .msgsm610, and vidc for 32-bit applications running on 64-bit computers. system.ini ファイルの [drivers] セクションに似ています。Similar to the [drivers] section in the system.ini file.
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls 既知のまたは一般的に使用されるシステムの DLL の一覧を監視します。Monitors the list of known or commonly used system DLLs. 監視では、システム DLL のトロイの木馬バージョンを削除することで、弱いアプリケーション ディレクトリのアクセス許可が悪用されることを防止します。Monitoring prevents people from exploiting weak application directory permissions by dropping in Trojan horse versions of system DLLs.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Windows の対話型ログオン サポート モデルである winlogon.exe からイベント通知を受信できるパッケージの一覧を監視します。Monitors the list of packages that can receive event notifications from winlogon.exe, the interactive logon support model for Windows.

再帰のサポートRecursion support

変更履歴とインベントリでは再帰がサポートされているので、ワイルドカードを指定して、ディレクトリ全体の追跡を簡略化できます。Change Tracking and Inventory supports recursion, which allows you to specify wildcards to simplify tracking across directories. また、再帰では環境変数も提供されています。これにより、複数のドライブ名またはダイナミック ドライブ名を持つ環境間でファイルを追跡できます。Recursion also provides environment variables to allow you to track files across environments with multiple or dynamic drive names. 次の一覧に、再帰を構成するときに知っておくべき基本的な情報を示します。The following list includes common information you should know when configuring recursion:

  • 複数のファイルを追跡するにはワイルドカードが必要です。Wildcards are required for tracking multiple files.

  • ワイルドカードを使用できるのは、c:\folder\file _ や _ /etc/ .conf** など、ファイル パスの最後のセグメントでのみです。You can use wildcards only in the last segment of a file path, for example, c:\folder\file _ or _ /etc/.conf**.

  • 環境変数に無効なパスが存在する場合、検証は成功しますが、実行時にそのパスはエラーになります。If an environment variable has an invalid path, validation succeeds but the path fails during execution.

  • パスを設定するときは、漠然としたパス名は避けてください。そのような設定により、走査対象のフォルダー数が膨大になる可能性があるためです。You should avoid general path names when setting the path, as this type of setting can cause too many folders to be traversed.

変更履歴とインベントリのデータ収集Change Tracking and Inventory data collection

次の表は、変更履歴とインベントリでサポートされている変更の種類に対するデータ収集の頻度を示しています。The next table shows the data collection frequency for the types of changes supported by Change Tracking and Inventory. すべての種類について、現在の状態のデータ スナップショットも、少なくとも 24 時間ごとに更新されます。For every type, the data snapshot of the current state is also refreshed at least every 24 hours.

[変更の種類]Change Type 頻度Frequency
Windows レジストリWindows registry 50 分50 minutes
Windows ファイルWindows file 30 分30 minutes
Linux ファイルLinux file 約 15 分15 minutes
Microsoft サービスMicrosoft services 10 秒から 30 分10 seconds to 30 minutes
既定値は30 分Default: 30 minutes
Linux デーモンLinux daemons 5 分5 minutes
Windows ソフトウェアWindows software 30 分30 minutes
Linux ソフトウェアLinux software 5 分5 minutes

次の表は、変更履歴とインベントリでのマシンごとの追跡項目制限を示しています。The following table shows the tracked item limits per machine for Change Tracking and Inventory.

リソースResource 制限Limit
ファイルFile 500500
レジストリRegistry 250250
Windows ソフトウェア (修正プログラムを含まない)Windows software (not including hotfixes) 250250
Linux パッケージLinux packages 12501250
サービスServices 250250
デーモンDaemons 250250

変更履歴とインベントリを使用しているマシンでの Log Analytics の平均データ使用量は、1 か月あたり約 40 MB です (環境によって異なります)。The average Log Analytics data usage for a machine using Change Tracking and Inventory is approximately 40 MB per month, depending on your environment. Log Analytics ワークスペースの使用量と推定コスト機能を使用して、Change Tracking とインベントリによって取り込まれたデータを使用状況グラフに表示できます。With the Usage and Estimated Costs feature of the Log Analytics workspace, you can view the data ingested by Change Tracking and Inventory in a usage chart. このデータ ビューを使用して、データの使用量を評価し、それが請求にどのように影響しているかを判断します。Use this data view to evaluate your data usage and determine how it affects your bill. ご自分の使用量を理解してコストを見積もる」を参照してください。See Understand your usage and estimate costs.

Microsoft サービス データMicrosoft service data

Microsoft サービスに対する既定の収集の頻度は 30 分です。The default collection frequency for Microsoft services is 30 minutes. [設定の編集] にある [Microsoft サービス] タブのスライダーを使用して、頻度を構成できます。You can configure the frequency using a slider on the Microsoft services tab under Edit Settings.

Microsoft サービス スライダー

パフォーマンスを最適化するために、Log Analytics エージェントでは変更の追跡のみが行われます。To optimize performance, the Log Analytics agent only tracks changes. 大きいしきい値を設定すると、サービスがその元の状態に戻った場合に変更が検出されない可能性があります。Setting a high threshold might miss changes if the service returns to its original state. 頻度を小さな値に設定すると、そうしないと検出されなかった可能性がある変更をキャッチすることができます。Setting the frequency to a smaller value allows you to catch changes that might be missed otherwise.

注意

エージェントは変更を 10 秒の間隔まで追跡できますが、データが Azure portal に表示されるにはまだ数分かかります。While the agent can track changes down to a 10-second interval, the data still takes a few minutes to display in the Azure portal. ポータルに表示される期間中に行われた変更も引き続き追跡され、ログに記録されます。Changes that occur during the time to display in the portal are still tracked and logged.

構成状態のアラートのサポートSupport for alerts on configuration state

変更履歴とインベントリの主な機能は、ハイブリッド環境の構成状態への変更に関するアラートを生成することです。A key capability of Change Tracking and Inventory is alerting on changes to the configuration state of your hybrid environment. アラートへの応答時に役立つ多くのアクションをトリガーできます。Many useful actions are available to trigger in response to alerts. たとえば、Azure 機能、Automation Runbook、Webhook などのアクションがあります。For example, actions on Azure functions, Automation runbooks, webhooks, and the like. マシンの c:\windows\system32\drivers\etc\hosts ファイルへの変更に関するアラートは、Change Tracking とインベントリのデータに関するアラートを適切に適用した一例です。Alerting on changes to the c:\windows\system32\drivers\etc\hosts file for a machine is one good application of alerts for Change Tracking and Inventory data. 次の表で定義されているクエリのシナリオなど、警告のシナリオは他にも多数あります。There are many more scenarios for alerting as well, including the query scenarios defined in the next table.

クエリQuery 説明Description
ConfigurationChangeConfigurationChange
| where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\"| where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\"
システムの重要なファイルに対する変更を追跡するのに役立ちます。Useful for tracking changes to system-critical files.
ConfigurationChangeConfigurationChange
| where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"| where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"
キー構成ファイルに対する変更を追跡するのに役立ちます。Useful for tracking modifications to key configuration files.
ConfigurationChangeConfigurationChange
| where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped"| where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped"
システムに不可欠なサービスに対する変更を追跡するのに役立ちます。Useful for tracking changes to system-critical services.
ConfigurationChangeConfigurationChange
| where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState!= "Running"| where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState!= "Running"
システムに不可欠なサービスに対する変更を追跡するのに役立ちます。Useful for tracking changes to system-critical services.
ConfigurationChangeConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Added"| where ConfigChangeType == "Software" and ChangeCategory == "Added"
ロックダウンされたソフトウェア構成が必要な環境で役立ちます。Useful for environments that need locked-down software configurations.
ConfigurationDataConfigurationData
| where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"| where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"
古いソフトウェア バージョンや非準拠のソフトウェア バージョンがインストールされているマシンを確認するのに役立ちます。Useful for seeing which machines have outdated or noncompliant software version installed. このクエリでは、変更は報告されず、最後に報告された構成の状態が報告されます。This query reports the last reported configuration state, but doesn't report changes.
ConfigurationChangeConfigurationChange
| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"
重要なウイルス対策キーに対する変更を追跡するのに役立ちます。Useful for tracking changes to crucial antivirus keys.
ConfigurationChangeConfigurationChange
| where RegistryKey contains @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"| where RegistryKey contains @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"
ファイアウォール設定に対する変更を追跡するのに役立ちます。Useful for tracking changes to firewall settings.

次のステップNext steps