Change Tracking と Inventory の管理
Azure VM ワークロードで Change Tracking とインベントリを有効にしたら、必要な設定を構成して管理する必要があります。 Change Tracking とインベントリを使用して、VM 上で実行されているファイル、レジストリ、ソフトウェア、および Microsoft サービスへの変更を追跡できます。 このユニットでは、Change Tracking とインベントリの設定を変更する方法、Windows ファイルを追跡する方法、Windows レジストリの変更を追跡する方法、および変更レコードのログを検索する方法について説明します。
変更履歴とインベントリのユーザー インターフェイス
Azure portal を使用して、Change Tracking とインベントリの設定を構成および管理できます。 次に概要を示す手順を実行します。
Azure portal で、 [Automation アカウント] を選択します。
適切な Automation アカウントを選択し、[構成管理] 見出しの下にある [Change Tracking] を選択します。
[Change Types](変更の種類) と [時間の範囲] のドロップダウン リストを使用して、確認の対象となる特定の領域を選択します。
変更またはイベントを選択すると、その詳細が表示されます。 使用できる変更の種類は次のとおりです。
- デーモン
- ファイル
- レジストリ
- ソフトウェア
- Microsoft サービス
イベントは、図に示すように、タイムライン上に自動的に表示されます。
インベントリ情報にアクセスするには、Automation アカウントのページのナビゲーション ウィンドウで、[インベントリ] を選択します。 表示される対応するグラフで、インベントリの変更を確認できます。
Change Tracking またはインベントリの設定を変更する
Automation アカウントのページでは、Change Tracking とインベントリの両方の設定を変更できます。 [構成管理] 見出しの下で、[Change Tracking] または [インベントリ] を選択します。 次に、グラフの横にあるツール バーで、[設定の編集] を選択します。
その後、次の Change Tracking 要素の設定を変更できます。
- Windows ファイル
- Linux ファイル
- Windows レジストリ
- Windows サービス
- ファイル コンテンツ
次の表は、これらのさまざまな追跡対象となる要素のデータ収集頻度を示しています。
[変更の種類] | 頻度 |
---|---|
Windows レジストリ | 50 分 |
Windows ファイル | 30 分 |
Linux ファイル | 約 15 分 |
Windows サービス | 10 秒 ~ 30 分、既定値: 30 分 |
Linux デーモン | 5 分 |
Windows ソフトウェア | 30 分 |
Linux ソフトウェア | 5 分 |
ヒント
Windows サービスの値を調整するには、[ワークスペースの構成] の [Windows サービス] タブにあるスライドを使用します。
注意
Change Tracking とインベントリが有効になっているマシンの一般的な Log Analytics データ使用量は、1 か月あたり約 40 メガバイト (MB) です。
Windows ファイルを追跡する
Windows ファイルの追跡を構成するには、次の手順に従います。
[ワークスペースの構成] ウィンドウで、[Windows Files] タブを選択します。
ツールバーの [追加] を選択します。
[変更履歴用の Windows ファイルを追加する] ウィンドウで、必要な情報を入力し、次に [保存] を選択します。
次の表では、構成できるプロパティが一覧表示されており、その意味が説明されています。
プロパティ | 説明 |
---|---|
Enabled | 設定が適用される場合は True、それ以外の場合は False。 |
Item Name | 追跡するファイルのフレンドリ名。 |
グループ | ファイルを論理的にグループ化するためのグループ名。 |
パスの入力 | ファイル確認のためのパス (例: c:\temp\*.txt )。 %winDir%\System32 などの環境変数も使用できます。 |
パスの種類 | パスの種類。 指定できる値は [ファイル] と [フォルダー] です。 |
再帰 | 追跡する項目を検索するときに、再帰を使用する場合は True、そうでない場合は False。 |
ファイル コンテンツのアップロード | 追跡された変更についてのファイル内容をアップロードする場合は True、それ以外の場合は False。 |
ヒント
[ファイル コンテンツのアップロード] には、必ず [True] を指定してください。 この設定は、示されたファイル パスに対してファイル コンテンツの追跡を有効にします。
Windows レジストリを追跡する
レジストリに対する変更を追跡するには、次の手順を使用します。
Azure portal で、 [Automation アカウント] を選択します。
適切な Automation アカウントを選択し、[構成管理] 見出しの下にある [Change Tracking] を選択します。
ツール バーの [設定の編集] を選択し、[ワークスペースの構成] ページで [Windows レジストリ] タブを選択します。
ツールバーの [追加] を選択します。
[変更履歴用の Windows レジストリを追加する] ウィンドウで、必要な情報を入力し、次に [保存] を選択します。
次の表では、構成できるプロパティが一覧表示されており、その意味が説明されています。
プロパティ | 説明 |
---|---|
Enabled | 設定が適用される場合は True、それ以外の場合は False。 |
Item Name | 追跡するレジストリ キーのフレンドリ名。 |
グループ | レジストリ キーを論理的にグループ化するためのグループ名。 |
Windows レジストリ キー | パスが含まれたキー名 (例: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Startup )。 |
事前に構成された追跡済みのレジストリ キーとその意味の一覧については、「レジストリキーの追跡」を参照してください。
ログで変更レコードを検索する
Azure Monitor ログを使用して、変更レコードを検索できます。 [Change Tracking] ウィンドウで [Log Analytics] を選択します。 [ログ] ウィンドウで、ログ検索を入力できます。
次のサンプル クエリは、Auto に設定されたが、Stopped として報告された Microsoft サービスの最新のインベントリ レコードを返します。
ConfigurationData
| where ConfigDataType == "Microsoft services" and SvcStartupType == "Auto"
| where SvcState == "Stopped"
| summarize arg_max(TimeGenerated, *) by SoftwareName, Computer
注意
結果は、指定されたソフトウェア名とコンピューターの最新のレコードに限定されます。
次のクエリの例では、削除されたソフトウェアの変更レコードを返します。
ConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Removed"
| order by TimeGenerated desc