변경 내용 추적 및 인벤토리 개요Change Tracking and Inventory overview

이 문서에서는 Azure Automation의 변경 내용 추적 및 인벤토리 기능을 소개합니다.This article introduces you to Change Tracking and Inventory in Azure Automation. 이 기능은 Azure, 온-프레미스 및 기타 클라우드 환경에서 호스트 되는 가상 컴퓨터의 변경 내용을 추적 하 여 배포 패키지 관리자에서 관리 하는 소프트웨어의 운영 및 환경 문제를 쉽게 파악할 수 있도록 합니다.This feature tracks changes in virtual machines hosted in Azure, on-premises, and other cloud environments to help you pinpoint operational and environmental issues with software managed by the Distribution Package Manager. 다음은 변경 내용 추적 및 인벤토리에 의해 추적되는 항목입니다.Items that are tracked by Change Tracking and Inventory include:

  • Windows 소프트웨어Windows software
  • Linux 소프트웨어(패키지)Linux software (packages)
  • Windows 및 Linux 파일Windows and Linux files
  • Windows 레지스트리 키Windows registry keys
  • Microsoft 서비스Microsoft services
  • Linux 데몬Linux daemons

참고

Azure Resource Manager 속성 변경 내용을 추적하려면 Azure Resource Graph 변경 기록을 참조하세요.To track Azure Resource Manager property changes, see the Azure Resource Graph change history.

변경 내용 추적 및 인벤토리는 AZURE SECURITY CENTER FIM (파일 무결성 모니터링) 을 사용 하 여 운영 체제 및 응용 프로그램 파일과 Windows 레지스트리를 검사 합니다.Change Tracking and Inventory makes use of Azure Security Center File Integrity Monitoring (FIM) to examines operating system and application files, and Windows Registry. FIM은 이러한 엔터티, 변경 내용 추적 및 인벤토리를 기본적으로 추적 합니다.While FIM monitors those entities, Change Tracking and Inventory natively tracks:

  • 소프트웨어 변경 내용Software changes
  • Microsoft 서비스Microsoft services
  • Linux 데몬Linux daemons

변경 내용 추적 및 인벤토리에 포함 된 모든 기능을 사용 하도록 설정 하면 추가 요금이 발생할 수 있습니다.Enabling all features included in Change Tracking and Inventory might cause additional charges. 계속 하기 전에 Automation 가격 책정 및 Azure Monitor 가격 책정을 검토 하세요.Before proceeding, review Automation Pricing and Azure Monitor Pricing.

변경 내용 추적 및 인벤토리는 데이터를 Azure Monitor 로그에 전달 하 고 수집 된 데이터는 Log Analytics 작업 영역에 저장 됩니다.Change Tracking and Inventory forwards data to Azure Monitor Logs, and this collected data is stored in a Log Analytics workspace. FIM (파일 무결성 모니터링) 기능은 서버에 대 한 Azure Defender 를 사용 하도록 설정한 경우에만 사용할 수 있습니다.The File Integrity Monitoring (FIM) feature is available only when Azure Defender for servers is enabled. 자세히 알아보려면 Azure Security Center 가격 책정 을 참조 하세요.See Azure Security Center Pricing to learn more. FIM은 변경 내용 추적 및 인벤토리의 데이터를 저장 하기 위해 만든 것과 동일한 Log Analytics 작업 영역에 데이터를 업로드 합니다.FIM uploads data to the same Log Analytics workspace as the one created to store data from Change Tracking and Inventory. 연결 된 Log Analytics 작업 영역을 모니터링 하 여 정확한 사용량을 추적 하는 것이 좋습니다.We recommend that you monitor your linked Log Analytics workspace to keep track of your exact usage. Azure Monitor 로그 데이터 사용량을 분석 하는 방법에 대 한 자세한 내용은 사용량 및 비용 관리를 참조 하세요.For more information about analyzing Azure Monitor Logs data usage, see Manage usage and cost.

Log Analytics 작업 영역에 연결 된 컴퓨터는 Log Analytics 에이전트 를 사용 하 여 모니터링 되는 서버에서 설치 된 소프트웨어, Microsoft 서비스, Windows 레지스트리 및 파일, Linux 디먼의 변경 내용에 대 한 데이터를 수집 합니다.Machines connected to the Log Analytics workspace use the Log Analytics agent to collect data about changes to installed software, Microsoft services, Windows registry and files, and Linux daemons on monitored servers. 데이터를 사용할 수 있는 경우 에이전트는 처리를 위해 Azure Monitor 로그에 데이터를 보냅니다.When data is available, the agent sends it to Azure Monitor Logs for processing. Azure Monitor 로그는 수신 된 데이터에 논리를 적용 하 고 기록 하 여 분석에 사용할 수 있도록 합니다.Azure Monitor Logs applies logic to the received data, records it, and makes it available for analysis.

참고

변경 내용 추적 및 인벤토리를 사용 하려면 Log Analytics 작업 영역을 Automation 계정에 연결 해야 합니다.Change Tracking and Inventory requires linking a Log Analytics workspace to your Automation account. 지원되는 지역 목록은 Azure 작업 영역 매핑을 참조하세요.For a definitive list of supported regions, see Azure Workspace mappings. 지역 매핑은 Automation 계정과 별도의 지역에 있는 VM을 관리하는 기능에 영향을 주지 않습니다.The region mappings don't affect the ability to manage VMs in a separate region from your Automation account.

현재 제한 사항Current limitations

변경 내용 추적 및 인벤토리는를 지원 하지 않거나 다음과 같은 제한 사항이 있습니다.Change Tracking and Inventory doesn't support or has the following limitations:

  • Windows 레지스트리 추적을 위한 재귀Recursion for Windows registry tracking
  • 네트워크 파일 시스템Network file systems
  • 다른 설치 방법Different installation methods
  • *Windows에 저장 된 .exe 파일*.exe files stored on Windows
  • 최대 파일 크기 열과 값은 현재 구현에서 사용되지 않습니다.The Max File Size column and values are unused in the current implementation.
  • 30 분 컬렉션 주기에서 2500 개 이상의 파일을 수집 하려고 하면 변경 내용 추적 및 재고 성능이 저하 될 수 있습니다.If you try to collect more than 2500 files in a 30-minute collection cycle, Change Tracking and Inventory performance might be degraded.
  • 네트워크 트래픽이 높으면 변경 레코드를 표시 하는 데 최대 6 시간이 걸릴 수 있습니다.If network traffic is high, change records can take up to six hours to display.
  • 컴퓨터 또는 서버를 종료 하는 동안 구성을 수정 하는 경우 이전 구성에 속하는 변경 내용을 게시할 수 있습니다.If you modify a configuration while a machine or server is shut down, it might post changes belonging to the previous configuration.
  • Windows Server 2016 Core RS3 컴퓨터에서 핫픽스 업데이트를 수집 하는 중입니다.Collecting Hotfix updates on Windows Server 2016 Core RS3 machines.
  • 변경 내용이 없더라도 Linux 디먼에서 변경됨 상태를 표시할 수 있습니다.Linux daemons might show a changed state even though no change has occurred. 이 문제는 SvcRunLevels Azure Monitor configurationchange 테이블의 데이터가 기록 되는 방식 때문에 발생 합니다.This issue arises because of the way the SvcRunLevels data in the Azure Monitor ConfigurationChange table is written.

지원되는 운영 체제Supported operating systems

변경 내용 추적 및 인벤토리는 Log Analytics 에이전트 요구 사항을 충족하는 모든 운영 체제에서 지원됩니다.Change Tracking and Inventory is supported on all operating systems that meet Log Analytics agent requirements. 현재 Log Analytics 에이전트에서 지 원하는 Windows 및 Linux 운영 체제 버전 목록은 지원 되는 운영 체제 를 참조 하세요.See supported operating systems for a list of the Windows and Linux operating system versions that are currently supported by the Log Analytics agent.

TLS 1.2에 대 한 클라이언트 요구 사항을 이해 하려면 Azure Automation에 대 한 tls 1.2 적용을 참조 하세요.To understand client requirements for TLS 1.2, see TLS 1.2 enforcement for Azure Automation.

Python 요구 사항Python requirement

변경 내용 추적 및 인벤토리는 Python2만 지원 합니다.Change Tracking and Inventory only supports Python2. 컴퓨터가 기본적으로 Python 2를 포함 하지 않는 배포판를 사용 하는 경우 설치 해야 합니다.If your machine is using a distro that doesn't include Python 2 by default then you must install it. 다음 샘플 명령은 다른 배포판에 Python 2를 설치 합니다.The following sample commands will install Python 2 on different distros.

  • Red Hat, CentOS, Oracle: yum install -y python2Red Hat, CentOS, Oracle: yum install -y python2
  • Ubuntu, Debian: apt-get install -y python2Ubuntu, Debian: apt-get install -y python2
  • SUSE: zypper install -y python2SUSE: zypper install -y python2

Python2 실행 파일은 python 으로 별칭을 지정 해야 합니다.The python2 executable must be aliased to python.

네트워크 요구 사항Network requirements

변경 내용 추적 및 인벤토리에 필요한 포트, Url 및 기타 네트워킹 세부 정보에 대 한 자세한 내용은 네트워크 구성 Azure Automation 를 확인 하세요.Check Azure Automation Network Configuration for detailed information on the ports, URLs, and other networking details required for Change Tracking and Inventory.

변경 내용 추적 및 인벤토리 사용Enable Change Tracking and Inventory

다음과 같은 방법으로 변경 내용 추적 및 인벤토리를 사용 하도록 설정할 수 있습니다.You can enable Change Tracking and Inventory in the following ways:

파일 변경 내용 추적Tracking file changes

Windows 및 Linux 모두에서 파일의 변경 내용을 추적하기 위해 변경 내용 추적 및 인벤토리는 파일의 MD5 해시를 사용합니다.For tracking changes in files on both Windows and Linux, Change Tracking and Inventory uses MD5 hashes of the files. 이 기능은 해시를 사용하여 마지막 인벤토리 이후 변경 내용이 있는지 탐지합니다.The feature uses the hashes to detect if changes have been made since the last inventory.

파일 콘텐츠 변경 내용 추적Tracking file content changes

변경 내용 추적 및 인벤토리를 사용 하면 Windows 또는 Linux 파일의 내용을 볼 수 있습니다.Change Tracking and Inventory allows you to view the contents of a Windows or Linux file. 파일의 각 변경 내용에 대해 변경 내용 추적 및 인벤토리는 Azure Storage 계정에 파일 내용을 저장합니다.For each change to a file, Change Tracking and Inventory stores the contents of the file in an Azure Storage account. 파일을 추적 하는 경우 변경 전후에 해당 내용을 볼 수 있습니다.When you're tracking a file, you can view its contents before or after a change. 파일 콘텐츠는 인라인 또는 side-by-side로 볼 수 있습니다.The file content can be viewed either inline or side by side.

파일의 변경 내용 보기

레지스트리 키 추적Tracking of registry keys

변경 내용 추적 및 인벤토리를 사용 하 여 Windows 레지스트리 키에 대 한 변경 내용을 모니터링할 수 있습니다.Change Tracking and Inventory allows monitoring of changes to Windows registry keys. 모니터링을 통해 타사 코드 및 맬웨어가 활성화될 수 있는 확장성 지점을 정확하게 찾을 수 있습니다.Monitoring allows you to pinpoint extensibility points where third-party code and malware can activate. 다음 표에는 미리 구성되어 있지만 사용 설정되지 않은 레지스트리 키가 나열되어 있습니다.The following table lists preconfigured (but not enabled) registry keys. 이러한 키를 추적하려면 각 키를 사용하도록 설정해야 합니다.To track these keys, you must enable each one.

레지스트리 키Registry Key 목적Purpose
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup 시작 시 실행되는 스크립트를 모니터링합니다.Monitors scripts that run at startup.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown 종료 시 실행되는 스크립트를 모니터링합니다.Monitors scripts that run at shutdown.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run 사용자가 Windows 계정에 로그인하기 전에 로드되는 키를 모니터링합니다.Monitors keys that are loaded before the user signs in to the Windows account. 키는 64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 사용됩니다.The key is used for 32-bit applications running on 64-bit computers.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components 애플리케이션 설정의 변경 내용을 모니터링합니다.Monitors changes to application settings.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Windows 탐색기에 직접 연결 되 고 일반적으로 explorer.exe 를 사용 하 여 in-process로 실행 되는 상황에 맞는 메뉴 처리기를 모니터링 합니다.Monitors context menu handlers that hook directly into Windows Explorer and usually run in-process with explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Windows 탐색기에 직접 연결 되 고 일반적으로 explorer.exe 를 사용 하 여 in-process로 실행 되는 복사 후크 처리기를 모니터링 합니다.Monitors copy hook handlers that hook directly into Windows Explorer and usually run in-process with explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers 아이콘 오버레이 처리기 등록을 모니터링합니다.Monitors for icon overlay handler registration.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers 64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 대한 아이콘 오버레이 처리기 등록을 모니터링합니다.Monitors for icon overlay handler registration for 32-bit applications running on 64-bit computers.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Internet Explorer에 대한 새 브라우저 도우미 개체 플러그 인을 모니터링합니다.Monitors for new browser helper object plugins for Internet Explorer. 현재 페이지의 DOM(문서 개체 모델)에 액세스하고 탐색을 제어하는 데 사용됩니다.Used to access the Document Object Model (DOM) of the current page and to control navigation.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Internet Explorer에 대한 새 브라우저 도우미 개체 플러그 인을 모니터링합니다.Monitors for new browser helper object plugins for Internet Explorer. 64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 대해 현재 페이지의 DOM(문서 개체 모델)에 액세스하고 탐색을 제어하는 데 사용됩니다.Used to access the Document Object Model (DOM) of the current page and to control navigation for 32-bit applications running on 64-bit computers.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions 사용자 지정 도구 메뉴 및 사용자 지정 도구 모음 단추와 같은 새로운 Internet Explorer 확장을 모니터링합니다.Monitors for new Internet Explorer extensions, such as custom tool menus and custom toolbar buttons.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions 64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 대한 사용자 지정 도구 메뉴 및 사용자 지정 도구 모음 단추와 같은 새 Internet Explorer 확장을 모니터링합니다.Monitors for new Internet Explorer extensions, such as custom tool menus and custom toolbar buttons for 32-bit applications running on 64-bit computers.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 wavemapper, wave1 및 wave2, msacm.imaadpcm, .msadpcm, .msgsm610 및 vidc와 관련된 32비트 드라이버를 모니터링합니다.Monitors 32-bit drivers associated with wavemapper, wave1 and wave2, msacm.imaadpcm, .msadpcm, .msgsm610, and vidc. system.ini 파일의 [drivers] 섹션과 비슷합니다.Similar to the [drivers] section in the system.ini file.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 대한 wavemapper, wave1 및 wave2, msacm.imaadpcm, .msadpcm, .msgsm610 및 vidc와 관련된 32비트 드라이버를 모니터링합니다.Monitors 32-bit drivers associated with wavemapper, wave1 and wave2, msacm.imaadpcm, .msadpcm, .msgsm610, and vidc for 32-bit applications running on 64-bit computers. system.ini 파일의 [drivers] 섹션과 비슷합니다.Similar to the [drivers] section in the system.ini file.
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls 알려진 또는 일반적으로 사용되는 시스템 DLL 목록을 모니터링합니다.Monitors the list of known or commonly used system DLLs. 모니터링을 통해 사용자는 트로이 목마 버전의 시스템 Dll을 삭제 하 여 취약 한 응용 프로그램 디렉터리 권한을 악용할 수 없습니다.Monitoring prevents people from exploiting weak application directory permissions by dropping in Trojan horse versions of system DLLs.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Windows에 대한 대화형 로그온 지원 모델인 winlogon.exe 에서 이벤트 알림을 받을 수 있는 패키지 목록을 모니터링합니다.Monitors the list of packages that can receive event notifications from winlogon.exe, the interactive logon support model for Windows.

재귀 지원Recursion support

변경 내용 추적 및 인벤토리는 재귀를 지원하므로 디렉터리 간 추적을 단순화하기 위해 와일드카드를 지정할 수 있습니다.Change Tracking and Inventory supports recursion, which allows you to specify wildcards to simplify tracking across directories. 또한 재귀는 여러 또는 동적 드라이브 이름의 환경에서 파일을 추적할 수 있도록 환경 변수를 제공합니다.Recursion also provides environment variables to allow you to track files across environments with multiple or dynamic drive names. 다음 목록에는 재귀를 구성할 때 알아야 하는 일반적인 정보가 포함 되어 있습니다.The following list includes common information you should know when configuring recursion:

  • 와일드 카드는 여러 파일을 추적하는 데 필요합니다.Wildcards are required for tracking multiple files.

  • 파일 경로의 마지막 세그먼트에만 와일드 카드를 사용할 수 있습니다 (예: : c:\folder \ file _ 또는 _ /etc/* *).You can use wildcards only in the last segment of a file path, for example, c:\folder\file _ or _ /etc/.conf**.

  • 환경 변수에 잘못된 경로가 있는 경우 유효성 검사는 성공 하지만 실행 중 경로가 실패합니다.If an environment variable has an invalid path, validation succeeds but the path fails during execution.

  • 경로를 설정할 때 일반적인 경로 이름을 사용 하지 않아야 합니다 .이 유형의 설정으로 인해 너무 많은 폴더가 트래버스 될 수 있습니다.You should avoid general path names when setting the path, as this type of setting can cause too many folders to be traversed.

변경 내용 추적 및 인벤토리 데이터 수집Change Tracking and Inventory data collection

다음 표에서는 변경 내용 추적 및 인벤토리에서 지원하는 변경 유형에 대한 데이터 수집 빈도를 보여줍니다.The next table shows the data collection frequency for the types of changes supported by Change Tracking and Inventory. 모든 유형에 대해 현재 상태의 데이터 스냅샷은 최소한 24시간마다 새로 고쳐집니다.For every type, the data snapshot of the current state is also refreshed at least every 24 hours.

변경 유형Change Type 빈도Frequency
Windows 레지스트리Windows registry 50분50 minutes
Windows 파일Windows file 30분30 minutes
Linux 파일Linux file 15분15 minutes
Microsoft 서비스Microsoft services 10초에서 30분10 seconds to 30 minutes
Default: 30분Default: 30 minutes
Linux 데몬Linux daemons 5분5 minutes
Windows 소프트웨어Windows software 30분30 minutes
Linux 소프트웨어Linux software 5분5 minutes

다음 표에서는 변경 내용 추적 및 인벤토리에 대한 머신당 추적된 항목 한도를 보여줍니다.The following table shows the tracked item limits per machine for Change Tracking and Inventory.

리소스Resource 제한Limit
파일File 500500
레지스트리Registry 250250
Windows 소프트웨어(핫픽스 포함 안 함)Windows software (not including hotfixes) 250250
Linux 패키지Linux packages 12501250
ServicesServices 250250
디먼Daemons 250250

변경 내용 추적 및 인벤토리를 사용하는 머신의 평균 Log Analytics 데이터 사용량은 환경에 따라 월별 약 40MB입니다.The average Log Analytics data usage for a machine using Change Tracking and Inventory is approximately 40 MB per month, depending on your environment. Log Analytics 작업 영역의 사용량 및 예상 비용 기능을 사용 하면 사용 현황 차트에서 변경 내용 추적 및 인벤토리에 따라 데이터 수집을 볼 수 있습니다.With the Usage and Estimated Costs feature of the Log Analytics workspace, you can view the data ingested by Change Tracking and Inventory in a usage chart. 이 데이터 뷰를 사용 하 여 데이터 사용량을 평가 하 고 청구에 미치는 영향을 결정 합니다.Use this data view to evaluate your data usage and determine how it affects your bill. 사용량 파악 및 비용 추정을 참조하세요.See Understand your usage and estimate costs.

Microsoft 서비스 데이터Microsoft service data

Microsoft 서비스에 대한 기본 수집 빈도는 30분입니다.The default collection frequency for Microsoft services is 30 minutes. Microsoft 서비스 탭의 설정 편집 아래에서 슬라이더를 사용하여 빈도를 구성할 수 있습니다.You can configure the frequency using a slider on the Microsoft services tab under Edit Settings.

Microsoft 서비스 슬라이더

성능 최적화를 위해 Log Analytics 에이전트는 변경 내용만 추적 합니다.To optimize performance, the Log Analytics agent only tracks changes. 서비스가 원래 상태로 반환 되는 경우 높은 임계값을 설정 하면 변경 내용이 누락 될 수 있습니다.Setting a high threshold might miss changes if the service returns to its original state. 빈도를 더 작은 값으로 설정하면 누락될 수 있는 변경 내용을 파악할 수 있습니다.Setting the frequency to a smaller value allows you to catch changes that might be missed otherwise.

참고

에이전트가 10초 간격으로 변경 내용을 추적하는 동안 데이터를 Microsoft Azure Portal에 표시하는 데 몇 분 정도 걸립니다.While the agent can track changes down to a 10-second interval, the data still takes a few minutes to display in the Azure portal. 포털에 표시하는 시간 동안에도 변경 내용이 추적되고 기록됩니다.Changes that occur during the time to display in the portal are still tracked and logged.

구성 상태에 대한 경고 지원Support for alerts on configuration state

변경 내용 추적 및 인벤토리의 주요 기능은 하이브리드 환경의 구성 상태 변경 내용에 대해 경고를 표시하는 것입니다.A key capability of Change Tracking and Inventory is alerting on changes to the configuration state of your hybrid environment. 많은 유용한 작업을 경고에 대 한 응답으로 트리거할 수 있습니다.Many useful actions are available to trigger in response to alerts. 예를 들어 Azure 함수, 자동화 runbook, 웹 후크 및 이와 같은 작업을 수행 합니다.For example, actions on Azure functions, Automation runbooks, webhooks, and the like. 컴퓨터에 대 한 c:\windows\system32\drivers\etc\hosts 파일 변경에 대 한 경고는 변경 내용 추적 및 인벤토리 데이터에 대 한 경고의 좋은 적용입니다.Alerting on changes to the c:\windows\system32\drivers\etc\hosts file for a machine is one good application of alerts for Change Tracking and Inventory data. 다음 표에 정의된 쿼리 시나리오를 비롯하여 경고에 대한 더 많은 시나리오가 있습니다.There are many more scenarios for alerting as well, including the query scenarios defined in the next table.

쿼리Query DescriptionDescription
ConfigurationChangeConfigurationChange
| where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\"| where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\"
시스템에 중요한 파일의 변경 내용을 추적하는 데 유용합니다.Useful for tracking changes to system-critical files.
ConfigurationChangeConfigurationChange
| where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"| where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts"
주요 구성 파일의 수정 내용을 추적하는 데 유용합니다.Useful for tracking modifications to key configuration files.
ConfigurationChangeConfigurationChange
| where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped"| where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped"
시스템에 중요한 서비스의 변경 내용을 추적하는 데 유용합니다.Useful for tracking changes to system-critical services.
ConfigurationChangeConfigurationChange
| where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState!= "Running"| where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState!= "Running"
시스템에 중요한 서비스의 변경 내용을 추적하는 데 유용합니다.Useful for tracking changes to system-critical services.
ConfigurationChangeConfigurationChange
| where ConfigChangeType == "Software" and ChangeCategory == "Added"| where ConfigChangeType == "Software" and ChangeCategory == "Added"
잠긴 소프트웨어 구성이 필요한 환경에 유용합니다.Useful for environments that need locked-down software configurations.
ConfigurationDataConfigurationData
| where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"| where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0"
오래되었거나 규정을 준수하지 않는 소프트웨어 버전이 설치된 머신을 확인하는 데 유용합니다.Useful for seeing which machines have outdated or noncompliant software version installed. 이 쿼리는 변경 내용이 아닌 마지막으로 보고된 구성 상태를 보고합니다.This query reports the last reported configuration state, but doesn't report changes.
ConfigurationChangeConfigurationChange
| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"
중요한 바이러스 백신 키의 변경 내용을 추적하는 데 유용합니다.Useful for tracking changes to crucial antivirus keys.
ConfigurationChangeConfigurationChange
| where RegistryKey contains @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"| where RegistryKey contains @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"
방화벽 설정의 변경 내용을 추적하는 데 유용합니다.Useful for tracking changes to firewall settings.

다음 단계Next steps