Overzicht Wijzigingen bijhouden en Inventaris
Let op
In dit artikel wordt verwezen naar CentOS, een Linux-distributie die de status End Of Life (EOL) nadert. Overweeg uw gebruik en planning dienovereenkomstig. Zie de Richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.
Belangrijk
- Wijzigingen bijhouden en inventaris met de Log Analytics-agent wordt op 31 augustus 2024 buiten gebruik gesteld en wordt u aangeraden Azure Monitoring Agent te gebruiken als de nieuwe ondersteunende agent. Volg de richtlijnen voor migratie van Wijzigingen bijhouden en inventaris met behulp van Log Analytics naar Wijzigingen bijhouden en inventaris met behulp van Azure Monitoring Agent-versie.
In dit artikel maakt u kennis met Wijzigingen bijhouden en inventaris in Azure Automation. Met deze functie worden wijzigingen bijgehouden in virtuele machines die worden gehost in Azure, on-premises en andere cloudomgevingen, zodat u operationele en omgevingsproblemen kunt vaststellen met software die wordt beheerd door de Distributie-Pakketbeheer. Items die worden bijgehouden door Wijzigingen bijhouden en inventaris zijn onder andere:
- Windows-software
- Linux-software (pakketten)
- Windows- en Linux-bestanden
- Windows-registersleutels
- Windows-services
- Linux-daemons
Notitie
Zie de wijzigingsgeschiedenis van Azure Resource Graph om wijzigingen in azure Resource Manager-eigenschappen bij te houden.
Wijzigingen bijhouden en inventaris maakt gebruik van Microsoft Defender voor Cloud FIM (File Integrity Monitoring) om besturingssysteem- en toepassingsbestanden en Windows-register te onderzoeken. Terwijl FIM deze entiteiten bewaakt, wordt Wijzigingen bijhouden en inventaris systeemeigen bijgehouden:
- Softwarewijzigingen
- Windows-services
- Linux-daemons
Het inschakelen van alle functies in Wijzigingen bijhouden en inventaris kan extra kosten veroorzaken. Voordat u doorgaat, bekijkt u prijzen voor Automation en Azure Monitor.
Wijzigingen bijhouden en inventaris gegevens doorstuurt naar Azure Monitor-logboeken en deze verzamelde gegevens worden opgeslagen in een Log Analytics-werkruimte. De functie Fim (File Integrity Monitoring) is alleen beschikbaar wanneer Microsoft Defender voor servers is ingeschakeld. Zie Microsoft Defender voor Cloud Prijzen voor meer informatie. FIM uploadt gegevens naar dezelfde Log Analytics-werkruimte als de werkruimte die is gemaakt voor het opslaan van gegevens uit Wijzigingen bijhouden en inventaris. U wordt aangeraden uw gekoppelde Log Analytics-werkruimte te bewaken om uw exacte gebruik bij te houden. Zie Gebruik analyseren in Log Analytics-werkruimte voor meer informatie over het analyseren van het gegevensgebruik van Azure Monitor-logboeken.
Machines die zijn verbonden met de Log Analytics-werkruimte gebruiken de Log Analytics-agent om gegevens te verzamelen over wijzigingen in geïnstalleerde software, Windows-services, Windows-register en -bestanden en Linux-daemons op bewaakte servers. Wanneer er gegevens beschikbaar zijn, verzendt de agent deze naar Azure Monitor-logboeken voor verwerking. Azure Monitor-logboeken past logica toe op de ontvangen gegevens, registreert deze en maakt deze beschikbaar voor analyse.
Notitie
Wijzigingen bijhouden en inventaris moet een Log Analytics-werkruimte koppelen aan uw Automation-account. Zie Azure Workspace-toewijzingen voor een definitieve lijst met ondersteunde regio's. De regiotoewijzingen hebben geen invloed op de mogelijkheid om VM's in een afzonderlijke regio te beheren van uw Automation-account.
Als serviceprovider hebt u mogelijk meerdere klanttenants toegevoegd aan Azure Lighthouse. Met Azure Lighthouse kunt u bewerkingen op schaal uitvoeren in verschillende Microsoft Entra-tenants tegelijk, waardoor beheertaken, zoals Wijzigingen bijhouden en inventaris efficiënter zijn voor deze tenants waarvoor u verantwoordelijk bent. Wijzigingen bijhouden en inventaris machines in meerdere abonnementen in dezelfde tenant of in meerdere tenants kunnen beheren met behulp van Gedelegeerd Azure-resourcebeheer.
Huidige beperkingen
Wijzigingen bijhouden en inventaris biedt geen ondersteuning voor of heeft de volgende beperkingen:
- Recursie voor het bijhouden van Windows-register
- Netwerkbestandssystemen
- Verschillende installatiemethoden
- *.exe bestanden die zijn opgeslagen in Windows
- De kolom Maximale bestandsgrootte en waarden worden niet gebruikt in de huidige implementatie.
- Als u bestandswijzigingen bijhoudt, is dit beperkt tot een bestandsgrootte van 5 MB of minder.
- Als de bestandsgrootte 1,25 MB wordt weergegeven >, is FileContentChecksum onjuist vanwege geheugenbeperkingen in de berekening van de controlesom.
- Als u meer dan 2500 bestanden probeert te verzamelen in een verzamelingsperiode van 30 minuten, kunnen Wijzigingen bijhouden en inventaris prestaties afnemen.
- Als het netwerkverkeer hoog is, kan het maximaal zes uur duren voordat records worden weergegeven.
- Als u een configuratie wijzigt terwijl een computer of server wordt afgesloten, kan dit wijzigingen posten die horen bij de vorige configuratie.
- Hotfix-updates verzamelen op Windows Server 2016 Core RS3-computers.
- Linux-daemons kunnen een gewijzigde status weergeven, ook al is er geen wijziging opgetreden. Dit probleem treedt op vanwege de manier waarop de
SvcRunLevelsgegevens in de Azure Monitor ConfigurationChange-tabel worden geschreven.
Limieten
Zie Azure Automation-servicelimieten voor limieten die van toepassing zijn op Wijzigingen bijhouden en inventaris.
Ondersteunde besturingssystemen
Wijzigingen bijhouden en inventaris wordt ondersteund op alle besturingssystemen die voldoen aan de vereisten van de Log Analytics-agent. Zie ondersteunde besturingssystemen voor een lijst met de versies van het Windows- en Linux-besturingssysteem die momenteel worden ondersteund door de Log Analytics-agent.
Zie TLS voor Azure Automation voor meer informatie over clientvereisten voor TLS 1.2 of hoger.
Python-vereiste
Wijzigingen bijhouden en inventaris nu ondersteuning voor Python 2 en Python 3. Als uw computer gebruikmaakt van een distributie die geen van de versies bevat, moet u deze standaard installeren. Met de volgende voorbeeldopdrachten worden Python 2 en Python 3 op verschillende distributies geïnstalleerd.
Notitie
Als u de OMS-agent wilt gebruiken die compatibel is met Python 3, moet u Python 2 eerst verwijderen; anders wordt de OMS-agent standaard uitgevoerd met python 2.
- Red Hat, CentOS, Oracle:
sudo yum install -y python2
- Ubuntu, Debian:
sudo apt-get update
sudo apt-get install -y python2
- SUSE:
sudo zypper install -y python2
Notitie
Het uitvoerbare python 2-bestand moet een alias hebben naar Python.
Vereisten voor netwerkfirewall
Controleer de Azure Automation-netwerkconfiguratie voor gedetailleerde informatie over de poorten, URL's en andere netwerkdetails die vereist zijn voor Wijzigingen bijhouden en inventaris.
Wijzigingen bijhouden en Inventaris inschakelen
U kunt Wijzigingen bijhouden en inventaris op de volgende manieren inschakelen:
Vanuit uw Automation-account voor een of meer Azure- en niet-Azure-machines.
Handmatig voor niet-Azure-machines, inclusief machines of servers die zijn geregistreerd bij servers met Azure Arc. Voor hybride machines raden we u aan om de Log Analytics-agent voor Windows te installeren door eerst uw computer te verbinden met servers met Azure Arc en vervolgens Azure Policy te gebruiken om de Log Analytics-agent implementeren toe te wijzen aan het ingebouwde beleid voor Linux - of Windows Azure Arc-machines . Als u van plan bent om ook de machines te bewaken met Azure Monitor voor VM's, gebruikt u in plaats daarvan het initiatief Azure Monitor voor VM's inschakelen.
Voor één Virtuele Azure-machine op de pagina Virtuele machine in Azure Portal. Dit scenario is beschikbaar voor Virtuele Linux- en Windows-machines.
Voor meerdere Virtuele Azure-machines selecteert u deze op de pagina Virtuele machines in Azure Portal.
Bestandswijzigingen bijhouden
Voor het bijhouden van wijzigingen in bestanden in zowel Windows als Linux gebruikt Wijzigingen bijhouden en inventaris MD5-hashes van de bestanden. De functie gebruikt de hashes om te detecteren of er wijzigingen zijn aangebracht sinds de laatste inventarisatie. Als u de Linux-bestanden wilt bijhouden, moet u ervoor zorgen dat u leestoegang hebt voor de GEBRUIKER van de OMS-agent.
Wijzigingen in bestandsinhoud bijhouden
Wijzigingen bijhouden en inventaris kunt u de inhoud van een Windows- of Linux-bestand weergeven. Voor elke wijziging in een bestand Wijzigingen bijhouden en inventaris de inhoud van het bestand opslaat in een Azure Storage-account. Wanneer u een bestand bijhoudt, kunt u de inhoud ervan vóór of na een wijziging bekijken. De bestandsinhoud kan inline of naast elkaar worden weergegeven.
Bijhouden van registersleutels
Wijzigingen bijhouden en inventaris staat het controleren van wijzigingen in Windows-registersleutels toe. Met bewaking kunt u uitbreidbaarheidspunten aanwijzen waar code en malware van derden kunnen worden geactiveerd. De volgende tabel bevat vooraf geconfigureerde (maar niet ingeschakelde) registersleutels. Als u deze sleutels wilt bijhouden, moet u elke sleutel inschakelen.
| Registersleutel | Doel |
|---|---|
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Bewaakt scripts die worden uitgevoerd bij het opstarten. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Controleert scripts die worden uitgevoerd bij afsluiten. |
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Controleert sleutels die worden geladen voordat de gebruiker zich aanmeldt bij het Windows-account. De sleutel wordt gebruikt voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. |
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Controleert wijzigingen in toepassingsinstellingen. |
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Controleert contextmenuhandlers die rechtstreeks in Windows Verkenner worden aangesloten en die meestal in het proces worden uitgevoerd met explorer.exe. |
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Bewaakt kopieerhaakhandlers die rechtstreeks in Windows Verkenner worden aangesloten en die meestal in verwerking worden uitgevoerd met explorer.exe. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitors voor de registratie van pictogram-overlayhandlers. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitors voor registratie van pictogram-overlay-handler voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Controleert op nieuwe browserhelperobjectinvoegtoepassingen voor Internet Explorer. Wordt gebruikt voor toegang tot het Document Object Model (DOM) van de huidige pagina en voor het beheren van navigatie. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Controleert op nieuwe browserhelperobjectinvoegtoepassingen voor Internet Explorer. Wordt gebruikt voor toegang tot het Document Object Model (DOM) van de huidige pagina en voor het beheren van navigatie voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Monitors voor nieuwe Internet Explorer-extensies, zoals menu's van aangepaste hulpprogramma's en aangepaste werkbalkknoppen. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Monitors voor nieuwe Internet Explorer-extensies, zoals aangepaste menu's en aangepaste werkbalkknoppen voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Bewaakt 32-bits stuurprogramma's die zijn gekoppeld aan wavemapper, wave1 en wave2, msacm.imaadpcm, .msadpcm, .msgsm610 en vidc. Vergelijkbaar met de sectie [stuurprogramma's] in het bestand system.ini . |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Bewaakt 32-bits stuurprogramma's die zijn gekoppeld aan wavemapper, wave1 en wave2, msacm.imaadpcm, .msadpcm, .msgsm610 en vidc voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. Vergelijkbaar met de sectie [stuurprogramma's] in het bestand system.ini . |
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Controleert de lijst met bekende of veelgebruikte systeem-DLL's. Bewaking voorkomt dat mensen zwakke toepassingsmapmachtigingen misbruiken door te vallen in Trojaanse paardversies van systeem-DLL's. |
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Bewaakt de lijst met pakketten die gebeurtenismeldingen van winlogon.exe kunnen ontvangen, het interactieve aanmeldingsondersteuningsmodel voor Windows. |
Ondersteuning voor recursie
Wijzigingen bijhouden en inventaris ondersteunt recursie, waarmee u jokertekens kunt opgeven om het bijhouden in mappen te vereenvoudigen. Recursie biedt ook omgevingsvariabelen waarmee u bestanden kunt bijhouden in omgevingen met meerdere of dynamische stationsnamen. De volgende lijst bevat algemene informatie die u moet weten bij het configureren van recursie:
Jokertekens zijn vereist voor het bijhouden van meerdere bestanden.
U kunt alleen jokertekens gebruiken in het laatste segment van een bestandspad, bijvoorbeeld c:\folder\file* of /etc/*.conf.
Als een omgevingsvariabele een ongeldig pad heeft, slaagt de validatie, maar mislukt het pad tijdens de uitvoering.
Vermijd algemene padnamen bij het instellen van het pad, omdat dit type instelling ertoe kan leiden dat te veel mappen worden doorkruist.
Wijzigingen bijhouden en inventaris gegevensverzameling
In de volgende tabel ziet u de frequentie van gegevensverzameling voor de typen wijzigingen die worden ondersteund door Wijzigingen bijhouden en inventaris. Voor elk type wordt de momentopname van de gegevens van de huidige status ten minste elke 24 uur vernieuwd.
| Type wijzigen | Frequentie |
|---|---|
| Windows-register | 50 minuten |
| Windows-bestand | 30 minuten |
| Linux-bestand | 15 minuten |
| Windows-services | 10 seconden tot 30 minuten Standaard: 30 minuten |
| Linux-daemons | 5 minuten |
| Windows-software | 30 minuten |
| Linux-software | 5 minuten |
In de volgende tabel ziet u de bijgehouden itemlimieten per machine voor Wijzigingen bijhouden en inventaris.
| Resource | Limiet |
|---|---|
| Bestand | 500 |
| Register | 250 |
| Windows-software (inclusief hotfixes) | 250 |
| Linux-pakketten | 1250 |
| Services | 250 |
| Daemons | 250 |
Het gemiddelde gebruik van Log Analytics-gegevens voor een machine met Wijzigingen bijhouden en inventaris is ongeveer 40 MB per maand, afhankelijk van uw omgeving. Met de functie Gebruik en Geschatte kosten van de Log Analytics-werkruimte kunt u de gegevens bekijken die zijn opgenomen door Wijzigingen bijhouden en inventaris in een gebruiksgrafiek. Gebruik deze gegevensweergave om uw gegevensgebruik te evalueren en te bepalen hoe dit van invloed is op uw factuur. Zie Inzicht in uw gebruik en geschatte kosten.
Windows-servicesgegevens
De standaardverzamelingsfrequentie voor Windows-services is 30 minuten. U kunt de frequentie configureren met behulp van een schuifregelaar op het tabblad Windows-services onder Instellingen bewerken.
Om de prestaties te optimaliseren, houdt de Log Analytics-agent alleen wijzigingen bij. Het instellen van een hoge drempelwaarde kan wijzigingen missen als de service terugkeert naar de oorspronkelijke staat. Als u de frequentie instelt op een kleinere waarde, kunt u wijzigingen ondervangen die anders kunnen worden gemist.
Voor kritieke services raden we u aan om de opstartstatus als Automatisch (vertraagde start) te markeren, zodat, zodra de VM opnieuw wordt opgestart, de gegevensverzameling van de services wordt gestart nadat de MMA-agent wordt gestart in plaats van snel te starten zodra de VIRTUELE machine is opgestart.
Notitie
Hoewel de agent wijzigingen in een interval van tien seconden kan bijhouden, duurt het nog enkele minuten om de gegevens weer te geven in Azure Portal. Wijzigingen die zich voordoen tijdens de weergave in de portal, worden nog steeds bijgehouden en geregistreerd.
Ondersteuning voor waarschuwingen over de configuratiestatus
Een belangrijke mogelijkheid van Wijzigingen bijhouden en inventaris is het waarschuwen over wijzigingen in de configuratiestatus van uw hybride omgeving. Er zijn veel nuttige acties beschikbaar om te activeren als reactie op waarschuwingen. Bijvoorbeeld acties op Azure-functies, Automation-runbooks, webhooks en dergelijke. Waarschuwingen bij wijzigingen in het bestand c:\windows\system32\drivers\etc\hosts voor een computer is een goede toepassing van waarschuwingen voor Wijzigingen bijhouden en inventaris gegevens. Er zijn ook veel meer scenario's voor waarschuwingen, waaronder de queryscenario's die in de volgende tabel zijn gedefinieerd.
| Query | Beschrijving |
|---|---|
| ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\" |
Handig voor het bijhouden van wijzigingen in systeemkritieke bestanden. |
| ConfigurationChange | waarbij FieldsChanged "FileContentChecksum" en FileSystemPath == "c:\windows\system32\drivers\etc\hosts" bevat |
Handig voor het bijhouden van wijzigingen in sleutelconfiguratiebestanden. |
| ConfigurationChange | waarbij ConfigChangeType == "WindowsServices" en SvcName "w3svc" en SvcState == "Gestopt" bevat |
Handig voor het bijhouden van wijzigingen in systeemkritieke services. |
| ConfigurationChange | waarbij ConfigChangeType == "Daemons" en SvcName "ssh" en SvcState!= "Running" bevat |
Handig voor het bijhouden van wijzigingen in systeemkritieke services. |
| ConfigurationChange | where ConfigChangeType == "Software" en ChangeCategory == "Added" |
Handig voor omgevingen die vergrendelde softwareconfiguraties nodig hebben. |
| ConfigurationData | waarbij SoftwareName 'Monitoring Agent' en CurrentVersion!= "8.0.11081.0" bevat |
Handig om te zien welke computers verouderde of niet-compatibele softwareversie hebben geïnstalleerd. Deze query rapporteert de laatst gerapporteerde configuratiestatus, maar rapporteert geen wijzigingen. |
| ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
Handig voor het bijhouden van wijzigingen in cruciale antivirussleutels. |
| ConfigurationChange | waar RegistryKey bevat @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
Handig voor het bijhouden van wijzigingen in firewallinstellingen. |
Log Analytics-agent bijwerken naar de nieuwste versie
Voor Wijzigingen bijhouden & Inventory gebruiken computers de Log Analytics-agent om gegevens te verzamelen over wijzigingen in geïnstalleerde software, Windows-services, Windows-register en -bestanden en Linux-daemons op bewaakte servers. Binnenkort accepteert Azure geen verbindingen meer van oudere versies van de Windows Log Analytics-agent (LA), ook wel bekend als de Windows Microsoft Monitoring Agent (MMA), die gebruikmaakt van een oudere methode voor certificaatafhandeling. We raden u aan om uw agent zo snel mogelijk te upgraden naar de nieuwste versie.
Agents met versie 10.20.18053 (bundel) en 1.0.18053.0 (extensie) of nieuwer worden niet beïnvloed als reactie op deze wijziging. Als u eerder een agent gebruikt, kan uw agent geen verbinding maken en kan de Wijzigingen bijhouden pijplijn en downstreamactiviteiten stoppen. U kunt de huidige LA-agentversie controleren in de HeartBeat-tabel in uw LA-werkruimte.
Zorg ervoor dat u een upgrade uitvoert naar de nieuwste versie van de Windows Log Analytics-agent (MMA) volgens deze richtlijnen.