Overzicht Wijzigingen bijhouden en Inventaris
In dit artikel maakt u kennis met Wijzigingen bijhouden en inventaris in Azure Automation. Met deze functie worden wijzigingen bijgehouden in virtuele machines die worden gehost in Azure, on-premises en andere cloudomgevingen, zodat u operationele en omgevingsproblemen kunt vaststellen met software die wordt beheerd door Distribution Package Manager. Items die worden bijgehouden door Wijzigingen bijhouden en inventaris zijn onder andere:
- Windows-software
- Linux-software (pakketten)
- Windows- en Linux-bestanden
- Windows-registersleutels
- Windows-services
- Linux-daemons
Notitie
Zie de wijzigingsgeschiedenis van Azure Resource Graph om wijzigingen in Azure Resource Manager eigenschap bij te houden.
Wijzigingen bijhouden en inventaris maakt gebruik van Microsoft Defender for Cloud File Integrity Monitoring (FIM) om het besturingssysteem en de toepassingsbestanden en het Windows-register te onderzoeken. Terwijl FIM deze entiteiten bewaakt, wordt Wijzigingen bijhouden en inventaris systeemeigen bijgehouden:
- Softwarewijzigingen
- Windows-services
- Linux-daemons
Als u alle functies in Wijzigingen bijhouden en inventaris inschakelt, kunnen er extra kosten in rekening worden gebracht. Voordat u verdergaat, controleert u de prijzen van Automation en De prijzen van Azure Monitor.
Wijzigingen bijhouden en inventaris gegevens doorsturen naar Azure Monitor-logboeken en deze verzamelde gegevens worden opgeslagen in een Log Analytics-werkruimte. De fim-functie (File Integrity Monitoring) is alleen beschikbaar wanneer Microsoft Defender voor servers is ingeschakeld. Zie Prijzen voor Microsoft Defender voor Cloud voor meer informatie. FIM uploadt gegevens naar dezelfde Log Analytics-werkruimte als de werkruimte die is gemaakt voor het opslaan van gegevens uit Wijzigingen bijhouden en inventaris. We raden u aan uw gekoppelde Log Analytics-werkruimte te bewaken om uw exacte gebruik bij te houden. Zie Gebruik analyseren in log analytics-werkruimte voor meer informatie over het analyseren van het gegevensgebruik van Azure Monitor-logboeken.
Computers die zijn verbonden met de Log Analytics-werkruimte gebruiken de Log Analytics-agent om gegevens te verzamelen over wijzigingen in geïnstalleerde software, Windows-services, Windows-register en -bestanden en Linux-daemons op bewaakte servers. Wanneer er gegevens beschikbaar zijn, verzendt de agent deze naar Azure Monitor-logboeken voor verwerking. Azure Monitor-logboeken past logica toe op de ontvangen gegevens, registreert deze en maakt deze beschikbaar voor analyse.
Notitie
Wijzigingen bijhouden en inventaris moet een Log Analytics-werkruimte koppelen aan uw Automation-account. Zie Azure Workspace-toewijzingen voor een definitieve lijst met ondersteunde regio's. De regiotoewijzingen hebben geen invloed op de mogelijkheid om VM's in een andere regio te beheren dan uw Automation-account.
Als serviceprovider hebt u mogelijk meerdere tenants van klanten geïmplementeerd in Azure Lighthouse. Met Azure Lighthouse kunt u bewerkingen op schaal uitvoeren in verschillende Azure Active Directory-tenants (Azure AD) tegelijk, waardoor beheertaken zoals Wijzigingen bijhouden en inventaris efficiënter zijn voor die tenants waarvoor u verantwoordelijk bent. Wijzigingen bijhouden en inventaris kunt machines in meerdere abonnementen in dezelfde tenant of in meerdere tenants beheren met behulp van gedelegeerd resourcebeheer van Azure.
Huidige beperkingen
Wijzigingen bijhouden en inventaris biedt geen ondersteuning voor of heeft de volgende beperkingen:
- Recursie voor het bijhouden van Windows-register
- Netwerkbestandssystemen
- Verschillende installatiemethoden
- *.exe bestanden die zijn opgeslagen in Windows
- De kolom Maximale bestandsgrootte en waarden worden niet gebruikt in de huidige implementatie.
- Als u bestandswijzigingen bijhoudt, is dit beperkt tot een bestandsgrootte van 5 MB of minder.
- Als de bestandsgrootte 1,25 MB wordt weergegeven >, is FileContentChecksum onjuist vanwege geheugenbeperkingen in de berekening van de controlesom.
- Als u meer dan 2500 bestanden probeert te verzamelen in een verzamelingscyclus van 30 minuten, worden Wijzigingen bijhouden en inventaris prestaties mogelijk verminderd.
- Als het netwerkverkeer hoog is, kan het maximaal zes uur duren voordat records worden weergegeven.
- Als u een configuratie wijzigt terwijl een computer of server wordt afgesloten, kan dit wijzigingen posten die behoren tot de vorige configuratie.
- Hotfix-updates verzamelen op Windows Server 2016 Core RS3-machines.
- Linux-daemons kunnen een gewijzigde status weergeven, ook al is er geen wijziging opgetreden. Dit probleem treedt op vanwege de manier waarop de
SvcRunLevelsgegevens in de Azure Monitor ConfigurationChange-tabel worden geschreven.
Limieten
Zie Azure Automation servicelimieten voor limieten die van toepassing zijn op Wijzigingen bijhouden en inventaris.
Ondersteunde besturingssystemen
Wijzigingen bijhouden en inventaris wordt ondersteund op alle besturingssystemen die voldoen aan de vereisten van de Log Analytics-agent. Bekijk ondersteunde besturingssystemen voor een lijst met de versies van het Windows- en Linux-besturingssysteem die momenteel worden ondersteund door de Log Analytics-agent.
Zie TLS 1.2 voor meer informatie over clientvereisten voor TLS 1.2 voor Azure Automation.
Python-vereiste
Wijzigingen bijhouden en inventaris ondersteunt alleen Python2. Als uw computer gebruikmaakt van een distributie die niet standaard Python 2 bevat, moet u deze installeren. Met de volgende voorbeeldopdrachten wordt Python 2 geïnstalleerd op verschillende distributies.
- Red Hat, CentOS, Oracle:
yum install -y python2 - Ubuntu, Debian:
apt-get install -y python2 - SUSE:
zypper install -y python2
Het uitvoerbare python2-bestand moet een alias hebben naar Python.
Netwerkvereisten
Controleer Azure Automation netwerkconfiguratie voor gedetailleerde informatie over de poorten, URL's en andere netwerkdetails die vereist zijn voor Wijzigingen bijhouden en inventaris.
Wijzigingen bijhouden en Inventaris inschakelen
U kunt Wijzigingen bijhouden en inventaris op de volgende manieren inschakelen:
Vanuit uw Automation-account voor een of meer Azure- en niet-Azure-machines.
Handmatig voor niet-Azure-machines, inclusief machines of servers die zijn geregistreerd bij servers met Azure Arc. Voor hybride machines raden we u aan om de Log Analytics-agent voor Windows te installeren door eerst uw computer te verbinden met servers met Azure Arc en vervolgens Azure Policy te gebruiken om de Log Analytics-agent implementeren toe te wijzen aan Linux- of Windows Azure Arc-machines ingebouwd beleid. Als u van plan bent om ook de machines met Azure Monitor voor VM's te bewaken, gebruikt u in plaats daarvan het initiatief Azure Monitor voor VM's inschakelen.
Voor één Azure-VM op de pagina Virtuele machine in de Azure Portal. Dit scenario is beschikbaar voor Linux- en Windows-VM's.
Voor meerdere Virtuele Azure-machines selecteert u deze op de pagina Virtuele machines in de Azure Portal.
Bestandswijzigingen bijhouden
Voor het bijhouden van wijzigingen in bestanden in zowel Windows als Linux gebruikt Wijzigingen bijhouden en inventaris MD5-hashes van de bestanden. De functie gebruikt de hashes om te detecteren of er wijzigingen zijn aangebracht sinds de laatste inventarisatie.
Wijzigingen in bestandsinhoud bijhouden
Wijzigingen bijhouden en inventaris kunt u de inhoud van een Windows- of Linux-bestand weergeven. Voor elke wijziging in een bestand slaat Wijzigingen bijhouden en inventaris de inhoud van het bestand op in een Azure Storage-account. Wanneer u een bestand bijhoudt, kunt u de inhoud ervan vóór of na een wijziging bekijken. De bestandsinhoud kan inline of naast elkaar worden weergegeven.
Bijhouden van registersleutels
Wijzigingen bijhouden en inventaris kunt u wijzigingen in Windows-registersleutels controleren. Met bewaking kunt u uitbreidbaarheidspunten aanwijzen waar code en malware van derden kunnen worden geactiveerd. De volgende tabel bevat vooraf geconfigureerde (maar niet ingeschakelde) registersleutels. Als u deze sleutels wilt bijhouden, moet u elke sleutel inschakelen.
| Registersleutel | Doel |
|---|---|
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Bewaakt scripts die worden uitgevoerd bij het opstarten. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Controleert scripts die worden uitgevoerd bij afsluiten. |
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Controleert sleutels die worden geladen voordat de gebruiker zich aanmeldt bij het Windows-account. De sleutel wordt gebruikt voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. |
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Controleert wijzigingen in toepassingsinstellingen. |
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Bewaakt contextmenu-handlers die rechtstreeks in Windows Verkenner worden aangesloten en die meestal in proces worden uitgevoerd met explorer.exe. |
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Bewaakt kopieerhaakhandlers die rechtstreeks in Windows Verkenner worden aangesloten en worden meestal in proces uitgevoerd met explorer.exe. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitors voor de registratie van pictogram-overlayhandlers. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitors voor registratie van pictogram-overlayhandlers voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Controleert op nieuwe browserhelperobjectinvoegtoepassingen voor Internet Explorer. Wordt gebruikt voor toegang tot het Document Object Model (DOM) van de huidige pagina en voor het beheren van navigatie. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Controleert op nieuwe browserhelperobjectinvoegtoepassingen voor Internet Explorer. Wordt gebruikt voor toegang tot het Document Object Model (DOM) van de huidige pagina en voor het beheren van navigatie voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Monitors voor nieuwe Internet Explorer-extensies, zoals aangepaste menu's en aangepaste werkbalkknoppen. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Controleert op nieuwe Internet Explorer-extensies, zoals aangepaste menu's en aangepaste werkbalkknoppen voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Bewaakt 32-bits stuurprogramma's die zijn gekoppeld aan wavemapper, wave1 en wave2, msacm.imaadpcm, .msadpcm, .msgsm610 en vidc. Vergelijkbaar met de sectie [stuurprogramma's] in het system.ini-bestand . |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Bewaakt 32-bits stuurprogramma's die zijn gekoppeld aan wavemapper, wave1 en wave2, msacm.imaadpcm, .msadpcm, .msgsm610 en vidc voor 32-bits toepassingen die worden uitgevoerd op 64-bits computers. Vergelijkbaar met de sectie [stuurprogramma's] in het system.ini-bestand . |
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Controleert de lijst met bekende of veelgebruikte systeem-DLL's. Bewaking voorkomt dat mensen zwakke toepassingsmapmachtigingen misbruiken door te vallen in Trojaanse paardenversies van systeem-DLL's. |
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Bewaakt de lijst met pakketten die gebeurtenismeldingen kunnen ontvangen van winlogon.exe, het interactieve aanmeldingsondersteuningsmodel voor Windows. |
Ondersteuning voor recursie
Wijzigingen bijhouden en inventaris ondersteunt recursie, waarmee u jokertekens kunt opgeven om het bijhouden van mappen te vereenvoudigen. Recursie biedt ook omgevingsvariabelen waarmee u bestanden kunt bijhouden in omgevingen met meerdere of dynamische stationsnamen. De volgende lijst bevat algemene informatie die u moet weten bij het configureren van recursie:
Jokertekens zijn vereist voor het bijhouden van meerdere bestanden.
U kunt alleen jokertekens gebruiken in het laatste segment van een bestandspad, bijvoorbeeld c:\folder\file* of /etc/*.conf.
Als een omgevingsvariabele een ongeldig pad heeft, slaagt de validatie, maar mislukt het pad tijdens de uitvoering.
Vermijd algemene padnamen bij het instellen van het pad, omdat dit type instelling ertoe kan leiden dat te veel mappen worden doorkruist.
Wijzigingen bijhouden en inventaris gegevensverzameling
In de volgende tabel ziet u de frequentie van gegevensverzameling voor de typen wijzigingen die worden ondersteund door Wijzigingen bijhouden en inventaris. Voor elk type wordt de momentopname van de gegevens van de huidige status ten minste elke 24 uur vernieuwd.
| Type wijzigen | Frequentie |
|---|---|
| Windows-register | 50 minuten |
| Windows-bestand | 30 minuten |
| Linux-bestand | 15 minuten |
| Windows-services | 10 seconden tot 30 minuten Standaard: 30 minuten |
| Linux-daemons | 5 minuten |
| Windows-software | 30 minuten |
| Linux-software | 5 minuten |
In de volgende tabel ziet u de bijgehouden itemlimieten per machine voor Wijzigingen bijhouden en inventaris.
| Resource | Limiet |
|---|---|
| File | 500 |
| Register | 250 |
| Windows-software (inclusief hotfixes) | 250 |
| Linux-pakketten | 1250 |
| Services | 250 |
| Daemons | 250 |
Het gemiddelde gebruik van Log Analytics-gegevens voor een machine met Wijzigingen bijhouden en inventaris is ongeveer 40 MB per maand, afhankelijk van uw omgeving. Met de functie Gebruik en Geschatte kosten van de Log Analytics-werkruimte kunt u de gegevens weergeven die zijn opgenomen door Wijzigingen bijhouden en inventaris in een gebruiksgrafiek. Gebruik deze gegevensweergave om uw gegevensgebruik te evalueren en te bepalen hoe dit van invloed is op uw factuur. Zie [Inzicht in uw gebruik en schatting van kosten](.. /.. /azure-monitor/logs/usage-estimated-costs.md#Inzicht in uw gebruik en optimaliseer uw prijscategorie).
Windows-servicesgegevens
De standaardverzamelingsfrequentie voor Windows-services is 30 minuten. U kunt de frequentie configureren met behulp van een schuifregelaar op het tabblad Windows-services onder Instellingen bewerken.
Om de prestaties te optimaliseren, houdt de Log Analytics-agent alleen wijzigingen bij. Het instellen van een hoge drempelwaarde kan wijzigingen missen als de service terugkeert naar de oorspronkelijke staat. Als u de frequentie instelt op een kleinere waarde, kunt u wijzigingen onderscheppen die anders kunnen worden gemist.
Notitie
Hoewel de agent wijzigingen in een interval van tien seconden kan bijhouden, duurt het nog enkele minuten om de gegevens weer te geven in de Azure Portal. Wijzigingen die optreden tijdens de weergave in de portal, worden nog steeds bijgehouden en geregistreerd.
Ondersteuning voor waarschuwingen over de configuratiestatus
Een belangrijke mogelijkheid van Wijzigingen bijhouden en inventaris is het waarschuwen over wijzigingen in de configuratiestatus van uw hybride omgeving. Er zijn veel nuttige acties beschikbaar om te activeren als reactie op waarschuwingen. Bijvoorbeeld acties op Azure-functies, Automation-runbooks, webhooks en dergelijke. Waarschuwingen over wijzigingen in het bestand c:\windows\system32\drivers\etc\hosts voor een computer is een goede toepassing van waarschuwingen voor Wijzigingen bijhouden en inventaris gegevens. Er zijn ook veel meer scenario's voor waarschuwingen, waaronder de queryscenario's die in de volgende tabel zijn gedefinieerd.
| Query’s uitvoeren | Beschrijving |
|---|---|
| ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\" |
Handig voor het bijhouden van wijzigingen in systeemkritieke bestanden. |
| ConfigurationChange | waarbij FieldsChanged "FileContentChecksum" en FileSystemPath == "c:\windows\system32\drivers\etc\hosts" bevat |
Handig voor het bijhouden van wijzigingen in sleutelconfiguratiebestanden. |
| ConfigurationChange | waarbij ConfigChangeType == "WindowsServices" en SvcName "w3svc" en SvcState == "Gestopt" bevat |
Handig voor het bijhouden van wijzigingen in systeemkritieke services. |
| ConfigurationChange | where ConfigChangeType == "Daemons" en SvcName bevat "ssh" en SvcState!= "Running" |
Handig voor het bijhouden van wijzigingen in systeemkritieke services. |
| ConfigurationChange | where ConfigChangeType == "Software" en ChangeCategory == "Added" |
Handig voor omgevingen die vergrendelde softwareconfiguraties nodig hebben. |
| ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0" |
Handig om te zien welke computers verouderde of niet-compatibele softwareversie hebben geïnstalleerd. Deze query rapporteert de laatst gerapporteerde configuratiestatus, maar rapporteert geen wijzigingen. |
| ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
Handig voor het bijhouden van wijzigingen in cruciale antivirussleutels. |
| ConfigurationChange | waarbij RegistryKey bevat @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
Handig voor het bijhouden van wijzigingen in firewallinstellingen. |
Volgende stappen
Zie Wijzigingen bijhouden en inventaris inschakelen vanuit de Azure Portal om in te schakelen vanuit de Azure Portal.
Als u een runbook wilt inschakelen, raadpleegt u Wijzigingen bijhouden en inventaris inschakelen vanuit een runbook.