Tracering en waarschuwingen voor kritieke wijzigingen inschakelen
Azure Wijzigingen bijhouden en inventaris waarschuwingen geven over de configuratiestatus van uw hybride omgeving en wijzigingen in die omgeving. Er kunnen kritieke bestands-, service-, software- en registerwijzigingen worden gerapporteerd die van invloed kunnen zijn op uw geïmplementeerde servers.
De Azure Automation inventarisservice bewaakt standaard geen bestanden of registerinstellingen. De oplossing biedt een lijst met registersleutels die we voor bewaking aanbevelen. Als u deze lijst wilt zien, gaat u naar uw Azure Automation-account in de Azure Portal en selecteert u vervolgensInstellingen voorvoorraad> bewerken.
Zie Wijzigingen bijhouden van registersleutels voor meer informatie over elke registersleutel. Selecteer een willekeurige sleutel die u wilt evalueren en schakel deze vervolgens in. De instelling wordt toegepast op alle VM's die zijn ingeschakeld in de huidige werkruimte.
U kunt de service ook gebruiken om essentiële bestandswijzigingen bij te houden. U wilt het bestand bijvoorbeeld bijhouden C:\windows\system32\drivers\etc\hosts omdat het besturingssysteem het gebruikt om hostnamen toe te wijzen aan IP-adressen. Wijzigingen in dit bestand kunnen connectiviteitsproblemen veroorzaken of verkeer omleiden naar gevaarlijke websites.
Als u het bijhouden van bestandsinhoud voor het hosts-bestand wilt inschakelen, volgt u de stappen in Bijhouden van bestandsinhoud inschakelen.
U kunt ook een waarschuwing toevoegen voor wijzigingen in bestanden die u bijhoudt. U kunt bijvoorbeeld een waarschuwing instellen voor wijzigingen in het hosts-bestand. Hiervoor selecteert u Log Analytics op de opdrachtbalk of Zoeken in logboeken voor de gekoppelde Log Analytics-werkruimte. Gebruik in Log Analytics de volgende query om te zoeken naar wijzigingen in het hosts-bestand:
ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts"
Met deze query wordt gezocht naar wijzigingen in de inhoud van bestanden met een pad dat het woord hostsbevat. U kunt ook zoeken naar een specifiek bestand door de padparameter te wijzigen. (Bijvoorbeeld: FileSystemPath == "c:\\windows\\system32\\drivers\\etc\\hosts".)
Nadat de query de resultaten heeft geretourneerd, selecteert u Nieuwe waarschuwingsregel om de editor voor waarschuwingsregels te openen. U kunt deze editor ook openen via Azure Monitor in de Azure Portal.
Controleer in de waarschuwingsregeleditor de query en wijzig indien nodig de waarschuwingslogica. In dit geval willen we dat de waarschuwing wordt weergegeven als er wijzigingen worden gedetecteerd op een computer in de omgeving.
Nadat u de voorwaardelogica hebt ingesteld, kunt u actiegroepen toewijzen om acties uit te voeren als reactie op de waarschuwing. Wanneer in dit voorbeeld de waarschuwing wordt gegenereerd, worden er e-mailberichten verzonden en wordt er een ITSM-ticket gemaakt. U kunt veel andere nuttige acties uitvoeren, zoals het activeren van een Azure-functie, een Azure Automation-runbook, een webhook of een logische app.
Nadat u alle parameters en logica hebt ingesteld, past u de waarschuwing toe op de omgeving.
Voorbeelden van tracering en waarschuwingen
In deze sectie worden andere veelvoorkomende scenario's voor tracering en waarschuwingen beschreven die u mogelijk wilt gebruiken.
Stuurprogrammabestand gewijzigd
Gebruik de volgende query om te detecteren of stuurprogrammabestanden worden gewijzigd, toegevoegd of verwijderd. Het is handig voor het bijhouden van wijzigingen in kritieke systeembestanden.
ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\\windows\\system32\\drivers\\"
Specifieke service is gestopt
Gebruik de volgende query om wijzigingen in systeemkritieke services bij te houden.
ConfigurationChange | where SvcState == "Stopped" and SvcName contains "w3svc"
Nieuwe software geïnstalleerd
Gebruik de volgende query voor omgevingen die softwareconfiguraties moeten vergrendelen.
ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"
Specifieke softwareversie is of is niet geïnstalleerd op een computer
Gebruik de volgende query om de beveiliging te beoordelen. Deze query verwijst naar ConfigurationData, die de logboeken voor inventaris bevat en de laatst gerapporteerde configuratiestatus biedt, niet wijzigingen.
ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"
Bekende DLL gewijzigd via het register
Gebruik de volgende query om wijzigingen in bekende registersleutels te detecteren.
ConfigurationChange | where RegistryKey == "HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Session Manager\\KnownDlls"
Volgende stappen
Meer informatie over hoe Azure Automation updateschema's kunt maken om updates voor uw servers te beheren.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor