Visão geral do Controle de Alterações e Inventário

Este artigo apresenta o Controle de Alterações e Inventário na Automação do Azure. Este recurso rastreia as alterações nas máquinas virtuais hospedadas no Azure, sejam locais ou em outros ambientes de nuvem, para ajudar a identificar problemas operacionais e ambientais com o software gerenciado pelo Gerenciador de Pacotes de Distribuição. Os itens controlados pelo Controle de Alterações e Inventário incluem:

  • Software do Windows
  • Software do Linux (pacotes)
  • Arquivos do Windows e do Linux
  • Chave do registro do Windows
  • Serviços Windows
  • Daemons Linux

Observação

Para rastrear as alterações da propriedade do Azure Resource Manager, confira o histórico de alterações do Azure Resource Graph.

O Controle de Alterações e Inventário usa o FIM (Monitoramento de Integridade de Arquivo) do Microsoft Defender para Nuvem a fim de examinar arquivos do sistema operacional e do aplicativo e o Registro do Windows. Enquanto o FIM monitora essas entidades, o Controle de Alterações e Inventário controlam nativamente:

  • Mudanças de software
  • Serviços Windows
  • Daemons Linux

Habilitar todos os recursos incluídos no Controle de Alterações e Inventário pode causar cobranças adicionais. Antes de continuar, examine Preços de Automação e Preços do Azure Monitor.

O Controle de Alterações e Inventário encaminha os dados para logs do Azure Monitor, e esses dados coletados são armazenados em um workspace do Log Analytics. O recurso FIM (Monitoramento de Integridade de Arquivo) está disponível somente quando o Microsoft Defender para Servidores está habilitado. Confira os Preços do Microsoft Defender para Nuvem para saber mais. O FIM carrega dados no mesmo workspace do Log Analytics que foi criado para armazenar dados de Controle de Alterações e Inventário. Recomendamos que você monitore seu workspace do Log Analytics para controlar seu uso exato. Para obter mais informações sobre como analisar o uso de dados dos Logs do Azure Monitor, confira Analisar o uso no workspace do Log Analytics.

Os computadores conectados ao workspace do Log Analytics usam o agente do Log Analytics para coletar dados sobre as alterações nos programas de software instalados, nos serviços Windows, no Registro e em arquivos do Windows, além de daemons do Linux em servidores monitorados. Quando os dados estão disponíveis, os agentes os enviam para os Logs do Azure Monitor para processamento. Os Logs do Azure Monitor aplicam a lógica aos dados recebidos, os registra e disponibiliza para análise.

Observação

O Controle de Alterações e Inventário requer o vínculo de um workspace do Log Analytics à sua conta de Automação. Para obter uma lista definitiva de regiões compatíveis, confira Mapeamentos de Workspace do Azure. Os mapeamentos de região não afetam a capacidade de gerenciar VMs em uma região separada da sua conta de Automação.

Como um provedor de serviços, é provável que você tenha integrado vários locatários ao Azure Lighthouse. O Azure Lighthouse permite que você execute operações em escala em vários locatários do Azure AD (Azure Active Directory) de uma vez, tornando mais eficientes as tarefas de gerenciamento, como o Controle de Alterações e Inventário, nos locatários pelos quais você é responsável. O Controle de Alterações e Inventário pode gerenciar computadores em várias assinaturas no mesmo locatário ou entre locatários usando o Gerenciamento de recursos delegados do Azure.

Limitações atuais

O Controle de Alterações e Inventário não dá suporte ou tem as seguintes limitações:

  • Recursão para o rastreamento de registro do Windows
  • Sistemas de arquivos de rede
  • Métodos de instalação diferentes
  • Arquivos *.exe armazenados no Windows
  • Os valores e a coluna Tamanho máximo de arquivo não são utilizados na implementação atual.
  • Se você estiver acompanhando alterações de arquivo, ele será limitado a um tamanho de arquivo de 5 MB ou menos.
  • Se você tentar coletar mais de 2.500 arquivos em um ciclo de coleção de 30 minutos, o desempenho do Controle de Alterações e Inventário poderá ser prejudicado.
  • Se o tráfego da rede for alto, os registros de alteração poderão demorar até seis horas para serem exibidos.
  • Se você modificar uma configuração enquanto um computador ou servidor estiver desligado, ele poderá efetuar as alterações pertencentes à configuração anterior.
  • Coletar atualizações de Hotfix em computadores Windows Server 2016 Core RS3.
  • Os daemons do Linux podem mostrar um estado alterado, embora nenhuma alteração tenha ocorrido. Esse problema ocorre devido à maneira como os dados do SvcRunLevels na tabela ConfigurationChange do Azure Monitor são gravados.

limites

Para ver os limites que se aplicam ao Controle de Alterações e Inventário, confira Limites de serviço de Automação do Azure.

Sistemas operacionais compatíveis

O Controle de Alterações e Inventário tem suporte em todos os sistemas operacionais que atendem aos requisitos de agente do Log Analytics. Confira sistemas operacionais com suporte para obter uma lista das versões dos sistemas operacionais Windows e Linux com suporte no momento pelo agente do Log Analytics.

Para entender os requisitos do cliente referentes ao TLS 1.2, confira TLS 1.2 para a Automação do Azure.

Requisito do Python

O Controle de Alterações e Inventário dá suporte apenas ao Python2. Se a sua máquina estiver usando uma distribuição que não inclua o Python 2 por padrão, você deverá instalá-lo. Os comandos de exemplo a seguir instalarão o Python 2 em distribuições diferentes.

  • Red Hat, CentOS, Oracle: yum install -y python2
  • Ubuntu, Debian: apt-get install -y python2
  • SUSE: zypper install -y python2

O executável python2 deve ter um alias para python.

Requisitos de rede

Confira a Configuração de Rede da Automação do Azure para obter informações detalhadas sobre portas, URLs e outros detalhes de rede necessários para o Controle de Alterações e Inventário.

Habilitar Controle de Alterações e Inventário

Você pode habilitar o Controle de Alterações e Inventário das seguintes formas:

Acompanhamento das alterações de arquivo

Para rastrear alterações em arquivos no Windows e Linux, o Controle de Alterações e Inventário usa os hashes MD5 dos arquivos. O recurso usa os hashes para detectar se foram feitas alterações desde o último inventário.

Acompanhamento das alterações de conteúdo do arquivo

O Controle de Alterações e Inventário permite exibir o conteúdo de um arquivo Windows ou Linux. Para cada alteração em um arquivo, o Controle de Alterações e Inventário armazena o conteúdo do arquivo em uma conta de Armazenamento do Azure. Quando estiver controlando um arquivo, você poderá exibir seu conteúdo antes ou depois de uma alteração. O conteúdo do arquivo pode ser exibido em linha ou lado a lado.

View changes in a file

Acompanhamento de chaves do Registro

O Controle de Alterações e Inventário permite o monitoramento de alterações nas chaves do Registro do Windows. O monitoramento permite identificar os pontos de extensibilidade em que código de terceiros e o malware podem ser ativados. A tabela a seguir lista as chaves de Registro pré-configuradas (mas não habilitadas). Para controlar essas chaves, é necessário habilitar cada uma delas.

Chave do Registro Finalidade
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Monitora scripts que são executados na inicialização.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Monitora scripts que são executados no desligamento.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Monitora as chaves que são carregadas antes que o usuário entre na conta do Windows. A chave é usada para aplicativos de 32 bits em execução em computadores de 64 bits.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Monitora as alterações às configurações do aplicativo.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Monitora manipuladores do menu de contexto que comuns de inicialização automática que conectam-se diretamente ao Windows Explorer e geralmente são executadas no processo com o explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Monitora manipuladores do gancho de cópia que conectam-se diretamente ao Windows Explorer e geralmente são executadas no processo com o explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitora o registro do manipulador de sobreposição de ícone.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Monitora o registro do manipulador de sobreposição de ícone para aplicativos de 32 bits executados em computadores de 64 bits.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitora os novos plug-ins de objeto auxiliar de navegador para o Internet Explorer. Usado para acessar o modelo DOM (Modelo de Objeto do Documento) da página atual e para controlar a navegação.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Monitora os novos plug-ins de objeto auxiliar de navegador para o Internet Explorer. Usado para acessar o modelo DOM (Modelo de Objeto do Documento) da página atual e para controlar a navegação para aplicativos de 32 bits em execução em computadores de 64 bits.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions Monitora novas extensões do Internet Explorer, tais como menus de ferramentas personalizadas e botões da barra de ferramentas personalizada.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Monitora novas extensões do Internet Explorer, como menus de ferramentas personalizadas e botões de barra de ferramentas personalizada para aplicativos de 32 bits executados em computadores de 64 bits.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitora os drivers de 32 bits associados com wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc. Semelhante à seção [drivers] no arquivo system.ini.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Monitora os drivers de 32 bits associados com wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc para aplicativos de 32 bits executados em computadores de 64 bits. Semelhante à seção [drivers] no arquivo system.ini.
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Monitora a lista de DLLs de sistema conhecidas ou comumente usadas. O monitoramento impede que pessoas explorem as permissões de diretório de aplicativo fracas via depósito de versões com cavalo de troia das DLLs do sistema.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Monitora a lista de pacotes que pode receber notificações de eventos do winlogon.exe, o modelo de suporte de logon interativo para o Windows.

Suporte à recursão

O Controle de Alterações e Inventário dá suporte à recursão, o que permite que você especifique curingas para simplificar o rastreamento em diretórios. A recursão também fornece variáveis de ambiente para permitir que você rastreie arquivos entre ambientes com nomes de unidade variados ou dinâmicos. A lista a seguir inclui informações comuns que você deve saber ao configurar a recursão:

  • Caracteres curinga são necessários para acompanhar vários arquivos.

  • Você pode usar caracteres curinga apenas no último segmento de um caminho, por exemplo, c:\folder\file* ou /etc/*.conf.

  • Se uma variável de ambiente tiver um caminho inválido, a validação terá êxito, mas o caminho falhará durante a execução.

  • Você deve evitar nomes de caminho gerais ao definir o caminho, pois esse tipo de configuração pode fazer muitas pastas serem percorridas.

Coleta de dados do Controle de Alterações e Inventário

A tabela a seguir mostra a frequência de coleta de dados para os tipos de alterações com suporte pelo Controle de Alterações e Inventário. Para cada tipo, o instantâneo de dados do estado atual também é atualizado pelo menos a cada 24 horas.

Alterar Tipo Frequência
Registro do Windows 50 minutos
Arquivo do Windows 30 minutos
Arquivo Linux 15 minutos
Serviços Windows 10 segundos a 30 minutos
Padrão: 30 minutos
Daemons Linux 5 minutos
Software do Windows 30 minutos
Software Linux 5 minutos

A tabela a seguir mostra os limites de item controlados por máquina para Controle de Alterações e Inventário.

Recurso Limite
Arquivo 500
Registro 250
Software do Windows (sem incluir hotfixes) 250
Pacotes do Linux 1250
Serviços 250
Daemons 250

O uso médio de dados do Log Analytics para uma máquina usando o Controle de Alterações e Inventário é de aproximadamente 40 MB por mês, dependendo do seu ambiente. Com o recurso de Uso e Custos Estimados do workspace do Log Analytics, você pode exibir os dados ingeridos pelo Controle de Alterações e Inventário em um gráfico de uso. Use essa exibição de dados para avaliar o uso de dados e determinar como afeta sua fatura. Confira [Entender seu uso e estimar custos](../../azure-monitor/logs/usage-estimated-costs.md#Entender seu uso e otimizar seu tipo de preço).

Dados de serviços Windows

A frequência da coleta padrão para os serviços do Windows é de 30 minutos. Você pode configurar a frequência usando um controle deslizante na guia Serviços Windows em Editar Configurações.

Windows services slider

Para otimizar o desempenho, o agente do Log Analytics apenas controla as alterações. Definir um limite alto poderá deixar passar alterações se o serviço reverter ao estado original. Definir a frequência para um valor menor permite capturar alterações que poderiam ser perdidas de outra forma.

Observação

Embora o agente possa controlar as alterações em um intervalo de apenas 10 segundos, os dados ainda demoram alguns minutos para ser exibido no portal do Azure. As alterações que ocorrem durante o tempo de exibição no portal do ainda são controladas e registradas.

Suporte para alertas no estado de configuração

Uma funcionalidade crucial de Controle de Alterações e Inventário é alertar sobre as alterações ao estado de configuração de seu ambiente híbrido. Muitas ações úteis estão disponíveis para acionar em resposta aos alertas. Por exemplo, ações sobre funções do Azure, runbook de Automação, webhooks e semelhantes. O alerta sobre alterações no arquivo c:\windows\system32\drivers\etc\hosts de um computador é uma boa aplicação de alertas para dados de Controle de Alterações e Inventário. Há muitos outros cenários de alerta também, incluindo os cenários de consulta definidos na tabela a seguir.

Consulta Descrição
ConfigurationChange
| em que ConfigChangeType == "Files" e FileSystemPath contêm " c:\windows\system32\drivers\"
Útil para controlar alterações a arquivos críticos do sistema.
ConfigurationChange
| em que FieldsChanged contém "FileContentChecksum" e FileSystemPath == "c:\windows\system32\drivers\etc\hosts"
Útil para controlar modificações a arquivos de configuração chave.
ConfigurationChange
| em que ConfigChangeType == "WindowsServices" e SvcName contêm "w3svc" e SvcState == "Stopped"
Útil para controlar alterações a serviços críticos do sistema.
ConfigurationChange
| em que ConfigChangeType == "Daemons" e SvcName contêm "ssh" e SvcState!= "Running"
Útil para controlar alterações a serviços críticos do sistema.
ConfigurationChange
| em que ConfigChangeType == "Software" e ChangeCategory == "Added"
Útil para ambientes que precisam bloquear configurações de software.
ConfigurationData
| em que SoftwareName contém "Monitoring Agent" e CurrentVersion!= "8.0.11081.0"
Útil para ver quais computadores têm uma versão de software desatualizada ou não em conformidade instalada. Esta consulta relata o último estado de configuração relatada, mas não reporta as alterações.
ConfigurationChange
| onde RegistryKey = = @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"
Útil para controlar alterações a chaves antivírus cruciais.
ConfigurationChange
| onde RegistryKey contém @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"
Útil para controlar alterações em configurações de firewall.

Próximas etapas