Общие сведения об отслеживании изменений и инвентаризации

  • Статья

Внимание

Эта статья ссылается на CentOS, дистрибутив Linux, который приближается к состоянию конца жизни (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.

Внимание

В этой статье приводятся основные сведения об отслеживании изменений и инвентаризации в службе автоматизации Azure. Эта функция отслеживает изменения в виртуальных машинах, размещенных в Azure, локально и в других облачных средах, помогая выявлять проблемы в работе программного обеспечения, управляемого диспетчером пакетов распространения. Элементы, которые отслеживаются функцией отслеживания изменений и инвентаризации:

  • Программное обеспечение Windows
  • программное обеспечение Linux (пакеты);
  • файлы Windows и Linux;
  • разделы реестра Windows;
  • Службы Windows
  • Управляющие программы Linux

Примечание.

Чтобы отслеживать изменения свойств Azure Resource Manager, обратитесь к журналу изменений в Azure Resource Graph.

Отслеживание изменений и инвентаризация использует мониторинг целостности файлов Microsoft Defender для облака (FIM) для изучения файлов операционной системы и приложений и реестра Windows. Пока FIM отслеживает эти сущности, функция Отслеживания изменений и инвентаризации отслеживает:

  • изменения программного обеспечения;
  • Службы Windows
  • Управляющие программы Linux

Включение всех функций, содержащихся в функции Отслеживания изменений и инвентаризации, может привести к дополнительным расходам. Прежде чем продолжать, ознакомьтесь с ценами на службу автоматизации и ценами на Azure Monitor.

Функция Отслеживания изменений и инвентаризации пересылает данные в журналы Azure Monitor, а собранные данные хранятся в рабочей области Log Analytics. Функция мониторинга целостности файлов (FIM) доступна только при включении Microsoft Defender для серверов . Дополнительные сведения см. в Microsoft Defender для облака ценах. FIM передает данные в ту же рабочую область Log Analytics, которая была создана для хранения данных из функции Отслеживания изменений и инвентаризации. Рекомендуется выполнять мониторинг связанной рабочей области Log Analytics, чтобы отслеживать точное использование. Дополнительные сведения об анализе использования данных журналов Azure Monitor см. в статье "Анализ использования в рабочей области Log Analytics".

Компьютеры, подключенные к рабочим областям Log Analytics, используют агент Log Analytics для сбора данных об изменениях в установленном программном обеспечении, службах Windows, реестре Windows и файлах, а также в управляющих программах Linux на отслеживаемых серверах. Когда данные доступны, агенты отправляют их в журналы Azure Monitor для обработки. Журналы Azure Monitor применяют логику к полученным данным, записывают их и делают доступными для анализа.

Примечание.

Для функции Отслеживания изменений и инвентаризации требуется связать рабочую область Log Analytics с учетной записью службы автоматизации. Полный список поддерживаемых регионов см. в статье о сопоставлении рабочих областей Azure. Сопоставления регионов не влияют на возможность управления виртуальными машинами в отдельном регионе из учетной записи службы автоматизации.

Как поставщик услуг вы можете подключить несколько клиентов к Azure Lighthouse. Azure Lighthouse позволяет выполнять операции в масштабе нескольких клиентов Microsoft Entra одновременно, делая задачи управления, такие как Отслеживание изменений и инвентаризация более эффективными в этих клиентах. Функция Отслеживания изменений и инвентаризации может управлять компьютерами в нескольких подписках в одном и том же клиенте или в разных клиентах с помощью делегированного управления ресурсами Azure.

Текущие ограничения

В настоящее время функция Отслеживания изменений и инвентаризации не поддерживает следующие элементы или имеет следующие ограничения.

  • Рекурсия для отслеживания реестра Windows
  • Сетевые файловые системы
  • другие методы установки;
  • Файлы *.exe, хранящиеся в Windows
  • в текущей версии столбец и значения Максимальный размер файла не используются;
  • При отслеживании изменений файла размер файла не может превышать 5 МБ.
  • Если размер файла отображается >1.25 МБ, значение FileContentChecksum неверно из-за ограничений памяти в вычислении проверка sum.
  • При сборе более 2500 файлов в течение 30-минутного цикла производительность функции Отслеживания изменений и инвентаризации может снизиться.
  • При интенсивном сетевом трафике изменение записей может занять до шести часов.
  • Если изменение конфигурации выполняется на отключенном компьютере или сервере, он может внести изменения, относящиеся к предыдущей конфигурации.
  • Сбор исправлений для компьютеров Windows Server 2016 Core RS3.
  • Управляющие программы Linux могут показывать измененное состояние, даже если изменений не было. Эта проблема возникает из-за способа записи данных SvcRunLevels в таблицу ConfigurationChange в Azure Monitor.

Ограничения

Ограничения для функций Отслеживания изменений и инвентаризации приведены в статье Ограничения службы автоматизации Azure.

Поддерживаемые операционные системы

Функция отслеживания изменений и инвентаризации поддерживается во всех операционных системах, отвечающих требованиям для агента Log Analytics. Список версий операционных систем Windows и Linux, которые в настоящее время поддерживает агент Log Analytics, см. в этом разделе.

Сведения о требованиях клиента для TLS 1.2 или более поздней версии см. в разделе TLS для служба автоматизации Azure.

Требование Python

Отслеживание изменений и инвентаризация теперь поддерживает Python 2 и Python 3. Если компьютер использует дистрибутив, который не включает ни один из версий, их необходимо установить по умолчанию. Следующие примеры команд будут устанавливать Python 2 и Python 3 в разных дистрибутивах.

Примечание.

Чтобы использовать агент OMS, совместимый с Python 3, убедитесь, что сначала удалите Python 2; в противном случае агент OMS будет продолжать работать с Python 2 по умолчанию.

  • Red Hat, CentOS, Oracle:
   sudo yum install -y python2
  • Ubuntu, Debian:
   sudo apt-get update
   sudo apt-get install -y python2
  • SUSE:
   sudo zypper install -y python2

Примечание.

Исполняемый файл Python 2 должен быть псевдонимом python.

Требования к сети

Дополнительные сведения о портах, URL-адресах и других данных о сети, необходимых для функции Отслеживания изменений и инвентаризации, см. в статье Сведения о конфигурации сети службы автоматизации Azure.

Включение решения для отслеживания изменений и инвентаризации

Вы можете включить Отслеживание изменений и инвентаризацию следующими способами:

Отслеживание изменений в файлах

Для отслеживания изменений в файлах в Windows и Linux функция отслеживания изменений и инвентаризации использует MD5-хэши файлов. Затем эти хэши применяются для определения того, вносились ли изменения с момента последней инвентаризации. Чтобы отслеживать файлы Linux, убедитесь, что у вас есть доступ READ для пользователя агента OMS.

Отслеживание изменений в содержимом файлов

Функция Отслеживания изменений и инвентаризации позволяет просматривать содержимое файла Windows или Linux. Для каждого изменения в файле функция отслеживания изменений и инвентаризации сохраняет содержимое файла в учетной записи хранения Azure. При отслеживании файла его содержимое можно просмотреть до или после изменения. Содержимое файла можно просмотреть как в строке, так и в параллельном режиме.

Просмотр изменений в файле

Отслеживание разделов реестра

Функция отслеживания изменений и инвентаризации позволяет отслеживать изменения в разделах реестра Windows. Целью такого отслеживания является точное определение точек расширяемости, в которых может быть активирован сторонний код или вредоносная программа. В приведенной ниже таблице перечислены предварительно настроенные (но не включенные) разделы реестра. Чтобы отслеживать эти разделы, необходимо включить каждый из них.

Раздел реестра Характер использования
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup Отслеживаются сценарии, выполняемые при запуске.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown Отслеживаются сценарии, выполняемые при завершении работы.
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Отслеживаются разделы, загружаемые перед входом пользователя в учетную запись Windows. Этот раздел используется для 32-разрядных приложений, выполняющихся на 64-разрядных компьютерах.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components Отслеживаются изменения параметров приложения.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers Отслеживаются дескрипторы контекстного меню, привязывающиеся непосредственно к проводнику Windows и выполняющиеся внутрипроцессно с файлом explorer.exe.
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers Отслеживаются дескрипторы обработчиков копирования, привязывающиеся непосредственно к проводнику Windows и выполняющиеся внутрипроцессно с файлом explorer.exe.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Отслеживается регистрация обработчика дополнительных значков.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Отслеживается регистрация обработчика дополнительных значков для 32-битных приложений, работающих на 64-разрядных компьютерах.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Отслеживаются новые подключаемые модули вспомогательных объектов браузера для Internet Explorer. Используется для доступа к модели DOM текущей страницы и управления навигацией.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Отслеживаются новые подключаемые модули вспомогательных объектов браузера для Internet Explorer. Используется для получения доступа к модели DOM текущей страницы и управления навигацией для 32-разрядных приложений, работающих на 64-разрядных компьютерах.
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions Отслеживаются новые расширения Internet Explorer, например пользовательские меню инструментов и пользовательские кнопки панели инструментов.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions Отслеживаются новые расширения Internet Explorer, например пользовательские меню инструментов и пользовательские кнопки панели инструментов для 32-битных приложений, работающих на 64-разрядных компьютерах.
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 Отслеживаются 32-разрядные драйверы, связанные с устройствами wavemapper: wave1 и wave2, msacm.imaadpcm, .msadpcm, .msgsm610 и vidc. Ознакомьтесь с разделом о [драйверах] в файле system.ini.
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 Отслеживаются 32-разрядные драйверы, связанные с устройствами wavemapper, — wave1 и wave2, msacm.imaadpcm, .msadpcm, .msgsm610 и vidc — для 32-разрядных приложений, работающих на 64-разрядных компьютерах. Ознакомьтесь с разделом о [драйверах] в файле system.ini.
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls Отслеживается список известных или часто используемых системных библиотек DLL. Мониторинг предотвращает использование ненадежных разрешений каталога приложений за счет удаления версий вредоносной программы типа "троянский конь" системных библиотек DLL.
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Отслеживается список пакетов, получающих уведомления о событиях из winlogon.exe — интерактивной модели поддержки входа в систему для Windows.

Поддержка рекурсии

Функция отслеживания изменений и инвентаризации поддерживает рекурсию, что позволяет использовать подстановочные знаки для упрощения отслеживания в каталогах. Рекурсия также предоставляет переменные среды, которые позволяют отслеживать файлы в разных средах с несколькими или динамическими именами дисков. Ниже представлена общая информация, которую нужно знать при настройке рекурсии.

  • Для отслеживания нескольких файлов необходимы подстановочные знаки.

  • Можно использовать дикие карта только в последнем сегменте пути к файлу, например c:\folder\file* или /etc/*.conf.

  • Если у переменной среды недопустимый путь, проверка будет успешной, но выполнение завершится сбоем.

  • Избегайте общих путей, так как это приведет к переходу по слишком большому количеству папок.

Сбор данных для функции отслеживания изменений и инвентаризации

В таблице ниже указана частота сбора данных для типов изменений, поддерживаемых функцией отслеживания изменений и инвентаризации. Моментальный снимок данных текущего состояния для каждого типа обновляется по крайней мере каждые 24 часа.

Тип изменения Периодичность
Реестр Windows 50 минут
Файловый ресурс Windows 30 минут
Файловый ресурс Linux 15 минут
Службы Windows 10 секунд до 30 минут по умолчанию: 30 минут
Управляющие программы Linux 5 мин
Программное обеспечение Windows 30 минут
Программное обеспечение Linux 5 мин

В таблице ниже приведены ограничения по отслеживаемым элементам для одного компьютера при использовании функции отслеживания изменений и инвентаризации.

Ресурс Лимит
Файлы 500
Реестр 250
Программное обеспечение Windows (не включая исправления) 250
Пакеты Linux 1250
Службы 250
Управляющие программы 250

Средний показатель использования данных Log Analytics для компьютера, использующего функцию отслеживания изменений и инвентаризации, — примерно 40 МБ в месяц в зависимости от среды. С помощью функции "Использование и ожидаемые затраты" рабочей области Log Analytics можно просмотреть данные, полученные функцией отслеживания изменений и инвентаризации, на диаграмме использования. Это представление данных можно использовать для оценки использования данных и определения того, как оно влияет на затраты. См. раздел Просмотр сведений об использовании и оценка затрат.

Данные служб Windows

Периодичность сбора по умолчанию для служб Windows — 30 минут. Периодичность можно настроить с помощью ползунка на вкладке Службы Windows в разделе Изменить параметры.

Ползунок служб Windows

Для оптимизации производительности агент Log Analytics отслеживает только изменения. Если вы установите высокое пороговое значение, изменения могут быть пропущены, когда служба вернется в исходное состояние. Если вы установите меньший период, то запишете изменения, которые в противном случае будут упущены.

Для критически важных служб рекомендуется пометить состояние запуска как автоматическое (отложенное запуск), чтобы после перезагрузки виртуальной машины сбор данных служб начнется после запуска агента MMA, а не сразу после запуска виртуальной машины.

Примечание.

Хотя агент может отслеживать изменения с 10-секундным интервалом, потребуется несколько минут, чтобы данные отобразились на портале Azure. В эти несколько минут изменения по-прежнему отслеживаются и записываются.

Поддержка оповещений о состоянии конфигурации

Ключевой возможностью отслеживания изменений и инвентаризации является возможность оповещения об изменениях состояния конфигурации в гибридной среде. Доступно много полезных действий, которые можно запускать в ответ на оповещения. Например, действия с функциями Azure, модулями runbook службы автоматизации, веб-перехватчиками и т. д. Предупреждение об изменениях в файле c:\windows\system32\drivers\etc\hosts компьютера — хороший пример применения оповещений для данных функции Отслеживания изменений и инвентаризации. Существует множество других сценариев использования оповещений, включая сценарии запросов, определенные в следующей таблице.

Query Description
ConfigurationChange
| where ConfigChangeType == "Files" и FileSystemPath содержит "c:\windows\system32\drivers\"		 Полезно для отслеживания изменений в системных критических файлах.
ConfigurationChange
| Where FieldsChanged содержит FileContentChecksum и FileSystemPath == "c:\windows\system32\drivers\etc\hosts"		 Полезно для отслеживания изменений в файлах конфигурации ключа.
ConfigurationChange
| where ConfigChangeType == "WindowsServices" и SvcName содержит "w3svc" и SvcState == "Остановлено"		 Полезно для отслеживания изменений в системных критически важных службах.
ConfigurationChange
| where ConfigChangeType == "Daemons" и SvcName содержит ssh и SvcState!= "Running"		 Полезно для отслеживания изменений в системных критически важных службах.
ConfigurationChange
| where ConfigChangeType == "Software" и ChangeCategory == "Added"		 Полезно для сред, которые требуют заблокированных конфигураций программного обеспечения.
ConfigurationData
| where SoftwareName содержит "Агент мониторинга" и CurrentVersion!= "8.0.11081.0".		 Полезно для просмотра компьютеров, на которых установлена устаревшая или несовместимая версия программного обеспечения. Этот запрос сообщает о последнем сообщенном состоянии конфигурации, но не об изменениях.
ConfigurationChange
| where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat"		 Полезно для отслеживания изменений в важных антивирусных ключах.
ConfigurationChange
| Where RegistryKey содержит @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy"		 Полезно для отслеживания изменений в параметрах брандмауэра.

Обновление агента Log Analytics до последней версии

Для Отслеживание изменений и инвентаризации компьютеры используют агент Log Analytics для сбора данных об изменениях установленного программного обеспечения, служб Windows, реестра и файлов Windows и управляющей программы Linux на отслеживаемых серверах. В ближайшее время Azure больше не будет принимать подключения из более старых версий агента Windows Log Analytics (LA), также известного как Microsoft Monitoring Agent (MMA), который использует старый метод для обработки сертификатов. Мы рекомендуем обновить агент до последней версии как можно скорее.

Агенты, которые находятся в версии 10.20.18053 (пакет) и 1.0.18053.0 (расширение) или более поздних версий, не затрагиваются в ответ на это изменение. Если вы используете агент до этого, агент не сможет подключиться, а конвейер инвентаризации Отслеживание изменений и подчиненные действия могут остановиться. Вы можете проверка текущую версию агента LA в таблице HeartBeat в рабочей области LA.

Убедитесь, что выполните обновление до последней версии агента Windows Log Analytics (MMA) после выполнения этих рекомендаций.

Следующие шаги