Dela via

Aktivera spårning och aviseringar för kritiska ändringar

  • Artikel

Azure Ändringsspårning och inventering ge aviseringar om konfigurationstillståndet för din hybridmiljö och ändringar i den miljön. Den kan rapportera viktiga fil-, tjänst-, programvaru- och registerändringar som kan påverka dina distribuerade servrar.

Som standard övervakar Azure Automation inventeringstjänsten inte filer eller registerinställningar. Lösningen innehåller en lista över registernycklar som vi rekommenderar för övervakning. Om du vill se den här listan går du till ditt Azure Automation-konto i Azure Portal och väljer sedan Inställningar för inventeringsredigering>.

Skärmbild av inventeringsvyn för Azure Automation i Azure Portal.

Mer information om varje registernyckel finns i Ändringsspårning av registernycklar. Välj valfri nyckel för att utvärdera och aktivera den sedan. Inställningen tillämpas på alla virtuella datorer som är aktiverade på den aktuella arbetsytan.

Du kan också använda tjänsten för att spåra viktiga filändringar. Du kanske till exempel vill spåra filen eftersom operativsystemet använder den C:\windows\system32\drivers\etc\hosts för att mappa värdnamn till IP-adresser. Ändringar i den här filen kan orsaka anslutningsproblem eller omdirigera trafik till farliga webbplatser.

Om du vill aktivera filinnehållsspårning för värdfilen följer du stegen i Aktivera spårning av filinnehåll.

Du kan också lägga till en avisering om ändringar i filer som du spårar. Du kanske till exempel vill ange en avisering om ändringar i värdfilen. Det gör du genom att välja Log Analytics i kommandofältet eller Loggsökning för den länkade Log Analytics-arbetsytan. I Log Analytics använder du följande fråga för att söka efter ändringar i värdfilen:

ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts"

Skärmbild av Log Analytics-frågeredigeraren i Azure Portal

Den här frågan söker efter ändringar i innehållet i filer som har en sökväg som innehåller ordet hosts. Du kan också söka efter en specifik fil genom att ändra sökvägsparametern. (Till exempel FileSystemPath == "c:\\windows\\system32\\drivers\\etc\\hosts".)

När frågan har returnerat resultatet väljer du Ny aviseringsregel för att öppna redigeraren för aviseringsregler. Du kan också gå till den här redigeraren via Azure Monitor i Azure Portal.

Granska frågan i redigeringsprogrammet för aviseringsregler och ändra aviseringslogik om det behövs. I det här fallet vill vi att aviseringen ska aktiveras om några ändringar identifieras på någon dator i miljön.

Skärmbild av Log Analytics-aviseringsregelredigeraren i Azure Portal

När du har angett villkorslogik kan du tilldela åtgärdsgrupper för att utföra åtgärder som svar på aviseringen. När aviseringen utlöses i det här exemplet skickas e-postmeddelanden och en ITSM-biljett skapas. Du kan utföra många andra användbara åtgärder, till exempel att utlösa en Azure-funktion, en Azure Automation runbook, en webhook eller en logikapp.

Skärmbild av sammanfattningen av exempelaviseringsregeln i Azure Portal

När du har angett alla parametrar och logik tillämpar du aviseringen på miljön.

Exempel på spårning och aviseringar

Det här avsnittet visar andra vanliga scenarier för spårning och aviseringar som du kanske vill använda.

Drivrutinsfilen har ändrats

Använd följande fråga för att identifiera om drivrutinsfiler ändras, läggs till eller tas bort. Det är användbart för att spåra ändringar i kritiska systemfiler.

ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\\windows\\system32\\drivers\\"

Specifik tjänst har stoppats

Använd följande fråga för att spåra ändringar i systemkritiska tjänster.

ConfigurationChange | where SvcState == "Stopped" and SvcName contains "w3svc"

Ny programvara installerad

Använd följande fråga för miljöer som behöver låsa programvarukonfigurationer.

ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"

Specifik programvaruversion är eller är inte installerad på en dator

Använd följande fråga för att utvärdera säkerheten. Den här frågan refererar till ConfigurationData, som innehåller loggarna för inventering och ger det senast rapporterade konfigurationstillståndet, inte ändringar.

ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"

Känd DLL har ändrats via registret

Använd följande fråga för att identifiera ändringar i välkända registernycklar.

ConfigurationChange | where RegistryKey == "HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Session Manager\\KnownDlls"

Nästa steg

Lär dig hur Azure Automation kan skapa uppdateringsscheman för att hantera uppdateringar för dina servrar.

Skapa uppdateringsscheman