變更追蹤和清查概觀
警告
本文參考 CentOS,這是接近生命週期結束 (EOL) 狀態的 Linux 發行版本。 請據此考慮您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導。
重要
- 使用 Log Analytics 代理程式的變更追蹤和清查將在 2024 年 8 月 31 日淘汰,建議您使用 Azure 監視代理程式作為新的支援代理程式。 遵循從使用記錄分析的變更追蹤和清查至使用 Azure 監視代理程式版本的變更追蹤和清查的移轉指導方針。
本文將介紹 Azure 自動化中的變更追蹤和清查功能。 這項功能會追蹤 Azure、內部部署和其他雲端環境中裝載的虛擬機器變更,以協助您找出散發套件管理員所管理的軟體有哪些操作和環境問題。 變更追蹤和清查所追蹤的項目包括:
- Windows 軟體
- Linux 軟體 (套件)
- Windows 和 Linux 檔案
- Windows 登錄機碼
- Windows 服務
- Linux 精靈
注意
若要追蹤 Azure Resource Manager 的屬性變更,請參閱 Azure Resource Graph 的變更歷程記錄。
變更追蹤和清查使用適用於雲端的 Microsoft Defender 檔案完整性監視 (FIM) 來檢查作業系統和應用程式檔案,以及 Windows 登錄。 當 FIM 監視這些實體時,變更追蹤和清查會原生追蹤:
- 軟體變更
- Windows 服務
- Linux 精靈
啟用變更追蹤和清查中包含的所有功能可能會導致額外費用。 繼續之前,請先檢閱自動化定價和 Azure 監視器定價。
變更追蹤和清查將資料轉送至 Azure 監視器記錄,而且此收集的資料會儲存在 Log Analytics 工作區中。 只有在啟用 [適用於伺服器的 Microsoft Defender] 時,才能使用檔案完整性監視 (FIM) 功能。 若要深入了解,請參閱適用於雲端的 Microsoft Defender 定價。 FIM 會將資料上傳至與建立的 Log Analytics 工作區相同的 Log Analytics 工作區,以儲存來自變更追蹤和清查的資料。 我們建議您監視連結的 Log Analytics 工作區,以持續追蹤確切的使用量。 如需分析 Azure 監視器記錄資料使用量的詳細資訊,請參閱分析 Log Analytics 工作區中的使用量。
連線至 Log Analytics 工作區的機器會使用 Log Analytics 代理程式,對已安裝的軟體、Windows 服務、Windows 登錄和檔案,以及受監視伺服器上任何 Linux 精靈收集變更相關資料。 當資料可供使用時,代理程式會將其傳送至 Azure 監視器記錄進行處理。 Azure 監視器記錄會將邏輯套用至接收的資料、進行記錄並使其可供分析使用。
注意
變更追蹤和清查需要將 Log Analytics 工作區連結至您的自動化帳戶。 如需支援區域的確切清單,請參閱 Azure 工作區對應。 區域對應並不會影響從您的自動化帳戶,在不同區域中管理 VM 的能力。
身為服務提供者,您可能已將多個客戶租用戶上線至 Azure Lighthouse。 Azure Lighthouse 可讓您一次在數個 Microsoft Entra 租用戶大規模執行作業,讓您負責的租用戶管理工作 (例如變更追蹤和清查) 更有效率。 變更追蹤和清查可以在相同租用戶中的多個訂用帳戶中管理機器,或使用 Azure 委派的資源管理跨租用戶管理。
目前的限制
變更追蹤和清查目前不支援下列限制:
- Windows 登錄追蹤的遞迴
- 網路檔案系統
- 不同安裝方法
- 儲存在 Windows 上的 *.exe 檔案
- [最大檔案大小] 資料行和值未用於目前實作中。
- 如果您要追蹤檔案變更,其大小限制為 5 MB 或更少。
- 如果檔案大小顯示為 > 1.25MB,則 FileContentChecksum 由於總和檢查碼計算中的記憶體限制而不正確。
- 如果您嘗試在 30 分鐘的收集週期收集超過 2500 個檔案,則變更追蹤和清查的效能可能會下降。
- 若網路流量較高,變更記錄最多可能需要六個小時才會顯示。
- 如果您在關閉電腦或伺服器時修改組態,其可能會提出屬於舊有組態的變更。
- 在 Windows Server 2016 Core RS3 機器上收集 Hotfix 更新。
- 即使未發生任何變更,Linux 精靈程式也可能會顯示已變更的狀態。 之所以發生此問題,是因為 Azure 監視器 ConfigurationChange 表格中的
SvcRunLevels資料寫入方式。
限制
如需適用於變更追蹤和清查的限制,請參閱 Azure 自動化服務限制。
受支援的作業系統
所有符合 Log Analytics 代理程式需求的作業系統都可支援變更追蹤和清查。 如需 Log Analytics 代理程式目前支援的 Windows 和 Linux 作業系統版本清單,請參閱支援的作業系統。
若要瞭解 TLS 1.2 或更高版本的用戶端需求,請參閱 TLS for Azure 自動化。
Python 需求
變更追蹤和清查現在支援 Python 2 和 Python 3。 如果您的電腦使用的發行版不包含上述任一版本,則必須依預設進行安裝。 下列範例命令將會在不同的發行版上安裝 Python 2 和 Python 3。
注意
若要使用與 Python 3 相容的 OMS 代理程式,請確定您先卸載 Python 2;否則,OMS 代理程式預設會繼續使用 Python 2 執行。
- Red Hat、CentOS、Oracle:
sudo yum install -y python2
- Ubuntu、Debian:
sudo apt-get update
sudo apt-get install -y python2
- SUSE:
sudo zypper install -y python2
注意
Python 2 可執行檔的別名必須是 python。
網路需求
如需變更追蹤和清查所需的連接埠、URL 和其他網路詳細資料的詳細資訊,請參閱 Azure 自動化網路組態。
啟用變更追蹤和清查
您可以使用下列方式啟用「變更追蹤和清查」:
從適用於一或多部 Azure 和非 Azure 電腦的 Azure 自動化帳戶啟用。
針對非 Azure 電腦手動執行,包括註冊已啟用 Azure Arc 的伺服器的電腦或伺服器。 針對混合式電腦,建議您先將電腦連線到已啟用 Azure Arc 的伺服器,然後使用 Azure 原則將 部署 Log Analytics 代理程式指派給 Linux 或 Windows Azure Arc 電腦內建原則,來安裝適用於 Windows 的 Log Analytics 代理程式。 如果您也計畫使用適用於 VM 的 Azure 監視器來監視電腦,請改用啟用適用於 VM 的 Azure 監視器方案。
針對單一 Azure VM,從 Azure 入口網站的虛擬機器頁面啟用。 此案例適用於 Linux 與 Windows VM。
針對多部 Azure VM,透過從 Azure 入口網站的虛擬機器頁面中選取這些 VM 的方式來啟用。
追蹤檔案變更
為了同時追蹤 Windows 和 Linux 上檔案的變更,變更追蹤和清查會使用檔案的 MD5 雜湊。 此功能會使用雜湊來偵測自上次清查之後是否發生變更。 若要追蹤 Linux 檔案,請確保您具有 OMS 代理程式使用者的讀取存取。
追蹤檔案內容變更
變更追蹤和清查可讓您檢視 Windows 或 Linux 檔案的內容。 對於檔案的每項變更,變更追蹤和清查都會將檔案的內容儲存在 Azure 儲存體帳戶中。 當您要追蹤檔案時,您可以檢視其變更前後的內容。 檔案內容可以內嵌或並排檢視。
登錄機碼的追蹤
變更追蹤和清查可讓您監視 Windows 登錄機碼的變更。 監視可讓您找出第三方程式碼和惡意程式碼可啟用的擴充點。 下表列出預先設定 (但未啟用) 的登錄機碼。 若要追蹤這些機碼,則必須啟用每個機碼。
| 登錄機碼 | 目的 |
|---|---|
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
監視在啟動時執行的指令碼。 |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
監視在關機時執行的指令碼。 |
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
監視使用者登入 Windows 帳戶之前載入的金鑰。 此金鑰供 64 位元電腦上執行的 32 位元應用程式使用。 |
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
監視應用程式設定的變更。 |
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
監視直接連結到 Windows 檔案總管中,且通常使用 explorer.exe 以內含方式執行的內容功能表處理常式。 |
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
監視直接連結到 Windows 檔案總管中,且通常使用 explorer.exe 以內含方式執行的複製掛勾處理常式。 |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
監視圖示覆疊處理常式註冊。 |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
針對在 64 位元電腦上執行的 32 位元應用程式,監視圖示覆疊處理常式註冊。 |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Internet Explorer 之新瀏覽器協助程式物件外掛程式的監視器。 用以存取當前頁面的文件物件模型 (DOM) 並控制瀏覽。 |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Internet Explorer 之新瀏覽器協助程式物件外掛程式的監視器。 用以存取目前頁面的文件物件模型 (DOM) 並控制 64 位元電腦上執行之 32 位元應用程式的瀏覽。 |
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions |
監視新的 Internet Explorer 擴充功能,例如自訂工具功能表和自訂工具列按鈕。 |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
針對在 64 位元電腦上執行的 32 位元應用程式,監視新的 Internet Explorer 擴充功能,例如自訂工具功能表和自訂工具列按鈕。 |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
監視與 wavemapper、wave1 和 wave2、msacm.imaadpcm、.msadpcm、.msgsm610 和 vidc 相關聯的 32 位元驅動程式。 類似 system.ini 檔案中的 [drivers] 區段。 |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
針對在 64 位元電腦上執行的 32 位元應用程式,監視與 wavemapper、wave1 和 wave2、msacm.imaadpcm、.msadpcm、.msgsm610 和 vidc 相關聯的 32 位元驅動程式。 類似 system.ini 檔案中的 [drivers] 區段。 |
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
監視已知或常用系統 DLL 的清單。 監視可防止人員放入特洛伊木馬病毒版本的系統 DLL 來利用弱式應用程式目錄權限。 |
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
監視可從 winlogon.exe (Windows 的互動式登入支援模型) 接收事件通知的套件清單。 |
遞迴支援
變更追蹤和清查支援遞迴,可讓您指定萬用字元以簡化跨目錄的追蹤。 遞迴也提供了環境變數,可讓您在具有多個或動態磁碟機名稱的環境中追蹤檔案。 以下清單包含您在設定遞迴時所應知悉的一般資訊:
需要萬用字元才能追蹤多個檔案。
您只能在檔案路徑的最後一個區段中使用萬用字元,例如 c:\folder\file* 或 /etc/*.conf。
如果環境變數具有不正確路徑,驗證雖然會成功,但路徑會在執行期間失敗。
您設定路徑時應避免一般路徑名稱,因為這類設定可能會導致無法遍歷太多資料夾。
變更追蹤和清查的資料收集
下表顯示變更追蹤和清查所支援變更類型的資料收集頻率。 對於每個類型,目前狀態的資料快照集也至少會每隔 24 小時重新整理一次。
| 變更類型 | 頻率 |
|---|---|
| Windows 登錄 | 50 分鐘 |
| Windows 檔案 | 30 分鐘 |
| Linux 檔案 | 15 分鐘 |
| Windows 服務 | 10 秒到 30 分鐘 預設值:30分鐘 |
| Linux 精靈 | 5 分鐘 |
| Windows 軟體 | 30 分鐘 |
| Linux 軟體 | 5 分鐘 |
下表顯示對於變更追蹤和清查所追蹤的每個機器項目限制。
| 資源 | 限制 |
|---|---|
| 檔案 | 500 |
| 登錄 | 250 |
| Windows 軟體 (不包括修正程式) | 250 |
| Linux 套件 | 1250 |
| 服務 | 250 |
| 精靈 | 250 |
對於使用變更追蹤和清查的機器,其 Log Analytics 資料使用量平均大約是每月 40 MB (視您的環境而定)。 使用 Log Analytics 工作區的「使用量和估計成本」功能,您可以在使用量圖表中檢視由變更追蹤和清查內嵌的資料。 使用此資料檢視來評估您的資料使用量,並判斷其對帳單的影響。 請參閱了解您的使用量並估算成本。
Windows 服務資料
Windows 服務的預設收集頻率為 30 分鐘。 在 [編輯設定] 底下的 [Windows 服務] 索引標籤上,您可以使用滑杆來設定頻率。
為了將效能最佳化,Log Analytics 代理程式只會追蹤變更。 設定較高的閾值時,若服務還原成其原始狀態,則可能會遺漏變更。 若將頻率設為較小的值,則可以攔截可能遺漏的變更。
對於重要服務,建議將「啟動」狀態標示為「自動」 (延遲啟動),如此在 VM 重新啟動後,服務資料收集便會在 MMA 代理程式啟動時開始,而不是在 VM 啟動後立即開始。
注意
雖然代理程式可以追蹤 10 秒間隔內的變更,但資料仍需要幾分鐘才會顯示在 Azure 入口網站中。 在入口網站中顯示期間發生的變更仍會加以追蹤並記錄。
設定狀態的警示支援
變更追蹤和清查的重要功能,就是能夠針對混合式環境組態狀態的變更提出警示。 許多有用的動作可用來觸發以回應警示。 例如,Azure 函式、自動化 Runbook、Webhook 上的動作等。 針對電腦中 c:\windows\system32\drivers\etc\hosts 檔案的變更發出警示,就是變更追蹤和清查資料警示的一個良好應用。 此外還有許多警示案例,包括下表中定義的查詢案例。
| 查詢 | 描述 |
|---|---|
| ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\windows\system32\drivers\" |
適用於追蹤系統重要檔案的變更。 |
| ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts" |
適用於追蹤重要組態檔的修改。 |
| ConfigurationChange | where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped" |
適用於追蹤系統重要服務的變更。 |
| ConfigurationChange | where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState!= "Running" |
適用於追蹤系統重要服務的變更。 |
| ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added" |
適用於需要鎖定軟體組態的環境。 |
| ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0" |
適用於查看哪些電腦已過時或不符合所安裝軟體版本的規範。 此查詢會報告上次回報的組態狀態,但不會報告變更。 |
| ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
適用於追蹤重要防毒金鑰的變更。 |
| ConfigurationChange | where RegistryKey contains @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
適用於追蹤防火牆設定的變更。 |
將 Log Analytics 代理程式更新為最新版本
針對變更追蹤和清查,機器會使用 Log Analytics 代理程式,對已安裝的軟體、Windows 服務、Windows 登錄和檔案,以及受監視伺服器上任何 Linux 精靈收集變更相關資料。 Azure 即將不再接受來自舊版本 Windows Log Analytics (LA) 代理程式 (也稱為 Windows Microsoft Monitoring Agent (MMA)) 的連線,因為其使用舊版方法處理憑證。 建議您盡快將代理程式升級至最新版本。
版本 10.20.18053 (搭售方案) 和 1.0.18053.0 (延伸模組) 或更新版本的代理程式不會受到此變更的影響。 如果您的代理程式版本早於上述版本,則代理程式無法連線,並可停止變更追蹤和清查管道及下游活動。 您可在 LA 工作區的活動訊號表格中檢查目前 LA 代理程式版本。
請確保遵循這些指導方針,升級至最新版本的 Windows Log Analytics 代理程式 (MMA)。
下一步
若要從自動化帳戶啟用,請參閱從自動化帳戶啟用變更追蹤和清查。
若要從 Azure 入口網站啟用,請參閱 Azure 入口網站的 [啟用變更追蹤和清查]。
若要啟用 Runbook,請參閱從 Runbook 啟用變更追蹤和清查。
若要從 Azure VM 啟用,請參閱從 Azure VM 啟用變更追蹤和清查。