نظرة عامة على تعقب التغييرات والمخزون باستخدام عامل مراقبة Azure
هام
- تم إيقاف تعقب التغييرات والمخزون باستخدام عامل Log Analytics في 31 أغسطس 2024 وسيعمل على دعم محدود حتى 01 فبراير 2025. اتبع إرشادات الترحيل من Change Tracking and inventory باستخدام Log Analytics إلى Change Tracking and inventory باستخدام إصدار Azure Monitoring Agent
- نوصي باستخدام Change Tracking مع Azure Monitoring Agent مع إصدار ملحق تعقب التغيير 2.20.0.0 (أو أعلى) للوصول إلى إصدار GA من هذه الخدمة.
توضح هذه المقالة أحدث إصدار من دعم تعقب التغييرات باستخدام عامل مراقبة Azure كعامل مفرد لجمع البيانات.
إشعار
تتوفر الآن File Integrity Monitoring (FIM) باستخدام Microsoft Defender لنقطة النهاية (MDE). إذا كان لديك FIM تم تكوينه إما باستخدام AMA أو LA، فاتبع الإرشادات للترحيل من:
ما هو تعقب التغييرات والمخزون
تعزز خدمة Azure Change Tracking & Inventory التدقيق والحوكمة للعمليات داخل الضيف من خلال مراقبة التغييرات وتوفير سجلات مخزون مفصلة للخوادم عبر Azure والبيئات المحلية والبيئات السحابية الأخرى.
تعقب التغييرات
أ. يراقب التغييرات، بما في ذلك التعديلات على الملفات ومفاتيح التسجيل وتثبيتات البرامج وخدمات Windows أو برامج Linux الخفية.
b. يوفر سجلات مفصلة لما ومتى تم إجراء التغييرات، ومن قام بها، مما يتيح لك اكتشاف انحرافات التكوين أو التغييرات غير المصرح بها بسرعة.جرد
أ. يجمع ويحافظ على قائمة محدثة من البرامج المثبتة وتفاصيل نظام التشغيل وتكوينات الخادم الأخرى في مساحة
عمل LA المرتبطة ب. يساعد على إنشاء نظرة عامة على أصول النظام، وهو أمر مفيد للامتثال والتدقيق والصيانة الاستباقية.
مصفوفة الدعم
| المكون | ينطبق على |
|---|---|
| أنظمة التشغيل | Windows Linux |
| أنواع الموارد | مجموعة مقياس الأجهزة الظاهرية للأجهزة الظاهرية ل Azure VMs التي تدعم Azure Arc |
| أنواع البيانات | Windows registry خدمات Windows Linux Daemons |
| الملفات | Windows Linux |
المزايا الرئيسية
- التوافق مع عامل المراقبة الموحد - متوافق مع عامل Azure Monitor الذي يعزز الأمان والموثوقية ويسهل تجربة متعددة التوجيه لتخزين البيانات.
- التوافق مع أداة التعقب - متوافق مع ملحق تتبع التغييرات (CT) المنشور من خلال سياسة Azure على الجهاز الظاهري للعميل. يمكنك التبديل إلى عامل Azure Monitor (AMA)، ثم يدفع ملحق CT البرنامج والملفات والتسجيل إلى AMA.
- تجربة نظام التوجيه المتعدد - توفر توحيد الإدارة من مساحة عمل مركزية واحدة. يمكنك الانتقال من Log Analytics (LA) إلى AMA بحيث تشير جميع الأجهزة الظاهرية إلى مساحة عمل واحدة لجمع البيانات وصيانتها.
- إدارة القواعد - تستخدم قواعد جمع البيانات لتكوين أو تخصيص جوانب مختلفة من جمع البيانات. على سبيل المثال، يمكنك تغيير تكرار مجموعة الملفات.
الحدود
يعرض الجدول التالي حدود العناصر المتعقبة لكل جهاز لتعقب التغييرات والمخزون.
| المورد | حد | ملاحظات |
|---|---|---|
| الملف | 500 | |
| حجم الملف | 5 ميجابايت | |
| السجل | 250 | |
| برامج Windows | 250 | لا يتضمن تحديثات البرامج. |
| حزم Linux | 1,250 | |
| خدمات Windows | 250 | |
| برامج Linux الخفية | 250 |
أنظمة التشغيل المدعومة
يتم دعم Change Tracking and Inventory على جميع أنظمة التشغيل التي تفي بمتطلبات عامل Azure Monitor. راجع أنظمة التشغيل المدعومة للحصول على قائمة بإصدارات نظام التشغيل Windows وLinux المدعومة حاليا من قبل عامل Azure Monitor.
لفهم متطلبات العميل ل TLS، راجع TLS ل Azure Automation.
تمكين Change Tracking and Inventory
يمكنك تمكين ميزة Change Tracking and Inventory بالطرق التالية:
يدويا للأجهزة التي لا تدعم Azure Arc، راجع المبادرة تمكين تعقب التغيير والمخزون للأجهزة الظاهرية التي تدعم Arc في > تعريفات النهج > حدد الفئة = ChangeTrackingAndInventory. لتمكين Change Tracking and Inventory على نطاق واسع، استخدم الحل المستند إلى نهج DINE. لمزيد من المعلومات، راجع تمكين تعقب التغييرات والمخزون باستخدام عامل مراقبة Azure (معاينة).
لجهاز Azure ظاهري واحد من صفحة الجهاز الظاهري في مدخل Microsoft Azure. يتوفر هذا السيناريو للأجهزة الظاهرية لـ Linux وWindows.
بالنسبة إلى أجهزة Azure الظاهرية المتعددة عن طريق تحديدها من صفحة الأجهزة الظاهرية في مدخل Microsoft Azure.
تعقب تغييرات الملف
لتعقب التغييرات في الملفات على كل من Windows وLinux، يستخدم Change Tracking and Inventory تجزئات SHA256 للملفات. تستخدم الميزة هذه التجزئة للكشف عما إذا تم إجراء تغييرات منذ آخر مخزون.
تعقب التغييرات في محتوى الملف
تسمح لك Change Tracking and Inventory بعرض محتويات ملفات Windows أو Linux. لكل تغيير في ملف، يخزن Change Tracking and Inventory محتويات الملف في حساب Azure Storage. عندما تقوم بتتبع ملف، يمكنك عرض محتوياته قبل حدوث تغيير أو بعده. يمكن عرض محتوى الملف إما مضمنًا وإما جنبًا إلى جنبٍ. اعرف المزيد.
تعقب مفاتيح التسجيل
تسمح ميزة Change Tracking and Inventory بمراقبة التغييرات في مفاتيح التسجيل Windows. تسمح لك المراقبة بتحديد نقاط القابلية للتوسعة حيث يمكن أن تنشط التعليمات البرمجية والبرامج الضارة لجهة خارجية. يسرد الجدول التالي مفاتيح التسجيل المكونة مسبقا (ولكن غير ممكنة). لتعقب هذه المفاتيح، يجب تمكين كل مفتاح.
| مفتاح التسجيل | الغرض |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
مراقبة البرامج النصية التي يتم تشغيلها عند بدء التشغيل. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
مراقبة البرامج النصية التي تعمل عند إيقاف التشغيل. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
مراقبة المفاتيح التي يتم تحميلها قبل تسجيل دخول المستخدم إلى حساب Windows. يُستخدم المفتاح لتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
مراقبة التغييرات في إعدادات التطبيق. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
يراقب معالجات قائمة السياق التي ترتبط مباشرة بمستكشف Windows ويتم تشغيلها عادة أثناء المعالجة باستخدام explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
يراقب نسخ معالجات الوصل التي ترتبط مباشرة بمستكشف Windows وعادة ما يتم تشغيلها أثناء المعالجة باستخدام explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
مراقبة تسجيل معالج تراكب الرموز. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
مراقبة تسجيل معالج تراكب رمز للتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
مراقبة المكونات الإضافية الجديدة لعنصر مساعد المستعرض Internet Explorer. يُستخدم للوصول إلى نموذج عنصر المستند (DOM) للصفحة الحالية والتحكم في التنقل. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
مراقبة المكونات الإضافية الجديدة لعنصر مساعد المستعرض Internet Explorer. يُستخدم للوصول إلى نموذج عنصر المستند (DOM) من الصفحة الحالية والتحكم في التنقل للتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
مراقبة ملحقات Internet Explorer الجديدة، مثل قوائم الأدوات المخصصة وأزرار شريط الأدوات المخصصة. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
مراقبة ملحقات Internet Explorer الجديدة، مثل قوائم الأدوات المخصصة وأزرار شريط الأدوات المخصصة لتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
مراقبة برامج التشغيل 32 بت المرتبطة بـ wavemapper وwave1 وwave2 وmsacm.imaadpcm و.msadpcm و.msgsm610 وvidc. مشابه لقسم [برامج التشغيل] في ملف system.ini . |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
مراقبة برامج التشغيل 32 بت المرتبطة بـ wavemapper وwave1 وwave2 msacm.imaadpcm و.msadpcm و.msgsm610 وvidc لتطبيقات 32 بت التي تعمل على أجهزة الكمبيوتر 64 بت. مشابه لقسم [برامج التشغيل] في ملف system.ini . |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
مراقبة قائمة النظام المعروف أو شائعة الاستخدام DLLs. تؤدي المراقبة إلى منع الناس من استغلال الأذونات الضعيفة لدليل التطبيق عن طريق إسقاط إصدارات حصان طروادة من نظام DLLs. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
يراقب قائمة الحزم التي يمكن أن تتلقى إعلامات الأحداث من winlogon.exe، نموذج دعم تسجيل الدخول التفاعلي لنظام التشغيل Windows. |
دعم الإعادة
تدعم ميزة Change Tracking and Inventory عملية الإعادة، التي تسمح لك بتحديد أحرف البدل لتبسيط التتبع عبر الدلائل. توفر الإعادة أيضًا متغيرات البيئة للسماح لك بتعقب الملفات عبر بيئات ذات أسماء محركات أقراص متعددة أو حيوية. تتضمن القائمة التالية معلومات عامة يجب أن تعرفها عند تكوين الإعادة:
يجب توفير Wildcards لتتبع عدة ملفات.
يمكنك استخدام أحرف البدل فقط في الجزء الأخير من مسار الملف، على سبيل المثال، c:\folder\file* أو /etc/*.conf.
إذا كان لمتغير بيئة مسار غير صالح، ينجح التحقق من الصحة بينما لا ينجح المسار أثناء التنفيذ.
يجب تجنب أسماء المسارات العامة عند تعيين المسار، حيث يمكن أن يتسبب هذا النوع من الإعداد في اجتياز عدد كبير جدًّا من المجلدات.
تغيير جمع بيانات Change Tracking and Inventory
يعرض الجدول التالي تكرار جمع البيانات لأنواع التغييرات التي يدعمها Change Tracking and Inventory. سيتم ملء سجلات المخزون كل 10 ساعات بشكل افتراضي لجميع أنواع البيانات. بالإضافة إلى ذلك، عند وجود تغيير مسجل لأي من أنواع البيانات، سيتم إنشاء سجلات المخزون والتغيير لهذا المثيل.
| تغيير النوع | التردد |
|---|---|
| Windows registry | 50 دقيقة |
| Windows file | من 30 إلى 40 دقيقة |
| ملف Linux | 15 دقيقة |
| خدمات Windows | 10 دقائق إلى 30 دقيقة افتراضي: 30 دقيقة |
| برامج Windows | 30 دقيقة |
| برنامج Linux | 5 دقائق |
| برامج Linux الخفية | 5 دقائق |
يعرض الجدول التالي حدود الصنف المتعقب لكل جهاز لـ Change Tracking and Inventory.
| المورد | حد |
|---|---|
| الملف | 500 |
| السجل | 250 |
| برامج Windows (لا تتضمن الإصلاحات العاجلة) | 250 |
| حزم Linux | 1250 |
| خدمات Windows | 250 |
| برامج Linux الخفية | 500 |
بيانات خدمات Windows
المتطلبات الأساسية
لتمكين تعقب بيانات Windows Services، يجب ترقية ملحق CT واستخدام ملحق أكثر من أو يساوي 2.11.0.0
- لأجهزة Windows Azure الظاهرية
- بالنسبة لأجهزة Linux Azure الظاهرية
- لأجهزة Windows الظاهرية التي تدعم Arc
- لأجهزة Linux الظاهرية الممكنة بواسطة Arc
- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true
تكوين التردد
تردد التحصيل الافتراضي لخدمات Windows هو 30 دقيقة. لتكوين التردد،
- ضمن تحرير الإعدادات، استخدم شريط تمرير على علامة التبويب خدمات Windows.
القيود الحالية
لا يدعم Change Tracking and Inventory باستخدام Azure Monitoring Agent القيود التالية أو لديه:
- تكرار تعقب التسجيل Windows
- أنظمة ملفات الشبكة
- طرق تثبيت مختلفة
- * .exe الملفات المخزنة على Windows
- العمود Max File Size والقيم غير مستخدمة في التنفيذ الحالي.
- إذا كنت تتبع التغييرات في الملف، فتقتصر على حجم ملف 5 ميغابايت أو أقل.
- إذا ظهر >حجم الملف 1.25 ميغابايت، فإن FileContentChecksum غير صحيح بسبب قيود الذاكرة في حساب المجموع الاختباري.
- إذا حاولت تجميع أكثر من 2500 ملف في دورة جمع مدتها 30 دقيقة، قد ينخفض أداء Change Tracking and Inventory.
- إذا كانت حركة المرور على الشبكة عالية، فمن الممكن أن يستغرق عرض سجلات التغييرات ست ساعات.
- إذا قمت بإجراء تعديل على تكوين أثناء إغلاق جهاز أو خادم، فمن الممكن أن ترسل التغييرات المتعلقة بالتكوين السابق.
- تجميع تحديثات الإصلاح العاجل على أجهزة Windows Server 2016 Core RS3.
- قد تُظهر برامج Linux الخفية حالة تغيير على الرغم من عدم حدوث أي تغيير. تنشأ هذه المشكلة بسبب كيفية
SvcRunLevelsكتابة البيانات في جدول Azure Monitor ConfigurationChange . - لا يدعم ملحق Change Tracking أي معايير تقوية لأي أنظمة تشغيل Linux أو Distros.
دعم التنبيهات في حالة التكوين
تؤدي قدرة رئيسية لـ Change Tracking and Inventory إلى التنبيه بالتغييرات التي تحدث في حالة التكوين للبيئة المختلطة الخاصة بك. تتوفر العديد من الإجراءات المفيدة لتشغيل استجابةٍ للتنبيهات. على سبيل المثال، الإجراءات على وظائف Azure وكتب تشغيل Automation والإشعارات على الويب وما إلى ذلك. يعد التنبيه بشأن التغييرات في ملف c:\windows\system32\drivers\etc\hosts لجهاز ما أحد التطبيقات الجيدة للتنبيهات لبيانات تعقب التغييرات والمخزون. هناك العديد من السيناريوهات الخاصة بالتنبيه أيضًا، بما في ذلك سيناريوهات الاستعلام المحددة في الجدول التالي.
| الاستعلام | الوصف |
|---|---|
| تغيير التكوين | حيث يحتوي ConfigChangeType == "Files" وFileSystemPath على " c:\windows\system32\drivers\" |
مفيد لتعقب التغييرات على الملفات الهامة للنظام. |
| تغيير التكوين | حيث يحتوي FieldsChanged على "FileContentChecksum" وFilySystemPath == "c:\windows\system32\drivers\etc\hosts" |
مفيد لتعقب التعديلات على ملفات التكوين الرئيسية. |
| تغيير التكوين | حيث يحتوي ConfigChangeType == "WindowsServices" وSvcName على "w3svc" وSvcState == "متوقف" |
مفيد لتتبع التغييرات في الخدمات الحيوية للنظام. |
| تغيير التكوين | حيث يحتوي ConfigChangeType == "Daemons" وSvcName على "ssh" وSvcState!= "Running" |
مفيد لتتبع التغييرات في الخدمات الحيوية للنظام. |
| تغيير التكوين | حيث ConfigChangeType == "Software" و ChangeCategory == "added" |
مفيد للبيئات التي تحتاج إلى تكوينات برامج مؤمنة. |
| بيانات التكوين | حيث يحتوي SoftwareName على "عامل المراقبة" و CurrentVersion!= "8.0.11081.0" |
مفيدة لرؤية الأجهزة التي لديها إصدار البرامج القديمة أو غير المتوافقة المثبتة. يقوم هذا الاستعلام بالإبلاغ عن حالة التكوين الأخيرة التي تم الإبلاغ عنها، ولكنه لا يبلغ عن التغييرات. |
| تغيير التكوين | حيث RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
مفيدة لتتبع التغييرات في مفاتيح مكافحة الفيروسات الحاسمة. |
| تغيير التكوين | حيث يحتوي RegistryKey على @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
مفيدة لتعقب التغييرات في إعدادات جدار الحماية. |
الخطوات التالية
- للتمكين من مدخل Microsoft Azure، راجع تمكين Change Tracking and Inventory من مدخل Microsoft Azure.