A változáskövetés és a leltár áttekintése az Azure Monitoring Agent használatával
Fontos
- változáskövetés és leltározás a Log Analytics-ügynök használata 2024. augusztus 31-én megszűnt, és 2025. február 01-ig korlátozott támogatáson fog működni. Kövesse a változáskövetésről és a leltárról a Log Analytics használatával történő migrálásra vonatkozó irányelveket az Azure Monitoring Agent verziójával történő változáskövetéshez és leltározáshoz
- Javasoljuk, hogy a változáskövetést az Azure Monitoring Agenttel használja a 2.20.0.0.0-s (vagy újabb) változáskövetési bővítménysel a szolgáltatás GA-verziójának eléréséhez.
Ez a cikk bemutatja a változáskövetési támogatás legújabb verzióját, amely az Azure Monitoring Agentet egyedi ügynökként használja adatgyűjtéshez.
Feljegyzés
A Végponthoz készült Microsoft Defender (MDE) használatával végzett fájlintegritási monitorozás (FIM) jelenleg elérhető. Ha a FIM AMA-val vagy LA-val van konfigurálva, kövesse az alábbi útmutatót a migráláshoz:
- FIM változáskövetés és leltározás AMA használatával.
- FIM változáskövetés és leltározás MMA használatával.
Mi az a változáskövetés és a leltár?
Az Azure Change Tracking &Inventory szolgáltatás a változások monitorozásával és részletes leltárnaplókkal javítja a vendégműveletek naplózását és szabályozását az Azure-beli, a helyszíni és más felhőkörnyezetekben található kiszolgálókhoz.
Módosításkövetés
a. Figyeli a módosításokat, beleértve a fájlok, a beállításkulcsok, a szoftvertelepítések és a Windows-szolgáltatások vagy a Linux démonok módosításait.
b. Részletes naplókat tartalmaz arról, hogy mi és mikor történtek a módosítások, ki hajtotta végre őket, így gyorsan észlelheti a konfigurációs eltéréseket vagy a jogosulatlan módosításokat.Leltár
a. Összegyűjti és karbantartja a telepített szoftverek, az operációs rendszer részletei és más kiszolgálókonfigurációk frissített listáját a csatolt LA-munkaterületen
b. Segít áttekinteni a rendszeregységeket, ami a megfelelőség, az auditok és a proaktív karbantartás szempontjából hasznos.
Támogatási mátrix
| Komponens | A következőkre vonatkozik |
|---|---|
| Operációs rendszerek | Windows Linux |
| Erőforrástípusok | Azure-beli virtuális gépek Azure Arc-kompatibilis virtuális gépek virtuálisgép-méretezési készlete |
| Adattípusok | Windows-beállításjegyzék – Windows-szolgáltatások – Linux-démonok |
| Fájlok | Windows Linux |
Fő előnyök
- Kompatibilitás az egyesített monitorozási ügynökkel – Kompatibilis az Azure Monitor-ügynökkel, amely javítja a biztonságot, a megbízhatóságot, és megkönnyíti a többhelyes adattárolást.
- Kompatibilitás a követési eszközzel– Kompatibilis az ügyfél virtuális gépén az Azure Policy használatával üzembe helyezett Változáskövetési (CT) bővítménysel. Válthat az Azure Monitor Agentre (AMA), majd a CT-bővítmény leküldi a szoftvert, a fájlokat és a beállításjegyzéket az AMA-ba.
- Többhelyes kezelés – A felügyelet egységesítését biztosítja egy központi munkaterületről. A Log Analyticsről (LA) áttérhet az AMA-ra , hogy az összes virtuális gép egyetlen munkaterületre mutasson adatgyűjtés és karbantartás céljából.
- Szabályok kezelése – Adatgyűjtési szabályok használatával konfigurálja vagy testre szabja az adatgyűjtés különböző aspektusait. Módosíthatja például a fájlgyűjtés gyakoriságát.
Korlátok
Az alábbi táblázat a változások nyomon követésére és a leltározásra vonatkozó, gépenként nyomon követett elemek korlátait mutatja be.
| Erőforrás | Korlát | Jegyzetek |
|---|---|---|
| Fájl | 500 | |
| Fájlméret | 5 MB | |
| Beállításjegyzék | 250 | |
| Windows-szoftver | 250 | Nem tartalmazza a szoftverfrissítéseket. |
| Linux-csomagok | 1,250 | |
| Windows-szolgáltatások | 250 | |
| Linux démonok | 250 |
Támogatott operációs rendszerek
A változáskövetés és leltározás minden olyan operációs rendszeren támogatott, amely megfelel az Azure Monitor-ügynök követelményeinek. Az Azure Monitor-ügynök által jelenleg támogatott Windows- és Linux operációsrendszer-verziók listájának megtekintéséhez tekintse meg a támogatott operációs rendszereket .
A TLS ügyfélkövetelményeinek megismeréséhez tekintse meg az Azure Automation TLS-ét.
A Change Tracking és az Inventory engedélyezése
A változáskövetés és leltározás a következő módokon engedélyezheti:
A nem Azure Arc-kompatibilis gépek esetében a Kezdeményezés engedélyezése változáskövetés és leltározás az Arc-kompatibilis virtuális gépek esetében a Szabályzatdefiníciók >> kategória kiválasztása kategória = ChangeTrackingAndInventory című témakörben talál további információt. A változáskövetés és leltározás nagy léptékű engedélyezéséhez használja a DINE szabályzatalapú megoldást. További információ: Változáskövetés és leltározás engedélyezése az Azure Monitoring Agent (előzetes verzió) használatával.
Egyetlen Azure-beli virtuális géphez az Azure Portal Virtuális gép lapján . Ez a forgatókönyv Linux és Windows rendszerű virtuális gépeken érhető el.
Több Azure-beli virtuális gép esetén válassza ki őket az Azure Portal Virtuális gépek lapján.
Fájlmódosítások nyomon követése
A windowsos és linuxos fájlok változásainak nyomon követéséhez változáskövetés és leltározás SHA256-kivonatokat használ a fájlokról. A funkció a kivonatokkal észleli, hogy történt-e módosítás az utolsó készlet óta.
Fájltartalom változásainak nyomon követése
változáskövetés és leltározás lehetővé teszi egy Windows- vagy Linux-fájl tartalmának megtekintését. A fájl minden módosításához változáskövetés és leltározás a fájl tartalmát egy Azure Storage-fiókban tárolja. Ha nyomon követ egy fájlt, megtekintheti annak tartalmát a módosítás előtt vagy után. A fájl tartalma beágyazottan vagy egymás mellett is megtekinthető. További információ.
Beállításkulcsok nyomon követése
változáskövetés és leltározás lehetővé teszi a Windows beállításkulcsok módosításainak monitorozását. A monitorozással rögzítheti azokat a bővíthetőségi pontokat, ahol külső kód és kártevő aktiválható. Az alábbi táblázat az előre konfigurált (de nem engedélyezett) beállításkulcsokat sorolja fel. A kulcsok nyomon követéséhez engedélyeznie kell őket.
| Beállításkulcs | Cél |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Az indításkor futó szkripteket figyeli. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Figyeli a leállításkor futó szkripteket. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Figyeli a windowsos fiókba való bejelentkezés előtt betöltött kulcsokat. A kulcs a 64 bites számítógépeken futó 32 bites alkalmazásokhoz használható. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Figyeli az alkalmazásbeállítások módosításait. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Figyeli a helyi menükezelőket, amelyek közvetlenül a Windows Intézőbe csatlakoznak, és általában folyamatban futnak explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
A monitorok közvetlenül a Windows Intézőbe horgoló horogkezelőket másolnak, és általában folyamatban futtatják a explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Ikont átfedő kezelő regisztrációjának figyelése. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
A 64 bites számítógépeken futó 32 bites alkalmazások ikonszintű átfedéskezelő-regisztrációjának monitorozása. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Figyeli az Internet Explorer új böngésző segédobjektum-beépülő moduljait. Az aktuális oldal dokumentumobjektum-modelljének (DOM) elérésére és a navigáció szabályozására szolgál. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Figyeli az Internet Explorer új böngésző segédobjektum-beépülő moduljait. Az aktuális lap dokumentumobjektum-modelljének (DOM) elérésére és a 64 bites számítógépeken futó 32 bites alkalmazások navigációjának szabályozására szolgál. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Figyeli az új Internet Explorer-bővítményeket, például az egyéni eszközmenüket és az egyéni eszköztárgombokat. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Figyeli az új Internet Explorer-bővítményeket, például az egyéni eszközmenüket és az egyéni eszköztárgombokat a 64 bites számítógépeken futó 32 bites alkalmazásokhoz. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Figyeli a wavemapper, a wave1 és a wave2, az msacm.imaadpcm, a .msadpcm, a .msgsm610 és a vidc 32 bites illesztőprogramjait. Hasonló a system.ini fájl [illesztőprogramok] szakaszához. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Figyeli a 32 bites illesztőprogramokat, amelyek a 64 bites számítógépeken futó 32 bites alkalmazásokhoz tartoznak: wavemapper, wave1 és wave2, msacm.imaadpcm, .msadpcm, .msgsm610 és vidc. Hasonló a system.ini fájl [illesztőprogramok] szakaszához. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Figyeli az ismert vagy gyakran használt rendszer DLL-ek listáját. A figyelés megakadályozza, hogy a felhasználók kihasználhassák a gyenge alkalmazáskönyvtár-engedélyeket a rendszer DLL-jének trójai falóverzióinak elvetésével. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Figyeli azoknak a csomagoknak a listáját, amelyek eseményértesítéseket fogadhatnak winlogon.exe, a Windows interaktív bejelentkezési támogatási modelljétől. |
Rekurziós támogatás
változáskövetés és leltározás támogatja a rekurziót, amely lehetővé teszi helyettesítő karakterek megadását a könyvtárak közötti nyomon követés egyszerűsítése érdekében. A Recursion környezeti változókat is biztosít, amelyek lehetővé teszik a fájlok nyomon követését több vagy dinamikus meghajtónévvel rendelkező környezetekben. Az alábbi lista a rekurzió konfigurálásakor ismert gyakori információkat tartalmazza:
Több fájl nyomon követéséhez helyettesítő karakterekre van szükség.
Helyettesítő karaktereket csak a fájl elérési útjának utolsó szegmensében használhat, például c:\folder\file* vagy /etc/*.conf.
Ha egy környezeti változó elérési útja érvénytelen, az ellenőrzés sikeres, de az elérési út sikertelen a végrehajtás során.
Az elérési út beállításakor kerülnie kell az általános elérési utak nevét, mivel ez a beállítás túl sok mappát okozhat.
változáskövetés és leltározás adatgyűjtés
A következő táblázat a változáskövetés és leltározás által támogatott módosítástípusok adatgyűjtési gyakoriságát mutatja. A leltárnaplók alapértelmezés szerint 10 óránként lesznek feltöltve minden adattípus esetében. Továbbá, ha bármely adattípusnál változás van regisztrálva, a rendszer létrehozza a leltár- és változásnaplókat ebben a példányban.
| Típus módosítása | Gyakoriság |
|---|---|
| Windows-beállításjegyzék | 50 perc |
| Windows-fájl | 30–40 perc |
| Linux-fájl | 15 perc |
| Windows-szolgáltatások | 10 perc és 30 perc között Alapértelmezett: 30 perc |
| Windows-szoftver | 30 perc |
| Linux-szoftver | 5 perc |
| Linux démonok | 5 perc |
Az alábbi táblázat a változáskövetés és leltározás gépenkénti nyomon követett elemkorlátait mutatja be.
| Erőforrás | Korlát |
|---|---|
| Fájl | 500 |
| Beállításjegyzék | 250 |
| Windows-szoftver (a gyorsjavításokat nem beleértve) | 250 |
| Linux-csomagok | 1250 |
| Windows-szolgáltatások | 250 |
| Linux démonok | 500 |
Windows-szolgáltatások adatai
Előfeltételek
A Windows Services-adatok nyomon követésének engedélyezéséhez frissítenie kell a CT-bővítményt, és a 2.11.0.0-s vagy annál nagyobb bővítményt kell használnia
- Windows Azure-beli virtuális gépekhez
- Linux Azure-beli virtuális gépekhez
- Arc-kompatibilis Windows rendszerű virtuális gépek esetén
- Arc-kompatibilis Linux rendszerű virtuális gépek esetén
- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true
Gyakoriság konfigurálása
A Windows-szolgáltatások alapértelmezett gyűjtési gyakorisága 30 perc. A gyakoriság konfigurálásához
- a Beállítások szerkesztése területen használjon egy csúszkát a Windows-szolgáltatások lapon.
Jelenlegi korlátozások
változáskövetés és leltározás Az Azure Monitoring Agent használata nem támogatja vagy korlátozza az alábbi korlátozásokat:
- A Windows beállításjegyzék-nyomkövetésének rekurziója
- Hálózati fájlrendszerek
- Különböző telepítési módszerek
- * Windowson tárolt fájlok .exe
- A Maximális fájlméret oszlop és értékek nincsenek használatban az aktuális implementációban.
- Ha fájlmódosításokat követ nyomon, az legfeljebb 5 MB méretű fájlméretre korlátozódik.
- Ha a fájlméret >1,25 MB, akkor a FileContentChecksum helytelen az ellenőrzőösszeg számításában szereplő memóriakorlátok miatt.
- Ha 30 perces gyűjtési ciklusban több mint 2500 fájlt próbál összegyűjteni, változáskövetés és leltározás teljesítménye csökkenhet.
- Ha a hálózati forgalom magas, a rekordok módosítása akár hat órát is igénybe vehet.
- Ha módosít egy konfigurációt egy gép vagy kiszolgáló leállítása közben, az közzéteheti az előző konfigurációhoz tartozó módosításokat.
- Gyorsjavítás-frissítések gyűjtése Windows Server 2016 Core RS3 rendszerű gépeken.
- A Linux démonok módosult állapotot mutathatnak, még akkor is, ha nem történt változás. Ez a probléma az Azure Monitor ConfigurationChange tábla adatainak megírása
SvcRunLevelsmiatt merül fel. - A Change Tracking bővítmény nem támogatja a Linux operációs rendszerekre vagy disztribúciókra vonatkozó szigorítási szabványokat.
A konfigurációs állapotra vonatkozó riasztások támogatása
A változáskövetés és leltározás egyik fő képessége, hogy riasztást küld a hibrid környezet konfigurációs állapotának változásairól. A riasztásokra adott válaszként számos hasznos művelet aktiválható. Például az Azure-függvényeken, az Automation-runbookokon, a webhookokon és hasonlókon végzett műveletek. A gép c:\windows\system32\drivers\etc\hosts fájljának változásaival kapcsolatos riasztások az változáskövetés és leltározás adatok riasztásainak egyik jó alkalmazása. A riasztáshoz számos további forgatókönyv is rendelkezésre áll, beleértve a következő táblázatban definiált lekérdezési forgatókönyveket is.
| Lekérdezés | Leírás |
|---|---|
| ConfigurationChange | where ConfigChangeType == "Files" és FileSystemPath contains " c:\windows\system32\drivers\" |
Hasznos a rendszerkritikus fájlok változásainak nyomon követéséhez. |
| ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath == "c:\windows\system32\drivers\etc\hosts" |
Hasznos a kulcskonfigurációs fájlok módosításainak nyomon követéséhez. |
| ConfigurationChange | ahol a ConfigChangeType == "WindowsServices" és az SvcName a "w3svc" és az SvcState == "Leállítva" értéket tartalmazza |
Hasznos a rendszerkritikus szolgáltatások változásainak nyomon követéséhez. |
| ConfigurationChange | ahol a ConfigChangeType == "Démonok" és az SvcName az "ssh" és az SvcState!= "Running" értéket tartalmazzák |
Hasznos a rendszerkritikus szolgáltatások változásainak nyomon követéséhez. |
| ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added" |
Zárolt szoftverkonfigurációkat igénylő környezetekben hasznos. |
| ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion!= "8.0.11081.0" |
Hasznos, ha azt látja, hogy mely gépeken van telepítve elavult vagy nem megfelelő szoftververzió. Ez a lekérdezés az utolsó jelentett konfigurációs állapotot jelenti, de nem jelenti a változásokat. |
| ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
Hasznos a kulcsfontosságú víruskereső kulcsok változásainak nyomon követéséhez. |
| ConfigurationChange | ahol a RegistryKey tartalmaz @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
Hasznos a tűzfalbeállítások változásainak nyomon követéséhez. |
Következő lépések
- Az Azure Portalról való engedélyezésről az Azure Portalon változáskövetés és leltározás engedélyezése című témakörben olvashat.