Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен обзор отслеживания изменений и инвентаризации Azure с помощью агента Azure Monitor (AMA). В этой статье также содержатся основные функции и преимущества службы.
Что такое отслеживание изменений и инвентаризация
Отслеживание изменений и инвентаризация улучшают аудит и управление для гостевых операций, отслеживая изменения и предоставляя подробные журналы инвентаризации для серверов в Azure, локальной среде и других облачных средах.
Это важно
Рекомендуется использовать отслеживание изменений и инвентаризацию с расширением отслеживания изменений версии 2.20.0.0 или более поздней.
Отслеживание изменений
- Отслеживает изменения, включая изменения файлов, разделов реестра, установки программного обеспечения и служб Windows или управляющей программы Linux.
- Предоставляет подробные журналы о том, что и когда были внесены изменения, чтобы быстро обнаруживать смещения конфигурации или несанкционированные изменения.
Метаданные контроля изменений принимаются в таблицуConfigurationChangeв подключенной рабочей области Log Analytics. Дополнительные сведения см. в разделе ConfigurationChange.
Замечание
Данные отслеживания изменений и инвентаризации регистрируются как для приложений на уровне системы, так и для пользователей. Данные на уровне системы всегда регистрируются, но приложения уровня пользователя отображаются только при входе пользователя на компьютер. Если пользователь выходит из системы, эти приложения помечены как удаленные.
Запасы
- Собирает и поддерживает обновленный список установленных программ, сведений об операционной системе и других конфигураций сервера в связанных рабочих областях Log Analytics.
- Помогает создавать общие сведения о системных ресурсах, которые полезны для соответствия требованиям, аудита и упреждающего обслуживания.
- Прием метаданных инвентаризации в таблицу
ConfigurationDataв подключенной рабочей области Log Analytics. Дополнительные сведения см. в разделе ConfigurationData.
Основные преимущества отслеживания изменений и инвентаризации Azure
Ниже приведены основные преимущества:
- Совместимость с единым агентом мониторинга: совместима с AMA , которая повышает безопасность и надежность и упрощает использование нескольких хомингов для хранения данных.
- Совместимость с средством отслеживания. Совместимо с расширением отслеживания изменений, развернутое с помощью политики Azure на виртуальной машине клиента. Вы можете переключиться на AMA, а затем расширение отслеживания изменений отправляет программное обеспечение, файлы и реестр в AMA.
- Многодоменная возможность: обеспечивает стандартизацию управления из одной центральной рабочей области. Вы можете перейти из журналов Azure Monitor в AMA , чтобы все виртуальные машины указывали на одну рабочую область для сбора и обслуживания данных.
- Управление правилами: Использует правила сбора данных для конфигурации или кастомизации различных аспектов сбора данных. Например, можно изменить частоту сбора файлов.
Сведения о поддерживаемых операционных системах см. в матрице поддержки и регионах для отслеживания изменений и инвентаризации.
Включение отслеживания изменений и инвентаризации Azure
Отслеживание изменений и инвентаризация можно включить следующим образом:
- Серверы, совместимые с Azure Arc (не-Azure устройства): В портале Azure, на панели Центр отслеживания изменений и инвентаризации | Устройства, выберите Политика>Тип определения>Категория>Отслеживание изменений и инвентаризация. В разделе "Инициатива" выберите "Включить отслеживание изменений и инвентаризацию" для виртуальных машин с поддержкой Arc. Чтобы включить отслеживание изменений и инвентаризацию в большом масштабе, используйте решение с политикой deploy-if-not-exists (DINE). Дополнительные сведения см. в кратком руководстве по включению отслеживания изменений и инвентаризации Azure.
- Одна виртуальная машина Azure: на портале Azure выберите виртуальную машину на панели "Виртуальные машины". Этот сценарий доступен для виртуальных машин Linux и Windows.
- Одна и несколько виртуальных машин Azure. На портале Azure выберите виртуальные машины на панели "Виртуальные машины ".
Отслеживание изменений файлов
Для отслеживания изменений в файлах в Windows и Linux отслеживание изменений и инвентаризации используют хэши SHA256 файлов. Эта функция использует хэши для обнаружения изменений, внесенных с момента последнего инвентаризации.
Отслеживание изменений содержимого файла
С помощью отслеживания изменений и инвентаризации можно просмотреть содержимое файла Windows или Linux. Для каждого изменения в файле отслеживание изменений и инвентаризация хранят содержимое файла в учетной записи хранения Azure. При отслеживании файла можно просмотреть его содержимое до или после изменения. Вы можете просматривать содержимое файла либо встроенно, либо рядом. Дополнительные сведения см. в руководстве по изменению рабочей области и настройке правила сбора данных.
Отслеживание разделов реестра
Отслеживание изменений и инвентаризация позволяют отслеживать изменения в разделах реестра Windows. При использовании мониторинга, можно определить точки расширяемости, где может активироваться код, не относящийся к Microsoft, и вредоносные программы. В следующей таблице перечислены разделы реестра, которые предварительно настроены, но не включены. Чтобы отслеживать эти ключи, необходимо включить каждый из них.
Замечание
Раздел реестра — это контейнер в реестре Windows, который работает как папка в файловой системе. Он упорядочивает параметры конфигурации и данные для оборудования, программного обеспечения и пользователей. Ключи реестра содержат значения, такие как файлы, и вложенные ключи.
| Ключ реестра | Цель |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Отслеживает скрипты, выполняемые при запуске. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Отслеживает сценарии, выполняемые при завершении работы. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Отслеживает ключи, загруженные перед входом пользователя в учетную запись Windows. Ключ используется для 32-разрядных приложений, работающих на 64-разрядных компьютерах. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Отслеживает изменения параметров приложения. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Отслеживает обработчики контекстного меню, которые подключаются непосредственно в проводнике Windows и обычно выполняются в одном процессе с explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Отслеживает перехватчики копирования, которые непосредственно подключаются к Проводнику Windows и обычно выполняются в составе процесса.explorer.exe |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Отслеживает регистрацию обработчика наложения значков. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Отслеживает регистрацию обработчика наложения значков для 32-разрядных приложений, работающих на 64-разрядных компьютерах. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Отслеживает новые подключаемые модули вспомогательных объектов браузера для Internet Explorer. Используется для доступа к объектной модели документа (DOM) текущей панели и управления навигацией. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Отслеживает новые подключаемые модули вспомогательных объектов браузера для Internet Explorer. Используется для доступа к DOM текущей панели и управления навигацией для 32-разрядных приложений, работающих на 64-разрядных компьютерах. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Отслеживает новые расширения Internet Explorer, такие как пользовательские меню инструментов и пользовательские кнопки панели инструментов. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Отслеживает новые расширения Internet Explorer, такие как пользовательские меню инструментов и пользовательские кнопки панели инструментов для 32-разрядных приложений, работающих на 64-разрядных компьютерах. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Отслеживает 32-разрядные драйверы, связанные с wavemapper, wave1 и wave2, msacm.imaadpcm, msadpcm, msgsm610 и vidc. Аналогично разделу [drivers] в файле system.ini. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Отслеживает 32-разрядные драйверы, связанные с wavemapper, wave1 и wave2, msacm.imaadpcm, msadpcm, MSGSm610 и vidc для 32-разрядных приложений, работающих на 64-разрядных компьютерах. Аналогично разделу [drivers] в файле system.ini. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Отслеживает список известных или часто используемых системных БИБЛИОТЕК DLL. Мониторинг предотвращает использование пользователями слабых разрешений каталога приложений путем удаления версий системных БИБЛИОТЕК DLL троянских лошадей. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Отслеживает список пакетов, которые могут получать уведомления о событиях из winlogon.exeмодели интерактивной поддержки входа в Windows. |
Связанный контент
- Просмотрите матрицу поддержки и регионы для отслеживания изменений и инвентаризации.