Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Übersicht über die Azure Change Tracking and Inventory mithilfe des Azure Monitor Agent (AMA). Dieser Artikel enthält auch die wichtigsten Features und Vorteile des Diensts.
Was ist Änderungsverfolgung und Inventar
Die Änderungsverfolgung und Inventarisierung verbessert die Prüfung und Governance für Gastbetriebsvorgänge, indem Änderungen überwacht und detaillierte Bestandsprotokolle für Server in Azure, lokal sowie in anderen Cloud-Umgebungen bereitgestellt werden.
Von Bedeutung
Wir empfehlen, die Änderungsnachverfolgung und das Inventar mit der Erweiterung Änderungsnachverfolgung Version 2.20.0.0 oder höher zu verwenden.
Änderungsnachverfolgung
- Überwacht Änderungen, einschließlich Änderungen an Dateien, Registrierungsschlüsseln, Softwareinstallationen und Windows-Diensten oder Linux-Daemons.
- Enthält detaillierte Protokolle darüber, was und wann die Änderungen vorgenommen wurden, damit Sie Konfigurationsabweichungen oder nicht autorisierte Änderungen schnell erkennen können.
Metadaten zur Änderungsnachverfolgung werden in dieConfigurationChangeTabelle im verbundenen Log Analytics-Arbeitsbereich aufgenommen. Weitere Informationen finden Sie unter ConfigurationChange.
Hinweis
Änderungsverfolgungs- und Bestandsdaten werden sowohl für Anwendungen auf Systemebene als auch für Anwendungen auf Benutzerebene protokolliert. Daten auf Systemebene werden immer protokolliert, aber Anwendungen auf Benutzerebene werden nur angezeigt, wenn sich ein Benutzer bei einem Computer anmeldet. Wenn sich der Benutzer abmeldet, werden diese Anwendungen als entfernt markiert.
Lagerbestand
- Sammelt und verwaltet eine aktualisierte Liste der installierten Software, Betriebssystemdetails und anderen Serverkonfigurationen in verknüpften Log Analytics-Arbeitsbereichen.
- Hilft beim Erstellen einer Übersicht über Systemressourcen, die für Compliance, Audits und proaktive Wartung nützlich sind.
- Erfasst Bestandsmetadaten in der Tabelle
ConfigurationDataim verbundenen Log Analytics-Arbeitsbereich. Weitere Informationen finden Sie unter ConfigurationData.
Wichtige Vorteile von Azure Change Tracking und Inventory
Hier sind die wichtigsten Vorteile:
- Kompatibilität mit dem einheitlichen Überwachungs-Agent: Ist kompatibel mit der AMA , die Sicherheit und Zuverlässigkeit verbessert und das Multi-Homing-Erlebnis zum Speichern von Daten erleichtert.
- Kompatibilität mit Tracking-Tool: Ist kompatibel mit der Änderungsnachverfolgungserweiterung, die über die Azure-Richtlinie auf dem virtuellen Computer (VM) des Clients bereitgestellt wird. Sie können zur AMA wechseln, und dann überträgt die Erweiterung "Änderungsnachverfolgung" die Software, Dateien und Registrierung an die AMA.
- Multi-Homing-Erfahrung: Bietet Standardisierung der Verwaltung von einem zentralen Arbeitsbereich. Sie können von Azure Monitor-Protokollen zum AMA wechseln, sodass alle virtuellen Computer für die Datensammlung und Wartung auf einen einzigen Arbeitsbereich verweisen.
- Regelverwaltung: Verwendet Datensammlungsregeln , um verschiedene Aspekte der Datensammlung zu konfigurieren oder anzupassen. Sie können beispielsweise die Häufigkeit der Dateisammlung ändern.
Informationen zu unterstützten Betriebssystemen finden Sie unter Supportmatrix und Regionen für die Änderungsnachverfolgung und den Bestand.
Aktivieren von Azure Change Tracking und Inventory
Sie können „Änderungsnachverfolgung und Bestand“ auf folgende Arten aktivieren:
- Azure Arc-fähige Server (Nicht-Azure-Computer): Im Azure-Portal im Bereich "Änderungsnachverfolgungs- und Bestandscenter | Computer" wählen Sie Richtlinie>, Definitionstyp>, Kategorie> und Änderungsnachverfolgung und Bestandsverfolgung aus. Wählen Sie unter "Initiative" die Option " Änderungsnachverfolgung und -bestand für virtuelle Arc-fähige Computer aktivieren" aus. Um die Änderungsnachverfolgung und den Bestand im großen Maßstab zu aktivieren, verwenden Sie die deploy-if-not-exists (DINE)-richtlinienbasierte Lösung. Weitere Informationen finden Sie in der Schnellstartanleitung: Aktivieren der Azure Change Tracking and Inventory.For more information, see Quickstart: Enable Azure Change Tracking and Inventory.
- Einzelne Azure-VM: Wählen Sie im Azure-Portal den virtuellen Computer im Bereich "Virtuelle Computer" aus. Dieses Szenario steht für virtuelle Computer unter Linux oder Windows zur Verfügung.
- Einzelne und mehrere Azure-VMs: Wählen Sie im Azure-Portal die virtuellen Computer aus dem Bereich "Virtuelle Computer " aus.
Nachverfolgen von Dateiänderungen
Zum Nachverfolgen von Änderungen in Dateien unter Windows und Linux verwendet Änderungsnachverfolgung und Inventar SHA256-Hashes der Dateien. Das Feature verwendet die Hashes, um zu erkennen, ob Seit dem letzten Bestand Änderungen vorgenommen wurden.
Nachverfolgen von Dateiinhaltsänderungen
Mit der Änderungsnachverfolgung und -inventarisierung können Sie den Inhalt einer Windows- oder Linux-Datei anzeigen. Für jede Dateiänderung speichert Änderungsnachverfolgung und Bestand den Inhalt der Datei in einem Azure Storage-Konto. Wenn Sie eine Datei nachverfolgen, können Sie den Inhalt vor oder nach einer Änderung anzeigen. Sie können den Dateiinhalt entweder inline oder nebeneinander anzeigen. Weitere Informationen finden Sie im Lernprogramm: Ändern eines Arbeitsbereichs und Konfigurieren der Datensammlungsregel.
Nachverfolgen von Registrierungsschlüsseln
„Änderungsnachverfolgung und Bestand“ ermöglicht die Überwachung von Änderungen an Windows-Registrierungsschlüsseln. Wenn Sie die Überwachung verwenden, können Sie Erweiterbarkeitspunkte anheften, an denen nicht von Microsoft stammender Code und Schadsoftware aktiviert werden können. In der folgenden Tabelle sind vorkonfigurierte (aber nicht aktivierte) Registrierungsschlüssel aufgeführt. Um diese Schlüssel nachzuverfolgen, müssen Sie jeden einzeln aktivieren.
| Registrierungsschlüssel | Zweck |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Überwacht Skripts, die beim Start ausgeführt werden. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Überwacht Skripts, die beim Herunterfahren ausgeführt werden. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Überwacht Schlüssel, die geladen werden, bevor sich der Benutzer bei seinem Windows-Konto anmeldet. Der Schlüssel wird für 32-Bit-Anwendungen verwendet, die auf 64-Bit-Computern ausgeführt werden. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Überwacht Änderungen an Anwendungseinstellungen. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Überwacht Kontextmenühandler, die direkt in Windows Explorer eingebunden werden und in der Regel in einem Prozess ausgeführt werden. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Überwacht Copy-Hook-Handler, die direkt in Windows Explorer eingebunden werden und in der Regel im Prozess von explorer.exe ausgeführt werden. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Überwacht die Symboloverlayhandler-Registrierung. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Überwacht die Symboloverlayhandler-Registrierung für 32-Bit-Anwendungen, die auf 64-Bit-Computern ausgeführt werden. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Überwacht neue Browserhilfsobjekt-Plug-Ins für Internet Explorer. Wird für den Zugriff auf das Dom (Document Object Model) des aktuellen Bereichs und zum Steuern der Navigation verwendet. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Überwacht neue Browserhilfsobjekt-Plug-Ins für Internet Explorer. Wird für den Zugriff auf das DOM des aktuellen Bereichs und zum Steuern der Navigation für 32-Bit-Anwendungen verwendet, die auf 64-Bit-Computern ausgeführt werden. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Überwacht, ob neue Internet Explorer-Erweiterungen vorliegen, z.B. benutzerdefinierte Toolmenüs und benutzerdefinierte Symbolleistenschaltflächen. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Überwacht, ob neue Internet Explorer-Erweiterungen vorliegen, z. B. benutzerdefinierte Toolmenüs und benutzerdefinierte Symbolleisten-Schaltflächen für 32-Bit-Anwendungen, die auf 64-Bit-Computern ausgeführt werden. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Überwacht die mit wavemapper zugeordneten 32-Bit-Treiber, wave1 und wave2, msacm.imaadpcm, .msadpcm, .msgsm610 und vidc. Ähnlich wie der [drivers] Abschnitt in der system.ini Datei. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Überwacht die mit wavemapper zugeordneten 32-Bit-Treiber, wave1 und wave2, msacm.imaadpcm, .msadpcm, .msgsm610 und vidc für 32-Bit-Anwendungen, die auf 64-Bit-Computern ausgeführt werden. Ähnlich wie der [drivers] Abschnitt in der system.ini Datei. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Überwacht die Liste der bekannten oder häufig verwendeten System-DLL-Dateien. Überwachung verhindert, dass schwache Anwendungsverzeichnisberechtigungen durch Infiltration mit Trojanerversionen von System-DLLs ausgenutzt werden. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Überwacht die Liste der Pakete, die Ereignisbenachrichtigungen von winlogon.exe empfangen können, dem interaktiven Anmeldeunterstützungsmodell für Windows. |
Verwandte Inhalte
- Überprüfen Sie die Supportmatrix und Regionen für die Änderungsnachverfolgung und das Inventar.