Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera omówienie usługi Azure Change Tracking and Inventory (CTI) przy użyciu agenta usługi Azure Monitor (AMA). Ten artykuł zawiera również kluczowe funkcje i zalety usługi.
Co to jest śledzenie zmian i spis
Usługa Azure CTI rozszerza audyt i zarządzanie operacjami w maszynach gościnnych, monitorując zmiany i udostępniając szczegółowe logi inwentaryzacji serwerów na platformie Azure, lokalnie i w innych środowiskach chmurowych.
Ważne
Zalecamy używanie usługi Azure CTI z rozszerzeniem śledzenia zmian w wersji 2.20.0.0 lub nowszej.
Śledzenie zmian:
- Monitoruje zmiany, w tym modyfikacje plików, kluczy rejestru, instalacji oprogramowania i usług systemu Windows lub demonów systemu Linux.
- Zawiera szczegółowe logi pokazujące, co i kiedy zostało zmienione, umożliwiając szybkie wykrywanie odchylenia konfiguracji lub nieautoryzowanych zmian.
Metadane usługi Change Tracking zostaną załadowane do tabeli ConfigurationChange w połączonym obszarze roboczym LA. Dowiedz się więcej.
Uwaga / Notatka
Dane usługi Azure CTI są rejestrowane zarówno dla aplikacji na poziomie systemu, jak i na poziomie użytkownika. Dane na poziomie systemu są zawsze rejestrowane, ale aplikacje na poziomie użytkownika są wyświetlane tylko wtedy, gdy użytkownik zaloguje się do maszyny; jeśli użytkownik wyloguje się, te aplikacje są oznaczone jako Usunięte.
Inwentaryzacja:
- Zbiera i utrzymuje zaktualizowaną listę zainstalowanego oprogramowania, szczegółów systemu operacyjnego i innych konfiguracji serwera w połączonym obszarze roboczym LA.
- Ułatwia utworzenie przeglądu zasobów systemowych, które są przydatne w przypadku zgodności, inspekcji i proaktywnej konserwacji.
- Metadane inwentaryzacji zostaną zaimportowane do tabeli ConfigurationData w połączonym obszarze roboczym LA. Dowiedz się więcej.
Najważniejsze korzyści wynikające z usługi Azure Change Tracking i Inventory
Oto najważniejsze korzyści:
- Zgodność z ujednoliconym agentem monitorowania — zgodny z agentem usługi Azure Monitor , który zwiększa bezpieczeństwo, niezawodność i ułatwia przechowywanie danych w wielu hostach.
- Zgodność z narzędziem do śledzenia — zgodne z rozszerzeniem Change Tracking (CT) wdrożonym za pośrednictwem usługi Azure Policy na maszynie wirtualnej klienta. Możesz przełączyć się na usługę AMA, a następnie rozszerzenie CT wypycha oprogramowanie, pliki i rejestr do usługi AMA.
- Doświadczenie wielodostępne — zapewnia standaryzację zarządzania z jednego centralnego obszaru roboczego. Możesz przejść z usługi Log Analytics (LA) do usługi AMA , aby wszystkie maszyny wirtualne wskazywały jeden obszar roboczy na potrzeby zbierania i konserwacji danych.
- Zarządzanie regułami — używa reguł zbierania danych do konfigurowania lub dostosowywania różnych aspektów zbierania danych. Można na przykład zmienić częstotliwość zbierania plików.
Aby uzyskać informacje na temat obsługiwanych systemów operacyjnych, zobacz temat macierz wsparcia i regiony dla Azure CTI.
Włącz Azure Śledzenie zmian i Inwentaryzację
Interfejs Azure CTI można włączyć na następujące sposoby:
W przypadku serwerów z obsługą usługi Azure Arc (maszyn spoza platformy Azure) zapoznaj się z inicjatywą Włączanie śledzenia zmian i inwentaryzacji dla maszyn wirtualnych z obsługą usługi Azure Arc w >. Aby włączyć usługę Azure CTI na dużą skalę, użyj rozwiązania opartego na zasadach DINE . Aby uzyskać więcej informacji, zobacz Szybki start — Włączanie Azure Change Tracking i Inventory.
W przypadku pojedynczej maszyny wirtualnej platformy Azure z okienka Maszyna wirtualna w witrynie Azure Portal. Ten scenariusz jest dostępny dla maszyn wirtualnych z systemami Linux i Windows.
W przypadku jednej i wielu maszyn wirtualnych platformy Azure , wybierając je w okienku Maszyny wirtualne w witrynie Azure Portal.
Śledzenie zmian plików
W celu śledzenia zmian w plikach w systemach Windows i Linux usługa Azure CTI używa skrótów SHA256 plików. Funkcja używa skrótów, aby wykryć, czy zmiany zostały wprowadzone od ostatniego spisu.
Śledzenie zmian zawartości pliku
Usługa Azure CTI umożliwia wyświetlanie zawartości pliku systemu Windows lub Linux. Dla każdej zmiany pliku usługa Azure CTI przechowuje zawartość pliku na koncie usługi Azure Storage. Podczas śledzenia pliku możesz wyświetlić jego zawartość przed zmianą lub po jej zmianie. Zawartość pliku można wyświetlić liniowo lub obok siebie. Dowiedz się więcej.
Śledzenie kluczy rejestru
Usługa Azure CTI umożliwia monitorowanie zmian w kluczach rejestru systemu Windows. Monitorowanie umożliwia wskazanie punktów rozszerzalności, w których można aktywować kod innej firmy i złośliwe oprogramowanie. W poniższej tabeli wymieniono wstępnie skonfigurowane (ale nie włączone) klucze rejestru. Aby śledzić te klucze, należy włączyć każdy z nich.
| Klucz rejestru | Przeznaczenie |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Monitoruje skrypty uruchamiane podczas uruchamiania. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Monitoruje skrypty uruchamiane podczas zamykania. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Monitoruje klucze ładowane przed zalogowaniem użytkownika do konta systemu Windows. Klucz jest używany dla aplikacji 32-bitowych działających na komputerach 64-bitowych. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Monitoruje zmiany ustawień aplikacji. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Monitoruje programy obsługi menu kontekstowego, które są przyłączane bezpośrednio do Eksploratora Windows i zwykle są uruchamiane podczas przetwarzania za pomocą explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Monitoruje programy obsługi typu copy hook, które są bezpośrednio podłączane do Eksploratora Windows i zwykle działają w tym samym procesie co explorer.exe. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitoruje rejestrację obsługi nakładki ikony. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Nadzorowanie rejestracji obsługi nakładki ikon dla aplikacji 32-bitowych działających na komputerach o architekturze 64-bitowej. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitoruje nowe wtyczki obiektów pomocniczych przeglądarki dla programu Internet Explorer. Służy do uzyskiwania dostępu do modelu obiektów dokumentów (DOM) bieżącego okienka i sterowania nawigacją. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitoruje nowe wtyczki obiektów pomocniczych przeglądarki dla programu Internet Explorer. Służy do uzyskiwania dostępu do modelu obiektów dokumentów (DOM) bieżącego okienka i kontrolowania nawigacji dla aplikacji 32-bitowych działających na komputerach 64-bitowych. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Monitory dla nowych rozszerzeń programu Internet Explorer, takich jak niestandardowe menu narzędzi i niestandardowe przyciski paska narzędzi. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Monitory dla nowych rozszerzeń programu Internet Explorer, takich jak niestandardowe menu narzędzi i niestandardowe przyciski paska narzędzi dla aplikacji 32-bitowych działających na komputerach 64-bitowych. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitoruje sterowniki 32-bitowe skojarzone z wavemapper, wave1 i wave2, msacm.imaadpcm, msadpcm, msgsm610 oraz vidc. Podobnie jak w sekcji [sterowniki] w pliku system.ini . |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitoruje sterowniki 32-bitowe skojarzone z wavemapper, wave1 i wave2, msacm.imaadpcm, msadpcm, msgsm610 i vidc dla aplikacji 32-bitowych działających na komputerach 64-bitowych. Podobnie jak w sekcji [sterowniki] w pliku system.ini . |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Monitoruje listę znanych lub często używanych bibliotek DLL systemu. Monitorowanie zapobiega wykorzystywaniu słabych uprawnień katalogu aplikacji przez umieszczanie wersji bibliotek DLL typu koń trojański. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Monitoruje listę pakietów, które mogą odbierać powiadomienia o zdarzeniach z winlogon.exe, modelu obsługi logowania interakcyjnego dla systemu Windows. |
Dalsze kroki
Zapoznaj się z macierzą obsługi i regionami dla usługi Azure CTI.