你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文概述了使用 Azure Monitor 代理 (AMA) 的 Azure 更改跟踪和清单 (CTI)。 本文还包括服务的主要功能和优势。
什么是变更跟踪和库存
通过监视更改并为 Azure、本地和其他云环境中的服务器提供详细的清单日志,Azure CTI 服务可增强来宾操作的审核和治理。
重要
建议将 Azure CTI 与更改跟踪扩展版本 2.20.0.0 或更高版本配合使用。
更改跟踪:
- 监视更改,包括对文件、注册表项、软件安装和 Windows 服务或 Linux 守护程序的修改。
- 提供有关更改内容和更改时间的详细日志,使你能够快速检测配置偏移或未经授权的更改。
系统会将更改跟踪元数据导入到连接的 LA 工作区的 ConfigurationChange 表中
。 了解详细信息。
注释
系统级别和用户级应用程序都记录了 Azure CTI 数据。 系统级数据始终记录,但用户级应用程序仅在用户登录到计算机时显示;如果用户注销,则这些应用程序将被标记为 “已删除”。
库存:
- 收集和维护链接的 LA 工作区中已安装软件、操作系统详细信息和其他服务器配置的更新列表。
- 帮助创建系统资产的概述,这对于合规性、审核和主动维护非常有用。
- 清单元数据将引入连接的 LA 工作区中的 ConfigurationData 表。 了解详细信息。
Azure 更改跟踪和清单的主要优势
以下是主要优势:
- 与统一监视代理 兼容 - 与 Azure Monitor 代理 兼容,该代理增强了安全性、可靠性,并有助于存储数据的多宿主体验。
- 与跟踪工具的兼容性 - 与通过客户端虚拟机上的 Azure Policy 部署的更改跟踪(CT)扩展兼容。 可以切换到 AMA,然后 CT 扩展将软件、文件和注册表推送到 AMA。
- 多宿主体验 – 从一个中心工作区提供标准化管理。 可以从 Log Analytics (LA) 转换到 AMA,使所有 VM 指向单个工作区以收集和维护数据。
- 规则管理 – 使用数据收集规则来配置或自定义数据收集的各个方面。 例如,可以更改文件收集频率。
有关支持的作系统的信息,请参阅 Azure CTI 的支持矩阵和区域 。
启用 Azure 更改跟踪和清单
可以通过以下方式启用 Azure CTI:
对于已启用 Azure Arc 的服务器(非 Azure 计算机),请参阅的计划>。 若要大规模启用 Azure CTI,请使用基于 DINE 策略 的解决方案。 有关详细信息,请参阅 快速入门 - 启用 Azure 更改跟踪和清单。
对于单个 Azure VM,通过 Azure 门户中的虚拟机页启用。 此方案适用于 Linux 和 Windows VM。
对于单个和多个 Azure VM,从 Azure 门户的“虚拟机”页中选择它们进行启用。
跟踪文件更改
为了跟踪 Windows 和 Linux 上的文件更改,Azure CTI 使用文件的 SHA256 哈希。 此功能使用哈希算法来检测自上次清点后是否进行了更改。
跟踪文件内容更改
使用 Azure CTI 可以查看 Windows 或 Linux 文件的内容。 对于对文件的每个更改,Azure CTI 会将文件的内容存储在 Azure 存储帐户中。 跟踪文件时,可以在更改前后查看其内容。 可以内联查看文件内容,也可以并排查看。 了解详细信息。
跟踪注册表项
Azure CTI 允许监视对 Windows 注册表项的更改。 此监视操作可以确定第三方代码和恶意软件可以激活的扩展点。 下表列出了预配置(但未启用)的注册表项。 若要跟踪这些注册表项,必须将它们都启用。
| 注册表项 | 目的 |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
监视启动时运行的脚本。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
监视关机时运行的脚本。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
监视用户登录 Windows 帐户之前加载的注册表项。 该注册表项用于在 64 位计算机上运行的 32 位应用程序。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
监视应用程序设置的更改。 |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
监视上下文菜单处理程序,这些处理程序直接与 Windows 资源管理器挂钩,并且通常使用 Explorer.exe 在进程内运行。 |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
监视副本挂钩处理程序,这些处理程序直接与 Windows 资源管理器挂钩,并且通常使用 Explorer.exe 在进程内运行。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
监视图标覆盖处理程序注册。 |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
监视在 64 位计算机上运行的 32 位应用程序的图标覆盖处理程序注册。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
监视 Internet Explorer 的新浏览器帮助程序对象插件。 用于访问当前窗格的文档对象模型(DOM),以及控制导航。 |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
监视 Internet Explorer 的新浏览器帮助程序对象插件。 用于访问当前窗格的文档对象模型(DOM),并控制在 64 位计算机上运行的 32 位应用程序的导航。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
监视新的 Internet Explorer 扩展,如自定义工具菜单和自定义工具栏按钮。 |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
对于在 64 位计算机上运行的 32 位应用程序,监视新的 Internet Explorer 扩展,如自定义工具菜单和自定义工具栏按钮。 |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
监视与 wavemapper、wave1 和 wave2、msacm.imaadpcm、.msadpcm、.msgsm610 和 vidc 关联的 32 位驱动程序。 类似于 system.ini 文件中的 [drivers] 部分。 |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
对于在 64 位计算机上运行的 32 位应用程序,监视与 wavemapper、wave1 和 wave2、msacm.imaadpcm、.msadpcm、.msgsm610 和 vidc 关联的 32 位驱动程序。 类似于 system.ini 文件中的 [drivers] 部分。 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
监视已知或常用的系统 DLL 列表。 监视可以通过删除特洛伊木马版本的系统 DLL 来防止人们利用弱应用程序目录权限。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
监视可从 winlogon.exe(适用于 Windows 的交互式登录支持模型)接收事件通知的包列表。 |
后续步骤
查看 Azure CTI 的支持矩阵和区域 。