你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 更改跟踪和清单(CTI)监视更改,并为 Azure、本地和其他云环境中的服务器提供清单日志。 本文总结了启用 Azure CTI 和跟踪更改时的支持设置和限制。 它还提供有关使用 Azure Monitor 代理的 Azure CTI 支持的区域和映射的信息。
支持矩阵
| 组件 | 应用于 |
|---|---|
| 操作系统 | Windows Linux |
| 资源类型 | Azure VM 已启用 Azure Arc 的 VM 虚拟机规模集 |
| 数据类型 | Windows 注册表 Windows 服务 Linux 守护程序 文件 软件 |
限制
下表显示了 Azure CTI 的每台计算机的跟踪项限制。
| 资源 | Limit | 备注 |
|---|---|---|
| 文件 | 500 | |
| 文件大小 | 5 兆字节 | |
| 注册表 | 250 | |
| Windows 软件 | 250 | 不包括软件更新。 |
| Linux 包 | 1,250 | |
| Windows 服务 | 250 | |
| Linux 守护程序 | 250 |
受支持的操作系统
满足 Azure Monitor 代理要求的所有作系统都支持 Azure CTI。 有关 Azure Monitor 代理目前支持的 Windows 和 Linux 操作系统版本的列表,请参阅支持的操作系统。
若要了解 TLS 的客户端要求,请参阅为 Azure 自动化使用 TLS。
递归支持
Azure CTI 支持递归,这允许指定通配符以简化跨目录的跟踪。 递归还提供了环境变量,使你能够跨具有多个或动态驱动器名称的环境跟踪文件。 以下列表包括配置递归时应了解的常用信息:
跟踪多个文件需要使用通配符。
只能在文件路径的最后一段中使用通配符,例如 c:\folder\file* 或 /etc/*.conf。
如果环境变量具有无效路径,验证会成功,但在执行过程中路径会失败。
设置路径时应避免使用通用路径名,因为此类型的设置可能会导致遍历太多文件夹。
更改跟踪和库存数据收集
下表显示了 Azure CTI 支持的更改类型的数据收集频率。 默认情况下,所有数据类型每 10 小时填充一次清单日志。 此外,如果为任何数据类型注册了更改,则会为此实例生成清单和更改日志。
| 更改类型 | 频率 |
|---|---|
| Windows 注册表 | 50 分钟 |
| Windows 文件 | 30 到 40 分钟 |
| Linux 文件 | 15 分钟 |
| Windows 服务 | 10 分钟到 30 分钟 默认值:30 分钟 |
| Windows 软件 | 30 分钟 |
| Linux 软件 | 5 分钟 |
| Linux 守护程序 | 5 分钟 |
下表显示了 Azure CTI 的每台计算机的跟踪项限制。
| 资源 | Limit |
|---|---|
| 文件 | 500 |
| 注册表 | 250 |
| Windows 软件(不包括修补程序) | 250 |
| Linux 包 | 1250 |
| Windows 服务 | 250 |
| Linux 守护程序 | 500 |
Windows 服务数据
先决条件
若要启用 Windows 服务数据的跟踪,必须升级 CT 扩展并使用大于或等于 2.11.0.0 的扩展
对于 Windows Azure VM
- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true
对于 Linux Azure 虚拟机
– az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Linux --enable-auto-upgrade true
对于已启用 Arc 的 Windows VM
– az connectedmachine extension create --name ChangeTracking-Windows --publisher Microsoft.Azure.ChangeTrackingAndInventory --type ChangeTracking-Windows --machine-name <arc-server-name> --resource-group <resource-group-name> --location <arc-server-location> --enable-auto-upgrade true
对于已启用 Arc 的 Linux VM
- az connectedmachine extension create --name ChangeTracking-Linux --publisher Microsoft.Azure.ChangeTrackingAndInventory --type ChangeTracking-Linux --machine-name <arc-server-name> --resource-group <resource-group-name> --location <arc-server-location> --enable-auto-upgrade true
配置频率
Windows 服务的默认收集频率为 30 分钟。 若要配置频率,请在 “编辑 设置”下使用 Windows 服务 选项卡上的滑块。
当前限制
使用 Azure Monitor 代理的 Azure CTI 不支持或具有以下限制:
- Windows 注册表跟踪递归
- 目前,仅支持 HKEY_LOCAL_MACHINE。 每当手动添加注册表项时,都会遇到此限制。
- 网络文件系统
- 不同的安装方法
- * Windows 上存储的 .exe 文件
- 未在当前实现中使用“最大文件大小”列和值。
- 如果要跟踪文件更改,则仅限 5 MB 或更小的文件。
- 如果文件大小 > 1.25MB,则会因校验和计算中的内存约束而导致 FileContentChecksum 不正确。
- 如果尝试在 30 分钟的收集周期中收集超过 2500 个文件,Azure CTI 性能可能会下降。
- 如果网络流量较高,更改记录可能需要最多六个小时才能显示。
- 如果在计算机或服务器关闭的情况下修改配置,则可能会发布属于以前配置的更改。
- 收集 Windows Server 2016 Core RS3 计算机上的修补程序更新。
- 即使未发生任何更改,Linux 守护程序也可能会显示已更改的状态。 发生此问题的原因在于写入 Azure Monitor
SvcRunLevels表中的 数据的方式。 - 更改跟踪扩展不支持任何 Linux 操作系统或发行版的任何强化标准。
- 更改跟踪扩展程序不支持任何 Windows 操作系统或发行版的 Microsoft Store 应用程序的库存管理。
支持有关配置状态的警报
Azure CTI 的关键功能是针对混合环境配置状态的更改发出警报。 提供了许多有用的操作以用于响应警报。 例如,对 Azure 功能、自动化 runbook、webhook 等的操作。 在计算机的 c:\windows\system32\drivers\etc\hosts 文件发生更改时发出警报,这是对“Azure CTI”数据警报的一个不错的应用。 还有更多的警报方案,包括下表中定义的查询方案。
| Query | Description |
|---|---|
| ConfigurationChange 其中 ConfigChangeType == “Files” 且 FileSystemPath 包含 “ c:\windows\system32\drivers\” |
用于跟踪对系统关键文件的更改。 |
| ConfigurationChange |其中 FieldsChanged 包含“FileContentChecksum”和 FileSystemPath == “c:\windows\system32\drivers\etc\hosts” |
用于跟踪对关键配置文件的修改。 |
| ConfigurationChange | where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped" |
用于跟踪对系统关键服务的更改。 |
| ConfigurationChange |其中 ConfigChangeType == “Daemons” 和 SvcName 包含 “ssh” 和 SvcState!= “Running” |
用于跟踪对系统关键服务的更改。 |
| ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added" |
用于需锁定软件配置的环境。 |
| ConfigurationData |其中 SoftwareName 包含“Monitoring Agent”和 CurrentVersion!= “8.0.11081.0” |
用于查看哪些计算机安装了过时的或不符合标准的软件版本。 该查询会报告最新报告的配置状态,而不报告更改。 |
| ConfigurationChange |where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
用于跟踪对重要的防病毒密钥的更改。 |
| ConfigurationChange | where RegistryKey contains @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
用于跟踪对防火墙设置的更改。 |
Azure Monitor 代理支持更改跟踪和清单的区域和映射
下表列出了支持的区域和映射:
| 地理 | 监控代理工作区所在区域 |
|---|---|
| 亚太区 | 东亚 东南亚 |
| Australia | 澳大利亚东部 澳大利亚东南部 |
| 巴西 | Brazil South |
| 加拿大 | 加拿大中部 |
| Europe | 欧洲北部 欧洲西部 |
| 法国 | 法国中部 |
| 德国 | 德国中西部 |
| India | 印度中部 |
| 意大利 | 意大利北部 |
| Japan | 日本东部 |
| 韩国 | 韩国中部 |
| 挪威 | 挪威东部 |
| 西班牙 | 西班牙中部 |
| 瑞典 | 瑞典中部 |
| 瑞士 | 瑞士北部 |
| 阿拉伯联合酋长国 | 阿拉伯联合酋长国北部 |
| 英国 | 英国南部 |
| US Gov1 | US Gov 弗吉尼亚州 US Gov 亚利桑那州 |
| 美国 | 美国东部 美国东部 2 美国西部 美国西部 2 美国中北部 美国中部 美国中南部 美国中西部 |
1 目前,仅通过 Azure 门户支持载入。
后续步骤
若要从 Azure 门户启用 Azure CTI,请参阅 快速入门:启用 Azure 更改跟踪和清单。