關於 Azure 變更追蹤和清查

本文提供使用 Azure Monitor Agent（AMA）進行變更追蹤與庫存管理的概述。 本文還包括該服務的主要功能和優勢。

什麼是變更追蹤和庫存

變更追蹤和清查透過監視變更，並為 Azure、內部部署及其他雲端環境中的伺服器提供詳細的清查記錄，以強化來賓作業的稽核與治理能力。

變更追蹤

• 監控更改，包括對檔案、登錄機碼、軟體安裝以及 Windows 服務或 Linux 守護程式的修改。
  
• 提供詳細的變更日誌，記錄變更內容及時間，讓您能快速偵測設定漂移或未經授權的變更。
  變更追蹤的中繼資料會被匯入到連結的 Log Analytics 工作區中的 ConfigurationChange 資料表。 欲了解更多資訊，請參閱 ConfigurationChange。

庫存

• 收集並維護已安裝軟體、作業系統細節及其他伺服器配置的更新清單，存放於連結的 Log Analytics 工作空間中。
  
• 協助建立系統資產概觀，這對於合規性、稽核和主動維護非常有用。
  
• 將清查中繼資料匯入連線的 Log Analytics 工作區的 ConfigurationData 資料表。 欲了解更多資訊，請參閱 ConfigurationData。

Azure 變更追蹤和清查的主要優點

以下是主要優點：

• 與統一監控代理相容性：與提升安全性與可靠性的 AMA 相容，並促進多重歸巢體驗以儲存資料。
• 與追蹤工具相容：與客戶虛擬機（VM）上透過 Azure Policy 部署的變更追蹤擴充功能相容。 你可以切換到 AMA，然後變更追蹤擴充功能會把軟體、檔案和登錄檔推送到 AMA。
• 多路連接體驗：提供一個中央工作區的標準化管理。 你可以 從 Azure Monitor 日誌轉換到 AMA ，讓所有虛擬機都指向同一個工作區進行資料收集和維護。
• 規則管理：利用 資料收集規則 來配置或自訂資料收集的各個面向。 例如，您可以變更收集檔案的頻率。

有關支援作業系統的資訊，請參閱變更追蹤與庫存的 支援矩陣與區域 。

啟用 Azure 變更追蹤和清查

您可以使用下列方式啟用「變更追蹤和清查」：

• 啟用 Azure Arc 的伺服器 (非 Azure 機器)：在 Azure 門戶的 變更追蹤與庫存中心 | 機器 窗格中，選擇 原則>定義類型>類別>變更追蹤與庫存。 在 Initiative 中，選擇 啟用 Arc 支援的虛擬機器之變更追蹤與庫存。 若要大規模啟用變更追蹤和清查，請使用「在不存在時部署」(DINE) 原則型解決方案。 如需詳細資訊，請參閱 快速入門：啟用 Azure 變更追蹤和清查。
• 單一 Azure VM：在 Azure 入口網站中，從 虛擬機窗格中選擇該虛擬機。 此案例適用於 Linux 與 Windows VM。
• 單一與多個 Azure 虛擬機：在 Azure 入口網站，從 虛擬機 窗格選擇虛擬機。

追蹤檔案變更

為了同時追蹤 Windows 和 Linux 上的檔案變更，變更追蹤和清查會使用檔案的 SHA256 雜湊。 這個功能利用雜湊值來偵測自上次庫存以來是否有變動。

追蹤檔案內容變更

透過變更追蹤與清單，您可以查看 Windows 或 Linux 檔案的內容。 對於檔案的每項變更，變更追蹤和清查都會將檔案的內容儲存在 Azure 儲存體帳戶中。 當你追蹤檔案時，可以在變更前後查看其內容。 您可以選擇以內嵌方式或並排方式檢視檔案內容。 更多資訊請參閱 教學：變更工作區與設定資料收集規則。

追蹤登錄金鑰

變更追蹤和清查可讓您監視 Windows 登錄機碼的變更。 當你使用監控時，可以精確找出非 Microsoft 程式碼和惡意軟體可能啟動的可擴展點。 下表列出預先設定（但未啟用）登錄檔金鑰。 若要追蹤這些機碼，則必須啟用每個機碼。

相關內容

• 檢閱變更追蹤和清查的支援矩陣和區域。