Freigeben über

Aktivieren von Nachverfolgung und Warnungen für kritische Änderungen

  • Artikel

Azure-Änderungsnachverfolgung und Bestand bietet Warnungen zum Konfigurationszustand Ihrer Hybridumgebung und zu Änderungen an dieser Umgebung. Es kann wichtige Änderungen an Dateien, Diensten, Software und der Registrierung melden, die sich auf Ihre bereitgestellten Server auswirken könnten.

Standardmäßig überwacht der Azure Automation-Inventarisierungsdienst keine Dateien oder Registrierungseinstellungen. Die Lösung enthält eine Liste von Registrierungsschlüsseln, die für die Überwachung empfohlen werden. Wechseln Sie zum Anzeigen dieser Liste zu Ihrem Automation-Konto im Azure-Portal, und klicken Sie auf Inventur>Einstellungen bearbeiten.

Screenshot der Bestandsansicht von Azure Automation im Azure-Portal.

Weitere Informationen zu den einzelnen Registrierungsschlüsseln finden Sie unter Änderungsnachverfolgung für Registrierungsschlüssel. Wählen Sie einen beliebigen Schlüssel zur Auswertung aus und aktivieren Sie ihn dann. Die Einstellung wird auf alle virtuellen Computer angewendet, die im aktuellen Arbeitsbereich aktiviert sind.

Sie können den Dienst auch verwenden, um wichtige Dateiänderungen zu verfolgen. Sie können z. B. die Datei C:\windows\system32\drivers\etc\hosts nachverfolgen, da das Betriebssystem damit Hostnamen und IP-Adressen zuordnet. Änderungen an dieser Datei können zu Konnektivitätsproblemen führen oder den Datenverkehr zu gefährlichen Websites umleiten.

Um das Nachverfolgen von Dateiinhalten für die Datei „hosts“ zu aktivieren, führen Sie die Schritte unter Aktivieren der Nachverfolgung von Dateiinhalten aus.

Sie können auch eine Warnung für Änderungen an Dateien hinzufügen, die Sie nachverfolgen. Sie sollten z. B. eine Warnung für Änderungen an der Datei „hosts“ festlegen. Klicken Sie dazu in der Befehlsleiste auf Log Analytics oder auf Protokollsuche für den verknüpften Log Analytics-Arbeitsbereich. Verwenden Sie in Log Analytics die folgende Abfrage, um nach Änderungen an der Datei „hosts“ zu suchen:

ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts"

Screenshot des Log Analytics-Abfrage-Editors im Azure-Portal

Diese Abfrage sucht nach Änderungen am Inhalt von Dateien, deren Pfad das Wort hosts enthält. Sie können auch nach einer bestimmten Datei suchen, indem Sie den Pfadparameter ändern. (Beispiel: FileSystemPath == "c:\\windows\\system32\\drivers\\etc\\hosts".)

Nachdem die Abfrage die Ergebnisse zurückgegeben hat, wählen Sie Neue Warnungsregel aus, um den Editor für Warnungsregeln zu öffnen. Sie können diesen Editor auch über Azure Monitor im Azure-Portal erreichen.

Überprüfen Sie die Abfrage im Editor für Warnungsregeln, und ändern Sie bei Bedarf die Warnungslogik. In diesem Fall soll die Warnung ausgelöst werden, wenn Änderungen an einem Computer in der Umgebung festgestellt werden.

Screenshot des Log Analytics-Editors für Warnungsregeln im Azure-Portal

Nachdem die Bedingungslogik festgelegt wurde, können Sie Aktionsgruppen zuweisen, um Aktionen als Reaktion auf die Warnung durchzuführen. In diesem Beispiel werden beim Auslösen der Warnung E-Mails gesendet und es wird ein ITSM-Ticket erstellt. Sie können viele andere nützliche Aktionen ausführen, z. B. das Auslösen einer Azure-Funktion, eines Azure Automation-Runbooks, eines Webhook oder einer Logik-App.

Screenshot der Zusammenfassung der Beispielwarnungsregel im Azure-Portal

Nachdem Sie alle Parameter und die Logik festgelegt haben, wenden Sie die Warnung auf die Umgebung an.

Beispiele für Nachverfolgung und Warnungen

In diesem Abschnitt werden weitere häufige Szenarien für Nachverfolgung und Warnungen vorgestellt, die Sie möglicherweise verwenden möchten.

Änderungen an der Treiberdatei

Ermitteln Sie mithilfe der folgenden Abfrage, ob Treiberdateien geändert, hinzugefügt oder entfernt wurden. Sie ist nützlich für das Nachverfolgen von Änderungen an kritischen Systemdateien.

ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\\windows\\system32\\drivers\\"

Bestimmter Dienst beendet

Verwenden Sie die folgende Abfrage, um Änderungen an für das System wichtigen Diensten zu verfolgen.

ConfigurationChange | where SvcState == "Stopped" and SvcName contains "w3svc"

Neue Software installiert

Verwenden Sie die folgende Abfrage für Umgebungen, in denen Softwarekonfigurationen gesperrt werden müssen.

ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"

Eine bestimmte Softwareversion ist auf einem Computer installiert oder nicht installiert.

Verwenden Sie die folgende Abfrage, um die Sicherheit zu bewerten. Diese Abfrage verweist auf ConfigurationData, das die Protokolle für den Bestand enthält und den letzten gemeldeten Konfigurationsstatus und keine Änderungen bereitstellt.

ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"

Bekannte DLL-Änderungen über die Registrierung

Verwenden Sie die folgende Abfrage, um Änderungen an bekannten Registrierungsschlüsseln zu erkennen.

ConfigurationChange | where RegistryKey == "HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Session Manager\\KnownDlls"

Nächste Schritte

Erfahren Sie, wie Azure Automation Zeitpläne für Updates erstellen kann, um Updates für Ihre Server zu verwalten.

Erstellen von Zeitplänen für Updates