Azure monitoring Agent kullanarak değişiklik izleme ve envantere genel bakış
Önemli
- Log Analytics aracısının kullanıldığı Değişiklik İzleme ve Envanter 31 Ağustos 2024 tarihinde kullanımdan kaldırılmıştır ve 01 Şubat 2025'e kadar sınırlı destek üzerinde çalışacaktır. Log Analytics kullanarak Değişiklik İzleme ve envanterden Azure monitoring Agent sürümünü kullanarak Değişiklik İzleme ve envantere geçiş yönergelerini izleyin
- Bu hizmetin GA sürümüne erişmek için değişiklik izleme uzantısı sürüm 2.20.0.0 (veya üzeri) ile Azure monitoring Agent ile Değişiklik İzleme kullanmanızı öneririz.
Bu makalede, veri toplama için tekil bir aracı olarak Azure monitoring Agent'ın kullanıldığı değişiklik izleme desteğinin en son sürümü açıklanmaktadır.
Not
Uç Nokta için Microsoft Defender (MDE) kullanan Dosya Bütünlüğünü İzleme (FIM) şu anda kullanılabilir. FIM'i AMA veya LA ile yapılandırdıysanız, aşağıdakilerden geçiş yapmak için yönergeleri izleyin:
- AMA kullanan Değişiklik İzleme ve Envanter ile FIM.
- MMA kullanan Değişiklik İzleme ve Envanter ile FIM.
Değişiklik İzleme ve Envanter nedir?
Azure Değişiklik İzleme & Inventory hizmeti, değişiklikleri izleyerek ve Azure, şirket içi ve diğer bulut ortamlarındaki sunucular için ayrıntılı envanter günlükleri sağlayarak konuk içi işlemler için denetimi ve idareyi geliştirir.
Değişiklik İzleme
a. Dosyalarda, kayıt defteri anahtarlarında, yazılım yüklemelerinde ve Windows hizmetlerinde veya Linux daemon'larında yapılan değişiklikler dahil olmak üzere değişiklikleri izler.
b. Değişikliklerin ne zaman ve ne zaman yapıldığına, bunları kimin yaptığına ilişkin ayrıntılı günlükler sağlayarak yapılandırma kaymalarını veya yetkisiz değişiklikleri hızla algılamanızı sağlar.Stok
a. B bağlantılı LA çalışma alanında
yüklü yazılımların, işletim sistemi ayrıntılarının ve diğer sunucu yapılandırmalarının güncelleştirilmiş listesini toplar ve korur. Uyumluluk, denetimler ve proaktif bakım için yararlı olan sistem varlıklarına genel bir bakış oluşturmaya yardımcı olur.
Destek matrisi
| Bileşen | Şunlar için geçerlidir: |
|---|---|
| İşletim sistemleri | Windows Linux |
| Kaynak türleri | Azure VM'leri Azure Arc özellikli VM'ler Sanal makineler ölçek kümesi |
| Veri türleri | Windows kayıt defteri Windows hizmetleri Linux Daemons |
| Dosyalar | Windows Linux |
Temel avantajlar
- Birleşik izleme aracısı ile uyumluluk - Güvenliği, güvenilirliği artıran ve verileri depolamak için çok girişli deneyimi kolaylaştıran Azure İzleyici Aracısı ile uyumludur.
- İzleme aracıyla uyumluluk- İstemcinin sanal makinesindeki Azure İlkesi aracılığıyla dağıtılan Değişiklik izleme (CT) uzantısıyla uyumludur. Azure İzleyici Aracısı'na (AMA) geçmeyi seçerseniz CT uzantısı yazılımı, dosyaları ve kayıt defterini AMA'ya gönderir.
- Çoklu giriş deneyimi – Tek bir merkezi çalışma alanından yönetimin standartlaştırılmasını sağlar. Tüm VM'lerin veri toplama ve bakım için tek bir çalışma alanına işaret edebilmesi için Log Analytics'ten (LA) AMA'ya geçiş yapabilirsiniz.
- Kural yönetimi– Veri toplamanın çeşitli yönlerini yapılandırmak veya özelleştirmek için Veri Toplama Kurallarını kullanır. Örneğin, dosya toplama sıklığını değiştirebilirsiniz.
Sınırlar
Aşağıdaki tabloda, değişiklik izleme ve stok için makine başına izlenen öğe sınırları gösterilmektedir.
| Kaynak | Sınırla | Notlar |
|---|---|---|
| Dosya | 500 | |
| Dosya boyutu | 5 MB | |
| Kayıt Defteri | 250 | |
| Windows yazılımı | 250 | Yazılım güncelleştirmelerini içermez. |
| Linux paketleri | 1,250 | |
| Windows Hizmetleri | 250 | |
| Linux Daemon'ları | 250 |
Desteklenen işletim sistemleri
Değişiklik İzleme ve Envanter, Azure İzleyici aracısının gereksinimlerini karşılayan tüm işletim sistemlerinde desteklenir. Şu anda Azure İzleyici aracısı tarafından desteklenen Windows ve Linux işletim sistemi sürümlerinin listesi için desteklenen işletim sistemlerine bakın.
TLS için istemci gereksinimlerini anlamak için bkz. Azure Otomasyonu için TLS.
Değişiklik İzleme ve Stok özelliğini etkinleştirme
Değişiklik İzleme ve Envanter aşağıdaki yollarla etkinleştirebilirsiniz:
Azure Arc özellikli olmayan makineler için el ile İlke Tanımları > Seçme Kategorisi = ChangeTrackingAndInventory bölümünde > Arc özellikli sanal makineler için Girişim Etkinleştirme Değişiklik İzleme ve Envanter bakın. Değişiklik İzleme ve Envanter uygun ölçekte etkinleştirmek için DINE İlkesi tabanlı çözümü kullanın. Daha fazla bilgi için bkz. Azure monitoring Agent kullanarak Değişiklik İzleme ve Envanter etkinleştirme (Önizleme).
Azure portalındaki Sanal makine sayfasından tek bir Azure VM için. Bu senaryo Linux ve Windows VM'leri için kullanılabilir.
Azure portalındaki Sanal makineler sayfasından seçerek birden çok Azure VM için.
Dosya değişikliklerini izleme
hem Windows hem de Linux'taki dosyalarda yapılan değişiklikleri izlemek için Değişiklik İzleme ve Envanter dosyaların SHA256 karmalarını kullanır. Özellik, son envanterden bu yana değişiklik yapılıp yapılmadığını algılamak için karmaları kullanır.
Dosya içeriği değişikliklerini izleme
Değişiklik İzleme ve Envanter bir Windows veya Linux dosyasının içeriğini görüntülemenizi sağlar. Bir dosyada yapılan her değişiklik için Değişiklik İzleme ve Envanter dosyanın içeriğini bir Azure Depolama hesabında depolar. Bir dosyayı takip ederken, dosyanın içeriğini değişiklik öncesinde veya sonrasında görüntüleyebilirsiniz. Dosya içeriği satır içinde veya yan yana görüntülenebilir. Daha fazla bilgi edinin.
Kayıt defteri anahtarlarını izleme
Değişiklik İzleme ve Envanter, Windows kayıt defteri anahtarlarına yapılan değişikliklerin izlenmesine olanak tanır. İzleme, üçüncü taraf kodun ve kötü amaçlı yazılımların etkinleştirebileceği genişletilebilirlik noktalarını tespit etmenizi sağlar. Aşağıdaki tabloda önceden yapılandırılmış (ancak etkinleştirilmemiş) kayıt defteri anahtarları listeleniyor. Bu anahtarları izlemek için her birini etkinleştirmeniz gerekir.
| Kayıt Defteri Anahtarı | Purpose |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Başlangıçta çalışan betikleri izler. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Kapatma sırasında çalışan betikleri izler. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Kullanıcı Windows hesabında oturum açmadan önce yüklenen anahtarları izler. Anahtar, 64 bit bilgisayarlarda çalışan 32 bit uygulamalar için kullanılır. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Uygulama ayarlarında yapılan değişiklikleri izler. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Doğrudan Windows Gezgini'ne bağlı olan ve genellikle explorer.exe ile işlem içinde çalışan bağlam menüsü işleyicilerini izler. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Doğrudan Windows Gezgini'ne takılan ve genellikle explorer.exe ile işlem içinde çalışan kopyalama kancası işleyicilerini izler. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Simge katman işleyicisi kaydını izler. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
64 bit bilgisayarlarda çalışan 32 bit uygulamalar için simge katman işleyicisi kaydını izler. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Internet Explorer için yeni tarayıcı yardımcı nesne eklentilerini izler. Geçerli sayfanın Belge Nesne Modeli'ne (DOM) erişmek ve gezintiyi denetlemek için kullanılır. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Internet Explorer için yeni tarayıcı yardımcı nesne eklentilerini izler. Geçerli sayfanın Belge Nesne Modeli'ne (DOM) erişmek ve 64 bit bilgisayarlarda çalışan 32 bit uygulamaların gezintisini denetlemek için kullanılır. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Özel araç menüleri ve özel araç çubuğu düğmeleri gibi yeni Internet Explorer uzantılarını izler. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
64 bit bilgisayarlarda çalışan 32 bit uygulamalar için özel araç menüleri ve özel araç çubuğu düğmeleri gibi yeni Internet Explorer uzantılarını izler. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Wavemapper, wave1 ve wave2, msacm.imaadpcm, .msadpcm, .msgsm610 ve vidc ile ilişkili 32 bit sürücüleri izler. system.ini dosyasındaki [drivers] bölümüne benzer. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
64 bit bilgisayarlarda çalışan 32 bit uygulamalar için wavemapper, wave1 ve wave2, msacm.imaadpcm, .msadpcm, .msgsm610 ve vidc ile ilişkili 32 bit sürücüleri izler. system.ini dosyasındaki [drivers] bölümüne benzer. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Bilinen veya yaygın olarak kullanılan sistem DLL'lerinin listesini izler. İzleme, sistem DLL'lerinin Truva atı sürümlerini bırakarak kişilerin zayıf uygulama dizini izinlerinden yararlanmasını önler. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Windows için etkileşimli oturum açma destek modeli winlogon.exe olay bildirimleri alabilen paketlerin listesini izler. |
Özyineleme desteği
Değişiklik İzleme ve Envanter, dizinler arasında izlemeyi basitleştirmek için joker karakterler belirtmenize olanak tanıyan özyineleme desteği sunar. Özyineleme, birden çok veya dinamik sürücü adıyla ortamlar arasında dosyaları izlemenize olanak sağlayan ortam değişkenleri de sağlar. Aşağıdaki liste özyineleme yapılandırırken bilmeniz gereken yaygın bilgileri içerir:
Birden çok dosyayı izlemek için joker karakterler gereklidir.
Joker karakterleri yalnızca bir dosya yolunun son kesiminde kullanabilirsiniz; örneğin, c:\folder\file* veya /etc/*.conf.
Ortam değişkeninin yolu geçersizse doğrulama başarılı olur ancak yürütme sırasında yol başarısız olur.
Yolu ayarlarken genel yol adlarından kaçınmanız gerekir, çünkü bu tür bir ayar çok fazla klasöre geçilmesine neden olabilir.
Değişiklik İzleme ve Envanter veri toplama
Sonraki tabloda, Değişiklik İzleme ve Envanter tarafından desteklenen değişiklik türleri için veri toplama sıklığı gösterilir. Envanter günlükleri tüm veri türleri için varsayılan olarak her 10 saatte bir doldurulur. Ayrıca, veri türlerinden herhangi biri için kaydedilmiş bir değişiklik olduğunda, bu örnek için envanter ve değişiklik günlükleri oluşturulur.
| Değişiklik Türü | Sıklık |
|---|---|
| Windows kayıt defteri | 50 dakika |
| Windows dosyası | 30 - 40 dakika |
| Linux dosyası | 15 dakika |
| Windows hizmetleri | 10 dakika ile 30 dakika arasındadır Varsayılan: 30 dakika |
| Windows yazılımı | 30 dakika |
| Linux yazılımı | 5 dakika |
| Linux Daemon'ları | 5 dakika |
Aşağıdaki tabloda, Değişiklik İzleme ve Envanter için makine başına izlenen öğe sınırları gösterilmektedir.
| Kaynak | Sınırla |
|---|---|
| Dosya | 500 |
| Kayıt Defteri | 250 |
| Windows yazılımı (düzeltmeler dahil değildir) | 250 |
| Linux paketleri | 1250 |
| Windows Hizmetleri | 250 |
| Linux Daemon'ları | 500 |
Windows hizmetleri verileri
Önkoşullar
Windows Hizmetleri verilerinin izlenmesini etkinleştirmek için CT uzantısını yükseltmeniz ve uzantıyı 2.11.0.0'dan daha büyük veya buna eşit kullanmanız gerekir
- Windows Azure VM'leri için
- Linux Azure VM'leri için
- Arc özellikli Windows VM'leri için
- Arc özellikli Linux VM'leri için
- az vm extension set --publisher Microsoft.Azure.ChangeTrackingAndInventory --version 2.11.0 --ids /subscriptions/<subscriptionids>/resourceGroups/<resourcegroupname>/providers/Microsoft.Compute/virtualMachines/<vmname> --name ChangeTracking-Windows --enable-auto-upgrade true
Sıklığı yapılandırma
Windows hizmetleri için varsayılan toplama sıklığı 30 dakikadır. Sıklığı yapılandırmak için
- Ayarları Düzenle'nin altında, Windows hizmetleri sekmesinde bir kaydırıcı kullanın.
Geçerli sınırlamalar
Değişiklik İzleme ve Envanter Azure monitoring Agent'ın kullanılması aşağıdaki sınırlamaları desteklemez veya bu sınırlamalara sahiptir:
- Windows kayıt defteri izleme için özyineleme
- Ağ dosya sistemleri
- Farklı yükleme yöntemleri
- *Windows'ta depolanan dosyaları .exe
- En Büyük Dosya Boyutu sütunu ve değerleri geçerli uygulamada kullanılmaz.
- Dosya değişikliklerini izliyorsanız, dosya boyutu 5 MB veya daha azdır.
- Dosya boyutu 1,25 MB olarak görünüyorsa >, sağlama toplamı hesaplamasında bellek kısıtlamaları nedeniyle FileContentChecksum yanlıştır.
- 30 dakikalık koleksiyon döngüsünde 2500'den fazla dosya toplamaya çalışırsanız Değişiklik İzleme ve Envanter performansı düşebilir.
- Ağ trafiği yüksekse, değişiklik kayıtlarının görüntülenmesi altı saate kadar sürebilir.
- Bir makine veya sunucu kapatılırken yapılandırmayı değiştirirseniz, önceki yapılandırmaya ait değişiklikleri gönderebilir.
- Windows Server 2016 Core RS3 makinelerinde Düzeltme güncelleştirmelerini toplama.
- Linux daemon'ları hiçbir değişiklik gerçekleşmemiş olsa bile değiştirilmiş bir durum gösterebilir. Bu sorun, Azure İzleyici ConfigurationChange tablosundaki
SvcRunLevelsverilerin nasıl yazıldığından kaynaklanır. - Değişiklik İzleme uzantısı, linux işletim sistemleri veya Dağıtımlar için sağlamlaştırma standartlarını desteklemez.
Yapılandırma durumuyla ilgili uyarılar için destek
Değişiklik İzleme ve Envanter önemli bir özelliği, karma ortamınızın yapılandırma durumundaki değişiklikler hakkında uyarı vermektir. Uyarılara yanıt olarak tetiklenebilecek birçok yararlı eylem vardır. Örneğin, Azure işlevleri, Otomasyon runbook'ları, web kancaları ve benzeri eylemler. Bir makine için c:\windows\system32\drivers\etc\hosts dosyasında yapılan değişikliklerle ilgili uyarı vermek, Değişiklik İzleme ve Envanter veriler için uyarıların iyi bir uygulamasıdır. Sonraki tabloda tanımlanan sorgu senaryoları da dahil olmak üzere, uyarı için birçok senaryo daha vardır.
| Sorgu | Açıklama |
|---|---|
| ConfigurationChange | burada ConfigChangeType == "Dosyalar" ve FileSystemPath " c:\windows\system32\drivers\" içerir |
Sistem açısından kritik dosyalarda yapılan değişiklikleri izlemek için kullanışlıdır. |
| ConfigurationChange | Burada FieldsChanged "FileContentChecksum" ve FileSystemPath == "c:\windows\system32\drivers\etc\hosts" içerir |
Anahtar yapılandırma dosyalarında yapılan değişiklikleri izlemek için kullanışlıdır. |
| ConfigurationChange | where ConfigChangeType == "WindowsServices" and SvcName contains "w3svc" and SvcState == "Stopped" |
Sistem açısından kritik hizmetlerde yapılan değişiklikleri izlemek için kullanışlıdır. |
| ConfigurationChange | where ConfigChangeType == "Daemons" and SvcName contains "ssh" and SvcState!= "Running" |
Sistem açısından kritik hizmetlerde yapılan değişiklikleri izlemek için kullanışlıdır. |
| ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added" |
Kilitli yazılım yapılandırmaları gerektiren ortamlar için kullanışlıdır. |
| ConfigurationData | burada SoftwareName "Monitoring Agent" ve CurrentVersion!= "8.0.11081.0" içerir |
Hangi makinelerin eski veya uyumsuz yazılım sürümünün yüklü olduğunu görmek için kullanışlıdır. Bu sorgu bildirilen son yapılandırma durumunu bildirir, ancak değişiklikleri raporlamaz. |
| ConfigurationChange | where RegistryKey == @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
Önemli virüsten koruma anahtarlarına yapılan değişiklikleri izlemek için kullanışlıdır. |
| ConfigurationChange | burada RegistryKey içerir @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
Güvenlik duvarı ayarlarında yapılan değişiklikleri izlemek için kullanışlıdır. |
Sonraki adımlar
- Azure portalından etkinleştirmek için bkz. Azure portalından Değişiklik İzleme ve Envanter etkinleştirme.