Compartir a través de

Habilitar el seguimiento y las alertas de los cambios críticos

  • Artículo

Azure Change Tracking e Inventario proporciona alertas sobre el estado de configuración de su entorno híbrido y los cambios que se realizan en ese entorno. Puede notificar los cambios críticos en los archivos, los servicios, el software y el Registro que pueden afectar a los servidores implementados.

De forma predeterminada, el servicio de inventario de Azure Automation no supervisa la configuración del Registro o los archivos. La solución proporciona una lista de las claves del Registro que se recomienda supervisar. Para ver esta lista, vaya a la cuenta de Azure Automation en Azure Portal y seleccione Inventario>Editar configuración.

Captura de pantalla de la vista Inventario de Azure Automation en Azure Portal.

Para más información sobre cada una de las claves del Registro, consulte Seguimiento de cambios en las claves del Registro. Seleccione cualquier clave que desee evaluar y, a continuación, habilítela. La configuración se aplica a todas las VM que están habilitadas en el área de trabajo actual.

También puede usar el servicio para realizar un seguimiento de los cambios críticos en los archivos. Por ejemplo, puede que desee realizar el seguimiento del archivo C:\windows\system32\drivers\etc\hosts porque el sistema operativo lo usa para asignar nombres de host a direcciones IP. Los cambios en este archivo podrían provocar problemas de conectividad o redirigir el tráfico a sitios web peligrosos.

Para habilitar el seguimiento del contenido del archivo de hosts, siga los pasos descritos en Habilitación del seguimiento del contenido de los archivos.

También puede agregar una alerta para los cambios realizados en los archivos de los que está realizando el seguimiento. Por ejemplo, suponga que desea establecer una alerta para los cambios realizados en el archivo de hosts. Para hacerlo, seleccione Log Analytics en la barra de comandos o en la búsqueda de registros del área de trabajo de Log Analytics vinculada. En Log Analytics, use la siguiente consulta para buscar cambios en el archivo de hosts:

ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts"

Captura de pantalla del editor de consultas de Log Analytics en Azure Portal

Esta consulta busca cambios en el contenido de los archivos que tienen una ruta de acceso que contiene la palabra hosts. También puede buscar un archivo específico cambiando el parámetro de ruta de acceso. (Por ejemplo, FileSystemPath == "c:\\windows\\system32\\drivers\\etc\\hosts").

Después de que la consulta devuelva los resultados, seleccione Nueva regla de alertas para abrir el editor de reglas de alertas. También puede acceder a este editor mediante Azure Monitor en Azure Portal.

En el editor de reglas de alertas, revise la consulta y cambie la lógica de la alerta si es necesario. En este caso, queremos que se genere la alerta si se detectan cambios en cualquier máquina del entorno.

Captura de pantalla del editor de reglas de alertas de Log Analytics en Azure Portal

Después de establecer la lógica de la condición, puede asignar grupos de acciones para realizar acciones como respuesta a la alerta. En este ejemplo, cuando se genera la alerta, se envían mensajes de correo electrónico y se crea un vale de ITSM. Se pueden realizar muchas otras acciones útiles, como desencadenar una función de Azure, un runbook de Azure Automation, un webhook o una aplicación lógica.

Captura de pantalla del resumen de la regla de alerta de ejemplo en Azure Portal

Una vez configurados todos los parámetros y la lógica, aplique la alerta al entorno.

Ejemplos de alertas y seguimiento

En esta sección se muestran otros escenarios habituales de seguimiento y alertas que puede utilizar.

Archivo de controlador modificado

Utilice la consulta siguiente para detectar si se modifican, agregan o quitan archivos de controlador. Resulta útil para el seguimiento de cambios en archivos críticos del sistema.

ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\\windows\\system32\\drivers\\"

Servicio específico detenido

Utilice la consulta siguiente para realizar el seguimiento de los cambios en los servicios críticos del sistema.

ConfigurationChange | where SvcState == "Stopped" and SvcName contains "w3svc"

Nuevo software instalado

Utilice la consulta siguiente para entornos que necesitan bloquear configuraciones de software.

ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"

Una versión de software específica está o no está instalada en una máquina

Utilice la consulta siguiente para evaluar la seguridad. Esta consulta hace referencia a ConfigurationData, que contiene los registros del inventario e indica el último estado de configuración notificado, pero no los cambios.

ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"

Archivo DLL conocido modificado a través del Registro

Utilice la consulta siguiente para detectar los cambios en las claves del Registro conocidas.

ConfigurationChange | where RegistryKey == "HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Session Manager\\KnownDlls"

Pasos siguientes

Obtenga información acerca de cómo Azure Automation puede crear programaciones de actualizaciones para administrar las actualizaciones de los servidores.

Creación de programaciones de actualizaciones