次の方法で共有

重要な変更の追跡とアラートを有効にする

  • [アーティクル]

Azure Change Tracking と Inventory では、ハイブリッド環境の構成の状態およびその環境に対する変更に関するアラートが表示されます。 デプロイしたサーバーに影響する可能性がある重要なファイル、サービス、ソフトウェア、レジストリの変更を報告できます。

既定では、Azure Automation インベントリ サービスはファイルやレジストリの設定は監視しません。 このソリューションでは、監視対象として推奨されるレジストリ キーの一覧が提供されます。 この一覧を表示するには、Azure portal でお使いの Azure Automation アカウントに移動し、 [インベントリ]>[設定の編集] の順に選択します。

Azure portal の Azure Automation のインベントリ ビューのスクリーンショット

各レジストリ キーの詳細については、「レジストリ キーの変更追跡」を参照してください。 評価するキーを選択し、それを有効にします。 この設定は、現在のワークスペースで有効になっているすべての VM に適用されます。

サービスを使用して、重要なファイルの変更を追跡することもできます。 たとえば、C:\windows\system32\drivers\etc\hosts ファイルは、OS がホスト名を IP アドレスにマップするために使用されるため、これを追跡できます。 このファイルを変更すると、接続の問題が発生したり、トラフィックが危険な Web サイトにリダイレクトされたりする可能性があります。

hosts ファイルに対してファイル コンテンツの追跡を有効にするには、「ファイル コンテンツの追跡の有効化」の手順に従ってください。

追跡中のファイルに加えられた変更に対するアラートを追加することもできます。 たとえば、hosts ファイルの変更に対してアラートを設定するとします。 これを行うには、リンクされた Log Analytics ワークスペースのコマンド バーまたは [ログ検索][Log Analytics] を選択します。 Log Analytics で、次のクエリを使用して、hosts ファイルに対する変更を検索します。

ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts"

Azure portal の Log Analytics クエリ エディターのスクリーンショット

このクエリでは、パスに hosts という単語が含まれているファイルの内容に対する変更が検索されます。 パス パラメーターを変更して、特定のファイルを検索することもできます (例: FileSystemPath == "c:\\windows\\system32\\drivers\\etc\\hosts")。

クエリから結果が返されたら、 [新しいアラート ルール] を選択してアラート ルール エディターを開きます。 このエディターは、Azure portal の Azure Monitor から開くこともできます。

アラート ルール エディターで、クエリを確認し、必要に応じてアラートのロジックを変更します。 この場合、環境に含まれるいずれかのマシンで変更が検出された場合にアラートが生成されるようにします。

Azure portal の Log Analytics アラート ルール エディターのスクリーンショット

条件ロジックを設定した後に、そのアラートに対応するアクションを実行するアクション グループを割り当てることができます。 この例では、アラートが生成されると、メールが送信され、ITSM チケットが作成されます。 ほかにも多数の有用なアクションを実行できます (Azure 関数、Azure Automation Runbook、Webhook、ロジック アプリのトリガーなど)。

Azure portal でのアラート ルールの概要のサンプルを示すスクリーンショット

すべてのパラメーターとロジックを設定したら、そのアラートを環境に適用します。

追跡とアラートの例

このセクションでは、使用する場合がある追跡とアラートのその他の一般的なシナリオを次に示します。

ドライバー ファイルの変更

次のクエリを使用して、ドライバー ファイルの変更、追加、削除が行われたかどうかを検出します。 それは、重要なシステム ファイルに対する変更を追跡するのに役立ちます。

ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\\windows\\system32\\drivers\\"

特定のサービスの停止

次のクエリを使用して、システムにとって重要なサービスに対する変更を追跡します。

ConfigurationChange | where SvcState == "Stopped" and SvcName contains "w3svc"

新しいソフトウェアのインストール

ソフトウェア構成をロックダウンする必要がある環境では、次のクエリを使用します。

ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"

特定のソフトウェア バージョンがマシンにインストールされているかどうか

次のクエリを使用して、セキュリティを評価します。 このクエリで参照している ConfigurationData にはインベントリのログが含まれており、変更ではなく、最後に報告された構成の状態が提供されます。

ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"

レジストリを通じた既知の DLL の変更

既知のレジストリ キーの変更を検出するには、次のクエリを使用します。

ConfigurationChange | where RegistryKey == "HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Session Manager\\KnownDlls"

次のステップ

Azure Automation で更新スケジュールを作成して、サーバーの更新を管理する方法を確認します。

更新スケジュールの作成