Udostępnij za pośrednictwem

Włączanie śledzenia i zgłaszania alertów dotyczących krytycznych zmian

  • Artykuł

Usługa Azure Śledzenie zmian i spis dostarcza alerty dotyczące stanu konfiguracji środowiska hybrydowego i zmian w tym środowisku. Może zgłaszać krytyczne zmiany plików, usług, oprogramowania i rejestru, które mogą mieć wpływ na wdrożone serwery.

Domyślnie usługa spisu Azure Automation nie monitoruje plików ani ustawień rejestru. Rozwiązanie udostępnia listę kluczy rejestru, które zalecamy do monitorowania. Aby wyświetlić tę listę, przejdź do konta Azure Automation w Azure Portal, a następnie wybierz pozycjęUstawienia edycjispisu>.

Zrzut ekranu przedstawiający widok spisu Azure Automation w Azure Portal.

Aby uzyskać więcej informacji na temat każdego klucza rejestru, zobacz Śledzenie zmian klucza rejestru. Wybierz dowolny klucz do oceny, a następnie włącz go. To ustawienie jest stosowane do wszystkich maszyn wirtualnych, które są włączone w bieżącym obszarze roboczym.

Możesz również użyć usługi do śledzenia krytycznych zmian plików. Możesz na przykład śledzić C:\windows\system32\drivers\etc\hosts plik, ponieważ system operacyjny używa go do mapowania nazw hostów na adresy IP. Zmiany w tym pliku mogą powodować problemy z łącznością lub przekierowywać ruch do niebezpiecznych witryn internetowych.

Aby włączyć śledzenie zawartości plików dla pliku hosts, wykonaj kroki opisane w temacie Włączanie śledzenia zawartości plików.

Możesz również dodać alert dotyczący zmian w plikach, które śledzisz. Możesz na przykład ustawić alert dotyczący zmian w pliku hosts. W tym celu wybierz pozycję Log Analytics na pasku poleceń lub wyszukaj dzienniki połączonego obszaru roboczego usługi Log Analytics. W usłudze Log Analytics użyj następującego zapytania, aby wyszukać zmiany w pliku hosts:

ConfigurationChange | where FieldsChanged contains "FileContentChecksum" and FileSystemPath contains "hosts"

Zrzut ekranu edytora zapytań usługi Log Analytics w Azure Portal

To zapytanie wyszukuje zmiany w zawartości plików, które mają ścieżkę zawierającą wyraz hosts. Możesz również wyszukać określony plik, zmieniając parametr ścieżki. (Na przykład: FileSystemPath == "c:\\windows\\system32\\drivers\\etc\\hosts").

Gdy zapytanie zwróci wyniki, wybierz pozycję Nowa reguła alertu , aby otworzyć edytor reguł alertów. Możesz również przejść do tego edytora za pośrednictwem usługi Azure Monitor w Azure Portal.

W edytorze reguł alertów przejrzyj zapytanie i w razie potrzeby zmień logikę alertu. W takim przypadku chcemy, aby alert został zgłoszony, jeśli jakiekolwiek zmiany zostaną wykryte na dowolnej maszynie w środowisku.

Zrzut ekranu edytora reguł alertów usługi Log Analytics w Azure Portal

Po ustawieniu logiki warunku można przypisać grupy akcji do wykonywania akcji w odpowiedzi na alert. W tym przykładzie po wyświetleniu alertu są wysyłane wiadomości e-mail i tworzony jest bilet ITSM. Możesz wykonać wiele innych przydatnych akcji, takich jak wyzwalanie funkcji platformy Azure, Azure Automation elementu Runbook, elementu webhook lub aplikacji logiki.

Zrzut ekranu przedstawiający podsumowanie przykładowej reguły alertu w Azure Portal

Po ustawieniu wszystkich parametrów i logiki zastosuj alert do środowiska.

Przykłady śledzenia i zgłaszania alertów

W tej sekcji przedstawiono inne typowe scenariusze śledzenia i zgłaszania alertów, których warto użyć.

Plik sterownika został zmieniony

Użyj następującego zapytania, aby wykryć, czy pliki sterowników są zmieniane, dodawane lub usuwane. Jest to przydatne do śledzenia zmian w krytycznych plikach systemowych.

ConfigurationChange | where ConfigChangeType == "Files" and FileSystemPath contains " c:\\windows\\system32\\drivers\\"

Określona usługa została zatrzymana

Użyj następującego zapytania, aby śledzić zmiany w usługach krytycznych dla systemu.

ConfigurationChange | where SvcState == "Stopped" and SvcName contains "w3svc"

Zainstalowane nowe oprogramowanie

Użyj następującego zapytania dla środowisk, które muszą blokować konfiguracje oprogramowania.

ConfigurationChange | where ConfigChangeType == "Software" and ChangeCategory == "Added"

Określona wersja oprogramowania jest lub nie jest zainstalowana na maszynie

Użyj następującego zapytania, aby ocenić zabezpieczenia. To zapytanie odwołuje się ConfigurationDatado elementu , który zawiera dzienniki spisu i zawiera ostatni zgłoszony stan konfiguracji, a nie zmiany.

ConfigurationData | where SoftwareName contains "Monitoring Agent" and CurrentVersion != "8.0.11081.0"

Znana biblioteka DLL została zmieniona za pośrednictwem rejestru

Użyj następującego zapytania, aby wykryć zmiany dobrze znanych kluczy rejestru.

ConfigurationChange | where RegistryKey == "HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\Session Manager\\KnownDlls"

Następne kroki

Dowiedz się, jak Azure Automation tworzyć harmonogramy aktualizacji w celu zarządzania aktualizacjami serwerów.

Tworzenie harmonogramów aktualizacji