Visão geral do Controle de Alterações e Inventário
Importante
O Controle de Alterações e Inventário usando o agente do Log Analytics foi desativado em 31 de agosto de 2024 e funcionará com suporte limitado até 1º de fevereiro de 2025. Recomendamos que você use o Agente de Monitoramento do Azure como o novo agente de suporte. Siga as diretrizes para a migração do Controle de Alterações e Inventário usando o Log Analytics para o Controle de Alterações e Inventário usando a versão do Agente de Monitoramento do Azure.
Importante
Você pode esperar o seguinte se usar o recurso através do Agente do Log Analytics do Inventário e Controle de Alterações.
- Funcionalidade: as funcionalidades funcionais do Controle de Alterações com o agente do Log Analytics continuarão funcionando até fevereiro de 2025. No entanto, o suporte será limitado e pode gerar possíveis problemas ao longo do tempo.
- Instalação: a capacidade de configurar o Inventário e Controle de Alterações usando os agentes MMA/OMS será removida do portal do Azure em breve.
- Suporte ao Cliente: você não poderá obter suporte pelos canais existentes para Inventário e Controle de Alterações com MMA/OMS. A Microsoft fornecerá suporte com base no melhor esforço possível.
- Novos recursos e matriz de suporte: nenhuma nova funcionalidade será adicionada, incluindo funcionalidades para versões adicionais do Windows ou Linux.
- Monitoramento de Integridade de Arquivos: o Plano 2 do Microsoft Defender para Servidores oferecerá uma nova solução de Monitoramento de Integridade de Arquivos (FIM) alimentada pela integração do Microsoft Defender para Ponto de Extremidade (MDE). O Microsoft Defender para Nuvem recomenda desabilitar o FIM no MMA até novembro de 2024 e integrar seu ambiente à nova versão do FIM com base no Defender para Ponto de Extremidade. Com base no Agente do Log Analytics (MMA), o Monitoramento de Integridade de Arquivos tem suporte até novembro de 2024. Saiba mais.
Este artigo apresenta o Controle de Alterações e Inventário na Automação do Azure. Este recurso rastreia as alterações nas máquinas virtuais hospedadas no Azure, sejam locais ou em outros ambientes de nuvem, para ajudar a identificar problemas operacionais e ambientais com o software gerenciado pelo Gerenciador de Pacotes de Distribuição. Os itens controlados pelo Controle de Alterações e Inventário incluem:
- Software do Windows
- Software do Linux (pacotes)
- Arquivos do Windows e do Linux
- Chave do registro do Windows
- Serviços do Windows
- Daemons Linux
Observação
Para rastrear as alterações da propriedade do Azure Resource Manager, confira o histórico de alterações do Azure Resource Graph.
O Controle de Alterações e Inventário é usado pelo Microsoft Defender Microsoft Defender para Monitoramento de Integridade de Arquivos na Nuvem (FIM) para examinar arquivos de aplicativos e do sistema operacional e do Registro do Windows. Enquanto o FIM monitora essas entidades, o Controle de Alterações e Inventário controlam nativamente:
- Mudanças de software
- Serviços do Windows
- Daemons Linux
Habilitar todos os recursos incluídos no Controle de Alterações e Inventário pode causar cobranças adicionais. Antes de continuar, examine Preços de Automação e Preços do Azure Monitor.
O Controle de Alterações e Inventário encaminha os dados para logs do Azure Monitor, e esses dados coletados são armazenados em um workspace do Log Analytics. O recurso FIM (Monitoramento de Integridade de Arquivo) está disponível somente quando o Microsoft Defender para Servidores está habilitado. Confira os Preços do Microsoft Defender para Nuvem para saber mais. O FIM carrega dados no mesmo workspace do Log Analytics que foi criado para armazenar dados de Controle de Alterações e Inventário. Recomendamos que você monitore seu workspace do Log Analytics para controlar seu uso exato. Para obter mais informações sobre como analisar o uso de dados dos Logs do Azure Monitor, confira Analisar o uso no workspace do Log Analytics.
Os computadores conectados ao workspace do Log Analytics usam o agente do Log Analytics para coletar dados sobre as alterações nos programas de software instalados, nos serviços Windows, no Registro e em arquivos do Windows, além de daemons do Linux em servidores monitorados. Quando os dados estão disponíveis, os agentes os enviam para os Logs do Azure Monitor para processamento. Os Logs do Azure Monitor aplicam a lógica aos dados recebidos, os registra e disponibiliza para análise.
Observação
O Controle de Alterações e Inventário requer o vínculo de um workspace do Log Analytics à sua conta de Automação. Para obter uma lista definitiva de regiões compatíveis, confira Mapeamentos de Workspace do Azure. Os mapeamentos de região não afetam a capacidade de gerenciar VMs em uma região separada da sua conta de Automação.
Como um provedor de serviços, você poderá ter integrado vários locatários do cliente ao Azure Lighthouse. O Azure Lighthouse permite que você execute operações em escala em vários locatários do Microsoft Entra de uma vez, tornando mais eficientes as tarefas de gerenciamento, como o Controle de Alterações e Inventário, nos locatários pelos quais você é responsável. O Controle de Alterações e Inventário pode gerenciar computadores em várias assinaturas no mesmo locatário ou entre locatários usando o Gerenciamento de recursos delegados do Azure.
Limitações atuais
O Controle de Alterações e Inventário não dá suporte ou tem as seguintes limitações:
- Recursão para o rastreamento de registro do Windows
- Sistemas de arquivos de rede
- Métodos de instalação diferentes
- Arquivos *.exe armazenados no Windows
- Os valores e a coluna Tamanho máximo de arquivo não são utilizados na implementação atual.
- Se você estiver acompanhando alterações de arquivo, ele será limitado a um tamanho de arquivo de 5 MB ou menos.
- Se o tamanho do arquivo for exibido como >1,25 MB, FileContentChecksum estará incorreto devido a restrições de memória no cálculo da soma de verificação.
- Se você tentar coletar mais de 2.500 arquivos em um ciclo de coleção de 30 minutos, o desempenho do Controle de Alterações e Inventário poderá ser prejudicado.
- Se o tráfego da rede for alto, os registros de alteração poderão demorar até seis horas para serem exibidos.
- Se você modificar uma configuração enquanto um computador ou servidor estiver desligado, ele poderá efetuar as alterações pertencentes à configuração anterior.
- Coletar atualizações de Hotfix em computadores Windows Server 2016 Core RS3.
- Os daemons do Linux podem mostrar um estado alterado, embora nenhuma alteração tenha ocorrido. Esse problema ocorre devido à maneira como os dados do
SvcRunLevels
na tabela ConfigurationChange do Azure Monitor são gravados.
Limites
Para ver os limites que se aplicam ao Controle de Alterações e Inventário, confira Limites de serviço de Automação do Azure.
Sistemas operacionais compatíveis
O Controle de Alterações e Inventário tem suporte em todos os sistemas operacionais que atendem aos requisitos de agente do Log Analytics. Confira sistemas operacionais com suporte para obter uma lista das versões dos sistemas operacionais Windows e Linux com suporte no momento pelo agente do Log Analytics.
Para entender os requisitos do cliente para TLS 1.2 ou superior, confira TLS para Automação do Azure.
Requisito do Python
O Controle de Alterações e Inventário agora é compatível com Python 2 e Python 3. Se seu computador usa uma distribuição que não inclui nenhuma das versões, instale-as por padrão. Os exemplos de comandos a seguir instalarão o Python 2 e o Python 3 em diferentes distribuições.
Observação
Para usar o agente do OMS compatível com o Python 3, certifique-se de desinstalar primeiro o Python 2; caso contrário, o agente continuará a ser executado com ele por padrão.
- Red Hat, Oracle:
sudo yum install -y python2
- Ubuntu, Debian:
sudo apt-get update
sudo apt-get install -y python2
- SUSE:
sudo zypper install -y python2
Observação
O executável do Python 2 deve ter um alias para python.
Requisitos de rede
Confira a Configuração de Rede da Automação do Azure para obter informações detalhadas sobre portas, URLs e outros detalhes de rede necessários para o Controle de Alterações e Inventário.
Habilitar Controle de Alterações e Inventário
Você pode habilitar o Controle de Alterações e Inventário das seguintes formas:
Em sua conta da Automação para um ou mais computadores do Azure e não Azure.
Manualmente para computadores não Azure, incluindo computadores ou servidores registrados com servidores habilitados para Azure Arc. Para computadores híbridos, recomendamos instalar o agente do Log Analytics para Windows conectando primeiro o computador aos servidores habilitados para Azure Arc e usando o Azure Policy para atribuir a política interna Implantar agente do Log Analytics a computadores com Azure Arc do Linux ou Windows. Se também você planeja monitorar os computadores com o Azure Monitor para VMs, use a iniciativa Habilitar Azure Monitor para VMs.
Para uma única VM do Azure da página de máquina virtual no portal do Azure. Esse cenário está disponível para VMs do Linux e do Windows.
Para várias VMs do Azure, selecionando-as na página de máquinas virtuais no portal do Azure.
Acompanhamento das alterações de arquivo
Para rastrear alterações em arquivos no Windows e Linux, o Controle de Alterações e Inventário usa os hashes MD5 dos arquivos. O recurso usa os hashes para detectar se foram feitas alterações desde o último inventário. Para acompanhar os arquivos do Linux, verifique se você tem acesso de LEITURA para o usuário do agente do OMS.
Acompanhamento das alterações de conteúdo do arquivo
O Controle de Alterações e Inventário permite exibir o conteúdo de um arquivo Windows ou Linux. Para cada alteração em um arquivo, o Controle de Alterações e Inventário armazena o conteúdo do arquivo em uma conta de Armazenamento do Azure. Quando estiver controlando um arquivo, você poderá exibir seu conteúdo antes ou depois de uma alteração. O conteúdo do arquivo pode ser exibido em linha ou lado a lado.
Acompanhamento de chaves do Registro
O Controle de Alterações e Inventário permite o monitoramento de alterações nas chaves do Registro do Windows. O monitoramento permite identificar os pontos de extensibilidade em que código de terceiros e o malware podem ser ativados. A tabela a seguir lista as chaves de Registro pré-configuradas (mas não habilitadas). Para controlar essas chaves, é necessário habilitar cada uma delas.
Chave do Registro | Finalidade |
---|---|
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
Monitora scripts que são executados na inicialização. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
Monitora scripts que são executados no desligamento. |
HKEY\LOCAL\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
Monitora as chaves que são carregadas antes que o usuário entre na conta do Windows. A chave é usada para aplicativos de 32 bits em execução em computadores de 64 bits. |
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
Monitora as alterações nas configurações do aplicativo. |
HKEY\LOCAL\MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Monitora manipuladores do menu de contexto que comuns de inicialização automática que conectam-se diretamente ao Windows Explorer e geralmente são executadas no processo com o explorer.exe. |
HKEY\LOCAL\MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Monitora manipuladores do gancho de cópia que conectam-se diretamente ao Windows Explorer e geralmente são executadas no processo com o explorer.exe. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitores o registro do manipulador de sobreposição de ícone. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
Monitora o registro do manipulador de sobreposição de ícone para aplicativos de 32 bits executados em computadores de 64 bits. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitora os novos plug-ins de objeto auxiliar de navegador para o Internet Explorer. Usado para acessar o modelo DOM (Modelo de Objeto do Documento) da página atual e para controlar a navegação. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Monitora os novos plug-ins de objeto auxiliar de navegador para o Internet Explorer. Usado para acessar o modelo DOM (Modelo de Objeto do Documento) da página atual e para controlar a navegação para aplicativos de 32 bits em execução em computadores de 64 bits. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Internet Explorer\Extensions |
Monitora novas extensões do Internet Explorer, tais como menus de ferramentas personalizadas e botões da barra de ferramentas personalizada. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
Monitora novas extensões do Internet Explorer, como menus de ferramentas personalizadas e botões de barra de ferramentas personalizada para aplicativos de 32 bits executados em computadores de 64 bits. |
HKEY\LOCAL\MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitora os drivers de 32 bits associados com wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc. Semelhante à seção [drivers] no arquivo system.ini. |
HKEY\LOCAL\MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
Monitora os drivers de 32 bits associados com wavemapper, wave1 e wave2, msacm.imaadpcm, .msadpcm, .msgsm610 e vidc para aplicativos de 32 bits executados em computadores de 64 bits. Semelhante à seção [drivers] no arquivo system.ini. |
HKEY\LOCAL\MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
Monitora a lista de DLLs de sistema conhecidas ou comumente usadas. O monitoramento impede que pessoas explorem as permissões de diretório de aplicativo fracas via depósito de versões com cavalo de troia das DLLs do sistema. |
HKEY\LOCAL\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Monitora a lista de pacotes que pode receber notificações de eventos do winlogon.exe, o modelo de suporte de logon interativo para o Windows. |
Suporte à recursão
O Controle de Alterações e Inventário dá suporte à recursão, o que permite que você especifique curingas para simplificar o rastreamento em diretórios. A recursão também fornece variáveis de ambiente para permitir que você rastreie arquivos entre ambientes com nomes de unidade variados ou dinâmicos. A lista a seguir inclui informações comuns que você deve saber ao configurar a recursão:
Caracteres curinga são necessários para acompanhar vários arquivos.
Você pode usar caracteres curinga apenas no último segmento de um caminho, por exemplo, c:\folder\file* ou /etc/*.conf.
Se uma variável de ambiente tiver um caminho inválido, a validação terá êxito, mas o caminho falhará durante a execução.
Você deve evitar nomes de caminho gerais ao definir o caminho, pois esse tipo de configuração pode fazer muitas pastas serem percorridas.
Coleta de dados do Controle de Alterações e Inventário
A tabela a seguir mostra a frequência de coleta de dados para os tipos de alterações com suporte pelo Controle de Alterações e Inventário. Para cada tipo, o instantâneo de dados do estado atual também é atualizado pelo menos a cada 24 horas.
Alterar Tipo | Frequência |
---|---|
Registro do Windows | 50 minutos |
Arquivo do Windows | 30 minutos |
Arquivo Linux | 15 minutos |
Serviços Windows | 10 minutos a 30 minutos Padrão: 30 minutos |
Daemons Linux | 5 minutos |
Software do Windows | 30 minutos |
Software Linux | 5 minutos |
A tabela a seguir mostra os limites de item controlados por máquina para Controle de Alterações e Inventário.
Recurso | Limit |
---|---|
Arquivo | 500 |
Registro | 250 |
Software do Windows (sem incluir hotfixes) | 250 |
Pacotes do Linux | 1250 |
Serviços | 250 |
Daemons | 250 |
O uso médio de dados do Log Analytics para uma máquina usando o Controle de Alterações e Inventário é de aproximadamente 40 MB por mês, dependendo do seu ambiente. Com o recurso de Uso e Custos Estimados do workspace do Log Analytics, você pode exibir os dados ingeridos pelo Controle de Alterações e Inventário em um gráfico de uso. Use essa exibição de dados para avaliar o uso de dados e determinar como afeta sua fatura. Confira Entender seu uso e estimar os custos.
Dados de serviços Windows
A frequência da coleta padrão para os serviços do Windows é de 30 minutos. Você pode configurar a frequência usando um controle deslizante na guia Serviços Windows em Editar Configurações.
Para otimizar o desempenho, o agente do Log Analytics apenas controla as alterações. Definir um limite alto poderá deixar passar alterações se o serviço reverter ao estado original. Definir a frequência para um valor menor permite capturar alterações que poderiam ser perdidas de outra forma.
Para serviços críticos, recomendamos marcar o estado de Inicialização como Automático (Início Atrasado) para que, assim que a VM for reinicializada, a coleta de dados dos serviços comece após o início do agente MMA, em vez de iniciar rapidamente assim que a VM estiver pronta.
Observação
Embora o agente possa controlar as alterações em um intervalo de apenas 10 segundos, os dados ainda demoram alguns minutos para ser exibido no portal do Azure. As alterações que ocorrem durante o tempo de exibição no portal do ainda são controladas e registradas.
Suporte para alertas no estado de configuração
Uma funcionalidade crucial de Controle de Alterações e Inventário é alertar sobre as alterações ao estado de configuração de seu ambiente híbrido. Muitas ações úteis estão disponíveis para acionar em resposta aos alertas. Por exemplo, ações sobre funções do Azure, runbook de Automação, webhooks e semelhantes. O alerta sobre alterações no arquivo c:\windows\system32\drivers\etc\hosts de um computador é uma boa aplicação de alertas para dados de Controle de Alterações e Inventário. Há muitos outros cenários de alerta também, incluindo os cenários de consulta definidos na tabela a seguir.
Consulta | Descrição |
---|---|
ConfigurationChange | em que ConfigChangeType == "Files" e FileSystemPath contêm " c:\windows\system32\drivers\" |
Útil para controlar alterações a arquivos críticos do sistema. |
ConfigurationChange | em que FieldsChanged contém "FileContentChecksum" e FileSystemPath == "c:\windows\system32\drivers\etc\hosts" |
Útil para controlar modificações a arquivos de configuração chave. |
ConfigurationChange | em que ConfigChangeType == "WindowsServices" e SvcName contêm "w3svc" e SvcState == "Stopped" |
Útil para controlar alterações a serviços críticos do sistema. |
ConfigurationChange | em que ConfigChangeType == "Daemons" e SvcName contêm "ssh" e SvcState!= "Running" |
Útil para controlar alterações a serviços críticos do sistema. |
ConfigurationChange | em que ConfigChangeType == "Software" e ChangeCategory == "Added" |
Útil para ambientes que precisam bloquear configurações de software. |
ConfigurationData | em que SoftwareName contém "Monitoring Agent" e CurrentVersion!= "8.0.11081.0" |
Útil para ver quais computadores têm uma versão de software desatualizada ou não em conformidade instalada. Esta consulta relata o último estado de configuração relatada, mas não reporta as alterações. |
ConfigurationChange | onde RegistryKey = = @"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\QualityCompat" |
Útil para controlar alterações a chaves antivírus cruciais. |
ConfigurationChange | onde RegistryKey contém @"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy" |
Útil para controlar alterações em configurações de firewall. |
Atualizar o agente do Log Analytics para a versão mais recente
Para Controle de Alterações e Inventário, os computadores usam o agente do Log Analytics para coletar dados sobre alterações no software instalado, serviços Windows, registro e arquivos do Windows e daemons do Linux em servidores monitorados. Em breve, o Azure não aceitará mais conexões de versões mais antigas do agente do Log Analytics (LA) do Windows, também conhecido como Microsoft Monitoring Agent (MMA) do Windows, que usa um método mais antigo para tratamento de certificados. Recomendamos atualizar seu agente para a versão mais recente o mais rápido possível.
Os agentes que estão na versão – 10.20.18053 (pacote) e 1.0.18053.0 (extensão) ou mais recente não são afetados em resposta a essa alteração. Se você estiver em um agente antes disso, seu agente não conseguirá se conectar e as atividades downstream do pipeline do Controle de Alterações e Inventário poderão ser interrompidas. Você pode verificar a versão atual do agente do LA na tabela HeartBeat em seu workspace do LA.
Certifique-se de atualizar para a versão mais recente do MMA (agente do Log Analytics) do Windows seguindo estas diretrizes.
Próximas etapas
Para habilitar uma conta de Automação, confira Habilitar Controle de Alterações e Inventário de uma conta de Automação.
Para habilitar o portal do Azure, confira Habilitar Controle de Alterações e Inventário do portal do Azure.
Para habilitar de um runbook, confira Habilitar Controle de Alterações e Inventário de um runbook.
Para habilitar de uma VM do Azure, confira Habilitar Controle de Alterações e Inventário de uma VM do Azure.