管理變更追蹤和清查
重要
變更追蹤和清查 使用Log Analytics代理程式已於2024年8月31日淘汰,並將在2025年2月1日之前進行有限的支援。 建議您使用 Azure 監視代理程式作為新的支援代理程式。 遵循從使用記錄分析的變更追蹤和清查至使用 Azure 監視代理程式版本的變更追蹤和清查的移轉指導方針。
注意
由於服務自 2024 年 8 月 31 日起已淘汰,因此不允許透過 Azure 入口網站使用 Log Analytics 上線的變更追蹤和清查。 建議您使用 AMA 設定新版本的變更追蹤和清查。 使用舊版代理程式進行變更追蹤和清查的現有 VM 將繼續運作,直到 2025 年 2 月 1 日為止。 如需詳細資訊,請參閱使用 Azure 監視代理程式啟用變更追蹤和清查。
當您新增要追蹤的檔案或登錄機碼時,Azure 自動化會為其啟用變更追蹤和清查。 本文說明如何設定追蹤、檢閱追蹤結果,以及在偵測到變更時處理警示。
使用本文中的程序之前,請確定您已使用下列其中一種技術,在您的虛擬機器上啟用變更追蹤和清查:
限制部署的範圍
變更追蹤和清查會使用工作區中的範圍設定,來設定要接收變更的目標電腦。 如需詳細資訊,請參閱限制變更追蹤和清查部署範圍。
追蹤檔案
您可以使用變更追蹤和清查來追蹤檔案和資料夾/目錄的變更。 本節說明如何在 Windows 和 Linux 上設定檔案追蹤。
在 Windows 上設定檔案追蹤
使用下列步驟,設定要在 Windows 電腦上追蹤的檔案:
登入 Azure 入口網站。
在 Azure 入口網站中,選取所有服務。 在資源清單中輸入自動化。 當您開始輸入時,清單會根據您輸入的文字篩選建議。 選取 [自動化帳戶] 。
在您的自動化帳戶清單中,選取您在啟用變更追蹤和清查時所選擇的帳戶。
從您的自動化帳戶中,選取 [組態管理] 下的 [變更追蹤]。
選取 [編輯設定] (齒輪符號)。
在 [工作區設定] 頁面上選取 [Windows 檔案],然後按一下 [+ 新增],以新增要追蹤的新檔案。
在 [為變更追蹤新增 Windows 檔案] 窗格上,輸入要追蹤之檔案或資料夾的資訊,然後按一下 [儲存]。 下表定義可用於資訊的屬性。
屬性 說明 啟用 如果已套用設定,則為 True,否則為 False。 項目名稱 要追蹤之檔案的易記名稱。 群組 以邏輯方式分組檔案的群組名稱。 輸入路徑 要檢查檔案的路徑,例如 c:\temp\*.txt。 您也可以使用環境變數,例如 %winDir%\System32\\\*.*。路徑類型 路徑的類型。 可能的值為「檔案」和「資料夾」。 遞迴 如果在尋找要追蹤的項目時使用遞迴,則為 True,否則為 False。 上傳檔案內容 True 會針對追蹤的變更上傳檔案內容,False 則不會。 如果您打算使用萬用字元來設定檔案和資料夾的監視,請考慮下列事項:
- 需要萬用字元才能追蹤多個檔案。
- 萬用字元只能用於路徑的最後一個區段,例如 C:\folder\file or /etc/.conf*
- 如果環境變數包含的路徑無效,驗證仍會成功,但執行清查時,該路徑將會失敗。
- 設定路徑時,請避免使用一般路徑 (例如 c:.**),因為這會導致過多的資料夾周遊。
請確實將 [上傳檔案內容] 指定為 True。 此設定會針對指定的檔案路徑啟用檔案內容追蹤。
在 Linux 上設定檔案追蹤
使用下列步驟,設定要在 Linux 電腦上追蹤的檔案:
選取 [編輯設定] (齒輪符號)。
在 [工作區設定] 頁面上選取 [Linux 檔案],然後選取 [+ 新增],以新增要追蹤的新檔案。
在 [為變更追蹤新增 Linux 檔案] 頁面上,輸入要追蹤的檔案或目錄資訊,然後選取 [儲存]。 下表定義可用於資訊的屬性。
屬性 說明 啟用 如果已套用設定,則為 True,否則為 False。 項目名稱 要追蹤之檔案的易記名稱。 群組 以邏輯方式分組檔案的群組名稱。 輸入路徑 要檢查檔案的路徑,例如,/etc/*.conf。 路徑類型 路徑的類型。 可能值為「檔案」和「目錄」。 遞迴 如果在尋找要追蹤的項目時使用遞迴,則為 True,否則為 False。 使用 Sudo True 會在檢查項目時使用 sudo,False 否不會。
注意:「使用 Sudo」功能目前只能在 Azure 入口網站上使用,尚未實作到「變更追蹤」服務。 因此,當您在 Azure 入口網站上編輯設定時,將不會在該服務中找到任何變更。連結 此設定會決定在周遊目錄時處理符號連結的方式。 可能的值包括:
忽略 - 忽略符號連結,而不包含參考的檔案/目錄。
遵循 - 在遞迴期間遵循符號連結,並且包含參考的檔案/目錄。
管理 - 遵循符號連結並允許變更傳回的內容。
注意:[管理] 選項不支援檔案內容擷取,因此不建議使用。上傳檔案內容 True 會針對追蹤的變更上傳檔案內容,False 則不會。 請確實將 [上傳檔案內容] 指定為 True。 此設定會針對指定的檔案路徑啟用檔案內容追蹤。
追蹤檔案內容
檔案內容追蹤可讓您在追蹤變更前後,檢視檔案的內容。 此功能可在每次變更發生後,將檔案內容儲存到儲存體帳戶。 以下是追蹤檔案內容時需遵循的一些規則:
- 儲存檔案內容需要有使用 Resource Manager 部署模型的標準儲存體帳戶。
- 根據預設,儲存體帳戶接受來自任何網路用戶端的連線。 如果您已保護儲存體帳戶而只允許特定流量,則必須修改設定規則,以允許自動化帳戶與儲存體帳戶連線。 請參閱設定 Azure 儲存體防火牆和虛擬網路。
- 請勿使用進階和傳統的部署模型儲存體帳戶。 請參閱關於 Azure 儲存體帳戶。
- 您只能將儲存體帳戶連線到一個自動化帳戶。
- 您的自動化帳戶必須啟用「變更追蹤和清查」。
注意
如果檔案大小顯示為 > 1.25MB,則 FileContentChecksum 由於總和檢查碼計算中的記憶體限制而不正確。
啟用檔案內容變更的追蹤
使用下列步驟來啟用檔案內容的變更追蹤:
選取 [編輯設定] (齒輪符號)。
選取 [檔案內容],然後選取 [連結]。 進行此選取後,會開啟 [新增變更追蹤的內容位置] 頁面。
選取要用來儲存檔案內容的訂用帳戶和儲存體帳戶。
如果您想要啟用所有現有已追蹤檔案的檔案內容追蹤,請針對 [上傳所有設定的檔案內容] 選取 [開啓]。 您後續可為各個檔案路徑變更此設定。
變更追蹤和清查在啟用檔案內容變更追蹤後,會顯示儲存體帳戶和共用存取簽章 (SAS) URI。 簽章會在 365 天後到期,您可以選取 [重新產生] 重新加以建立。
檢視追蹤的檔案內容
變更追蹤和清查驗偵測到追蹤的檔案有所變更時,您可以在 [變更詳細資料] 窗格中檢視檔案內容。
在自動化帳戶的 [變更追蹤] 頁面上,選擇變更清單中的檔案,然後選取 [檢視檔案內容變更] 以查看檔案的內容。 [變更詳細資料] 窗格會顯示每個屬性的標準檔案資訊前後對比。
您在並排檢視中檢視檔案內容。 您可以選取 [內嵌] 查看變更的內嵌檢視。
追蹤登錄機碼
使用下列步驟,設定要在 Windows 電腦上追蹤的登錄機碼:
在自動化帳戶的 [變更追蹤] 頁面上,選取 [編輯設定] (齒輪符號)。
在 [工作區設定] 頁面上,選取 [Windows 登錄]。
選取 [+ 新增],以新增要追蹤的新登錄機碼。
在 [為變更追蹤新增 Windows 登錄] 上,輸入要追蹤的機碼資訊,然後選取 [儲存]。 下表定義可用於資訊的屬性。 在指定登錄路徑時,其必須是機碼,而不是值。
屬性 說明 啟用 如果已套用設定,則為 True,否則為 False。 項目名稱 要追蹤之登錄機碼的易記名稱。 群組 以邏輯方式分組登錄機碼的群組名稱。 Windows 登錄機碼 包含路徑的機碼名稱,例如 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Startup。
搜尋記錄中的變更記錄
您可以對 Azure 監視器記錄進行各種搜尋,以找出變更記錄。 在 [變更追蹤] 頁面開啟後,按一下 [Log Analytics] 以開啟 [記錄] 頁面。 下表提供變更記錄的記錄搜尋範例。
| 查詢 | 描述 |
|---|---|
ConfigurationData| where ConfigDataType == "WindowsServices" and SvcStartupType == "Auto"| where SvcState == "Stopped"| summarize arg_max(TimeGenerated, *) by SoftwareName, Computer |
針對已設為 [自動]、但回報為 [正在停止] 的 Windows 服務顯示最新的清查記錄。 結果會限定為指定的軟體名稱和電腦的最新記錄。 |
ConfigurationChange| where ConfigChangeType == "Software" and ChangeCategory == "Removed"| order by TimeGenerated desc |
顯示已移除之軟體的變更記錄。 |
下一步
- 如需範圍設定的相關資訊,請參閱限制變更追蹤和清查部署範圍。
- 如果您需要搜尋儲存在 Azure 監視器記錄中的記錄,請參閱 Azure 監視器記錄中的記錄搜尋。
- 如果部署完成,請參閱移除變更追蹤和清查。
- 若要從「變更追蹤和清查」中刪除 VM,請參閱從變更追蹤和清查移除 VM。
- 若要針對功能錯誤進行疑難排解,請參閱針對變更追蹤和清查問題進行疑難排解。