使用 Azure Monitoring Agent 管理變更追蹤和清查
適用於: ✔️ Windows VM ✔️ Linux VM ✔️ Windows 登錄 ✔️ Windows 檔案 ✔️ Linux 檔案 ✔️ Windows 軟體
本文描述如何管理變更追蹤,並包含如何變更工作區和設定資料收集規則的程序。
注意
在使用本文中的程序之前,請確定您已在 VM 上啟用變更追蹤和清查。 如需如何啟用的詳細資訊,請參閱從入口網站啟用變更追蹤和清查
使用資料收集規則設定 Windows、Linux 檔案和 Windows 登錄
若要管理追蹤和清查,請確定您在 VM 上使用 AMA 啟用變更追蹤。
在 Azure 入口網站中,選取虛擬機器。
選取您想要為其設定變更追蹤設定的特定 VM。
在 [作業] 底下,選取 [變更追蹤]。
選取 [設定] 以檢視 [資料收集規則設定] (DCR) 頁面。 在這裡,您可以執行下列動作:
- 在 VM 上設定細微層級的變更。
- 選取篩選條件以設定工作區。
- 使用篩選條件來檢視所有設定為特定 LA 工作區層級的 DCR。
注意
您設定的設定適用於連結至特定 DCR 的所有 VM。 如需 DCR 的詳細資訊,請參閱 Azure 監視器中的資料收集規則。
選取 [新增] 來設定新的檔案設定
在 [新增 Windows 檔案設定] 窗格中,輸入要追蹤的檔案或資料夾資訊,然後按一下 [儲存]。 下表定義可用於資訊的屬性。
屬性 說明 啟用 如果已套用設定,則為 True,否則為 False。 項目名稱 要追蹤之檔案的易記名稱。 群組 要以邏輯方式將檔案分組的群組名稱 路徑 要檢查檔案的路徑,例如,c:\temp*.txt。您也可以使用環境變數,例如 %winDir%\System32\*.*。 路徑類型 路徑的類型。 可能的值為「檔案」和「資料夾」。 遞迴 如果在尋找要追蹤的項目時使用遞迴,則為 True,否則為 False。
您現在可以檢視設定為 DCR 的虛擬機器。
設定檔案內容變更
若要設定檔案內容變更,請遵循下列步驟:
在您的虛擬機器中,於 [作業] 下選取 [變更追蹤]>[設定]。
在 [資料收集規則設定 (預覽)] 頁面中,選取 [檔案內容]>[連結] 以連結儲存體帳戶。
在 [變更追蹤的內容位置] 畫面中,選取您的 [訂用帳戶]、[儲存體],並確認您是否使用 [系統指派的受控識別]。
選取 [上傳所有設定的檔案內容],然後選取 [儲存]。 其確保將追蹤位於此 DCR 中的所有檔案的檔案內容變更。
使用系統指派的受控識別連結儲存體帳戶時,會建立 Blob。
從 Azure 入口網站中,移至 [儲存體帳戶],然後選取儲存體帳戶。
在儲存體帳戶頁面的 [資料儲存體] 下,選取 [容器]>[Changetracking Blob]>[存取控制 (IAM)]。
在 [Changetrackingblob | 存取控制 (IAM)] 頁面中,選取 [新增],然後選取 [新增角色指派]。
在 [新增角色指派] 頁面中,使用搜尋找出 [Blob 資料參與者],為特定 VM 指派儲存體 Blob 參與者角色。 此權限可讓您讀取、寫入和刪除儲存體 Blob 容器與資料。
選取角色並將其指派給您的虛擬機器。
升級延伸模組版本
注意
確定 ChangeTracking-Linux/ChangeTracking-Windows 延伸模組版本升級至 2.13
請使用下列命令來升級延伸模組版本:
az vm extension set -n {ExtensionName} --publisher Microsoft.Azure.ChangeTrackingAndInventory --ids {VirtualMachineResourceId}
適用於 Windows 的延伸模組為 Vms - ChangeTracking-Windows
,而適用於 Linux 的延伸模組為 Vms - ChangeTracking-Linux
。
使用萬用字元設定
若要使用萬用字元來設定檔案和資料夾的監視,請執行下列動作:
- 需要萬用字元才能追蹤多個檔案。
- 萬用字元只能用於路徑的最後一個區段,例如 C:\folder\file or /etc/.conf*
- 如果環境變數包含的路徑無效,驗證仍會成功,但執行清查時,該路徑將會失敗。
- 設定路徑時,請避免使用一般路徑 (例如 c:.**),因為這會導致過多的資料夾周遊。
從虛擬機器停用變更追蹤
若要從虛擬機器移除 Azure Monitoring Agent 的變更追蹤,請遵循下列步驟:
將資料收集規則 (DCR) 與 VM 解除關聯
在 Azure 入口網站中,選取 [虛擬機器] ,然後在搜尋中選取特定的虛擬機器。
在 [虛擬機器] 頁面的 [作業] 下,選取 [變更追蹤],或在搜尋中輸入 [變更追蹤],然後從搜尋結果中加以選取。
選取 [設定]>[DCR],以檢視與 DCR 相關聯的所有虛擬機器。
選取您要停用其 DCR 的特定 VM。
選取 [刪除]。
此時會出現通知,以確認將 DCR 與所選 VM 解除關聯。
解除安裝變更追蹤延伸模組
在 Azure 入口網站中,選取 [虛擬機器],然後在搜尋中,選取已與 DCR 解除關聯的特定 VM。
在 [虛擬機器] 頁面的 [設定] 下,選取 [延伸模組 + 應用程式]。
在 [VM 延伸模組 + 應用程式] 頁面 中,於 [延伸模組] 索引標籤下,選取 MicrosoftAzureChangeTrackingAndInventoryChangeTracking-Windows/Linux。
選取解除安裝。
下一步
- 若要了解警示,請參閱設定警示。