Отслеживание изменений с помощью службы автоматизации Azure || Программа отслеживание изменений в реестре

Поддерживаемые операционные системы WindowsSupported Windows operating systems

Для агента Windows официально поддерживаются следующие версии операционной системы Windows:The following versions of the Windows operating system are officially supported for the Windows agent:

  • Windows Server 2008 R2 или более поздней версииWindows Server 2008 R2 or later

Официально поддерживаются следующие дистрибутивы Linux.The following Linux distributions are officially supported.Однако агент Linux может выполняться и на других дистрибутивах, помимо следующих:However, the Linux agent might also run on other distributions not listed.Если не указано иное, все вспомогательные версии поддерживаются для каждого основного номера версии в списке.Unless otherwise noted, all minor releases are supported for each major version listed.

64-разрядная64-bit

  • CentOS 6 и 7CentOS 6 and 7
  • Amazon Linux 2017.09Amazon Linux 2017.09
  • Oracle Linux 6 и 7Oracle Linux 6 and 7
  • Red Hat Enterprise Linux Server 6 и 7Red Hat Enterprise Linux Server 6 and 7
  • Debian GNU/Linux 8 и 9Debian GNU/Linux 8 and 9
  • Ubuntu Linux 14.04 LTS, 16.04 LTS и 18.04 LTSUbuntu Linux 14.04 LTS, 16.04 LTS, and 18.04 LTS
  • SUSE Linux Enterprise Server 12SUSE Linux Enterprise Server 12

32-битная32-bit

  • CentOS 6CentOS 6
  • Oracle Linux 6Oracle Linux 6
  • Red Hat Enterprise Linux Server 6Red Hat Enterprise Linux Server 6
  • Debian GNU/Linux 8 и 9Debian GNU/Linux 8 and 9
  • Ubuntu Linux 14.04 LTS и 16.04 LTSUbuntu Linux 14.04 LTS and 16.04 LTS

Настройка решения для отслеживания изменений и инвентаризацииConfiguring Change Tracking and Inventory

Чтобы начать отслеживание изменений, включите решение отслеживания изменений и инвентаризации.To begin tracking changes, you need to enable the Change Tracking and Inventory solution.Подключить это решение на виртуальных машинах можно несколькими способами.There are many ways to onboard machines to Change Tracking and Inventory.

Вы можете просмотреть содержимое файла до и после изменения с помощью отслеживания изменений содержимого файла.You can view the contents before and after a change of a file with File Content Change Tracking.Это доступно для файлов Windows и Linux и для каждого изменения в файле, содержимое файла сохраняется в учетной записи хранения и отображает файл до и после изменений во встроенном или параллельном режиме.

This is available for Windows and Linux files, for each change to the file, the contents of the file is stored in a storage account, and shows the file before and after the change, inline, or side by side.Дополнительные сведения см. в разделе Просмотр содержимого отслеживаемого файла.To learn more, see View the contents of a tracked file.

Чтобы настроить разделы реестра для отслеживания на компьютерах с Windows, сделайте следующее:Use the following steps to configure registry key tracking on Windows computers:

  1. В учетной записи службы автоматизации в разделе Управление конфигурацией выберите Отслеживание изменений.In your Automation Account, select Change tracking under CONFIGURATION MANAGEMENT.Щелкните Изменить параметры (символ шестеренки).Click Edit Settings (the gear symbol).
  2. На странице Отслеживание изменений выберите Реестр Windows и нажмите кнопку Добавить, чтобы добавить новый раздел реестра для отслеживания.On the Change Tracking page, select Windows Registry, then click Add to add a new registry key to track.
  3. В окне Add Windows Registry for Change Tracking (Добавление реестра Windows для отслеживания изменений) введите сведения о ключе, для которого необходимо выполнить отслеживание, и щелкните Сохранить.On the Add Windows Registry for Change Tracking, enter the information for the key to track and click Save.

Параметры среды, подстановочные знаки и рекурсияWildcard, recursion, and environment settings

Рекурсия позволяет вам указывать подстановочные знаки для упрощения отслеживания в каталогах и переменные среды, которые позволяют отслеживать файлы в разных средах с несколькими или динамическими именами дисков.Recursion allows you to specify wildcards to simplify tracking across directories, and environment variables to allow you to track files across environments with multiple or dynamic drive names.

  • Для отслеживания нескольких файлов необходимы подстановочные знаки.Wildcards are required for tracking multiple files
  • Подстановочные знаки могут использоваться только в последнем сегменте путиIf using wildcards, they can only be used in the last segment of a path.(например, c:folder*file* или /etc/*.conf)(such as c:folder*file* or /etc/*.conf)
  • Если у переменной среды недопустимый путь, проверка будет успешной, но запуск ресурса по этому пути завершится сбоем.If an environment variable has an invalid path, validation will succeed but that path will fail when inventory runs.
  • При настройке избегайте общих путей, таких как c:*.*, так как это приведет к переходу к большому количеству папок.Avoid general paths such as c:*.* when setting the path, as this would result in too many folders being traversed.

Известные проблемыKnown Issues

В настоящее время известны следующие проблемы решения для отслеживания изменений.The Change Tracking solution is currently experiencing the following issues:

  • Для компьютеров Windows Server 2016 Core RS3 не собираются исправления обновлений.Hotfix updates are not collected on Windows Server 2016 Core RS3 machines.
  • Управляющие программы Linux могут показывать измененное состояние, несмотря на отсутствие изменений.Linux Daemons may show a changed state even though there was no change.Это обусловлено тем, как захватывается поле SvcRunLevels.This is due to how the SvcRunLevels field is captured.

Сведения о сборе данных отслеживания изменений.Change Tracking data collection details

Тип измененияChange type FrequencyFrequency
Реестр WindowsWindows registry 50 минут50 minutes
Файловый ресурс WindowsWindows file 30 минут30 minutes
Файловый ресурс LinuxLinux file 15 минут15 minutes
Службы WindowsWindows services от 10 секунд до 30 минут10 seconds to 30 minutes
Значение по умолчанию: 30 минутDefault: 30 minutes
Управляющие программы LinuxLinux daemons 5 минут5 minutes
Программное обеспечение WindowsWindows software 30 минут30 minutes
Программное обеспечение LinuxLinux software 5 минут5 minutes

Отслеживание изменений с помощью службы автоматизации Azure || Программа отслеживание изменений в реестре

В следующей таблице приведены ограничения по отслеживаемым элементам для одного компьютера при использовании решения «Отслеживание изменений».The following table shows the tracked item limits per machine for Change Tracking.

ПОДРОБНЕЕ:  Приказ о переименовании должности в штатном расписании
РесурсResource ОграничениеLimit ПримечанияNotes
ФайлFile 500500
РеестрRegistry 250250
Программное обеспечение WindowsWindows software 250250 Не содержит исправлений программного обеспеченияDoesn’t include software hotfixes
Пакеты LinuxLinux packages 12501250
СлужбыServices 250250
DaemonDaemon 250250

Средний показатель использования данных Log Analytics для компьютера, использующего решения «Отслеживание изменений» и «Инвентаризация — примерно 40 МБ в месяц.The average Log Analytics data usage for a machine using Change Tracking and Inventory is approximately 40MB per month.Это приблизительное значение, которое может отличаться в зависимости от среды.

Периодичность сбора по умолчанию для служб Windows — 30 минут.The default collection frequency for Windows services is 30 minutes.Чтобы настроить периодичность, перейдите к Отслеживанию изменений.To configure the frequency, go to Change Tracking.В разделе Параметры изменения на вкладке Службы Windows есть ползунок, с помощью которого можно изменить периодичность сбора для служб Windows, выбрав значение от 10 секунд до 30 минут.

Under Edit Settings on the Windows Services tab, there’s a slider that allows you to change the collection frequency for Windows services from as quickly as 10 seconds to as long as 30 minutes.Переместите ползунок к желаемой периодичности, она будет сохранена автоматически.Move the slider bar to the frequency you want and it automatically saves it.

Агент отслеживает только изменения, это позволяет оптимизировать производительность агента.The agent only tracks changes, this optimizes the performance of the agent.Если вы установите высокое пороговое значение, изменения могут быть пропущены, когда служба вернется в исходное состояние.Setting a high threshold may miss changes if the service reverted to their original state.

Примечание

Хотя агент может отслеживать изменения с 10-секундным интервалом, потребуется несколько минут, чтобы данные отобразились на портале.While the agent can track changes down to a 10 second interval, the data still takes a few minutes to be displayed in the portal.В эти несколько минут изменения по-прежнему отслеживаются и записываются.Changes during the time to display in the portal are still tracked and logged.

Целью отслеживания изменений в разделах реестра является точное определение точек расширения, в которых может быть активирован сторонний код или вредоносная программа.The purpose of monitoring changes to registry keys is to pinpoint extensibility points where third-party code and malware can activate.

ПОДРОБНЕЕ:  Программа молодая семья в Москве

Ниже представлен список предварительно настроенных разделов реестра.The following list shows the list of pre-configured registry keys.Эти разделы настроены, но не включены для отслеживания.These keys are configured but not enabled.Чтобы отслеживать эти разделы реестра, необходимо включить каждый из них.To track these registry keys, you must enable each one.

Использование функции отслеживания измененийUse Change Tracking

Отслеживание изменений с помощью службы автоматизации Azure || Программа отслеживание изменений в реестре

После того как решение включено, вы можете просмотреть сводку изменений для ваших отслеживаемых компьютеров, выбрав Отслеживание изменений в разделе Управление конфигурацией в вашей учетной записи автоматизации.After the solution is enabled, you can view the summary of changes for your monitored computers by selecting Change Tracking under CONFIGURATION MANAGEMENT in your Automation account.

Вы можете просмотреть изменения, внесенные на компьютерах, и более подробно рассмотреть каждое событие.You can view changes to your computers and then drill-into details for each event.Вверху диаграммы находятся раскрывающиеся списки. С их помощью можно отфильтровать диаграмму и подробные сведения по типу изменения и диапазону времени.

события, управляющиепрограммы, файлы, Реестр, программное обеспечение, службы Windows.Change Type will be one of the following values Events, Daemons, Files, Registry, Software, Windows Services.Категория показывает тип изменения и может быть добавлен, измененили удален.Category shows you the type of change and can be Added, Modified, or Removed.

https://www.youtube.com/watch?v=ytpressru

Если щелкнуть изменение или событие, появятся подробные сведения об этом изменении.Clicking on a change or event brings up the detailed information about that change.Как видно из примера, тип запуска службы был изменен с «Ручной» на «Автоматический».As you can see from the example, the startup type of the service was changed from Manual to Auto.

Понравилась статья? Поделиться с друзьями:
Adblock
detector