Azure實踐之change tracking監控文件內容

接下來繼續之前給各位介紹的內容，我們接著來談下Azure automation中關于configuration management的內容，上一篇中介紹了關于inventory的應用，通過inventory，可以快速收集Azure與非Azure服務器中的資產信息。

除此之外，configuration management中change tracking也是個非常實用的功能，通過change tracking，我們可以監控到服務器中有哪些內容發生了變更，包括文件系統，windows service, windows注冊表等等，也就是說一旦某個文件，或者service注冊表等狀態發生了變化，那么change tracking就可以捕捉到這種變化，這對于監控某些VM level的信息的話是個很不錯的方案

除了這種監控之外，文件內容同樣可以通過change tracking來監控，比如對于某些非常關鍵的文件，我們不希望有任何非預期的更改，這時候我們就可以通過change tracking監控起來，一旦有任何的更改，都會體現在change tracking中

比如說host文件我們都知道關系到DNS解析，這個是非常關鍵的，我們可以通過change tracking來監控host文件的內容，下邊來看下如何實施吧

首先需要先開啟automation中的change tracking，開啟方法已經在之前的博客中寫到了，需要的可以去看下https://blog.51cto.com/mxyit/2350848

開啟之后，在change tracking里，點擊edit settings

注意在File Content中需要先link一個storage account，這個storage account中會自動創建一個container，同時生成一個SAS URI，這個SAS URI會包含對container的write permission，一個文件被監控之后，如果有變動的話，實際上會被上傳到storage account中存儲，然后進行對比

如果想針對所有現有的已跟蹤文件啟用文件內容跟蹤，可以在“上傳所有設置的文件內容”處選擇“開啟”。

Link之后就可以在File Content里看到關聯的storage account了

之后如果想監控host文件的話，需要添加一個windows file，在path里需要將host文件的path輸入進去，注意這里輸入的是一個通配符的路徑，這樣可以把etc這個文件夾里所有的內容都納入監控范圍內

添加完成后，在windows file里就能夠看到這部分內容了

之后我們嘗試會在etc文件夾下修改host文件，并添加一些其他文件，等待一段時間后，回到change tracking中發現已經可以看到這些變更了

右鍵點擊host文件之后，選擇查看內容變更

可以看到這里會顯著標注出有哪些內容是變更的

找到之前link的storage account可以發現container中可以看到內容了

接下來，如果希望發現變動后，接收一些郵件或者sms的報警，可以再通過alert來實現，在change tracking中點擊log analytics

輸入查詢的內容，點擊run，之后就可以看到之前監控出的內容了，想添加alert的話可以直接點擊new alert rule

點擊之后會直接跳到創建alert頁面，點擊condition

這里添加一個閾值，代表事件發生幾次之后會觸發alert

之后添加好action group，在action group中定義好發送郵件的內容

填寫好alert的一些細節，就可以創建這個alert了

創建完成后，可以在alert rule里看到這些信息了

之后嘗試修改host文件，即可看到郵件已經觸發了！