Azure实践之change tracking监控文件内容

接下来继续之前给各位介绍的内容，我们接着来谈下Azure automation中关于configuration management的内容，上一篇中介绍了关于inventory的应用，通过inventory，可以快速收集Azure与非Azure服务器中的资产信息。

除此之外，configuration management中change tracking也是个非常实用的功能，通过change tracking，我们可以监控到服务器中有哪些内容发生了变更，包括文件系统，windows service, windows注册表等等，也就是说一旦某个文件，或者service注册表等状态发生了变化，那么change tracking就可以捕捉到这种变化，这对于监控某些VM level的信息的话是个很不错的方案

除了这种监控之外，文件内容同样可以通过change tracking来监控，比如对于某些非常关键的文件，我们不希望有任何非预期的更改，这时候我们就可以通过change tracking监控起来，一旦有任何的更改，都会体现在change tracking中

比如说host文件我们都知道关系到DNS解析，这个是非常关键的，我们可以通过change tracking来监控host文件的内容，下边来看下如何实施吧

首先需要先开启automation中的change tracking，开启方法已经在之前的博客中写到了，需要的可以去看下https://blog.51cto.com/mxyit/2350848

开启之后，在change tracking里，点击edit settings

注意在File Content中需要先link一个storage account，这个storage account中会自动创建一个container，同时生成一个SAS URI，这个SAS URI会包含对container的write permission，一个文件被监控之后，如果有变动的话，实际上会被上传到storage account中存储，然后进行对比

如果想针对所有现有的已跟踪文件启用文件内容跟踪，可以在“上传所有设置的文件内容”处选择“开启”。

Link之后就可以在File Content里看到关联的storage account了

之后如果想监控host文件的话，需要添加一个windows file，在path里需要将host文件的path输入进去，注意这里输入的是一个通配符的路径，这样可以把etc这个文件夹里所有的内容都纳入监控范围内

添加完成后，在windows file里就能够看到这部分内容了

之后我们尝试会在etc文件夹下修改host文件，并添加一些其他文件，等待一段时间后，回到change tracking中发现已经可以看到这些变更了

右键点击host文件之后，选择查看内容变更

可以看到这里会显著标注出有哪些内容是变更的

找到之前link的storage account可以发现container中可以看到内容了

接下来，如果希望发现变动后，接收一些邮件或者sms的报警，可以再通过alert来实现，在change tracking中点击log analytics

输入查询的内容，点击run，之后就可以看到之前监控出的内容了，想添加alert的话可以直接点击new alert rule

点击之后会直接跳到创建alert页面，点击condition

这里添加一个阈值，代表事件发生几次之后会触发alert

之后添加好action group，在action group中定义好发送邮件的内容

填写好alert的一些细节，就可以创建这个alert了

创建完成后，可以在alert rule里看到这些信息了

之后尝试修改host文件，即可看到邮件已经触发了！