Agent Client Collector Visibility – Standardprüfungen und Richtlinien

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Agent Client Collector Visibility bietet verschiedene Prüfungen und Richtlinien sowie eine Geschäftsregel.

    Richtlinie

    Es gibt vier Richtlinien für ACC-V: Enhanced Discovery, Windows SAM Discovery, Windows SAM background und Software installed.
    Hinweis:
    ACC-V-Richtlinien werden einmal pro Tag ausgeführt. Die insgesamt erfasste Datenmenge beträgt etwa 572 KB. Dabei werden durchschnittlich etwa 1.500 installierte Softwareanwendungen und etwa 500 laufende Prozesse (mit Ausnahme von CI-Daten) pro Computer berücksichtigt.
    Erweiterte Discovery-Richtlinie
    Diese Richtlinie wird nach einem Zeitplan ausgeführt, der standardmäßig auf 24 Stunden (86.400 Sekunden) festgelegt ist. Das Richtlinienintervall kann angepasst werden, z. B. so, dass es alle 4 Stunden ausgeführt wird (setzen Sie das Intervall auf 14.400). Die ACC-V-Richtlinienkonfiguration wird auf Grundlage des von ACC-V definierten Richtlinienfilters mit allen Agents synchronisiert. Aktualisieren Sie bei Bedarf die folgenden ACC-F-Systemeigenschaften:
    • [sn_agent.disco_minimum_threshold_for_rediscovery_minutes]: um zu vermeiden, dass das System zu häufig erkannt wird.
    • [sn_agent.disco_disable_ci_clobber_of_agentless_disco]: um Discovery-Konflikte zu vermeiden.
    • [sn_agent.disco_ci_clobber_of_agentless_disco_threshold_days]: um Discovery-Konflikte zu vermeiden.
    Windows-SAM-Discovery-Richtlinie
    Diese Richtlinie ist für die Erfassung der Software verantwortlich, die auf einem beliebigen Windows-Endpunktgerät installiert ist, z. B. auf Windows-Desktops oder Linux- und Windows-Servern.
    Windows-SAM-Hintergrundrichtlinie
    Diese Richtlinie ermöglicht einen Hintergrundauftrag für die Verarbeitung der Osqueryd-Protokolle für SAM auf Windows-Endpunktgeräten.
    Richtlinie für installierte Software
    Diese Richtlinie ist für die Erfassung der Software verantwortlich, die auf allen Geräten außer Windows-Endpunktgeräten installiert ist. Die erfassten Daten werden in der Tabelle [cmdb_sam_sw_install] gespeichert. Die Richtlinie für installierte Software wird planmäßig alle 24 Stunden ausgeführt.
    Hinweis:
    Windows-Endpunktgeräte umfassen Geräte mit einem Windows-Betriebssystem, die zur Klasse „Computer“ gehören.

    Weitere Informationen finden Sie unter Systemeigenschaften. Weitere Einzelheiten zu Richtlinien finden Sie unter Prüfungen und Richtlinien.

    Prüfungstyp

    Für ACC-V gibt es drei Überprüfungstypen: EnhancedDiscovery, SAM Advanced Discovery und Installed Software.
    EnhancedDiscovery
    Dieser Überprüfungstyp ist für den Aufruf der Skripteinbindung EnhancedDiscoveryHandler verantwortlich, die die von endpoint_discovery.rb generierte Nutzlast verarbeitet, wie sie von ACC ausgeführt wird.
    SAM Advanced Discovery
    Dieser Überprüfungstyp ist für die SAM-Discovery-Richtlinie für Windows vorgesehen, nach der die Skripteinbindung EnhancedDiscoveryHandler zur Verarbeitung der SAM-Daten aufgerufen wird, die von der Datei sam_advanced.rb erzeugt werden.
    Installed Software
    Dieser Überprüfungstyp ist für die Software installed policy vorgesehen, nach der die Skripteinbindung EnhancedDiscoveryHandler zur Verarbeitung der Daten über die installierte Software aufgerufen wird, die von der Datei installed_software.rb erzeugt werden.

    Prüfungsdefinition

    Es gibt vier Prüfungsdefinitionen, die von den vier ACC-V-Richtlinien verwendet werden.
    Erweiterte Erkennung
    Diese Richtlinienkonfiguration wird auf Grundlage des von ACC-V definierten Richtlinienfilters mit allen Agents synchronisiert. Die Prüfungsdefinition ist so konfiguriert, dass sie mit bestimmten Assets ausgeführt wird, und bestimmt, was zwischen dem Agent und MID-Serversynchronisiert wird. Weitere Einzelheiten zu Richtlinien finden Sie unter Prüfungen und Richtlinien.
    Hinweis:
    Damit der Agent die Betriebssystem-Seriennummern und TCP-Verbindungen mit zugehörigen laufenden Prozessen abrufen kann, ist auf Linux-Systemen sudo-Zugriff für „dmidecode“ und „ss“ erforderlich. Zum Beispiel kann dies zu /etc/sudoers oder zu einer einzelnen Datei in /etc/sudoers.d/ hinzugefügt werden: 
    Cmnd_Alias AGENT_ACC_V = /usr/sbin/dmidecode,/usr/sbin/ss
servicenow ALL=(root) NOPASSWD:AGENT_ACC_V
    Windows – SAM-Hintergrundprotokollprüfung
    Das Prüfungsdefinitionsprotokoll wird alle 8 Minuten ausgeführt; von dieser Funktion wird eine Inline-Zusammenfassung der aus Osqueryd-Protokollen generierten Daten durchgeführt. Nach dem Sammeln der Daten werden alle Zwischendatenergebnisse in eine temporäre Markierungsdatei geschrieben, die bei der nächsten Ausführung wiederverwendet wird. Diese Wiederverwendung begrenzt die Anzahl der Protokolldateien und den erforderlichen Speicherplatz auf den Zielsystemen.
    Hinweis:
    Möglicherweise stellen Sie einen Anstieg des Systemressourcenverbrauchs fest, da die Hintergrundüberprüfung der Zusammenfassung in jedem Intervall ausgeführt wird.
    Windows – Softwareinstallationen und Nutzungsmetriken

    Diese Prüfungsdefinition erfasst die Daten alle 24 Stunden.

    Installierte Software
    Von dieser Prüfungsdefinition werden Daten zu installierter Software für alle Geräte mit Ausnahme von Windows-Endpunktgeräten abgerufen.

    Business Rule

    Die Geschäftsregel Enhanced Discovery – On CI Delete löst die Endpunkterkennungsprüfung aus, wobei das einem bestimmten CI zugeordnete CI aus sn_agent_cmdb_ci_agent gelöscht wird.