Agent Client Collector para Visibilidade verificações e políticas padrão

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Agent Client Collector para Visibilidade fornece várias verificações e políticas, bem como uma regra de negócio.

    Política

    Existem quatro políticas para o ACC-V: Enhanced Discovery, Windows SAM Discovery, Windows SAM backgrounde Software installed.
    Nota:
    As políticas do ACC-V são executadas com uma frequência de uma vez por dia. O total de dados ingeridos seria de aproximadamente 572 KB. Isso leva em consideração uma média de aproximadamente 1.500 aplicativos de software instalados e aproximadamente 500 processos em execução, exceto dados de IC, por máquina.
    Política de Descoberta aprimorada
    Esta política é executada fora de uma programação, que tem como padrão 24 horas (86.400 segundos). O intervalo da política pode ser ajustado, por exemplo, para ser executado a cada 4 horas (defina o intervalo como 14400). A configuração da política do ACC-V é sincronizada com todos os agentes com base no filtro de política definido pelo ACC-V. Atualize as seguintes propriedades do sistema ACC-F, se necessário:
    • [sn_agent.disco_minimum_threshold_for_rediscovery_minutes]: para evitar a descoberta do sistema com muita frequência.
    • [sn_agent.disco_disable_ci_clobber_of_agentless_disco]: para evitar Descoberta conflitos.
    • [sn_agent.disco_ci_clobber_of_agentless_disco_threshold_days]: para evitar Descoberta conflitos.
    Windows Política de descoberta do SAM
    Esta política é responsável por capturar o software instalado em qualquer dispositivo de endpoint Windows, como desktops [ Windows ou servidores Linux e Windows.
    Windows Política em segundo plano do SAM
    Esta política habilita um trabalho em segundo plano para processar os logs do Osqueryd para SAM em Windows dispositivos de endpoint.
    Política de software instalado
    Esta política é responsável por capturar o software instalado em todos os dispositivos, exceto para Windows dispositivos de endpoint. Os dados coletados são armazenados na tabela [cmdb_sam_sw_install]. A política de software instalado está programada para ser executada a cada 24 horas.
    Nota:
    Windows dispositivos de endpoint incluem dispositivos que têm um sistema operacional Windows e pertencem ao computador de classe.

    Consulte Propriedades do sistema para obter mais detalhes. Para obter mais detalhes sobre políticas, consulte Verificações e políticas.

    Tipo de verificação

    O ACC-V tem três tipos de verificação: EnhancedDiscovery, SAM Advanced Discoverye Installed Software.
    EnhancedDiscovery
    Este tipo de verificação é responsável por invocar a inclusão de script EnhancedDiscoveryHandler que processa a carga produzida por endpoint_discovery.rb conforme executada pelo ACC.
    SAM Advanced Discovery
    Este tipo de verificação é para a Windows política de descoberta do SAM que invoca a inclusão de script EnhancedDiscoveryHandler para processar os dados do SAM produzidos pelo arquivo sam_advanced.rb.
    Installed Software
    Este tipo de verificação para o Software installed policy que invoca a inclusão de script EnhancedDiscoveryHandler para processar os dados do software instalado produzidos pelo arquivo install_software.rb.

    Verificar definição

    Há quatro definições de verificação que são usadas pelas quatro políticas do ACC-V.
    Descoberta aprimorada
    Esta configuração de política é sincronizada com todos os agentes com base no filtro de política definido pelo ACC-V. A definição de verificação está configurada para ser executada com determinados ativos e determina o que é sincronizado entre o agente e o MID Server. Para obter mais detalhes sobre políticas, consulte Verificações e políticas.
    Nota:
    Para que o agente recupere os números de série do SO e as conexões TCP junto com os processos em execução associados, o acesso sudo para "dmidecode" e "ss" é necessário nos sistemas Linux. Por exemplo, este conteúdo pode ser adicionado a /etc/sudoers ou a um arquivo individual em /etc/sudoers.d/: 
    Cmnd_Alias AGENT_ACC_V = /usr/sbin/dmidecode,/usr/sbin/ss
servicenow ALL=(root) NOPASSWD:AGENT_ACC_V
    Windows – Verificação de log em segundo plano do SAM
    O log de definição de verificação é executado a cada 8 minutos e executa a agregação em linha de dados gerados a partir de logs do Osqueryd. Depois de coletar os dados, ele grava todos os resultados de dados intermediários em um arquivo de marcador temporário que é reutilizado na próxima execução. Essa reutilização limita o número de arquivos de log e o espaço em disco necessários nos sistemas de destino.
    Nota:
    Você pode notar um pico no consumo de recursos do sistema, já que a verificação de agregação em segundo plano é executada a cada intervalo.
    Windows – Instalações de software e métricas de uso

    Esta definição de verificação coleta os dados a cada 24 horas.

    Software instalado
    Esta definição de verificação busca dados de software instalado para todos os dispositivos que não sejam Windows dispositivos de endpoint.

    Regra de negócios

    A regra de negócio Enhanced Discovery – On CI Delete aciona a Verificação de descoberta de endpoint quando o IC associado a um determinado IC é excluído de sn_agent_cmdb_ci_agent.