Windows verificações e políticas padrão

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 10 min. de leitura

    • Agent Client Collector fornece as seguintes verificações e políticas padrão para Windows monitoramento de integridade.

    Windows verificações de monitoramento de eventos

    Tabela 1. Política de eventos do SO Windows
    Verificação Descrição Uso e exemplo Saída
    os.windows.check-event-log Mede o log de eventos Windows em relação aos limites de parâmetro e retorna um evento CRÍTICO\AVISO\OK.
    Uso:
    • -w aviso - Aciona um evento de AVISO se a contagem do log de eventos correspondente ao padrão estiver acima do valor do parâmetro de AVISO especificado no parâmetro de verificação.
    • -c critical - Aciona um evento CRÍTICO se a contagem de log de eventos correspondente ao padrão estiver acima do valor do parâmetro CRÍTICO especificado no parâmetro de verificação.
    • -e event level - Especifica o nível de severidade do evento. Valores possíveis: Informações, Detalhamento, Crítico, Aviso, Erro.
    • -i - ID de evento exclusivo
    • -d - A duração de tempo, em horas, na qual você deseja recuperar eventos do log de eventos Windows.

    Exemplo de uso: winchecks check-windows-event-log -w 5 -c 10 -e "Information" -l "Application" -d 24

    		 Verificar log de eventos OK: o log de eventos que corresponde ao padrão é<matched count>
    os.windows.check-processor-queue-length

    Mede o comprimento da fila do processo em relação aos limites e retorna um evento CRITical\WARNING\OK de acordo com os limites fornecidos nos parâmetros que o acompanham.
    Uso:
    • -w aviso - Aciona um evento de AVISO se a contagem do comprimento da fila do processador que corresponde ao padrão estiver acima do valor do parâmetro de AVISO especificado no parâmetro de verificação.
    • -c critical - Aciona um evento CRÍTICO se a contagem do comprimento da fila do processador que corresponde ao padrão estiver acima do valor do parâmetro CRITICO especificado no parâmetro de verificação.

    Exemplo de uso: winchecks check-windows-processor-queue-length -w 5 -c 10

    		 Tamanho da fila do processador OK: o comprimento da fila do processador é 0,00
    os.windows.check-system-cpu-load

    Verifica a carga da CPU usando typeperf. Mede a carga da CPU em relação aos limites configurados e retorna um evento CRITical\WARNING\OK de acordo com os limites fornecidos nos parâmetros que o acompanham.
    Uso:
    • -w aviso - Aciona um evento de AVISO se a contagem de carga da CPU correspondente ao padrão estiver acima do valor do parâmetro de AVISO especificado no parâmetro de verificação.
    • -c critical - Aciona um evento CRÍTICO se a contagem de carga da CPU correspondente ao padrão estiver acima do valor do parâmetro CRÍTICO especificado no parâmetro de verificação.

    Exemplo de uso: winchecks check-windows-cpu-load -w 85 -c 95

    		 Carga de CPU OK: a utilização total da CPU é de 26,92%
    os.windows.check-system-disk

    Mede a memória física livre em relação aos limites e retorna um evento CRÍTICO\AVISO\OK de acordo com os limites fornecidos nos parâmetros que o acompanham.
    Uso:
    • -w aviso - Aciona um evento de AVISO se a porcentagem do log de eventos correspondente ao padrão estiver acima do valor do parâmetro de AVISO especificado no parâmetro de verificação.
    • -c critical - Aciona um evento CRÍTICO se a porcentagem do log de eventos correspondente ao padrão estiver acima do valor do parâmetro CRÍTICO especificado no parâmetro de verificação.

    Exemplo de uso: winchecks check-windows-disk -w 85 -c 95

    		 Verificação de uso de disco OK: o uso do disco é de %
    os.windows.check-system-memory-percent

    Coleta o uso de RAM. Mede o uso da memória em relação aos limites configurados e retorna um evento CRÍTICO\AVISO\OK de acordo com os limites fornecidos nos parâmetros que o acompanham.

    		 Uso:
    • -w aviso - Aciona um evento de AVISO se a porcentagem de uso de memória correspondente ao padrão estiver acima do valor do parâmetro de AVISO especificado no parâmetro de verificação.
    • -c critical - Aciona um evento CRÍTICO se a porcentagem de uso de memória correspondente ao padrão estiver acima do valor do parâmetro CRÍTICO especificado no parâmetro de verificação.

    Exemplo de uso: winchecks check-windows-ram -w 85 -c 95

    		 Uso de RAM OK: a utilização total da memória é de 84%
    os.windows.check-system-process

    Consulte processos em execução para encontrar processos em execução que correspondam aos argumentos fornecidos (padrão, nome, padrão e nome. Pelo menos um deve ser fornecido). Mede os processos em execução em relação aos limites e filtros configurados, retorna um evento CRÍTICO\AVISO\OK de acordo com os limites fornecidos nos parâmetros que os acompanham.
    Uso:
    • -n name — Nome do executável do processo para verificar a execução do processo.
    • Padrão -p — Padrão (subcadeia de caracteres) a ser pesquisado no comando que invocou o processo. Produz resultados válidos somente se o usuário que executa o agente for proprietário do processo consultado e tiver permissões de exibição para o processo consultado.
    • -w warningover - Aciona um status de AVISO se a consulta retornar mais processos do que os especificados pelo argumento.
    • -W aviso em - Aciona um status de AVISO se a consulta retornar menos processos do que os especificados pelo argumento.
    • -c critover - Aciona um evento CRÍTICO se a consulta retornar mais processos do que os especificados pelo argumento.
    • -C critunder - Aciona um evento CRÍTICO se a consulta retornar menos processos do que os especificados pelo argumento.

    Exemplo de uso: winchecks check-windows-processes -n explorer

    Verificar processo OK:

    OK Encontrado 1 processo correspondente em execução chamado explorador
    os.windows.check-directory Verifica se um diretório Windows existe.

    Uso: -d --directory Caminho para o diretório relevante; use '\' para separação.

    Exemplo de uso: winchecks check-windows-directory -d dir_path

    		 Verificar diretório OK: o diretório 'C:/Usuários/Público' existe
    os.windows.check-pagefile

    Coleta o uso de Pagefile e o compara com os limites AVISO e CRÍTICO.
    Uso:
    • -w aviso - Aciona um evento de AVISO se o uso de Pagefile estiver acima do valor do parâmetro de AVISO especificado no parâmetro de verificação.
    • -c critical - Aciona um evento CRÍTICO se o uso de Pagefile estiver acima do valor do parâmetro CRÍTICO especificado no parâmetro de verificação.

    Exemplo de uso: winchecks check-windows-pagefile -w 75 -c 85

    		 Verificar arquivo de paginação do Windows OK: uso do arquivo de paginação em 31,63%
    os.windows.check-free- Physical-Memory

    Mede a memória física livre em relação aos limites configurados e retorna um evento CRÍTICO\AVISO\OK de acordo com os limites fornecidos nos parâmetros que o acompanham.
    Uso:
    • -w aviso - Aciona um evento de AVISO se a memória física livre estiver abaixo do valor de parâmetro de AVISO especificado no parâmetro de verificação.
    • -c critical - Aciona um evento CRÍTICO se a memória física livre estiver abaixo do valor de parâmetro CRÍTICO especificado no parâmetro de verificação.

    Exemplo de uso: winchecks check-windows-free- Physical-Memory -w 10 -c 5

    		 Memória física livre OK: a memória física livre é 20,25%
    os.windows.check-free-virtual-memory

    Mede a memória virtual livre em relação aos limites configurados e retorna um evento CRÍTICO\AVISO\OK de acordo com os limites fornecidos nos parâmetros que o acompanham.
    Uso:
    • -w aviso — Aciona um evento de AVISO se a memória virtual livre estiver acima do valor do parâmetro de AVISO especificado no parâmetro de verificação.
    • -c critical - Ativará o gatilho de um evento CRÍTICO se a memória virtual livre estiver acima do valor do parâmetro CRÍTICO especificado no parâmetro de verificação.

    Exemplo de uso: winchecks check-windows-free-virtual-memory -w 10 -c 5

    		Memória virtual livre OK: a memória virtual livre é 25,66%
    os.windows.check-process-cpu

    Processa o uso da CPU em relação aos limites configurados e retorna um evento CRITical\WARNING\OK de acordo com os limites fornecidos nos parâmetros que o acompanham.
    Uso:
    • -p processname — Nome do processo para coletar o uso da CPU.
    • -w aviso - Aciona um evento de AVISO se o uso da CPU estiver acima do valor do parâmetro de AVISO especificado no parâmetro de verificação.
    • -c critical - Aciona um evento CRÍTICO se o uso da CPU estiver acima do valor do parâmetro CRÍTICO especificado no parâmetro de verificação.

    Exemplo de uso: winchecks check-windows-process-cpu-p acc -c 95 -w 85

    		Verificar CPU do processo OK: o uso da CPU do processo é de 0,0000%
    os.windows.check-process-memory

    Processa o uso da memória em relação aos limites e retorna um evento CRITical\WARNING\OK de acordo com os limites fornecidos nos parâmetros que o acompanham.
    Uso:
    • -p processname — Nome do processo para coletar o uso da memória.
    • -w aviso - Aciona um evento de AVISO se o uso da memória do processo estiver acima do valor do parâmetro de AVISO especificado no parâmetro de verificação.
    • -c critical - Aciona um evento CRÍTICO se o uso da memória do processo estiver acima do valor do parâmetro CRITICO especificado no parâmetro de verificação.

    Exemplo de uso: winchecks check-windows-process-memory-p acc -c 95 -w 85

    		Verifique a memória do processo OK: o uso da memória do processo é de 0,0149%

    Windows verificações de monitoramento de métrica

    Tabela 2. Política de Métricas do SO Windows
    Verificação Descrição Uso e exemplo Saída
    os.windows.check-processor-queue-length Mede o comprimento da fila do processador.

    Uso: esquema -s - Substitui o nome do host + processo de saída pelo valor fornecido (exemplo: hostname.process)

    Exemplo de uso: comando: winchecks metric-windows-processor-queue-length --scheme hostname.proc

    		 win2019-dc-64bit.cpu.queuelength 0.00 1645371109
    os.windows.check-system-cpu-load Coleta a carga média de CPU por segundo.

    Uso: esquema -s - Substitui o nome do host + processo de saída pelo valor fornecido (exemplo: hostname.process)

    Exemplo de uso: comando: winchecks metric-windows-cpu-load -scheme hostname.proc

    		 win2019-dc-64bit.cpu.loadavgsec 15.07 1645371561
    os.windows.check-system-cpu Coleta a métrica de núcleo da CPU.

    Uso: -s , esquema Substitui hostname+process de saída pelo valor fornecido (exemplo: hostname.process)

    Exemplo de uso: comando: winchecks metric-windows-cpu -scheme hostname.proc

    		 win2019-dc-64bit.cpu.cpu0.cores 2 1645371681
    os.windows.check-system-disk-usage
    Coleta as seguintes métricas de uso de disco:
    • total em GB
    • uso em GB
    • disponível em GB
    • porcentagem usada
    Uso:
    • -i , ignore_mnt: lista separada por vírgulas de pontos de montagem a serem ignorados (:C)
    • -I, include_mnt: lista separada por vírgulas de pontos de montagem a serem incluídos.
    • — esquema, esquema: substitui hostname+process de saída pelo valor fornecido (exemplo: hostname.process).

    Exemplo de uso: comando: winchecks metric-windows-disk-usage-scheme hostname.proc

    win2019-dc-64bit.disk_usage.disk_C.total(GB) 99.40 1645371774

    win2019-dc-64bit.disk_usage.disk_C.used(GB) 50.72 1645371774

    win2019-dc-64bit.disk_usage.disk_C.avail (GB) 48,68 1645371774

    win2019-dc-64bit.disk_usage.disk_C.used_percentage 51.02 1645371774
    os.windows.check-system-memory-percent

    Coleta percentual de uso de RAM, percentual de memória física livre e percentual de memória virtual livre.

    Uso: -s, esquema - Substitui hostname+process de saída pelo valor fornecido (exemplo: hostname.process)

    Exemplo de uso: comando: winchecks metric-windows-disk-usage-scheme hostname.proc

    win2019-dc-64bit.mem.free_ Physical_percentage 13.30 1645371856

    win2019-dc-64bit.mem.free_virtual_percentage 13,93 1645371856

    win2019-dc-64bit.ram.usage_percentage 86.07 1645371856
    os.windows.check-system-network Coleta as seguintes métricas de adaptador de rede ativo:
    • Total de bytes por segundo
    • Pacotes/segundo
    • Pacotes recebidos por segundo
    • Pacotes enviados por segundo
    • Largura de banda atual
    • Bytes recebidos por segundo
    • Pacotes recebidos em unicast por segundo
    • Pacotes recebidos não unicast por segundo
    • Pacotes recebidos descartados
    • Erros recebidos de pacotes
    • Pacotes recebidos desconhecidos
    • Bytes enviados por segundo
    • Pacotes enviados em unicast por segundo
    • Pacotes enviados não unicast por segundo
    • Pacotes de saída descartados
    • Erros de saída de pacotes
    • Tamanho da fila de saída
    • Conexões descarregadas
    • Conexões RSC ativas de TCP
    • Pacotes TCP RSC aglutinados por segundo
    • Exceções TCP RSC por segundo

    • Tamanho médio do pacote TCP RSC

    Uso: esquema -s: substitui o nome do host + processo de saída pelo valor fornecido (exemplo: hostname.process)

    Nome de uso: comando: winchecks metric-windows-network --scheme hostname.proc

    win2019-dc-64bit.system.network.Network_Interface(Intel[R]_82574L_Gigabit_Network_Connection).<metric name><metric value> Total de bytes/segundo 98742,67 1645372042

    Por exemplo: win2019-dc-64bit.system.network.Network_Interface(Intel[R]_82574L_Gigabit_Network_Connection).Bytes_Total/sec 98742.67 1645372042
    os.windows.check-system-uptime Coleta o tempo de atividade do sistema.

    Uso: -s, esquema - Substitui hostname+process de saída pelo valor fornecido (exemplo: hostname.process)

    Exemplo de uso: comando: winchecks metric-windows-uptime --scheme hostname.proc

    		 win2019-dc-64bit.system.uptime(sec) 4614142.06 1645372124
    os.windows.check-system-disk Coleta as seguintes métricas de disco:
    • AvgDiskSecPerRead
    • AvgDiskSecPerWrite
    • DiskReadBytesPerSec
    • DiskWriteBytesPerSec

    Uso:

    • -i, ignore_mnt — Lista separada por vírgulas de pontos de montagem a serem ignorados (:C)
    • -I, include_mnt — Lista separada por vírgulas de pontos de montagem a serem incluídos.
    • — esquema, esquema - Substitui hostname+process de saída pelo valor fornecido (exemplo: hostname.process).

    Exemplo de uso: command: winchecks metric-windows-disk

    win2019-dc-64bit.disk._total.AvgDisksec/Read 0.000000 1645372198

    win2019-dc-64bit.disk._total.AvgDisksec/Write 0.000608 1645372198

    win2019-dc-64bit.disk._total.DiskReadBytes/s 0.000000 1645372198

    win2019-dc-64bit.disk._total.DiskWriteBytes/s 34941.692255 1645372198

    win2019-dc-64bit.disk.C.AvgDisksec/Read 0.000000 1645372200

    win2019-dc-64bit.disk.C.AvgDisksec/Write 0.000000 1645372200

    win2019-dc-64bit.disk.C.DiskReadBytes/s 0,000000 1645372200

    win2019-dc-64bit.disk.C.DiskWriteBytes/s 0,000000 1645372200
    os.windows.check-system-memory Coleta as seguintes métricas de disco:
    • FreePhysicalMemory
    • TotalMemória física
    • FreeVirtualMemory
    • TotalVirtualMemorySize
    • MemóriaDisponível
    • TotalVisibleMemorySize

    Uso: -s, esquema - Substitui hostname+process de saída pelo valor fornecido (exemplo: hostname.process)

    Exemplo de uso: comando: winchecks metric-windows-memory --scheme hostname.proc

    win2019-dc-64bit.mem.free_ Physical (KB) 1175440.00 1645372274

    win2019-dc-64bit.mem.total_ Physical (KB) 8588898304.00 1645372274

    win2019-dc-64bit.mem.free_virtual(KB) 1747636.00 1645372274

    win2019-dc-64bit.mem.total_virtual(KB) 12263156.00 1645372274

    win2019-dc-64bit.mem.available (KB) 1202032640.00 1645372274

    win2019-dc-64bit.mem.total_visible (KB) 8387596.00 1645372274
    os.windows.check-process-status Coleta o status do processo do Windows com dados de CPU e memória usados pelo processo.

    Uso:

    • -n, process — Nome do processo para coletar a métrica de status.
    • — esquema, esquema - Substitui hostname+process de saída pelo valor fornecido (exemplo: hostname.process).

    win2019-dc-64bit.Process.Status 67 1645372421

    win2019-dc-64bit.Process.CpuPercent 0 1645372421

    win2019-dc-64bit.Process.Memory(KB) 1226444 1645372421