Discovery-Klassifizierer

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Ein Klassifizierer teilt Discovery mit, welche Probes für die Identifizierungs- und Erkundungsphase der Erkennung ausgelöst werden sollen. Klassifizierer können auch die Probe „Horizontal Pattern“ auslösen, der anstelle von zusätzlichen Probes ein Muster für die Identifizierung und Erkundung startet.

    Im Wesentlichen startet der Klassifizierer die Identifizierungsphase. Diese wird von Discovery verwendet, nachdem die Klassifizierungs-Probe wichtige Parameter an die Instanz zurückgegeben hat, die Discovery mitteilen, was als Nächstes zu tun ist.

    In den meisten Fällen ist es nicht erforderlich, einen Klassifizierer zu erstellen oder einen Klassifizierer zu ändern. Wenn Sie jedoch Probleme mit der horizontalen Erkennung haben, sollten Sie gegebenenfalls die Bedingungen überprüfen, die bestimmen, wann ein Klassifizierer basierend auf den Parametern, die die Klassifizierungs-Probe an die Instanz zurückgibt, ausgeführt wird. Oder wenn Sie eine neue Art von CI erkennen möchten, die Discovery noch nicht erkennt, können Sie einen eigenen Klassifizierer erstellen.

    Klassifizierung von Geräten, Prozessen und IP-Adressen

    Die Discovery-Klassifizierung lässt sich in drei Typen unterteilen: Geräteklassifizierung, Prozessklassifizierung und IP-Adressklassifizierung (bzw. IP-Scan-Klassifizierung):
    Geräteklassifizierung
    Die Klassifizierung der tatsächlichen Gerätetypen, zum Beispiel ein Computer mit Windows, ein Computer mit einer Flavour-Version oder UNIX oder LINUX, ein Router, ein Switch oder ein Lastenausgleichsmodul usw.

    Wenn Discovery ein Computer-CI erkennt, wird eine aktive Prozess-Probe ausgelöst, um die Erkundung des Computer-CI voranzutreiben. Discovery vergleicht die Ergebnisse der aktiven Prozess-Probe mit den Prozessklassifizierungsbedingungen, um festzustellen, ob eine Übereinstimmung vorliegt.

    Abbildung : 1. Workflow der Klassifizierung von Computer-CIs
    CI-Klassifizierungs-Workflow

    Ab dem Madrid-Release kann der horizontale Erkennungsprozess Geräte mit HTTP klassifizieren.

    Von allen Protokollen, die Discovery verwenden (einschließlich WMI, SSH und SNMP), hat HTTP standardmäßig die niedrigste Priorität. Discovery verwendet die HTTP-Klassifizierung nur unter folgenden Umständen:
    • Shazzam stellt fest, dass die Ports für den HTTP- (80) - und HTTPS-Verkehr (443) offen sind.
    • Der horizontale Erkennungsprozess schlägt für die Port-Sonden mit höherer Priorität (WMI, SSH und SNMP) fehl, wenn die Ports für diese Protokolle nicht geöffnet sind oder wenn die Erkennung dieser Protokolle fehlschlägt. Der horizontale Erkennungsprozess kann beispielsweise fehlschlagen, wenn SSH- und SNMP-Anmeldeinformationen nicht konfiguriert oder falsch sind.
      Hinweis:
      Siehe Port-Sonden für weitere Informationen zur Funktionsweise von Port-Scanning und die Prioritäten der verschiedenen Protokolle.
    Die HTTP-Klassifizierung startet die Sonde HTTP Klassifizierung, um das Gerät zu klassifizieren. Die Sonde HTTP - Klassifizierung führt eine GET-Anforderung für jedes Gerät für jede HTTP-Klassifizierung aus. Die URL der Anfrage setzt sich wie folgt zusammen: PROTOCOL://IP:PORT/PATH, wobei Folgendes gilt:

    Weitere Informationen zu Port-Probes finden Sie unter Port-Sonden. Anweisungen zum Erstellen eines HTTP-Klassifizierern finden Sie unter HTTP-Klassifizierung erstellen.

    Prozessklassifizierung
    Das ist die Klassifizierung von Anwendungen basierend auf laufenden Prozessen.

    Nachdem Geräte in der Tabelle „Computer“ [cmdb_ci_computer] und deren Erweiterungen identifiziert wurden, klassifiziert Discovery Prozesse während der letzten Phase der Erkennung: der Erkundungsphase. Genau wie in der Geräteklassifizierung gibt es auch in der Prozessklassifizierung eigene Klassifizierungskriterien und die Möglichkeit, Probes zu starten. Im Gegensatz zur Geräteklassifizierung werden jedoch bei der Prozessklassifizierung untergeordnete Konfigurationselemente (CIs) mit Beziehungen der Art Wird ausgeführt auf::Wird ausgeführt erstellt. Standardmäßig enthält Discovery Klassifizierungen für die gängigsten Prozesse.

    Wenn ein Prozess den Klassifizierungskriterien entspricht, legt Discovery fest, ob das Prozess-Handler-Skript ausgeführt werden soll. Dieses Skript ändert die Parameterdaten, um Discovery dabei zu unterstützen zu erkennen, ob der Prozess ein vorhandenes oder neues Anwendungs-CI darstellt. Noch vor der Prozessklassifizierung verhindern Discovery-Prozess-Handler die Erstellung doppelter CIs, indem Parameter herausgefiltert werden, von denen bekannt ist, dass sie inkonsistente Werte enthalten. Jedes Mal, wenn Discovery ein Anwendungs-CI hinzufügt oder aktualisiert, wird auch die Zuordnung von Anwendungsabhängigkeiten des Anwendungs-CI von anderen CIs in der CMDB bestimmt.

    Abbildung : 2. Workflow der Klassifizierung von Prozessen
    Workflow der Klassifizierung von Prozessen
    IP-Adressklassifizierung (IP-Scan)

    Die Erkennung von IP-Adressen erfolgt ohne Anmeldeinformationen, was bedeutet, dass Geräte und Software nur anhand der gefundenen offenen Ports und Banner identifiziert werden, ohne dass Sie Anmeldeinformationen erstellen müssen. Wenn die Klassifizierungskriterien für ein Gerät im IP-Scan-Modus erfüllt sind, aktualisiert Discovery automatisch das CI in der CMDB. Nachdem ein Gerät ordnungsgemäß klassifiziert wurde, startet Discovery die für diese Geräteklasse konfigurierten Erkundungs-Probes und beginnt mit der Erfassung detaillierter Informationen über das CI.

    Im Discovery-Standardsystem löst die Linux-Klassifizierung elf Erkundungs-Probes aus, die Informationen wie Datenträgergröße, Arbeitsspeicher und die Anzahl der aktuellen Verbindungen zurückgeben. Die Daten dieser Probes werden zu unterschiedlichen Zeiten zurückgegeben und in der ECC-Warteschlange gespeichert, bis die Verarbeitung abgeschlossen ist.

    Dieses Diagramm zeigt den Verarbeitungsablauf für die Klassifizierung und Überprüfung von Geräten mit einem IP-Scan (keine Bezeichner):
    Abbildung : 3. IP-Scan-Klassifizierung
    IP-AC-Klassifizierung

    Unter Klassifizierung für Erkennung von IP-Adressen finden Sie weitere Details zu den Parametern, die Klassifizierern für diesen Typ von Erkennung zur Verfügung stehen.

    Klassifiziererkriterien

    Klassifizierer stellen auch Kriterien bereit, mit denen Sie angeben können, wann Discovery den Klassifizierer unter den von Ihnen definierten Bedingungen verwenden soll. Die Kriterien basieren auf den Parametern, die eine Klassifizierer-Probe an Discovery zurückgibt. Kriterien werden mit dem Parameter, einem Operator und einem Wert erstellt.

    Hinweis:
    Bei Bedingungsfiltern in Prozessklassifizierungen wird die Groß- und Kleinschreibung beachtet.

    Klassifizierer und Muster

    Zur Identifizierung und Erkundung von CIs kann Discovery anstelle von Probes auch Muster verwenden. Discovery löst Muster über die Probe „Horizontal Discovery“ aus, die für einen Klassifizierer angegeben werden kann. Sie können eigene Muster erstellen und über die Probe „Horizontal Discovery“ einem Klassifizierer hinzufügen. Anweisungen dazu finden Sie unter Probe „Horizontal Pattern“ einem Klassifizierer hinzufügen. Möglicherweise verwenden Sie bereits eines der vordefinierten Muster, die mit Discovery bereitgestellt werden. Sie können dies überprüfen, indem Sie im Klassifizierer überprüfen, ob die Probe „Horizontal Pattern“ angegeben ist.

    Debugging-Informationen zur Klassifizierung protokollieren

    Fügen Sie die folgende Systemeigenschaft hinzu, um Debugging-Informationen zu Klassifizierungen zu protokollieren. Die resultierenden Protokolleinträge listen den Namen jedes ausgeführten Klassifizierers auf sowie alle Namen und Werte, die den Kriterien im Klassifizierer zur Verfügung stehen.
    Systemeigenschaft Beschreibung
    glide.discovery.debug.classification Aktiviert Debugging-Informationen für die Prozessklassifizierung.
    • Typ: true | false
    • Standardwert: false
    • Speicherort: Der Tabelle „Systemeigenschaften“ [sys_properties] hinzufügen

    Möglichkeiten der Discovery-Klassifizierung

    • Erstellen oder ändern Sie einen Erkennungsklassifizierer, wenn Sie CIs klassifizieren möchten, die von Discovery noch nicht klassifiziert werden, oder wenn Sie andere Probes auslösen möchten, die sich noch nicht in einem Klassifizierer befinden. Sie können Klassifizierer ändern, die Discovery für die Standard-CI-Erkennung, für Prozessklassifizierer für Anwendungen und für Klassifizierer basierend auf IP-Adress-Scans verwendet.

      Bevor Sie Klassifizierer ändern, prüfen Sie die Parameter, die für jeden Klassifizierertyp verfügbar sind.

    • Wenn sich Windows-Computer in Ihrem Netzwerk befinden, können Sie anstelle von WMI das WinRM-Protokoll verwenden, um für eine effizientere Datenübertragung und Ausführung von Remotebefehlen zu sorgen. Standardmäßig verwendet Discovery WMI. Anweisungen zu den Klassifiziereränderungen, die Sie mit WinRM vornehmen können, finden Sie unter Windows-Remoteverwaltung für Klassifizierung verwenden.
    • Wenn Sie Windows-Computer haben, die als Server fungieren, und Sie möchten, dass sie nach ihrer Funktion und nicht nach dem Betriebssystem klassifiziert werden, können Sie die Kriterien des Klassifizierers „Windows“ ändern. Anweisungen dazu finden Sie unter Neuklassifizierung von Windows Workstation-Computers als Server.