에이전트 클라이언트 수집기 for Visibility 참조
OS 쿼리 스크립트, 수집된 데이터 및 용어 정의에 대해 자세히 알아보려면 이 정보를 검토하십시오.
ACC-V용 OS 모듈 스크립트
이러한 플랫폼별 플러그인은 플랫폼별 모듈 스크립트를 호출합니다. 각 스크립트는 플랫폼에 관계 없이 표준 JSON 페이로드로 출력됩니다.
| 운영 체제 제품군/플러그인 | 모듈 스크립트의 이름 |
|---|---|
Linux: acc-f-modules |
basic_inventory.rb(ACC-F 버전 2.10.1부터는 사용되지 않습니다.) |
| data_collection.rb | |
| running_processes.rb | |
| tcp_connections.rb | |
Windows: acc-f-modules |
basic_inventory.rb(ACC-F 버전 2.10.1부터는 사용되지 않습니다.) |
| data_collection.rb | |
| running_processes.rb | |
| tcp_connections.rb | |
macOS 운영 체제: acc-f-modules |
basic_inventory.rb(ACC-F 버전 2.10.1부터는 사용되지 않습니다.) |
| running_processes.rb | |
| tcp_connections.rb | |
| Linux: acc-visibility-modules |
installed_software.rb |
| file_systems.rb | |
| storages_devices.rb(물리적 디스크와 해당 디스크 파티션만 가져오도록 지원) | |
| network_adapters.rb | |
| local_users.rb | |
| enhanced_inventory.rb | |
| cloud.rb | |
| Windows: acc-visibility-modules |
installed_software.rb |
| file_systems.rb | |
| storages_devices.rb(물리적 디스크와 해당 디스크 파티션만 가져오도록 지원) | |
| network_adapters.rb | |
| local_users.rb | |
| enhanced_inventory.rb | |
| cloud.rb | |
| sam_advanced.rb | |
| sam_processor.rb | |
| intel_ema.rb | |
| macOS 운영 체제: acc-visibility-modules |
installed_software.rb |
| file_systems.rb | |
| storages_devices.rb(물리적 디스크와 해당 디스크 파티션만 가져오도록 지원) | |
| network_adapters.rb | |
| local_users.rb | |
| enhanced_inventory.rb | |
| cloud.rb |
주:
running_processes.rb와 tcp_connections.rb는 상호 의존적입니다. 검색의 효율성을 위해 tcp_connections.rb와 running_processes.rb를 둘 다 함께 유지해야 합니다. 완전한 데이터를 얻으려면 두 파일이 모두 필요합니다. 하나가 없는 경우 다른 데이터가 채워지지 않습니다.
macOS에서 모든 running_processes 대한 정보를 가져오려면 osquery에 대한 sudo 액세스 권한을 제공해야 합니다. 이 구성이 지정되지 않은 경우 running_processes.rb는 _servicenow 사용자가 트리거하는 항목만 가져옵니다. tcp_connections.rb의 경우 sudoers 파일에 'sudo lsof' 명령을 추가해야 합니다. 그렇게 하지 않으면 tcp_connections.rb는 _servicenow 사용자가 트리거하는 항목만 가져옵니다.
수집된 데이터
ACC-V는 컴퓨터 또는 서버로 분류하는 데 IP 기반 검색와 동일한 분류 기준을 사용합니다. 수집된 데이터의 하위 집합에는 다음과 같은 범주가 포함됩니다.
- 기본 인벤토리 - ACC-F 버전 2.10.1부터는 사용되지 않습니다.
- 데이터 수집 - 호스트 CI의 분류 및 식별에 필요한 데이터를 수집합니다. 여기에는 호스트 이름, 일련 번호 및 OS 정보가 포함됩니다.
- 설치된 소프트웨어 – cmdb_sam_sw_install(SAM이 활성화된 경우) 및 cmdb_software_instance(SAM이 활성화되지 않은 경우)
- 파일 시스템 – cmdb_ci_file_system
- 저장소 장치 – cmdb_ci_disk 및 cmdb_ci_storage_device
- 일련 번호 – cmdb_serial_number
- 네트워크 어댑터 – cmdb_ci_network_adapter 및 cmdb_ci_ip_address
- TCP 연결 – cmdb_tcp
- 실행 중인 프로세스 – cmdb_running_process(또한 ACC-V는 실행 중인 프로세스를 분류하고 가능한 경우 cmdb_ci_appl에 애플리케이션 CI를 만듦)
- 로컬 사용자 – cmdb_os_user(local_user라는 새 모듈을 추가하여 ACC-V가 지원하는 모든 운영 체제의 로컬 사용자를 채움)
- 향상된 인벤토리 – 고유 호스트를 식별하는 데 필요하지 않은 향상된 데이터(예: CPU 정보, start_date, object_id)를 수집합니다.
에이전트 클라이언트 수집기 용어
- 에이전트 클라이언트 수집기 (ACC)
- MID 서버와 통신하는 대상 호스트에 설치된 소프트웨어 구성요소로 에이전트라고도 합니다. 이 구성요소는 ServiceNow에서 Sensu-Go를 본 따서 만든 것입니다.
- 에이전트 클라이언트 수집기 Framework (ACC-F)
- ACC를 활용하고 핵심 기능(검사 유형, 검사 정의, 정책 등)을 제공하여 ACC-M, ACC-V를 비롯한 다른 ACC 범위가 지정된 애플리케이션을 활성화하는 ServiceNow 기반의 범위가 지정된 애플리케이션입니다.
- 에이전트 클라이언트 수집기 모니터링(ACC-M)
- 사용 사례 모니터링을 지원하는 ServiceNow의 범위가 지정된 애플리케이션입니다.
- 에이전트 클라이언트 수집기 for Visibility (ACC-V)
- ACC 및 ACC-F를 활용하여 푸시 기반 검색를 구현하는 ServiceNow의 범위가 지정된 애플리케이션입니다.
- 수평 IP 기반 검색
- ACC-V 이전에 고객에게 제공되는 기존 검색입니다. MID 서버에서 프로브와 패턴을 통해 플러그인을 검색하며 검색 플러그인이 있어야 합니다.
- 모듈
- 검색의 일부로 채워지는 검색된 데이터의 하위 집합입니다. 모듈의 예로는 데이터 수집, 설치된 프로세스, 일련 번호, 파일 시스템, 저장소 장치, 네트워크 어댑터, 실행 중인 프로세스 및 TCP 연결이 있습니다.
- 푸시 기반 검색
- 대상 호스트에서 데이터를 직접 푸시하면 ACC, ACC-F, ACC-V 및 MID 서버를 통해 데이터를 검색합니다. 검색는 검색 일정에 특정 IP 범위를 구성하거나 대상 호스트에 대한 검색 자격 증명을 제공할 것을 요구하지 않습니다.
- Sensu-Go 에이전트
- ACC가 파생되어 나온 무료 및 오픈 소스 프로젝트입니다.
- 가상 머신 인스턴스
- 하이퍼바이저의 내부(온 프레미스 또는 AWS, GCP, Microsoft Azure와 같은 클라우드 서비스 제공자 내)에서 실행되는 가상 대상 호스트입니다.
- 가상 머신 이미지
- 파일 시스템 또는 클라우드 저장소에 영구 유지되는 라이브 가상 머신 인스턴스의 스냅샷입니다.