Referenz für Agent Client Collector for Visibility

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Die folgenden Informationen enthalten Details zu Abfrageskripts des Betriebssystems, zu erfassten Daten und zur Definition von Begriffen.

    Betriebssystem-Modulskripts für ACC-V

    Diese plattformspezifischen Plugins rufen plattformspezifische Modulskripts auf. Jedes Skript gibt an eine JSON-Standardnutzlast unabhängig von der Plattform aus.
    Betriebssystemfamilie/Plugin Name des Modulskripts

    Linux: acc-f-modules

    		 basic_inventory.rb (Ab ACC-F Version 2.10.1 wird dieses Modulskript nicht mehr verwendet.)
    data_collection.rb
    running_processes.rb
    tcp_connections.rb

    Windows: acc-f-modules

    		 basic_inventory.rb (Ab ACC-F Version 2.10.1 wird dieses Modulskript nicht mehr verwendet.)
    data_collection.rb
    running_processes.rb
    tcp_connections.rb

    macOS-Betriebssysteme: acc-f-modules

    		 basic_inventory.rb (Ab ACC-F Version 2.10.1 wird dieses Modulskript nicht mehr verwendet.)
    running_processes.rb
    tcp_connections.rb
    Linux:

    acc-visibility-modules

    		 installed_software.rb
    file_systems.rb
    storages_devices.rb (nur Unterstützung zum Abrufen von physischen Datenträgern und entsprechenden Datenträgerpartitionen)
    network_adapters.rb
    local_users.rb
    enhanced_inventory.rb
    cloud.rb
    Windows:

    acc-visibility-modules

    		 installed_software.rb
    file_systems.rb
    storages_devices.rb (nur Unterstützung zum Abrufen von physischen Datenträgern und entsprechenden Datenträgerpartitionen)
    network_adapters.rb
    local_users.rb
    enhanced_inventory.rb
    cloud.rb
    sam_advanced.rb
    sam_processor.rb
    intel_ema.rb
    macOS-Betriebssysteme:

    acc-visibility-modules

    		 installed_software.rb
    file_systems.rb
    storages_devices.rb (nur Unterstützung zum Abrufen von physischen Datenträgern und entsprechenden Datenträgerpartitionen)
    network_adapters.rb
    local_users.rb
    enhanced_inventory.rb
    cloud.rb
    Hinweis:

    running_processes.rb und tcp_connections.rb sind voneinander abhängig. Daher sollten Sie für eine effiziente Discovery sowohl tcp_connection.rb als auch running_processes.rb beibehalten. Beide Dateien werden benötigt, um vollständige Daten zu erhalten. Wenn eine nicht vorhanden ist, sind die entsprechenden Daten nicht verfügbar.

    Um Informationen zu allen running_processes auf dem macOS abzurufen, müssen Sie sudo-Zugriff für osquery bereitstellen. Wenn diese Konfiguration nicht vorgenommen wird, wird von running_processes.rb nur das abgerufen, was vom _servicenow-Benutzer ausgelöst wird. Für tcp_connections.rb müssen Sie in der Datei „sudoers“ den Befehl „sudo lsof“ hinzufügen. Wenn diese Konfiguration nicht vorgenommen wird, wird von tcp_connections.rb nur das abgerufen, was vom _servicenow-Benutzer ausgelöst wird.

    Erfasste Daten

    Zur Klassifizierung als Computer oder Server nutzt ACC-V dieselben Klassifizierungskriterien wie die IP-basierte Discovery. Die Teilmenge der erfassten Daten umfasst die folgenden Kategorien:
    • Basisbestand – Ab ACC-F Version 2.10.1 wird diese Kategorie nicht mehr verwendet.
    • Datensammlung – Sammelt die erforderlichen Daten für die Klassifizierung und Identifizierung eines Host-CI. Dazu gehören Hostname, Seriennummern und Betriebssysteminformationen.
    • Installierte Software – cmdb_sam_sw_install (wenn SAM aktiviert ist) und cmdb_software_instance (wenn SAM nicht aktiviert ist)
    • Dateisystem – cmdb_ci_file_system
    • Speichergeräte – cmdb_ci_disk und cmdb_ci_storage_device
    • Seriennummern – cmdb_serial_number
    • Netzwerkadapter – cmdb_ci_network_adapter und cmdb_ci_ip_address
    • TCP-Verbindungen – cmdb_tcp
    • Laufende Prozesse – cmdb_running_process (ACC-V klassifiziert auch die laufenden Prozesse und erstellt nach Möglichkeit Anwendungs-CIs in cmdb_ci_appl.)
    • Lokaler Benutzer – cmdb_os_user (Füllt die lokalen Benutzer für alle Betriebssysteme aus, die ACC-V unterstützt, indem ein neues Modul mit der Bezeichnung local_user hinzugefügt wird.)
    • Erweiterter Bestand – Sammelt erweiterte Daten (z. B. CPU-Informationen, start_date, object_id), die zum Identifizieren eines eindeutigen Hosts nicht erforderlich sind.
    Abbildung : 1. Beziehungen zwischen Hostcomputer, Dateisystemen und Speichergeräten
    Dieses Diagramm zeigt das Layout und die Beziehungen

    Agent Client Collector Begriffe

    Agent Client Collector (ACC)
    Die auf Zielhosts installierte Softwarekomponente, die mit dem MID-Server kommuniziert. Wird manchmal auch als Agent bezeichnet. Diese Komponente ist ein ServiceNow-Derivat von Sensu-Go.
    Agent Client Collector Framework (ACC-F)
    Eine bereichsbezogene ServiceNow-Basisanwendung, die ACC nutzt und Kernfunktionen bereitstellt (einschließlich Prüftypen, Prüfdefinitionen, Richtlinien usw.), die von anderen bereichsbezogene ACC-Anwendungen wie ACC-M und ACC-V genutzt werden.
    Agent Client Collector for Monitoring (ACC-M)
    Eine bereichsbezogene ServiceNow-Anwendung, die die Überwachung von Anwendungsfällen ermöglicht.
    Agent Client Collector for Visibility (ACC-V)
    Eine bereichsbezogene ServiceNow-Anwendung, die pushbasierte Discovery mit ACC und ACC-F implementiert.
    Horizontal IP-basiert Discovery
    Herkömmliche Discovery, die Kunden vor ACC-V zur Verfügung steht. Dabei werden Daten über Probes und Muster durch den MID-Server erkannt. Hierzu ist das Plugin „Discovery“ erforderlich.
    Module
    Teilmenge der erkannten Daten, die im Rahmen der Discovery gefüllt werden. Beispiele für Module: Datensammlung, Installierte Prozesse, Seriennummern, Dateisysteme, Speichergeräte, Netzwerkadapter, Laufende Prozesse und TCP-Verbindungen.
    Pushbasierte Discovery
    Erkennung von Daten über ACC, ACC-F, ACC-V und den MID-Server mit direkter Übertragung von Daten vom Zielhost. Die Discovery erfordert keine spezifische IP-Bereichskonfiguration für einen Discovery-Zeitplan und keine Bereitstellung von Discovery-Anmeldeinformationen für den Zielhost.
    Sensu-Go-Agent
    Das kostenlose Open Source-Projekt, aus dem ACC abgeleitet ist.
    VM-Instanz
    Ein virtueller Zielhost, der innerhalb eines Hypervisor ausgeführt wird, entweder lokal oder innerhalb eines Cloud Service Providers wie AWS, GCP oder Microsoft Azure.
    VM-Abbild
    In einem Dateisystem oder Cloud-Speicher abgelegter Snapshot der Live-Instanz einer virtuellen Maschine (VM).