Logs de auditoria de comando do MID Server

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • O registro em log de auditoria do comando registra os comandos executados pelo MID Server para a aplicação Descoberta. Revise os comandos para verificar se há anomalias ou erros.

    Configurar indicador para fase de segurançaGarantir que o MID Server pode se conectar a elementos dentro e fora da redeBaixar e instalar o MID Server em um host Linux ou WindowsConfigurar o seu MID ServerConfigurar a segurança do MID ServerGarantir que o MID Server pode se conectar a elementos dentro e fora da redeBaixar e instalar o MID Server em um host Linux ou WindowsConfigurar o seu MID ServerConfigurar a segurança do MID Server

    O registro em log de auditoria do comando do MID Server é um registro dos comandos que o MID Server executa durante a descoberta. Por exemplo, a execução de um padrão pode executar vários comandos separados. O registro em log de auditoria do comando do MID Server oferece suporte a comandos do Powershell para WMI e WinRM. Para comandos SSH, o registro em log de auditoria oferece suporte a SSNC, mas não a J2SSH. No Quebec, o registro em log de auditoria do comando só oferece suporte ao registro dos comandos executados durante a descoberta.

    Habilitar o registro em log de auditoria do comando

    O registro em log de auditoria MID Server é habilitado com a MID Server propriedademid.log.command_audit.enable, que é definida como falsa por padrão. Adicione a propriedade na tabela Propriedades do MID Server [ecc_agent_property_list.do]. Uma vez habilitado, o. MID Server os logs de auditoria de comando são acessados na instância navegando até MID Server > Logs de auditoria de comando [ecc_agent_command_audit_log_list.do]. Para ver ou mudar esta tabela, o usuário deve ter a função agent_security_admin.

    Dados típicos nos logs de auditoria de comando do MID Server.

    Dados registrados nos logs de auditoria do comando

    O registro em log de auditoria do comando do MID Server registra o nome e o hash do comando. Se, por exemplo, durante a descoberta um probe não executar um comando, mas em vez disso executar um script, o nome do script será registrado. O hash do comando é calculado com base no conteúdo do script, independentemente do nome. Portanto, mudar o nome não afeta o hash do comando.

    Quando um probe, como um WMIRunner, executa um comando com vários campos WMI, o WMI cria um script para consultar esses campos. O script é criado temporariamente no host do MID Server na pasta temporária. Depois que o script é executado, ele é removido da pasta temporária. O script recebe um nome com base nos campos e um número aleatório. No entanto, a chave de hash é sempre a mesma, considerando o mesmo conteúdo.

    O registro em log de auditoria do comando relata o status da execução como sucesso ou falha. A entrada do registro é um sucesso se o comando foi executado, ou uma falha se não foi possível executar. O registro em log de auditoria do comando não considera o resultado do comando que está sendo executado. Por exemplo, um comando que é executado, mas falha ao coletar dados, ainda está listado no status de execução como um sucesso.

    A Descoberta oferece suporte a perfis JEA para WinRM. O registro em log de auditoria do comando do MID Server registra o perfil JEA do comando de descoberta, se estiver disponível. Consulte Administração do Microsoft Just Enough (JEA) para Descoberta a fim de obter mais informações sobre os perfis do JEA.

    Por padrão, ocorre a rotação da tabela a cada sete dias. Para obter mais informações, consulte Rotação da tabela.