Prüfungen und Richtlinien

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 6 Minuten Lesedauer

    • Eine Prüfung ist eine Kombination aus einem Befehl und seiner Konfiguration. Die Prüfung wird auf ausgeführt Agent Client Collector S-Geräte zum Sammeln von Daten von diesen Geräten.

    Überprüfungen

    Prüfungen werden mit dem Basissystem bereitgestellt, und ihre Befehle führen Skripts aus, die Überwachungsdaten für Ihre Betriebssysteme und Anwendungen bereitstellen. Der Standardname einer Prüfung gibt an, was überwacht und gemessen wird, die Entität und die Überwachungsdaten. Beispiel: Ein Scheck mit dem Namen os.linux.check-system-cpuÜberprüft die CPU-Daten auf einem Linux System. Der identifizierte Befehl in der Prüfung wird auf dem überwachten Gerät ausgeführt und stellt eine Ausgabe und einen Status bereit. Jeder einzelne Scheck wird als bezeichnet Definition überprüfen . Nach der Zuordnung zu Richtlinien werden Prüfungsdefinitionen dann als bezeichnet Überprüfen Sie Instanzen .

    Sie können Prüfinstanzen an Ihre Anforderungen anpassen. Passen Sie beispielsweise das Ausführungsintervall oder die für die Richtlinie spezifischen Parameter an, z. B. die Anmeldeinformationen, um auf eine MySQL-Datenbank zuzugreifen. Die Anpassung einer Prüfinstanz wird nur für die Prüfinstanz wirksam, die der Richtlinie zugeordnet ist. Dies wirkt sich nicht auf die ursprüngliche Prüfungsdefinition oder bereits erstellte Prüfinstanzen in anderen Richtlinien aus.

    Die folgenden Prüftypen werden mit bereitgestellt Ereignismanagement Basissystem:

    • Ereignis : Das Ergebnis der Prüfung wird in umgewandelt Ereignismanagement Ereignis.
    • Metrik : Die Werte aus dem Prüfergebnis werden in Metriken umgewandelt.

    Für Details zu Agent Client Collector Framework Standardprüfungen, siehe Agent Client Collector Framework-Standardprüfungen.

    Für Details zu Agent Client Collector-Überwachung Standardprüfungen und -Richtlinien, siehe Agent Client Collector-Überwachung Standardprüfungen und -Richtlinien.

    Für Details zu Agent Client Collector Visibility – Inhalt Standardprüfungen und -Richtlinien, siehe Agent Client Collector Visibility – Inhalt Standardprüfungen und -Richtlinien.

    Wenn auf den Geräten des Agent keine Prüfungen ausgeführt werden, befindet sich der Agent möglicherweise im CPU-Schutzmodus. Der CPU-Schutzmodus wird aktiviert, wenn der CPU-Verbrauch eines Geräts zu hoch ist. Um eine Liste aller deaktivierten Prüfungen im Zusammenhang mit dem Service Desk-Mitarbeiter anzuzeigen, navigieren Sie auf der Seite „Agent Client Collectors“ zum Agent-Datensatz (Alle > Agent Client Collector > Service Desk-Mitarbeiter), wählen Sie einen Service Desk-Mitarbeiter und dann aus Deaktivierte Prüfungen Registerkarte unten auf der Seite.

    In acc.yml Konfigurationsdatei können Sie die Schwellenwerte für den CPU-Schutzmodus ändern, die bestimmen, wann eine Prüfung deaktiviert ist. Um eine Prüfung erneut zu aktivieren, wählen Sie die Prüfung aus, und wählen Sie aus Deaktivieren Sie die Prüfung erneut In Aktionen für ausgewählte Zeilen... Dropdown-Liste. Details zu den Schwellenwerten für den CPU-Schutzmodus finden Sie unter Agent Client Collector-CPU-Schutzschwellenwerte. Einzelheiten zum manuellen Deaktivieren der Datensammlung finden Sie unter Anhalten Agent Client Collector Datensammlung.

    Konfigurieren Sie die Eigenschaft cpu_Protection_Behavior, um zu bestimmen, ob alle Prüfungen in den CPU-Schutzmodus wechseln, oder nur die Prüfung, die den konfigurierten cpu_percentage_limit-Wert mit der höchsten CPU-Auslastung innerhalb des Überwachungsintervalls überschreitet. Details finden Sie unter Agent Client Collector-CPU-Schutzschwellenwerte.

    Ein Scheck ist als markiert Veraltet Wenn es keiner Richtlinie mehr zugeordnet ist. Um einen veralteten Scheck zu entfernen, aktivieren Sie ihn, indem Sie das Kontrollkästchen neben dem Scheck aktivieren und auswählen Deaktivieren Sie Prüfungen erneut Von Aktionen für ausgewählte Zeilen... Zelle.

    Im Basissystem gibt der Beendigungsstatus des Events wie folgt seinen Schweregrad an:
    • 0 = OK
    • 1 = WARNUNG
    • 2 = KRITISCH
    Sie können zusätzliche Schweregrade (z. B. SCHWERWIEGEND und GERING) hinzufügen, indem Sie ein anwenderdefiniertes Skript ausführen. Die folgenden Exit-Statuen geben diese Schweregrade an:
    • 13 = SCHWERWIEGEND
    • 14 = GERING

    Berechtigungen zum Ausführen von Prüfungsbefehlen

    Wenn der servicenow-Basissystemanwender nicht über die Berechtigungen zum Ausführen bestimmter Prüfungsbefehle verfügt, führen Sie für die relevanten Betriebssysteme die folgenden Schritte aus:

    • In einem Linux-System: Aktivieren Sie den servicenow-Anwender, um den Befehl mit auszuführen Sudo Berechtigungen. Stellen Sie sicher, dass die folgenden sudo-Konfigurationsanforderungen erfüllt sind:
      • Deaktivieren Sie TTY- und Passwortanforderungen
      • Alle Umgebungsvariablen beibehalten
      • Unterstützen Sie den dynamischen PFAD für die Ausführung von Befehlen
      Beispielkonfiguration in /Etc/sudoers Datei:
      Cmnd_Alias ACC_F = /usr/sbin/dmidecode -s baseboard-serial-number, /usr/sbin/dmidecode -s chassis-serial-number, /usr/sbin/dmidecode -s system-serial-number, /usr/sbin/dmidecode -s system-uuid, /usr/sbin/ss -tanp 
servicenow ALL=(root) SETENV: /var/cache/servicenow/agent-client-collector/osquery/bin/osqueryi *, ACC_F
Defaults:servicenow !requiretty
Defaults exempt_group += servicenow
      Hinweis:
      Befehlspfade können variieren. Besondere Überlegungen finden Sie im Sudoers-Handbuch.
      • Die SETENV: Mit der Zeichenfolge kann der servicenow-Anwender Umgebungsvariablen beibehalten.
      • Die !Anforderung Zeichenfolge deaktiviert tty.
      • servicenow-Anwender wird zu hinzugefügt Exempt_Group Umgeht Passwortanforderungen und aktiviert einen dynamischen PFAD für die Ausführung von sudo-Befehlen.

      Stellen Sie sicher, dass Sie konfigurieren must_sudoÜberprüfen Sie den Parameter mit einem Wert von Wahr Im Abschnitt „Parameter für Prüfungsbefehl“ der Prüfungsdefinition.

    • In einem macOS System: Stellen Sie sicher, dass der Anwender, der den Agent-Service ausführt, zu einer Anwendergruppe mit Berechtigungen zum Abfragen aller tcp-Verbindungen auf dem Host gehört.
    • In einem Windows System: Wird verwendet Windows Anwenderverwaltung: Fügen Sie den servicenow-Anwender den Gruppen mit den entsprechenden Berechtigungen hinzu, damit der Anwender die erforderlichen Befehle ausführen kann.

    Ausführung von Prüfungen, die ihre Ausführungszeit verpasst haben

    Eine Prüfung wird nicht ausgeführt, wenn der Laptop oder Agent während der geplanten Ausführungszeit ausgefallen ist. Wenn dies geschieht, hängt das Systemverhalten davon ab, ob die Prüfung zuvor ausgeführt wurde.
    • Überprüfung, die nie ausgeführt wurde: Die Prüfung wird zur Wiederherstellungszeit des Service Desk-Mitarbeiters + X (wobei X = 0-60 Minuten) ausgeführt. Dies ist die dauerhafte Laufzeit der Prüfung.

      Beispiel: Richtlinie X wurde mit einem Service Desk-Mitarbeiter synchronisiert. Check-in in der Richtlinie wurde noch nie ausgeführt und sollte um 2 Uhr ausgeführt werden. Der Laptop war jedoch zu diesem Zeitpunkt im Ruhezustand. Der Laptop wird um 9:09 Uhr aktiviert. Nachdem der Agent wiederhergestellt wurde, wird festgestellt, dass die Überprüfung nie ausgeführt wurde. Überprüfen Sie, ob die Ausführung Von zwischen 9:09 Uhr und 10:09 Uhr geplant ist und um 54 Uhr beendet wird. Die Prüfung Eines Intervalls findet alle 24 Stunden statt. Daher ist die Ausführung Eines Now täglich um 54 Uhr geplant.

    • Überprüfen, ob eine vorhandene Ausführungszeit verfehlt wurde: Die zuvor ausgeführte Prüfung wird zur Wiederherstellungszeit des Service Desk-Mitarbeiters + X (wobei X = 0-60 Minuten) ausgeführt, in der Zukunft wird die Prüfung jedoch auf die ursprünglich geplante Laufzeit zurückgesetzt.

      Beispiel: Überprüfen Sie einmal täglich Eine Ausführung und ist für die tägliche Ausführung um 54 Uhr geplant. Der Laptop war von 9:00 bis 13:00 Uhr im Ruhezustand, oder der Service Desk-Mitarbeiter war nicht verbunden. Um 13:17 Uhr ist der Laptop wach, und der Service Desk-Mitarbeiter startet und stellt eine Verbindung her. Der Service Desk-Mitarbeiter hat festgestellt, dass die Überprüfung nicht um 9:54 Uhr ausgeführt wurde, und plant die Ausführung zwischen 13:17 Uhr und 14:17 Uhr. Die Prüfung wird um 37 Uhr ausgeführt. Die nächste Überprüfung Einer Ausführung ist jedoch um 54 Uhr, die ursprünglich geplante Zeit.

      Dieses Szenario gilt nur für Prüfungen, die in einem Intervall von mindestens 60 Minuten ausgeführt werden. Prüfungen, die weniger häufig als alle 60 Minuten zur vorherigen Intervallzeit ausgeführt werden.

    Richtlinien

    A Richtlinie Ist eine Kombination der CIs, die von überwacht werden Agent Client Collector Und die Prüfungsdefinitionen, die für diese CIs ausgeführt werden.

    Damit eine einzelne Richtlinie mehrere Anmeldeinformationen unterstützt, weisen Sie der Richtlinie einen Anmeldeinformationsalias zu. Beispiel: Wenn Sie MySQL-Server für beide haben Linux Und Windows Mit verschiedenen Anmeldeinformationen müssen Sie separate Richtlinien für jeden Anmeldeinformationstyp erstellen. Wenn Sie jedoch einen Anmeldeinformationsalias verwenden, können Sie dem Alias eine einzelne Richtlinie zuweisen. Der Agent stimmt dann die relevanten Anmeldeinformationen der überwachten Anwendung ab. Details zu Anmeldeinformationsaliassen finden Sie unter Erstellen Sie einen Alias für Verbindungen und Anmeldeinformationen .

    Warnungen, die von Richtlinien mit einer Ereignistypprüfung generiert werden, werden automatisch geschlossen, wenn die CI-Überwachung aufgrund eines der folgenden Gründe beendet wird:
    • Die Richtlinie wird deaktiviert
    • Die Prüfung, die die Warnung verursacht hat, wird deaktiviert
    • Die Prüfung wird aus der Richtlinie gelöscht
    • Richtlinie wird gelöscht
    • Ändern des Richtlinienfilters, der die überwachten CIs bestimmt