|
<< Кликните, чтобы показать Содержание >> Данные, передаваемые Агентом на EtherStat |
Агент передает данные на сервер EtherStat в двух случаях:
1. Периодически, в соответствии с конфигурацией.
2. При возникновения события, данные о котором EtherSensor Agent должен передать в соответствии с конфигурацией.
Периодически отправляемые данные
Список оборудования
Посылается на сервер EtherStat только при старте службы EtherSensor Agent, далее посылаются только изменения (по событию изменения). Список содержит структуры данных, описывающие установленные на рабочей станции устройства. Данные об устройствах извлекаются их Свойств, предоставленных Диспетчером устройств Windows с помощью соответствующих функций WinAPI, и имеют вид:
▪Наименование устройства
▪Описание устройства
▪Наименование производителя
▪Соответствующий Device Id
▪GUID Class устройства в формате {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
▪Список Hardware Ids устройства
▪Наименование службы, с которой взаимодействует устройство.
Список установленных приложений и служб
Посылается на сервер EtherStat только при старте службы EtherSensor Agent, далее посылаются только данные об изменениях. Список содержит структуры данных, описывающие установленное на рабочей станции программное обеспечение. Все данные об установленном программном обеспечении извлекаются из реестра Windows с помощью WinAPI и имеют вид:
▪Наименование продукта
▪Наименование производителя
▪Текущая версия продукта
▪Путь инсталляции продукта.
Ветки реестра, из которых берется информация:
▪HKML\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
▪HKML\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall
▪HKEY_USERS\<Просмотр в каждой вкладке>\Software\Microsoft\Windows\CurrentVersion\Uninstall.
Информация об ОС
Посылается на сервер EtherStat в соответствии с тегом конфигурации OSMonitor. Это – данные об ОС Windows на рабочей станции, извлечённые с помощью WinAPI:
▪Наименование, текущая версия, тип и состояние операционной системы
▪Серийный номер в формате XXXXX-XXXXX-XXXXX-XXXXX
▪Тип архитектуры (x86 или x64)
▪Имя компьютера в системе и домене
▪Раздел физического диска и директория операционной системы
▪Дата и время последней перезагрузки системы и дата последнего обновления системы (если обновлений не было, то дата установки ОС). Также посылается текущее время на рабочей станции
▪Модель и наименование производителя материнской платы
▪Количество запущенных физических и логических процессов
▪Размер файла подкачки операционной системы.
Информация о сетевых адаптерах
Посылается на сервер EtherStat в соответствии с тегом конфигурации NETMonitor. Для каждого адаптера создается отдельное сообщение с его описанием и настройками. Данные по сетевому адаптеру и его конфигурации получаются с помощью функций WinAPI и содержат:
▪Наименование адаптера
▪Наименование производителя
▪MAC-адрес, IP-адреса, маска подсети, настройки DNS-адресов и т.д.
▪Наименование компьютера в в сети и домене
▪Флаг использования DHCP
▪GUID сетевого адаптера
▪Максимальная скорость передачи данных в сетевом адаптере в битах в секунду.
Данные по текущей загрузке компьютера
Извлекаются с помощью WinAPI и содержат:
▪Текущую нагрузку на CPU в процентах
▪Текущее использование RAM в процентах
▪Текущее заполнение HDD в процентах
▪Свободное место на HDD.
Данные, отправляемые по событию
Изменение списка установленного программного обеспечения
Посылается на сервер EtherStat при обнаружении новых или удалении уже установленных приложений на рабочей станции. Все данные об установленном или удаленном программном обеспечении извлекаются из реестра Windows с помощью WinAPI и содержат:
▪Наименование продукта
▪Наименование производителя
▪Текущая версия продукта
▪Путь инсталляции продукта.
Изменение списка установленного оборудования
Посылается на сервер EtherStat при обнаружении нового или удаленного устройства на рабочей станции. Все данные по устройствам извлекаются из их Свойств, полученных из Диспетчера устройств Windows с помощью соответствующих функций WinAPI и содержат:
▪Наименование устройства
▪Описание устройства
▪Наименование производителя
▪Соответствующий Device Id
▪GUID Class устройства в формате {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
▪Список Hardware Ids устройства
▪Наименование службы, с которой взаимодействует устройство.
Запуск и завершение процесса с привязкой к TCP-сессии
Посылается на сервер EtherStat при обнаружении нового процесса или его завершении. При обнаружении нового процесса будет отправлена структура данных, описывающая процесс и содержащая:
▪Название процесса
▪Командная строка с аргументами запуска процесса
▪Путь к директории запущенного процесса
▪Время использования пользователем
▪Идентификаторы ProcessID, SessionID и ParentID.
При завершении процесса отправляются идентификаторы ProcessID и SessionID порождённой процессом сессии.
Данные, отправляемые на сервер при совершении пользователем действий в системе
При входе пользователя в систему:
▪Наименование домена, в который входит пользователь
▪Наименование учетной записи пользователя
▪SID – уникальный идентификатор пользователя в ОС
▪SessionID – номер сессии на компьютере
▪Наименование способа работы пользователя с рабочей станцией: console или rdp
▪Дата и время входа пользователя в систему.
При выходе пользователя из системы:
▪SID – уникальный идентификатор пользователя в ОС
▪SessionID – номер сессии на компьютере
▪Дата и время выхода пользователя.
При блокировке или разблокировке учетной записи пользователя:
▪SID – уникальный идентификатор пользователя в ОС
▪SessionID – номер сессии на компьютере.
При изменении активного окна
▪Текущий заголовок окна
▪Идентификатор процесса, который владеет этим окном.