|
<< Кликните, чтобы показать Содержание >> Логические модули Агента |
Модуль отслеживания соединений и маркировки HTTP соединений (sensor_lsp.dll).
Данный модуль выполнен как Layered Service Provider. Это означает, что при установке модуля он встраивается в сетевой стек приложений и прозрачно проксирует (при этом отслеживая) все TCP-соединения, создаваемые локальными процессами. Модуль имеет настройки, хранящиеся в реестре Windows:
▪UDP порт службы EtherSensor EtherCAP. По умолчанию используется порт 44444.
▪Флаг маркировки HTTP-трафика, значение по умолчанию 1. Если флаг выставлен в состояние 1, то каждый HTTP-запрос помечается заголовком вида X-Sensor-UID: 554E4B4E-4F57-4E20-5555-494400000000, где 554E4B4E-4F57-4E20-5555-494400000000 – уникальный идентификатор пользователя, привязанный к конкретной машине, к конкретному пользователю на данной машине, и являющийся глобальным в контексте сети организации.
В процессе своей работы модуль sensor_lsp.dll локально коммуницирует по протоколу UDP со вторым основным модулем EtherSensor Agent – службой EtherSensor Agent (процесс sensor_agent.exe), – и передает ей информацию о процессах, создающих TCP-соединения.
Модуль взаимодействия с сервером EtherSensor (служба EtherSensor Agent).
Данный модуль выполнен как системная служба Windows, в которой реализованы следующие функции:
▪Сбор и передача данных о событиях рабочей станции по шифрованному TCP-соединению на сервер мониторинга и статистики EtherStat. Если данные не удалось отправить, то служба EtherSensor Agent помещает их в локальную базу данных [INSTALLDIR]\data.db.
▪Передача по протоколу UDP серверу EtherSensor данных о TCP-соединениях процессов рабочей станции. Настройки позволяют учесть список процессов, соединения которых отслеживать не требуется.
▪Логирование событий службы Агента и запись их в файл [INSTALLDIR]\log\svcagent.log
Данные о конфигурации модуль sensor_agent.exe берет из [INSTALLDIR]\config\agent.xml. При изменении настроек необходимо произвести перезапуск службы EtherSensor Agent.