e-Audytor Help
Konfiguracja e-Agenta
e-Agent jest oprogramowaniem instalowanym / uruchamianym na skanowanych komputerach. Zadaniem oprogramowania jest zebranie danych z komputera w celu przekazania ich do dalszego przetwarzania. Właściwa konfiguracja e-Agenta jest filarem informacji uzyskiwanych z całego systemu.
Od wersji 2.4 wprowadzono ustalanie priorytetu pracy e-Agenta. Predefiniowane priorytety: REALTIME, HIGH, ABOVE_NORMAL, BELOW_NORMAL,IDLE. Zmiana priorytetu pracy e-Agenta umożliwia wyższą elastyczność e-Agenta w stosunku do środowiska systemu operacyjnego. Definiowanie priorytetu możliwe jest wyłącznie w pliku konfiguracyjnym (eagent.ini) e-Agenta. Domyślnie e-Agent instaluje się z Priorytetem = BELOW_NORMAL
e-Agent od wersji 3.0 wyposażony został w możliwość odtwarzania dźwięków. Aktualnie odtwarzane są one tylko przy otrzymywaniu wiadomości od administratora.
Za konfigurację Agenta odpowiada plik eagent.ini. Poniżej struktura parametrów pliku eagent.ini wraz z opisem:
|
|
Start at=2006.04.23 20:00 |
Oznacza czas pierwszego skanowania |
Frequency=DAY |
Częstotliwość skanowania Wartości: DAY, QUARTER, MONTH, WEEK |
Type=HARDWARE;REGISTRY; TRACKING;FILES
|
Typ skanowania Wartości /dowolna kombinacja/: HARDWARE;REGISTRY; TRACKING;FILES;opcje skanowania. Przykłady: Type=HARDWARE;REGISTRY;FILES Type=HARDWARE;REGISTRY;FILES;TRACKING Type=HARDWARE;REGISTRY;TRACKING Type=HARDWARE;REGISTRY Type=HARDWARE;FILES Type=REGISTRY;TRACKING Type=HARDWARE;TRACKING Type=FILES |
Maximum history entries=10 |
Maksymalna ilość przechowywanych wyników skanowania. Aktualnie nie obsługiwane. |
Output to=DISK |
Cel zapisu danych. Aktualnie każde wyniki przed wysłaniem zapisywane są na dysk.
|
Scan id=0 |
Identyfikator skanowania |
Service scan delay=180000 |
Opóźnienie rozpoczęcia skanowania. Oznacza czas (wyrażony w milisekundach), który musi upłynąć od uruchomienia usługi, by rozpoczęło się skanowanie. |
Config check interval=30000 |
Oznacza czas (wyrażony w milisekundach), co jaki e-Agent sprawdza czy jest dostępna nowa konfiguracja. |
Update check interval=86400000 |
Oznacza czas (wyrażony w milisekundach), co jaki e-Agent sprawdza czy jest dostępna dla niego aktualizacja. |
|
|
Exclude directories= |
Rozdzielona średnikiem lista katalogów wykluczonych ze skanowania. |
Scan Network Drives=0 |
Określa, czy skanowane będą dyski sieciowe. Wartości: 0 - skanowanie wyłączone, 1 - skanowanie włączone
|
Scan Removable Drives=0 |
Określa, czy skanowane będą dyski wymienne. Wartości: 0 - skanowanie wyłączone, 1 - skanowanie włączone |
|
|
*.exe=0;0;1980.01.01 01:00; 2030.12.31 23:59 *.com=0;0;1980.01.01 01:00; 2030.12.31 23:59
|
Tutaj zawarte są maski plików wraz z ich restrykcjami w postaci: maska=min_rozmiar; max_rozmiar; min_data; max_data
Daty podawane są w postaci datetime.
np. *.mp3=1;2;1980.01.01 01:00;2030.12.31 23:59 Skanuje pliki *.mp3 o rozmiarze między 1 i 2 bajty, o dacie między godziną 01:00 1 stycznia 1980 do 31 grudnia 2030 do godziny 23:59. |
|
|
Software key=SOFTWARE\Microsoft\ Windows\CurrentVersion\Uninstall
|
Oznacza klucz rejestru, gdzie znajdują się dane o zainstalowanych aplikacjach. |
|
|
Accuracy=3000 |
Częstotliwość próbkowania stanu uruchomienia procesów w milisekundach. |
Delivery interval=300000 |
Częstotliwość dostarczania wyników trackingu do serwera w milisekundach.
|
Dropoff time=120000 |
Oznacza czas (wyrażony w milisekundach) co jaki pomocnicze pliki z wynikami trackingu są zapisywane na dysku |
Exclude processes=notepad.exe;Calc.exe |
Rozdzielona średnikiem lista procesów wykluczonych z monitorowania uruchomionych aplikacji; np.: notepad i kalkulator
|
Exclude processes case sensitive=1 |
Parametr ten określa, czy rozpoznawanie nazw procesów ma uwzględniać wielkość liter (1 – włączone, 0 – wyłączone). Domyślnie opcja jest wyłączona. |
Max entries in bunch |
Określa maksymalną liczbę wpisów w pliku z wynikami trackingu. |
|
|
Enabled=1 |
Określa, czy monitorować wydruki, czy nie. 1- monitorowanie włączone, 0 - wyłączone
|
Printers= #Printers=PDF995;hp deskjet 3320 series;Microsoft Office Document Image Writer
|
Rozdzielona średnikami lista drukarek, które podlegać będą monitoringowi. Dopuszcza się użycie znaku '*', dla oznaczenia dowolnego ciągu znaków.
|
Exclude Printers= #Exclude Printers=*lexmark*;PDF995;hp deskjet 3320 series;Microsoft Office Document Image Writer
|
Rozdzielona średnikami lista drukarek wyłączonych z monitorowania. Dopuszcza się użycie znaku '*', dla oznaczenia dowolnego ciągu znaków.
|
Delivery interval = 28800000
|
Określa jak często dostarczać wyniki do serwera (w milisekundach). Wartość domyślna: 10000
|
#ScanAllPrintouts=0 #skanowanie tylko lokalnej maszyny, domyślne
|
Określa zakres skanowania, 0 - tylko wydruki pochodzące z lokalnego komputera, 1 - wszystkie wydruki z dostępnych kolejek drukarkowych. Standardowo wartość winna wynosić 0.
|
|
|
Sound="D:\Uzytki\Sound\Wave\Dzwonki\Jazzy.wav"
|
Dźwięk odtwarzany przy odebraniu nowej wiadomości (może być pusty).
|
AlertSound="D:\Uzytki\Sound\Wave\Dzwonki\Warcry.wav"
|
Dźwięk odtwarzany przy odebraniu nowej wiadomości o wysokiej ważności (może być pusty).
|
NumberStoredAlerts=20
|
Maksymalna liczba przechowywanych wiadomości.
Nieobsługiwane.
|
AlertLifetime=14 |
Maksymalny czas życia wiadomości w dniach (starsze będą automatycznie usuwane).
Nieobsługiwane.
|
|
|
Win32_BaseBoard= Win32_Battery= Win32_BIOS= Win32_Bus= Win32_CacheMemory= Win32_CDROMDrive= Win32_ComputerSystem= Win32_DesktopMonitor= Win32_DeviceMemoryAddress= Win32_DiskDrive= Win32_DiskDrivePhysicalMedia= Win32_DisplayConfiguration= Win32_DMAChannel= Win32_Fan= Win32_FloppyDrive= Win32_Group= Win32_IDEController= Win32_IRQResource= Win32_Keyboard= Win32_LogicalDisk= Win32_LogicalMemoryConfiguration= Win32_MemoryDevice= Win32_NetworkAdapter= Win32_NetworkAdapterConfiguration= Win32_OnBoardDevice= Win32_OperatingSystem= Win32_ParallelPort= Win32_PCMCIAController= Win32_PhysicalMemory= Win32_PhysicalMemoryArray= Win32_PnPEntity= Win32_PnPSignedDriver= Win32_PointingDevice= Win32_PortConnector= Win32_POTSModem= Win32_Printer= Win32_PrinterConfiguration= Win32_Processor= Win32_SerialPort= Win32_SerialPortConfiguration= Win32_Share= Win32_SoundDevice= Win32_SystemDriver= Win32_SystemEnclosure= Win32_SystemSlot= Win32_TCPIPPrinterPort= Win32_TimeZone= Win32_USBController= Win32_USBHub= Win32_UserAccount= Win32_VideoController= Win32_VoltageProbe= Win32_1394Controller=
|
Lista klas WMI do zeskanowania. Możliwe jest wskazanie wszystkich (ok 280) klas WMI. Można, za pomocą składni SQL-a dokonać wyboru parametru (wartości) poszczególnej klasy, np.:po znaku = można podać klauzulę SELECT wraz z warunkiem WHERE, np: a)Win32_PrinterDriver= SELECT Name FROM Win32_PrinterDriver b)Win32_Battery=
Tak zdefiniowane zapytanie zwraca: a)wartość Name z klasy Win32_PrinterDriver b)wszystkie wartości z klasy Win32_Battery
Program jest odporny na „nadmiarowe” spacje po znaku równości.
|
|
|
Enabled=1 |
Określa czy mają być zbierane informacje o kościach pamięci przy pomocy Serial presence detect (SPD). Wartości: 0 - zbieranie danych z SPD wyłączone; 1 - włączone. |
|
|
BlockUSB=0 |
Domyślna wartość to 0, co oznacza, że użycie napędów USB nie będzie blokowane. Ustawienie parametru na 1 oznacza blokadę.
|
|
|
Serialization mode=TXT |
Tryb serializowania danych. Dozwolone wartości: TXT. |
Message sound=c:\Program Files\Messenger\newemail.wav |
Wskazanie ścieżki do pliku dźwiękowego. Wyłączenie dźwięku: Message sound=NONE (W przypadku nieznalezienia pliku lub problemów z jego odczytaniem odtworzony zostanie dźwięk zarejestrowny w panelu sterowania jako "system default") |
Execute= |
Oznacza aplikację /polecenie/, która zostanie uruchomiona po zakończeniu skanowania. Przykładowa składnia: cmd "/K "dir c:\*.exe"" Polecenie EXECUTE jest wykonywane po każdym skanowaniu. |
Language=Polish |
Wersja językowa. Dozwolone wartości: Polish
|
Server=192.168.0.1 |
Adres IP serwera z modułem e-Server. Od wersji 3.3 e-Agenta wartość zastąpiona poprzez MainServer. (Server jest nadal obsługiwany, ale wartość MainServer ma wyżzszy priorytet).
|
Port=8895 |
Port e-Servera. Od wersji 3.3 e-Agenta wartość zastąpiona poprzez MainServer. (Port jest nadal obsługiwany, ale wartość w MainServer ma wyżzszy priorytet). |
Mainserver=192.168.0.2:8895 |
Wartość obsługiwana od wersji 3.3 e-Agenta. Oznacza adres oraz port głównego e-Servera. |
AlternativeServers=192.168.0.2:8895;eaudytor:8895;eserver.btc.local:8895 |
Lista serwerów alternatywnych, z którymi e-Agent próbuje nawiązac połączenie w przypadku jego braku z głównym e-Serverem. Lista składa się z maksymalnie 5 serwerów w zapisie adres:port, posczególne elementy listy są rozdzielone średnikami. Wartość obsługiwana od wersji 3.3 e-Agenta. |
Timeout=15000 |
Timeout w milisekundach. |
Connection frequency=30000 |
Częstotliwość prób łączenia z serwerem w milisekundach. |
Priority=BELOW_NORMAL
|
Dostępne priorytety pracy e-Agenta: REALTIME - niezalecany (system Windows automatycznie zmieni priorytet na HIGH), HIGH, ABOVE_NORMAL, BELOW_NORMAL,IDLE |
Task execution timeout=3600000 |
Określa czas (wyrażony w milisekundach), po którym zadanie (proces) uruchomione przez eAgenta jest kończone, jeśli wcześniej samo się nie zakończyło. Wartość domyślna: 3600000 |
|
|
ID= |
Wzorzec na podstawie, którego generowany jest identyfikator e-Agenta. Wpis nie może zawierać spacji, innych białych znaków oraz znaków, których nie można użyć w nazwie pliku (/ \: * ? " < > |). Przy definiowaniu tej wartości można użyć następujących zmiennych: %PREFIX% - prefix zdefiniowany w innym miejscu pliku konfiguracyjnego %COMPUTERNAME% - wartość zmiennej środowiskowej %COMPUTERNAME% %AUTOGUID% - losowo wygenerowany GUID %SYSTEMUUID% - wartosć UUID %SYSTEMSN% - numer seryjny komputera %BIOSMANUFACTURER% - producent BIOS
Wartość domyślna: %AUTOGUID% |
|
|
Enabled=1 |
Określa, czy mają być monitorowane uruchamiane strony internetowe. Dozwolone wartości: 1- monitorowanie włączone, 0 - wyłączone |
Delivery interval=60000 |
Częstotliwość dostarczania wyników monitoringu WWW do serwera w milisekundach. |
Level=1 |
Określa poziom dokładności śledzonych adresów. Poprzez „poziom” rozumie się głębokość raportowanych lokalizacji na serwerze. Level przyjmuje wartości z przedziału 1-10. Dla adresu: http://www.e-audytor.com/support/v.2/index.html Poszczególne wartości Level zwracają następujące wyniki: 2 http://www.e-audytor.com/support/ |
|
|
* |
Lista adresów stron internetowych, które będą podlegać monitoringowi. Poszczególne pozycje znajdują się w nowych liniach. Dopuszcza się użycie znaku '*', dla oznaczenia dowolnego ciągu znaków. |
|
|
http://www.btc.com.pl/* |
Lista adresów stron internetowych, które zostały wyłączone z monitoringu. Poszczególne pozycje znajdują się w nowych liniach. Dopuszcza się użycie znaku '*', dla oznaczenia dowolnego ciągu znaków. |
|
|
*sex* |
Lista adresów stron internetowych, których przeglądanie zostało zablokowane. Poszczególne pozycje znajdują się w nowych liniach. Dopuszcza się użycie znaku '*', dla oznaczenia dowolnego ciągu znaków. |
[Registry Property] |
|
Identyfikator|HKLM\HARDWARE\DESCRIPTION\System\CentralProcessor\0=Identifier |
Lista wartości z rejestru systemowego, które mają zostać odczytane przez e-Agenta. Wartości te widoczne są w e-Console w widoku Zmienne. Każdy wpis znajduje się w nowej lini. Wpisy mają postać: NazwaZmiennej|LokalizacjaWRejestrze=KluczRejestru Aby odczytać wartość Identyfier z klucza KEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ i przypisać go do zmiennej Identyfikator (pod tą nazwą będzie występować w e-Console) należy zdefiniować następujący wpis: Identyfikator|HKLM\HARDWARE\DESCRIPTION\System\CentralProcessor\0=Identifier |
|
|
|
Lista definicji kluczy produktowych. W tym miejscu są zdefiniowane klucze rejestru, z których odczytywane są klucze produktowe aplikacji. Każdy wpis znajduje się w nowej lini. |
Procesy agenta
Agent składa się z jednego procesu – procesu skanowania. Po uruchomieniu Agenta obliczany jest czas rozpoczęcia kolejnego skanowania, a Agent przechodzi w tryb oczekiwania. Gdy nadejdzie odpowiednia pora, rozpoczyna się skanowanie zgodne z konfiguracją zawartą w pliku konfiguracyjnym. Po zakończeniu skanowania pliki z wynikami zapisywane są na dysku. W międzyczasie, Agent periodycznie próbuje nawiązać połączenie z serwerem, aby wysłać do niego wyniki.
Identyfikator
Każdy Agent ma swój unikatowy identyfikator tworzony na podstawie wzorca określonego w pliku konfiguracyjnym (wartość ID= w sekcji [AgentID]). Wpis nie może zawierać spacji, innych białych znaków oraz znaków, których nie można użyć w nazwie pliku (/ \: * ? " < > |). Możliwa jest parametryzacja AgentId za pomocą wstawienia do niego następujących znaczników (oraz ich kombinacji):
%PREFIX% - prefix zdefiniowany w innym miejscu pliku konfiguracyjnego
%COMPUTERNAME% - wartość zmiennej środowiskowej %COMPUTERNAME%
%AUTOGUID% - losowo wygenerowany GUID
%SYSTEMUUID% - wartosć UUID
%SYSTEMSN% - numer seryjny komputera
%BIOSMANUFACTURER% - producent BIOS
Domyślnie identyfikator agenta tworzony jest losowo wg standardu GUID (Globally Unique Identifier) - %AUTOGUID%.
Maksymalna długość identyfikatora e-Agenta to 128 znaków.
Identyfikator Agenta powinien być zachowywany w takim katalogu aby uniemożliwić jego przypadkowe usunięcie bądź zmianę przez użytkownika. W przypadku utraty identyfikatora można go uzyskać w e-Consoli.
Przełączniki/parametry e-Agenta
Uruchamiany e-Agent (niezależnie od sposobu uruchomienia) korzysta z pliku konfiguracyjnego params.ini znajdującego się w katalogu BIN.
Parametry znajdujące się w pliku params.ini:
Config= |
Lokalizacja pliku zawierającego aktualną konfigurację skanowania e-Agenta - "eagent.ini". Domyślnie: C:\Program Files\Btc\eAudytor\eAgent\Config\ |
Output= |
Lokalizacja katalogu zawierającego wyniki skanowania gotowe do wysyłki. Domyślnie: C:\Program Files\Btc\eAudytor\eAgent\Output\ |
Number= |
Lokalizacja pliku zawierającego nr ID e-Agenta - "AgentId.file". Domyślnie: C:\Program Files\Btc\eAudytor\eAgent\Id\AgentId.file |
Internal= |
Lokalizacja katalogu z plikami zawierającymi informacje o terminie wykonywanych skanowań. Domyślnie: C:\Program Files\Btc\eAudytor\eAgent\Internaldata\ |
Hidden= |
Parametr określający czy e-Agent ma pracować w trybie ukrytym czy z uruchomionym interface'm; Yes - tryb ukryty (domyślnie), No - uruchomiony interface |
Jeżeli e-Agent jest uruchamiany z linią parametrów to priorytet mają te parametry!
Parametryzacja e-Agenta następuje poprzez wywołanie programu eAgent.exe z odpowiednimi parametrami.
Przykłady uruchomienia jako aplikacji z linią parametrów:
eAgent.exe -c "c:\audytor2\bin\agent\config" -o "c:\audytor2\bin\agent\output" -n "c:\audytor2\bin\agent\Id\AgentId.file" -i "c:\audytor2\bin\agent\config" -d -h
eAgent.exe -c "%systemroot%" -o "c:\audytor2\bin\agent\output" -n "%systemroot%\AgentId.file" -i "%systemroot%"
eAgent.exe -c "..\config" -o "..\output" -n "..\id\AgentId.file" -i "..\internaldata"
-c - (config) Wskazuje na KATALOG zawierający plik konfiguracyjny "eagent.ini"
-o - (output) Wskazuje na KATALOG, gdzie zapisywane będą wyniki skanowania
-n - (number) Wskazuje na PLIK z identyfikatorem e-Agenta - domyślnie "AgentId.FILE" (w przypadku braku pliku zostanie on utworzony)
-i - (internal) wskazuje na KATALOG zawierający plik z danymi wewnętrznymi e-Agenta. Nazwa pliku ma postać: "{%AgentID}.dat"
-d - (debug) włączenie tworzenia logu (zalecana przy weryfikacji problemów)
-h - (hidden) praca w trybie ukrytym
Przełączniki dodatkowe do ustalenia trybu pracy Agenta jako Usługi (tryb testowy):
-register - rejestruje e-Agenta jako usługę
-unregister - wyrejestrowuje e-Agenta jako usługę
Jako parametrów można używać skrótów ścieżek oraz ścieżek względnych, np. -n "%systemroot%\eAgentID.file" -i "%systemroot%" -c "..\config"
Uruchomienie e-Agenta
Uruchomienie jako Usługi /dostępne na komputerach klasy NT/
poleceniem: "net start eagent"
Uruchomienie jako aplikacji /dostępne na wszystkich typach komputerów/
poleceniem: "eagent.exe" z katalogu \BIN e-Agenta.
Wyłączenie e-Agenta może nastąpić poprzez:
- wykonanie polecenia: "eAgent.exe -stop" lub
- wyłączenie procesu "eAgentInternal.exe" z "Menedżera zadań Windows".
Wyłączenie e-Agenta pracującego w trybie usługi może nastąpić poprzez:
- wykonanie polecenia: "net stop agent2" lub
- wyłączenie usługi z panelu Narzędzia > Usługi.
Struktura katalogów
Agent składa się z jednego katalogu, w którym znajdują się wszystkie pliki binarne. Umiejscowienie pozostałych katalogów jest konfigurowalne za pomocą przełączników. Dopuszcza się możliwość zmiany katalogów.
Komunikacja z serwerem
Agent komunikuje się z serwerem za pomocą protokołu TCP/IP. Próba łączenia następuje automatycznie, w ściśle określonych odstępach czasu. Gdy połączenie zostanie nawiązane, wszystkie zaległe oraz bieżące wyniki skanowania wysyłane są natychmiastowo. Częstotliwość nawiązywania komunikacji z e-Serverem określona jest w pliki konfiguracyjnym e-Agenta.
Firewall
Firewall powinien zostać skonfigurowany tak, aby przepuszczać ruch do serwera na porcie określonym w pliku konfiguracyjnym (domyślnie: 8895).
Blokowanie użycia napędów przenośnych
e-Agent pozwala na blokowanie urządzeń przenośnych USB podłączanych do komputerów, jednak Agent korzysta z systemowego mechanizmu konfiguracji sterownika i usługi USBSTORE, co wiąże się z następującymi komplikacjami:
| ▪ | w momencie, gdy urządzenie przenośne nie korzysta ze standardowego stosu USB, nie będzie zablokowane. Dotyczy to pewnych specyficznych urządzeń, np. telefonów Nokia oraz niektórych aparatów i kamer. |
| ▪ | w momencie gdy urządzenie jest już podłączone do komputera i używane, to nie ma możliwości odłączenia go od systemu. Tzn. jeśli użytkownik podłączy pen-drive, a Agent dopiero później zostanie skonfigurowany tak, aby blokować USB, to podłączony wcześniej pen-drive nie zostanie zablokowany. Jeśli natomiast pen-drive zostanie wyjęty z gniazda USB i ponownie włożony, to system Windows już na niego nie zareaguje. |
| ▪ | blokada użycia napędów USB pozostaje aktywna nawet po wyłączeniu e-Agenta. Aby ponownie odblokować możliwość korzystania z USB, należy odpowiednio skonfigurować e-Agenta i pozwolić mu dokonać odpowiednich zmian w systemie. |
Następujące linie pliku konfiguracyjnego służą do konfiguracji blokowania użycia napędów przenośnych:
[Miscellaneous]
BlockUSB=0