e-Audytor Help
Konfiguracja e-Agenta
e-Agent jest oprogramowaniem instalowanym / uruchamianym na skanowanych komputerach. Zadaniem oprogramowania jest zebranie danych z komputera w celu przekazania ich do dalszego przetwarzania. Właściwa konfiguracja e-Agenta jest filarem informacji uzyskiwanych z całego systemu.
Od wersji 2.4 wprowadzono ustalanie priorytetu pracy e-Agenta. Predefiniowane priorytety: REALTIME, HIGH, ABOVE_NORMAL, BELOW_NORMAL,IDLE. Zmiana priorytetu pracy e-Agenta umożliwia wyższą elastyczność e-Agenta w stosunku do środowiska systemu operacyjnego. Definiowanie priorytetu możliwe jest wyłącznie w pliku konfiguracyjnym (eagent.ini) e-Agenta. Domyślnie e-Agent instaluje się z Priorytetem = BELOW_NORMAL
e-Agent od wersji 3.0 wyposażony został w możliwość odtwarzania dźwięków. Aktualnie odtwarzane są one tylko przy otrzymywaniu wiadomości od administratora.
Za konfigurację Agenta odpowiada plik config.ini. Poniżej struktura parametrów pliku config.ini wraz z opisem:
|
|
Start at=2006.04.23 20:00 |
Oznacza czas pierwszego skanowania |
Frequency=DAY |
Częstotliwość skanowania Wartości: DAY, QUARTER, MONTH, WEEK |
Type=HARDWARE;REGISTRY; TRACKING;FILES
|
Typ skanowania Wartości /dowolna kombinacja/: HARDWARE;REGISTRY; TRACKING;FILES;opcje skanowania. Przykłady: Type=HARDWARE;REGISTRY;FILES Type=HARDWARE;REGISTRY;FILES;TRACKING Type=HARDWARE;REGISTRY;TRACKING Type=HARDWARE;REGISTRY Type=HARDWARE;FILES Type=REGISTRY;TRACKING Type=HARDWARE;TRACKING Type=FILES |
Maximum history entries=10 |
Maksymalna ilość przechowywanych wyników skanowania. Aktualnie nie obsługiwane. |
Output to=DISK |
Cel zapisu danych. Aktualnie każde wyniki przed wysłaniem zapisywane są na dysk.
|
|
|
Exclude directories= |
Rozdzielona średnikiem lista katalogów wykluczonych ze skanowania. |
Scan Network Drives=0 |
Określa, czy skanowane będą dyski sieciowe. Wartości: 0 - skanowanie wyłączone, 1 - skanowanie włączone
|
|
|
*.exe=0;0;1980.01.01 01:00; 2030.12.31 23:59 *.com=0;0;1980.01.01 01:00; 2030.12.31 23:59
|
Tutaj zawarte są maski plików wraz z ich restrykcjami w postaci: maska=min_rozmiar; max_rozmiar; min_data; max_data
Daty podawane są w postaci datetime.
np. *.mp3=1;2;1980.01.01 01:00;2030.12.31 23:59 Skanuje pliki *.mp3 o rozmiarze między 1 i 2 bajty, o dacie między godziną 01:00 1 stycznia 1980 do 31 grudnia 2030 do godziny 23:59. |
|
|
Software key=SOFTWARE\Microsoft\ Windows\CurrentVersion\Uninstall
|
Oznacza klucz rejestru, gdzie znajdują się dane o zainstalowanych aplikacjach. |
|
|
Accuracy=3000 |
Częstotliwość próbkowania stanu uruchomienia procesów w milisekundach. |
Delivery interval=300000 |
Częstotliwość dostarczania wyników trackingu do serwera w milisekundach.
|
Exclude processes=notepad.exe;Calc.exe |
Rozdzielona średnikiem lista procesów wykluczonych z monitorowania uruchomionych aplikacji; np.: notepad i kalkulator
|
Exclude processes case sensitive=1 |
Parametr ten określa, czy rozpoznawanie nazw procesów ma uwzględniać wielkość liter (1 – włączone, 0 – wyłączone). Domyślnie opcja jest wyłączona. |
|
|
Win32_BaseBoard= Win32_Battery= Win32_BIOS= Win32_Bus= Win32_CacheMemory= Win32_CDROMDrive= Win32_ComputerSystem= Win32_DesktopMonitor= Win32_DeviceMemoryAddress= Win32_DiskDrive= Win32_DiskDrivePhysicalMedia= Win32_DisplayConfiguration= Win32_DMAChannel= Win32_Fan= Win32_FloppyDrive= Win32_Group= Win32_IDEController= Win32_IRQResource= Win32_Keyboard= Win32_LogicalDisk= Win32_LogicalMemoryConfiguration= Win32_MemoryDevice= Win32_NetworkAdapter= Win32_NetworkAdapterConfiguration= Win32_OnBoardDevice= Win32_OperatingSystem= Win32_ParallelPort= Win32_PCMCIAController= Win32_PhysicalMemory= Win32_PhysicalMemoryArray= Win32_PnPEntity= Win32_PnPSignedDriver= Win32_PointingDevice= Win32_PortConnector= Win32_POTSModem= Win32_Printer= Win32_PrinterConfiguration= Win32_Processor= Win32_SerialPort= Win32_SerialPortConfiguration= Win32_Share= Win32_SoundDevice= Win32_SystemDriver= Win32_SystemEnclosure= Win32_SystemSlot= Win32_TCPIPPrinterPort= Win32_TimeZone= Win32_USBController= Win32_USBHub= Win32_UserAccount= Win32_VideoController= Win32_VoltageProbe= Win32_1394Controller= |
Lista klas WMI do zeskanowania. Możliwe jest wskazanie wszystkich (ok 280) klas WMI. Można, za pomocą składni SQL-a dokonać wyboru parametru (wartości) poszczególnej klasy, np.:po znaku = można podać klauzulę SELECT wraz z warunkiem WHERE, np: a)Win32_PrinterDriver= SELECT Name FROM Win32_PrinterDriver b)Win32_Battery=
Tak zdefiniowane zapytanie zwraca: a)wartość Name z klasy Win32_PrinterDriver b)wszystkie wartości z klasy Win32_Battery
Program jest odporny na „nadmiarowe” spacje po znaku równości.
|
|
|
Serialization mode=TXT |
Tryb serializowania danych. Dozwolone wartości: TXT. |
Message sound=c:\Program Files\Messenger\newemail.wav |
Wskazanie ścieżki do pliku dźwiękowego. Wyłączenie dźwięku: Message sound=NONE (W przypadku nieznalezienia pliku lub problemów z jego odczytaniem odtworzony zostanie dźwięk zarejestrowny w panelu sterowania jako "system default") |
Execute= |
Oznacza aplikację /polecenie/, która zostanie uruchomiona po zakończeniu skanowania. Przykładowa składnia: cmd "/K "dir c:\*.exe"" Polecenie EXECUTE jest wykonywane po każdym skanowaniu. |
Language=Polish |
Wersja językowa. Dozwolone wartości: Polish
|
Server=192.168.0.1 |
Adres IP serwera z modułem e-Server.
|
Port=8895 |
Port serwera. |
Timeout=15000 |
Timeout w milisekundach. |
Connection frequency=30000 |
Częstotliwość prób łączenia z serwerem w milisekundach. |
Priority=BELOW_NORMAL |
Dostępne priorytety pracy e-Agenta: REALTIME - niezalecany (system Windows automatycznie zmieni priorytet na HIGH), HIGH, ABOVE_NORMAL, BELOW_NORMAL,IDLE |
Procesy agenta
Agent składa się z jednego procesu – procesu skanowania. Po uruchomieniu Agenta obliczany jest czas wykonania kolejnego skanowania, a Agent przechodzi w tryb oczekiwania. Gdy nadejdzie odpowiednia godzina, rozpoczyna się skanowanie zgodne z konfiguracją zawartą w pliku konfiguracyjnym. Po zakończeniu skanowania pliki z wynikami zapisywane są na dysku. W międzyczasie, Agent periodycznie próbuje nawiązać połączenie z serwerem, aby wysłać do niego wyniki.
Identyfikator
Każdy Agent ma swój unikatowy identyfikator tworzony wg standardu GUID ( Globally Unique Identifier). Identyfikator jest tworzony (generowany) automatycznie przez e-Agenta. GUID jest 128 bitową liczbą pseudo-losową. Nie ma gwarancji, że wygenerowany GUID jest numerem unikalnym, jednakże liczba unikalnych wartości GUIDu wynosi (2128 lub 3.4028×1038) - tak więc realne prawdopodobieństwo wygenerowania takich samych identyfikatorów jest bardzo małe. Algorytm generowania GUIDów może stworzyć 10 mln unikalnych GUIDów na jednym komputerze w ciągu sekundy.
Identyfikator Agenta powinien być zachowywany w takim katalogu aby uniemożliwić jego przypadkowe usunięcie bądź zmianę przez użytkownika. W przypadku utraty identyfikatora można go uzyskać w e-Consoli.
Pliki e-Agenta
Na Agenta składają się pliki wymienione poniżej.
Plik agenta:
eAgent.exe
Pliki zawierające wewnętrzną implementację Agenta.
ACE.dll, ACE_SSL.dll, eAgent.exe, eAgentInternal.exe, libeay32.dll, MSVCP71.DLL, msvcr71.dll,
PSAPI.DLL, psnnt4.dll, psnt4.dll, runme.bat, Shlwapi.dll, ssleay32.dll
Przełączniki/parametry e-Agenta
Uruchamiany e-Agent (niezależnie od sposobu uruchomienia) korzysta z pliku konfiguracyjnego params.ini znajdującego się w katalogu BIN.
Parametry znajdujące się w pliku params.ini:
Config= |
Lokalizacja pliku zawierającego aktualną konfigurację skanowania e-Agenta - "eagent.ini". Domyślnie: C:\Program Files\Btc\eAudytor\eAgent\Config\ |
Output= |
Lokalizacja katalogu zawierającego wyniki skanowania gotowe do wysyłki. Domyślnie: C:\Program Files\Btc\eAudytor\eAgent\Output\ |
Number= |
Lokalizacja pliku zawierającego nr ID e-Agenta - "AgentId.file". Domyślnie: C:\Program Files\Btc\eAudytor\eAgent\Id\AgentId.file |
Internal= |
Lokalizacja katalogu z plikami zawierającymi informacje o terminie wykonywanych skanowań. Domyślnie: C:\Program Files\Btc\eAudytor\eAgent\Internaldata\ |
Hidden= |
Parametr określający czy e-Agent ma pracować w trybie ukrytym czy z uruchomionym interface'm; Yes - tryb ukryty (domyślnie), No - uruchomiony interface |
Jeżeli e-Agent jest uruchamiany z linią parametrów to priorytet mają te parametry!
Parametryzacja e-Agenta następuje poprzez wywołanie programu eAgent.exe z odpowiednimi parametrami.
Przykłady uruchomienia jako aplikacji z linią parametrów:
eAgent.exe -c "c:\audytor2\bin\agent\config" -o "c:\audytor2\bin\agent\output" -n "c:\audytor2\bin\agent\Id\AgentId.file" -i "c:\audytor2\bin\agent\config" -d -h
eAgent.exe -c "%systemroot%" -o "c:\audytor2\bin\agent\output" -n "%systemroot%\AgentId.file" -i "%systemroot%"
eAgent.exe -c "..\config" -o "..\output" -n "..\id\AgentId.file" -i "..\internaldata"
-c - (config) Wskazuje na KATALOG zawierający plik konfiguracyjny "eagent.ini"
-o - (output) Wskazuje na KATALOG, gdzie zapisywane będą wyniki skanowania
-n - (number) Wskazuje na PLIK z identyfikatorem e-Agenta - domyślnie "AgentId.FILE" (w przypadku braku pliku zostanie on utworzony)
-i - (internal) wskazuje na KATALOG zawierający plik z danymi wewnętrznymi e-Agenta. Nazwa pliku ma postać: "{%AgentID}.dat"
-d - (debug) włączenie tworzenia logu (zalecana przy weryfikacji problemów)
-h - (hidden) praca w trybie ukrytym
Przełączniki dodatkowe do ustalenia trybu pracy Agenta jako Usługi (tryb testowy):
-register - rejestruje e-Agenta jako usługę
-unregister - wyrejestrowuje e-Agenta jako usługę
Jako parametrów można używać skrótów ścieżek oraz ścieżek względnych, np. -n "%systemroot%\eAgentID.file" -i "%systemroot%" -c "..\config"
Uruchomienie e-Agenta
Uruchomienie jako Usługi /dostępne na komputerach klasy NT/
poleceniem: "net start eagent"
Uruchomienie jako aplikacji /dostępne na wszystkich typach komputerów/
poleceniem: "eagent.exe" z katalogu \BIN e-Agenta.
Wyłączenie e-Agenta może nastąpić poprzez:
- wykonanie polecenia: "eAgent.exe -stop" lub
- wyłączenie procesu "eAgentInternal.exe" z "Menedżera zadań Windows".
Wyłączenie e-Agenta pracującego w trybie usługi może nastąpić poprzez:
- wykonanie polecenia: "net stop agent2" lub
- wyłączenie usługi z panelu Narzędzia > Usługi.
Struktura katalogów
Agent składa się z jednego katalogu, w którym znajdują się wszystkie pliki binarne. Umiejscowienie pozostałych katalogów jest konfigurowalne za pomocą przełączników. Dopuszcza się możliwość zmiany katalogów.
Komunikacja z serwerem
Agent komunikuje się z serwerem za pomocą protokołu TCP/IP. Próba łączenia następuje automatycznie, w ściśle określonych odstępach czasu. Gdy połączenie zostanie nawiązane, wszystkie zaległe oraz bieżące wyniki skanowania wysyłane są natychmiastowo. Częstotliwość nawiązywania komunikacji z e-Serverem określona jest w pliki konfiguracyjnym e-Agenta.
Firewall
Firewall powinien zostać skonfigurowany tak, aby przepuszczać ruch do serwera na porcie określonym w pliku konfiguracyjnym (domyślnie: 8895).