Ansichten:
Hinweis
Hinweis
Das Integritätsüberwachungsmodul durchsucht nach unerwarteten Änderungen in Verzeichnissen, Registrierungswerten, Registrierungsschlüsseln, Diensten, Prozessen, installierter Software, Ports, Gruppen, Benutzern, Dateien und der WQL-Abfrageanweisung auf Agenten. Um die Integritätsüberwachung zu aktivieren und zu konfigurieren, siehe Einrichten der Integritätsüberwachung.
Das DirectorySet-Tag beschreibt eine Menge von Verzeichnissen.

Tag-Attribute

Dies sind XML-Attribute des Tags selbst, im Gegensatz zu den Attributen der Entität, die von den Integritätsüberwachungsregeln überwacht werden.
Attribut
Beschreibung
Erforderlich
Standardwert
Zulässige Werte
Basis
Legt das Basisverzeichnis des DirectorySet fest. Alles andere im Tag ist relativ zu diesem Verzeichnis
Ja
N/A
String-Werte, die zu einem syntaktisch gültigen Pfad aufgelöst werden (Pfad muss nicht existieren) Hinweis: UNC-Pfade sind bei Windows-Agenten erlaubt, erfordern jedoch, dass das entfernte System den Zugriff durch das "LocalSystem"-Konto des Agenten-Computers zulässt. Der Agent ist ein Windows-Dienst und läuft als LocalSystem, auch bekannt als NT AUTHORITY\SYSTEM. Beim Zugriff auf eine Netzwerkressource verwendet das LocalSystem die Anmeldeinformationen des Computers, was ein Konto namens DOMAIN\MACHINE$ ist. Das dem entfernten Computer präsentierte Zugriffstoken enthält auch die Gruppe "Administrators" für den Computer, daher müssen entfernte Freigaben entweder dem Konto des Agenten-Computers, der Administratorengruppe des Agenten-Computers oder "Everyone" Leseprivilegien gewähren. Wenn der Basiswert nicht syntaktisch gültig ist, wird das FileSet nicht verarbeitet. Der Rest der Konfiguration wird ausgewertet.
beiÄnderung
Ob die zurückgegebenen Verzeichnisse in Echtzeit überwacht werden sollen.
No
false
true, false
Links folgen
Wird dieses DirectorySet symbolische Links folgen.
No
false
true, false

Entitätensatzattribute

Dies sind die Attribute der Entität, die durch Integritätsüberwachungsregeln überwacht werden können.
  • Erstellt: Zeitstempel, wann das Verzeichnis erstellt wurde
  • LastModified: Zeitstempel, wann das Verzeichnis zuletzt geändert wurde
  • LastAccessed: Zeitstempel, wann das Verzeichnis zuletzt zugegriffen wurde. Unter Windows wird dieser Wert nicht sofort aktualisiert, und die Aufzeichnung des zuletzt zugegriffenen Zeitstempels kann als Leistungsverbesserung deaktiviert werden. Weitere Informationen finden Sie unter Dateizeiten. Das andere Problem mit diesem Attribut ist, dass das DURCHSUCHEN eines Verzeichnisses erfordert, dass der Agent das Verzeichnis öffnet, was seinen zuletzt zugegriffenen Zeitstempel ändern wird.
  • Berechtigungen: Der Sicherheitsdeskriptor des Verzeichnisses (im SDDL-Format) unter Windows oder Posix-ähnliche ACLs auf Unix-Systemen, die ACLs unterstützen, andernfalls die Unix-ähnlichen rwxrwxrwx-Dateiberechtigungen im numerischen (oktalen) Format.
  • Eigentümer: Benutzer-ID des Verzeichniseigentümers (häufig als "UID" unter Unix bezeichnet)
  • Gruppe: Gruppen-ID des Verzeichniseigentümers (häufig als "GID" unter Unix bezeichnet)
  • Flags: Nur für Windows. Von der GetFileAttributes() Win32-API zurückgegebene Flags. Der Windows Explorer bezeichnet diese als "Attribute" der Datei: Schreibgeschützt, Archiviert, Komprimiert usw.
  • SymLinkPath: Wenn das Verzeichnis ein symbolischer Link ist, wird der Pfad des Links hier gespeichert. Unter Windows verwenden Sie das SysInternals-Dienstprogramm "junction", um das Windows-Äquivalent von symbolischen Links zu erstellen.
  • InodeNumber (nur Unix und Linux): Inode-Nummer des Datenträgers, auf dem das mit der Datei verknüpfte Inode gespeichert ist
  • DeviceNumber (nur Unix und Linux): Gerätenummer der Festplatte, auf der das mit dem Verzeichnis verbundene Inode gespeichert ist

Kurzzeichenattribute

Die folgenden sind die Kurzzeichenattribute und die Attribute, denen sie zugeordnet sind.
  • STANDARD:
  • Erstellt
    • Zuletzt geändert
    • Berechtigungen
    • Besitzer
    • Gruppe
    • Flags (nur Windows)
    • SymLinkPfad

Bedeutung von "Schlüssel"

Der Schlüssel ist ein Muster, das mit dem Pfad des Verzeichnisses relativ zu dem durch "dir" angegebenen Verzeichnis abgeglichen wird. Dies ist ein hierarchisches Muster, bei dem Abschnitte des Musters, die durch "/" getrennt sind, mit Abschnitten des Pfads abgeglichen werden, die durch das Dateitrennzeichen des jeweiligen Betriebssystems getrennt sind.

Unterelemente

  • Include
  • Ausschließen
Siehe Integritätsüberwachungsregeln Sprache für eine allgemeine Beschreibung der zulässigen Attribute und Unterelemente von Include und Exclude. Hier sind nur Informationen enthalten, die sich speziell auf Includes und Excludes in Bezug auf diese EntitySet-Klasse beziehen.