Ansichten:
Hinweis
Hinweis
Das Integritätsüberwachungsmodul durchsucht nach unerwarteten Änderungen in Verzeichnissen, Registrierungswerten, Registrierungsschlüsseln, Diensten, Prozessen, installierter Software, Ports, Gruppen, Benutzern, Dateien und der WQL-Abfrageanweisung auf Agenten. Um die Integritätsüberwachung zu aktivieren und zu konfigurieren, siehe Einrichten der Integritätsüberwachung.
Das FileSet-Tag beschreibt eine Gruppe von Dateien.

Tag-Attribute

Dies sind XML-Attribute des Tags selbst, im Gegensatz zu den Attributen der Entität, die von den Integritätsüberwachungsregeln überwacht werden.
Attribut
Beschreibung
Erforderlich
Standardwert
Zulässige Werte
Basis
Legt das Basisverzeichnis des Dateisatzes fest. Alles andere im Tag ist relativ zu diesem Verzeichnis.
Ja
N/A
String-Werte, die zu einem syntaktisch gültigen Pfad aufgelöst werden (Pfad muss nicht existieren). Note: UNC-Pfade sind bei Windows-Agenten erlaubt, erfordern jedoch, dass das entfernte System den Zugriff durch das "LocalSystem"-Konto des Agenten-Computers zulässt. Der Agent ist ein Windows-Dienst und läuft als LocalSystem, auch bekannt als NT AUTHORITY\SYSTEM. Beim Zugriff auf eine Netzwerkressource verwendet das LocalSystem die Anmeldeinformationen des Computers, was ein Konto namens DOMAIN\MACHINE$ ist. Das Zugriffstoken, das dem entfernten Computer präsentiert wird, enthält auch die Gruppe "Administrators" für den Computer, daher müssen entfernte Freigaben entweder dem Konto des Agenten-Computers, der Administratorengruppe des Agenten-Computers oder "Jeder" Leseprivilegien gewähren. Wenn der Basiswert nicht syntaktisch gültig ist, wird das FileSet nicht verarbeitet. Der Rest der Konfiguration wird ausgewertet.
onChange
Ob die zurückgegebenen Dateien in Echtzeit überwacht werden sollen.
No
false
true, false
Links folgen
Wird dieses Dateisatz symbolische Links folgen.
No
false
true, false

Entitätensatzattribute

Dies sind die Attribute des Dateisatzes, die durch Integritätsüberwachungsregeln überwacht werden können.
Hinweis
Hinweis
Für Erstellt, Zuletzt geändert und Zuletzt zugegriffen in einer Linux-Umgebung erkennt das Echtzeit-Integritätsüberwachungsmodul DURCHSUCHEN, bei denen sich der Dateiinhalte geändert haben, erkennt jedoch keine Änderungen wie das Berühren einer Datei, das Lesen einer Datei oder andere Änderungen, die nur Metadaten wie die Zeit, zu der eine Datei geändert wurde, aktualisieren.
  • Created: Zeitstempel, wann die Datei erstellt wurde
  • LastModified: Zeitstempel, wann die Datei zuletzt geändert wurde
  • LastAccessed: Zeitstempel, wann die Datei zuletzt aufgerufen wurde. Unter Windows wird dieser Wert nicht sofort aktualisiert, und die Aufzeichnung des zuletzt aufgerufenen Zeitstempels kann als Leistungsverbesserung deaktiviert werden. Siehe Dateizeiten für Details. Ein weiteres Problem mit diesem Attribut ist, dass das Durchsuchen einer Datei erfordert, dass der Agent die Datei öffnet, was den zuletzt aufgerufenen Zeitstempel ändert. Unter Unix wird der Agent das O_NOATIME-Flag verwenden, wenn es beim Öffnen der Datei verfügbar ist, was verhindert, dass das Betriebssystem den zuletzt aufgerufenen Zeitstempel aktualisiert und das Scannen beschleunigt.
  • Permissions: Der Sicherheitsdeskriptor der Datei (im SDDL-Format) auf Windows oder Posix-ähnliche ACLs auf Unix-Systemen, die ACLs unterstützen, andernfalls die Unix-ähnlichen rwxrwxrwx-Dateiberechtigungen im numerischen (oktalen) Format.
  • Owner: Benutzer-ID des Dateieigentümers (häufig als "UID" auf Unix bezeichnet)
  • Group: Gruppen-ID des Dateieigentümers (häufig als "GID" unter Unix bezeichnet)
  • Size: Dateigröße
  • Sha1: SHA-1-Hash
  • **Sha256:**SHA-256-Hash
  • Md5: MD5-Hash (veraltet)
  • Flags: Nur für Windows. Von der GetFileAttributes() Win32-API zurückgegebene Flags. Der Windows Explorer bezeichnet diese als "Attribute" der Datei: Schreibgeschützt, Archiviert, Komprimiert usw.
  • SymLinkPath (nur Unix und Linux): Wenn die Datei ein symbolischer Link ist, wird hier der Pfad des Links gespeichert. Windows NTFS unterstützt Unix-ähnliche Symlinks, jedoch nur für Verzeichnisse, nicht für Dateien. Windows-Verknüpfungsobjekte sind keine echten Symlinks, da sie nicht vom Betriebssystem verarbeitet werden; der Windows Explorer verarbeitet Verknüpfungsdateien (*.lnk), aber andere Anwendungen, die eine *.lnk-Datei öffnen, sehen den Inhalt der lnk-Datei.
  • InodeNumber (nur Unix und Linux): Inode-Nummer des Datenträgers, auf dem das mit der Datei verknüpfte Inode gespeichert ist
  • DeviceNumber (nur Unix und Linux): Gerätenummer der Festplatte, auf der das mit der Datei verknüpfte Inode gespeichert ist
  • BlocksAllocated (nur Linux und Unix): Die Anzahl der zugewiesenen Blöcke zur Speicherung der Datei.
  • Growing: (DSA 7.5+) enthält den Wert "true", wenn die Dateigröße zwischen den Durchsuchungen gleich bleibt oder zunimmt, andernfalls "false". Dies ist hauptsächlich nützlich für Protokolldateien, denen Daten hinzugefügt werden. Beachten Sie, dass das Überschreiben einer Protokolldatei eine Änderung dieses Attributs auslöst.
  • Shrinking: (DSA 7.5+) enthält den Wert "wahr", wenn die Dateigröße zwischen den Durchsuchungen gleich bleibt oder abnimmt, andernfalls "falsch".

Kurzzeichenattribute

Die folgenden sind die Kurzform-Attribute und die Attribute, denen sie zugeordnet sind.
  • CONTENTS: Wird auf den Inhalts-Hash-Algorithmus gesetzt, der in Computer or Policy editorIntegritätsüberwachungErweitert festgelegt ist.
  • STANDARD: Erstellt, Zuletzt geändert, Berechtigungen, Besitzer, Gruppe, Größe, Inhalt, Flags (nur Windows), SymLinkPath (nur Unix)

Laufwerke als Verzeichnisse eingebunden

Als Verzeichnisse eingehängte Laufwerke werden wie jedes andere Verzeichnis behandelt, es sei denn, es handelt sich um ein Netzlaufwerk, in diesem Fall werden sie ignoriert.

Alternative Datenströme

NTFS-basierte Dateisysteme unterstützen das Konzept der alternativen Datenströme. Wenn diese Funktion verwendet wird, verhält sie sich konzeptionell wie Dateien innerhalb der Datei.
Hinweis
Hinweis
Um dies zu demonstrieren, geben Sie Folgendes an der Eingabeaufforderung ein: 
		echo plain > sample.txt  echo alternate > sample.txt:s  more < sample.txt  more < sample.txt:s
Das erste "more" zeigt nur den Text "plain", denselben Text, der angezeigt wird, wenn die Datei mit einem Standard-Texteditor wie Notepad geöffnet wird. Das zweite "more", das auf den "s"-Stream von sample.txt zugreift, zeigt den String "alternate" an.
Für Dateisätze gilt: Wenn kein Stream angegeben ist, werden alle Streams einbezogen. Jeder Stream ist ein separater Entitätseintrag in der Basislinie. Die verfügbaren Attribute für Streams sind:
  • size
  • Sha1
  • Sha256
  • Md5 (veraltet)
  • Inhalt
Das folgende Beispiel würde beide Streams aus der obigen Demonstration enthalten:
<include key="**/sample.txt" />
Um bestimmte Streams einzuschließen oder auszuschließen, wird die ":"-Notation verwendet. Das folgende Beispiel stimmt nur mit dem "s"-Stream in sample.txt überein und nicht mit dem Hauptstream von sample.txt:
<include key="**/sample.txt:s" />
Musterabgleich wird für die Stream-Notation unterstützt. Das folgende Beispiel würde sample.txt einschließen, aber alle seine alternativen Streams ausschließen:
<include key="**/sample.txt" />
<exclude key="**/sample.txt:\*" />

Bedeutung von "Schlüssel"

Der Schlüssel ist ein Muster, das mit dem Pfad der Datei relativ zu dem durch "base" angegebenen Verzeichnis abgeglichen wird. Dies ist ein hierarchisches Muster, bei dem Abschnitte des Musters, die durch "/" getrennt sind, mit Abschnitten des Pfads abgeglichen werden, die durch das Dateitrennzeichen des jeweiligen Betriebssystems getrennt sind.

Unterelemente

  • Include
  • Ausschließen
Siehe Integritätsüberwachungs-Regelsprache für eine allgemeine Beschreibung der erlaubten Attribute und Unterelemente von Include und Exclude. Hier sind nur Informationen enthalten, die spezifisch für Includes und Excludes in Bezug auf die FileSet Entity Set-Klasse sind.

Besondere Attribute von Einschließen und Ausschließen für Dateisätze

executable: Bestimmt, ob die Datei ausführbar ist. Dies bedeutet nicht, dass ihre Berechtigungen die Ausführung erlauben. Stattdessen wird der Inhalt der Datei, je nach Plattform, überprüft, um festzustellen, ob es sich um eine ausführbare Datei handelt.
Hinweis
Hinweis
Dies ist ein relativ kostspieliger Vorgang, da der Agent die Datei öffnen und das erste Kilobyte oder zwei ihres Inhalts untersuchen muss, um einen gültigen ausführbaren Bildheader zu finden. Das Öffnen und Lesen jeder Datei ist viel teurer als einfach nur Verzeichnisse zu durchsuchen und Dateinamen basierend auf Platzhaltermustern abzugleichen. Daher führen alle Ein- und Ausschlussregeln, die "ausführbar" verwenden, zu langsameren Durchsuchungszeiten als solche, die dies nicht tun.