 |
HinweisDas Integritätsüberwachungsmodul durchsucht nach unerwarteten Änderungen in Verzeichnissen, Registrierungswerten, Registrierungsschlüsseln, Diensten, Prozessen, installierter Software, Ports, Gruppen, Benutzern, Dateien und der WQL-Abfrageanweisung auf Agenten. Um die Integritätsüberwachung zu aktivieren und zu
konfigurieren, siehe Einrichten der Integritätsüberwachung.
|
Stellt eine Gruppe installierter Software dar. Der "Schlüssel", der zur eindeutigen
Identifizierung einer installierten Anwendung verwendet wird, ist plattformspezifisch,
aber oft eine Kurzversion des Namens der Anwendung oder ein eindeutiger numerischer
Wert.
Unter Windows kann der Schlüssel etwas Lesbares wie "FogBugz Screenshot_is1" sein
oder eine GUID wie "{90110409-6000-11D3-8CFE-0150048383C9}". Sie können diese untersuchen,
indem Sie die Unterschlüssel von HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
betrachten.
Unter Linux ist der Schlüssel der Name des RPM-Pakets, wie durch den Befehl angezeigt:
rpm -qa --qf "%{NAME}\n"Auf Solaris ist der Schlüssel der Paketname, wie durch den pkginfo-Befehl angezeigt.
Tag-Attribute
Dies sind XML-Attribute des Tags selbst, im Gegensatz zu den Attributen des Computers,
auf dem die Integritätsüberwachung aktiviert ist.
|
Attribut
|
Beschreibung
|
Erforderlich
|
Standardwert
|
Zulässige Werte
|
|
onChange
|
Wird in Echtzeit überwacht
|
No
|
false
|
true, false
|
Entitätensatzattribute
Dies sind die Attribute der Entität, die durch Integritätsüberwachungsregeln überwacht
werden können. Das Vorhandensein der Attribute hängt sowohl von der Plattform als
auch von der Anwendung selbst ab - Installationsprogramme füllen nicht unbedingt alle
Attribute aus.
- Manufacturer: Der Herausgeber oder Hersteller der Anwendung
- Name: Der freundliche Name oder Anzeigename der Anwendung. (Nicht verfügbar unter Linux.)
- InstalledDate: Installationsdatum. Dies wird normalerweise als JJJJ-MM-TT [HH:MM:SS] zurückgegeben, aber viele Installationsprogramme unter Windows formatieren den Datumsstring auf eine andere Weise, sodass dieses Format nicht garantiert ist. (Nicht verfügbar auf AIX.)
- InstallLocation: Das Verzeichnis, in dem die Anwendung installiert ist. (Nur verfügbar auf Windows und Solaris.)
- Parent: Für Patches und Updates gibt dies den Schlüsselname des übergeordneten Elements dieses Eintrags an. (Nur auf Windows verfügbar.)
- Size: Die geschätzte Größe der Anwendung, falls verfügbar. Unter Windows wird dieses Attribut aus dem "EstimatedSize"-Registrierungswert unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\* gelesen. Der Wert an diesem Ort wird in KB ausgedrückt, daher multipliziert der Agent ihn mit 1024, bevor er den Wert zurückgibt. Beachten Sie, dass nicht alle Windows-Anwendungen das Feld EstimatedSize in der Registrierung ausfüllen. (Nicht verfügbar auf AIX.)
- Version: Die Version der installierten Anwendung. Unter Windows stammt diese aus dem "DisplayVersion"-Registrierungswert.
Kurzzeichenattribute
Dies sind die Kurzattribute der Entität und die Attribute, auf die sie sich beziehen
- STANDARD: Installationsdatum, Name, Version
Bedeutung von "Schlüssel"
Der Schlüssel ist der Name der installierten Software. Dies ist kein hierarchischer
Schlüssel, daher gilt das **-Muster nicht. Unter Windows ist der Schlüssel oft eine
GUID, insbesondere für alles, was über den Windows Installer (auch bekannt als MSI)
installiert wurde. Verwenden Sie die Funktion name="XXX", wenn Sie basierend auf dem
Anzeigenamen anstelle der GUID ein- oder ausschließen müssen.
Das folgende Beispiel würde die Hinzufügung und Löschung neuer Software überwachen.
<InstalledSoftwareSet> <include key="\*"/> <attributes/> </InstalledSoftwareSet>
Unterelemente
- Include
- Ausschließen
Siehe Integritätsüberwachungs-Regelsprach für eine allgemeine Beschreibung der zulässigen Attribute und Unterelemente von Include
und Exclude. Hier sind nur Informationen enthalten, die sich speziell auf Includes
und Excludes in Bezug auf diese EntitySet-Klasse beziehen.
Besondere Attribute von Einschließen und Ausschließen für InstallierteSoftwareSets
name (Windows only): Ermöglicht die Verwendung von Platzhaltern mit ? und * im Anzeigenamen der Anwendung
(das "name"-Attribut der Entität). Zum Beispiel:
<InstalledSoftwareSet> <include name="Microsoft*"/> <InstalledSoftwareSet>
wird alle installierten Anwendungen abgleichen, deren Anzeigename (wie in der Systemsteuerung
angezeigt) mit "Microsoft" beginnt.
manufacturer: Ermöglicht die Verwendung von Platzhaltern wie ? und * für den Herausgeber oder
Hersteller der Anwendung. Zum Beispiel:
<InstalledSoftwareSet> <include manufacturer="* Company "/> <InstalledSoftwareSet>
wird alle installierten Anwendungen abgleichen, deren Hersteller mit "Company" endet.