Ansichten:
Hinweis
Hinweis
Das Modul zur Integritätsüberwachung durchsucht nach unerwarteten Änderungen in Verzeichnissen, Registrierungswerten, Registrierungsschlüsseln, Diensten, Prozessen, installierter Software, Ports, Gruppen, Benutzern, Dateien und der WQL-Abfrageanweisung auf Agenten. Um die Integritätsüberwachung zu aktivieren und zu konfigurieren, siehe Einrichten der Integritätsüberwachung.
Das ServiceSet-Element repräsentiert eine Gruppe von Diensten (nur Windows). Dienste werden durch den "Dienstnamen" identifiziert, der nicht mit der Spalte "Name" im Verwaltungswerkzeug für Dienste identisch ist. Der Dienstname ist in den Diensteigenschaften sichtbar und ist oft kürzer als der Wert in der Spalte "Name", die tatsächlich den "Anzeigenamen" des Dienstes darstellt. Zum Beispiel hat der Agent einen Dienstnamen von "ds_agent" und einen Anzeigenamen von "Trend Micro Deep Security Agent".

Tag-Attribute

Dies sind XML-Attribute des Tags selbst, im Gegensatz zu den Attributen der Entität, die von den Integritätsüberwachungsregeln überwacht werden.
Attribut
Beschreibung
Erforderlich
Standardwert
Zulässige Werte
onChange
Wird in Echtzeit überwacht
No
false
true, false

Entitätensatzattribute

Dies sind die Attribute der Entität, die durch Integritätsüberwachungsregeln überwacht werden können.
  • Permissions: Der Sicherheitsdeskriptor des Dienstes im SDDL-Format.
  • Owner: Benutzer-ID des Dienstinhabers
  • Group: Gruppen-ID des Dienstinhabers
  • BinaryPathName: Der Pfad plus optionale Befehlszeilenargumente, die Windows verwendet, um den Dienst zu starten.
  • DisplayName: Der "Anzeigename" des Dienstes, wie er im Eigenschaftenfenster des Dienstes angezeigt wird.
  • Description: Beschreibung, wie sie im Dienste-Panel erscheint
  • State: Der aktuelle Status des Dienstes. Einer von: gestoppt, startet, stoppt, läuft, fortsetzenAusstehend, pausierenAusstehend, pausiert
  • StartType: Wie wird der Dienst gestartet? Eine der folgenden Optionen: automatisch, deaktiviert, manuell.
  • LogOnAs: Der Name des Kontos, unter dem der Dienstprozess beim Ausführen angemeldet wird.
  • FirstFailure: Aktion, die beim ersten Fehlschlagen des Dienstes ausgeführt werden soll. Das Format ist "delayInMsec,action", wobei action eine der folgenden Optionen ist: None, Restart, Reboot, RunCommand.
  • SecondFailure: Maßnahme, die beim zweiten Ausfall des Dienstes ergriffen werden soll. Das Format ist "delayInMsec,action", wobei action eine der folgenden Optionen ist: None, Restart, Reboot, RunCommand.
  • SubsequentFailures: Maßnahme, die ergriffen werden soll, wenn der Dienst zum dritten oder weiteren Mal ausfällt. Das Format lautet "delayInMsec,action", wobei action eine der folgenden Optionen ist: None, Restart, Reboot, RunCommand.
  • ResetFailCountAfter: Zeitspanne, nach der der Fehlerzähler auf null zurückgesetzt wird, wenn keine Fehler auftreten, in Sekunden.
  • RebootMessage: Nachricht, die an die Serverbenutzer gesendet wird, bevor der Neustart als Reaktion auf die Aktion "Neustart" des Dienstcontrollers erfolgt.
  • RunProgram: Vollständige Befehlszeile des Prozesses, der als Reaktion auf die Aktion des RunCommand-Dienstcontrollers ausgeführt werden soll.
  • DependsOn: Kommagetrennte Liste von Komponenten, von denen der Dienst abhängt
  • LoadOrderGroup: Die Lade-Reihenfolgegruppe, zu der dieser Dienst gehört. Das Systemstartprogramm verwendet Lade-Reihenfolgegruppen, um Dienstgruppen in einer bestimmten Reihenfolge im Verhältnis zu anderen Gruppen zu laden. Die Liste der Lade-Reihenfolgegruppen befindet sich in folgendem Registrierungswert: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrder
  • ProcessId: Dies ist die numerische ID des Prozesses, der den Dienst hostet. Viele Dienste können in einem einzigen Windows-Prozess existieren, aber für diejenigen, die in ihrem eigenen Prozess laufen, ermöglicht die Überwachung dieses Attributs dem System, Dienstneustarts zu protokollieren.

Kurzschreibattribute

Dies sind die Kurzschreibattribute der Entität und die Attribute, auf die sie sich beziehen
  • STANDARD: Berechtigungen, Besitzer, Gruppe, BinaryPathName, Beschreibung, Status, Starttyp, Anmelden als, ErsterFehler, ZweiterFehler, NachfolgendeFehler, FehleranzahlZurücksetzenNach, ProgrammAusführen, AbhängigVon, LadeReihenfolgeGruppe, ProzessId

Bedeutung von "Schlüssel"

Der Schlüssel ist der Name des Dienstes, der nicht unbedingt mit der Spalte "Name" im Verwaltungswerkzeug für Dienste übereinstimmt (dieses Werkzeug zeigt den "Anzeigenamen" des Dienstes an). Der Dienstname kann in den Eigenschaften des Dienstes eingesehen werden und ist oft kürzer als der Wert, der in der Spalte "Name" angezeigt wird.
Hinweis
Hinweis
Dies ist kein hierarchisches Entitätenset. Muster werden nur auf den Servicenamen angewendet. Daher ist das **-Muster nicht anwendbar.

Unterelemente

  • Include
  • Ausschließen
Siehe Integritätsüberwachungs-Regelsprache für eine allgemeine Beschreibung der erlaubten Attribute und Unterelemente von Include. Hier sind nur Informationen enthalten, die spezifisch für Includes und Excludes in Bezug auf diese Entity-Set-Klasse sind.

Besondere Attribute von Einschließen und Ausschließen für ServiceSets

state: Ein- oder ausschließen basierend auf dem Status des Dienstes (gestoppt, startet, stoppt, läuft, fortsetzen ausstehend, pausieren ausstehend, pausiert). Das folgende Beispiel würde die Menge der laufenden Dienste auf Änderungen überwachen:
<ServiceSet>
<include state="running"/>
</ServiceSet>