![]() |
注意 |
プロセスのセットを表します。
タグ属性
次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。
属性
|
説明
|
必須
|
初期設定値
|
設定できる値
|
onChange
|
リアルタイムで監視するかどうかを示します。
|
いいえ
|
false
|
true、false
|
エンティティセットの属性
次に示すエンティティの属性は、変更監視ルールによって監視可能な属性です。
-
CommandLine::「ps -f」 (UNIX)、「ps w」 (Linux)、またはProcess Explorer (Windows) によって表示される完全なコマンドライン。
-
グループ::プロセスが実行されているグループ。
-
Unixでは、これはプロセスの「有効」グループIDであり、共有リソースアクセスや場合によってはファイルアクセスを決定します。プロセスが特権を放棄したり、有効なグループ資格情報を切り替えたりすると、グループIDが変更されることがあります。例えば、プログラムが一時的にグループIDを変更し、ユーザが読み取り専用の権限を持つディレクトリにインストールファイルをコピーするための書き込み権限を取得することができます。
-
Windowsでは、これはログイン時に作成されたユーザ固有のアクセス トークンによって確立されたプロセスの「現在の」プライマリ グループであり、ユーザおよびその実行するプロセスに対するアクセスとリソース特権を設定します。
注意
Windowsプロセスには、プライマリグループに加えて、通常1つ以上の追加グループ資格情報が関連付けられています。これらの追加グループ資格情報はエージェントによって監視されません。Process Explorerのプロセスプロパティのセキュリティタブで表示できます。
-
-
Parent:: このプロセスを作成したプロセスのPID。
-
パス:: プロセスのバイナリへのフルパス。Windowsでは、これは GetModuleFileNameEx () API から取得されます。Linux と Solaris 10 では、それぞれシンボリックリンク /proc/{pid}/exe または /proc/{pid}/path/a.out を読み取ることで取得されます。(Solaris 9 と AIX では利用できません。)
-
プロセス:: プロセスバイナリの短い名前 (パスなし)。例えば、「c:\windows\notepad.exe」の場合は「notepad.exe」、「/usr/local/bin/httpd」の場合は「httpd」となります。
-
Threads:: プロセス内で現在実行中のスレッドの数。
-
ユーザ:: プロセスが実行されているユーザです。UNIXでは、プロセスの「有効な」ユーザIDです。このユーザIDは、時間とともにプロセスが権限を破棄するか、またはプロセスが有効なユーザ資格情報を切り替えた場合に、変更されることがあります。
簡略記法による属性
-
STANDARD::CommandLine、Group、Parent、Path (利用可能な場合)、Process、User
「key」の意味
キーは「プロセス」属性 (実行可能ファイルの短い名前) とPIDの組み合わせです。PIDは名前にパスセパレータを挟んで追加されます。例: Windowsではnotepad.exe\1234、Unixではhttpd/1234です。パスセパレータの使用は、key="abc/*"のインクルードまたはエクスクルードのマッチングが期待通りに機能するようにするためです。
サブエレメント
-
Include
-
Exclude
変更監視ルールの言語を参照して、これらのエレメントに指定できる属性とサブエレメントのincludeの概要を確認してください。ここでは、このエンティティセットクラスに関連するincludeおよびexcludeに固有の情報のみを記載します。
ProcessSetsのIncludeとExcludeに固有の属性
次の例は、PIDに関係なく、notepad.exeで実行中のプロセスセットを監視します。
<ProcessSet>
</ProcessSet>
プロセスのさまざまな属性を、includeおよびexcludeの機能テストで使用できます。機能テストでは、UNIXのglob形式のワイルドカードである*および?がサポートされ、パスのセパレータまたはその他の文字の正規化は実行されません。機能テストは、属性の値に対する、単純なglob形式のパターン照合です。
CommandLine
プロセスの commandLine 属性に対してワイルドカード一致をチェックします。次の例では、コマンドラインが "*httpd *" に一致するプロセスをモニタします:
<ProcessSet>
</ProcessSet>
グループ
プロセスのグループ属性に対してワイルドカード一致をチェックします。数値形式ではなく、グループ名のテキスト形式が使用されます。Linuxでデーモングループをテストするには、「2」ではなく「daemon」を使用します。次の例では、root、daemon、またはlpのいずれかのグループとして実行されているプロセスをモニタします。
<ProcessSet>
</ProcessSet>
パス
プロセスのパス属性に対してワイルドカード一致をチェックします。パス属性は一部のプラットフォームでは利用できません。次の例では、System32配下にあるバイナリを持つプロセスをモニタします:
<ProcessSet>
</ProcessSet>
ユーザ
プロセスのユーザ属性に対してワイルドカード一致をチェックします。数値形式ではなく、ユーザ名のテキスト形式が使用されます。Unixでスーパーユーザをテストするには、「0」(ゼロ)
ではなく「root」を使用します。次の例では、組み込みのシステムユーザ (例: NT AUTHORITY\SYSTEM、NT AUTHORITY\LOCAL SERVICE、NT
AUTHORITY\NETWORK SERVICE) として実行されている任意のプロセスをモニタします。
<ProcessSet>
</ProcessSet>