Сканирование

  • Статья

В этой статье описывается сканирование в Movere. Movere может сканировать, обнаруживать и записывать локальную среду и устройства в других общедоступных облаках, таких как AWS и GCP.

Movere сканирует устройства независимо от платформы (Windows или Linux) или поставщика услуг размещения (локальная среда, частное облако или общедоступное облако). Для Movere не требуется среда VMware или гипервизора. Movere может связаться с любым устройством, если оно подключено к сети.

Что можно сканировать?

Вот что можно сканировать в Movere.

Сканирования Сведения
Устройства Windows Проверьте устройства Windows с операционными системами Windows Server, клиентскими операционными системами Windows из доменов Active Directory или по полному доменному имени, DNS или IP-адресу устройства.

Устройства могут быть присоединены к домену или не подключены к домену, например устройства в рабочей группе.

Сканирование можно выполнять в консоли Movere или из командной строки.

Проверка фактического потребления ресурсов выполняется для сбора данных о потреблении устройств с Windows Server, чтобы показать производительность системы с течением времени.
Устройства Linux Проверьте поддерживаемые устройства Linux из Active Directory, из определенных подсетей или с помощью DNS-адресов или IP-адресов.

Сканирование можно выполнять в консоли Movere или из командной строки.

Вы можете собирать данные о фактическом потреблении ресурсов с устройств Linux.
Active Directory Сканировать объекты Active Directory (компьютеры, пользователи и отношения доверия).

Вы можете проверить один или несколько доменов для обнаружения на уровне леса.
Устройства vCenter Удаленное сканирование модулей VMWare vCenter Server из консоли Movere.

Устройства — это предварительно настроенные виртуальные машины Linux, оптимизированные для vCenter Server.

Модули VMWare vCenter Server также можно сканировать как устройство Linux.
Windows vCenter Server Проверьте экземпляр SQL, на котором запущена база данных vCenter Server.
SQL Server Сбор SQL Server данных с устройств Windows и Linux.

— Если Movere обнаруживает ядро SQL на устройстве, но не может подключиться к SQL, то он собирает базовые данные конфигурации.

— Если у Movere есть разрешения на доступ к данным SQL, он может собирать дополнительные сведения о самом SQL и других продуктах Майкрософт, использующих SQL в качестве базовой базы данных, таких как Sharepoint, System Center, Exchange.

— Если для SQL включена проверка фактического потребления ресурсов, она собирает сведения о производительности и подключении к базе данных.

Узнайте больше о данных SQL, собираемых Movere.
Microsoft 365 Сканирование данных подписки.

Соберите сведения о пользователях Microsoft 365 и назначенных им подписках.

Сканирование устройств в общедоступных облаках

При сканировании устройств в общедоступных облаках, таких как AWS и GCP, вы используете те же требования, процессы и процедуры, что и любое другое сканирование устройств. Никаких специальных инструкций нет. Устройство, на котором запущена консоль Movere, должно быть подключено к соответствующей облачной среде, чтобы сканирование работало. Рекомендуется выполнять сканирование из облачной среды, но это не обязательно.

Какие данные сканируются?

Помимо сканирования устройств Windows и Linux, физических или виртуальных, Movere собирает данные из Active Directory, VMware vCenter, Exchange Server, SQL Server, SharePoint, Dynamics CRM, Microsoft 365, System Center Configuration Manager, System Center Virtual Machine Manager, System Center Operations Manager, System Center Data Protection Manager, Lync Server, Hyper-V, Altiris, LANDesk, LanSweeper и BigFix.

Проверки инвентаризации

Movere поддерживает сканирование инвентаризации и сканирование фактического потребления ресурсов.

При сканировании инвентаризации собираются данные конфигурации на определенный момент времени с устройств и приложений. Каждый раз, когда собираются данные инвентаризации, он сообщает последние доступные сведения и заменяет все, что было собрано ранее. Пример:

  • При сканировании инвентаризации фиксируется информация о том, что устройство работает Windows Server 2016 с 4 ГБ ОЗУ.
  • После сканирования вы увеличиваете объем ОЗУ до 8 ГБ и запускаете проверку инвентаризации.
  • Теперь сканирование сообщает о 8 ГБ ОЗУ, но не сообщает, что системе был назначен дополнительный ОЗУ с момента последней проверки.
  • Вы можете выполнить анализ вручную, чтобы обнаружить это, но Movere не сообщает об этом.

Боты для сканирования инвентаризации

Проверка инвентаризации выполняется с помощью ботов для Windows и Linux, а также может выполняться удаленно только для Windows. Боты инвентаризации Movere имеют небольшой размер (около 2 МБ) и создают файл данных или полезные данные, размер которых обычно меньше 10 КБ. Боты не являются постоянными. Так как они небольшие, их можно легко развертывать, запускать и удалять. На устройствах, которые требуется проверить, постоянный агент не требуется.

Процесс сканирования инвентаризации

Проверка запасов выполняется следующим образом:

  1. Боты инвентаризации копируются на устройство, которое вы хотите проверить.
  2. Бот запускается один раз и создает выходной файл.
  3. Затем бот останавливается и удаляет себя.
  4. Боты Movere могут отправлять полезные данные обратно в консоль Movere или непосредственно в облако.
  5. Movere также поддерживает механизм извлечения (только для Windows) для получения полезных данных с целевых устройств без поддержки TLS 1.2.

Обычно сканирование данных инвентаризации планируется выполняться каждые несколько дней или недель.

Проверка фактического потребления ресурсов

Проверки фактического потребления ресурсов собирают сведения о производительности системы за определенный период. В отличие от сканирования инвентаризации, он собирает данные о потреблении (процессор, память, использование диска), которые постоянно меняются.

Данные о фактическом потреблении ресурсов особенно полезны при планировании миграции. Его можно использовать для точного вычисления размера облака, чтобы обеспечить поддержание или повышение производительности устройств после миграции.

Боты сканирования потребления ресурсов

В операционной системе Windows боты фактического потребления ресурсов по умолчанию выполняются как установленная служба. В операционной системе Linux боты фактического потребления ресурсов выполняются как процесс. Если компьютер Linux перезагружается или перезагружается, пользователю необходимо повторно перезапустить сканирование. В отличие от ботов инвентаризации, боты фактического потребления ресурсов должны оставаться запущенными, чтобы собирать данные о потреблении с течением времени.

  • Arc2: двоичный файл фактического потребления ресурсов Movere, совместимый с платформой .NET 3.5 и x86.
  • Arc4: двоичный файл фактического потребления ресурсов Movere, совместимый с платформой .NET 4.0 или более поздней версии и с 64-разрядными системами.

Перед сканированием боты выполняют предварительные проверки, включая скорость перечисления процессов и доступ к счетчику производительности на уровне процесса. Эти проверки:

  • Защитите от пиковых скачков ЦП или проблем с разрешениями счетчика производительности.
  • При возникновении медленной системы или отказа в разрешении боты записывают метрики производительности на уровне макросов и пропускают такие сведения, как ЦП, ОЗУ, путь и версия на уровне процесса. Таким образом, Movere может оценить потребление, не влияя на производительность системы.

Собранные данные

Проверки фактического потребления ресурсов собирают данные из следующих источников.

  • Системы Windows:
    • Процесс Windows: Windows PerfMon, Windows Common Information Model (CIM)
    • Производительность диска: Windows PerfMon
    • Пропускная способность сети: Windows PerfMon
    • Netstat: вспомогательская библиотека WINDOWS IP
    • События: соединитель .NET для событий Windows
    • SQL Server: sql-запросы Movere
  • Системы Linux:
    • Выходные данные команды оболочки Bash (например, ps, df, netstat)
    • Прямой запрос системных виртуальных файлов, например /proc/diskstats

Для отслеживания изменений использования и точного вычисления пиковых рабочих нагрузок данные обычно собираются часто. Например, каждые пять, 10 или 15 минут в течение нескольких дней или недель.

Процесс сканирования потребления ресурсов

Проверка фактического потребления ресурсов выполняется следующим образом.

  1. Вы указываете, как часто должны собираться данные (частота) и как долго (продолжительность).

    • Частота сканирования фактического потребления ресурсов указывает, как часто создается ARCBeat на каждом целевом устройстве (каждые 5, 10, 15, 30 или 60 минут).
    • ARCBeat — это время, прошедшее между двумя точками сбора данных о потреблении ресурсов. Значение по умолчанию — пять минут, но это значение можно изменить в консоли.
    • Например, если выбрать пять минут, это до 288 возможных значений ARCBeats в день. (12 ARCbeats в час x 24 часа).
    • Длительность указывает, как долго выполняется сканирование на каждом целевом устройстве (один, три, семь, 30 или 90 дней). Длительность по умолчанию — 7 дней.
    • При необходимости можно собирать данные SQL во время проверки. По умолчанию он не собирается.

  2. Фактические боты потребления ресурсов (Arc2, Arc4) и параметры сбора отправляются на отслеживаемом устройстве.

  3. Бот записывает данные об использовании в соответствии с указанными параметрами.

  4. Если включить автоматическую отправку в облако непосредственно с целевого устройства, Movere выполняет три попытки отправки данных в облако. Если отправка завершается сбоем, происходит следующее:

    1. Бот выполняет три попытки (по одной каждые 30 секунд) для передачи полезных данных на устройство Movere Console.
    2. Если передача в консоль завершается сбоем, бот сохраняет полезные данные локально. Если передача или отправка выполняется, полезные данные удаляются с целевого устройства.
    3. Когда происходит следующий пакет ARCbeat и создаются новые полезные данные, бот снова пытается установить подключение к облаку или консоли для отправки оставшихся полезных данных.
    4. Бот продолжает работать на целевом устройстве в течение всего времени сканирования и отправляет или передает сохраненные полезные данные сразу после установки подключения.

  5. После успешной отправки бот ожидает следующего сбора данных в соответствии с параметрами частоты и длительности. Бот остается на месте в течение указанного времени.

  6. После окончания длительности сканирования бот завершает работу и удаляет себя.

Сканирование и повторное сканирование

Movere предоставляет следующие параметры для запуска проверки:

  • Первая проверка: немедленно запустите проверку. Проверка запускается в конце мастера сканирования в консоли Movere. Это предназначено для массовых операций, таких как сканирование каждого устройства в Active Directory, пользователей M365.
  • Повторное сканирование. Параметр повторного сканирования полезен для целевых устройств, которые не были проверены во время первой проверки. Это предпочтительный метод сканирования, если вы не достигли требуемого объема инвентаризации после первого сканирования. Пример:
    • Если вы запускаете первую проверку, предназначенную только для Active Directory, и теперь вы хотите использовать результаты для активных устройств Windows или активных устройств Linux.
    • Назначение устройств, не присоединенных к домену или рабочих групп
    • Чтобы выбрать устройства, которые не могут быть захвачены во время предыдущей проверки, например устройства, на которых сканирование было отказано из-за недостаточного разрешения, пользователи должны использовать повторное сканирование, чтобы нацелить устройство с правильным набором разрешений.
    • Для целевых устройств, которые вы уже сканировали, для обновления данных инвентаризации или отслеживания изменений среды на устройствах.

Повторное сканирование типов

Для повторного сканирования устройств можно использовать один из следующих источников данных сканирования.

Метод Сведения
Повторное сканирование на основе активного списка устройств Можно выбрать:

— Активные серверы или рабочие станции Windows, которые не были инвентаризации вообще или за последние 31 день. Его можно запустить только после успешного сканирования Active Directory.

— Активные устройства Linux, которые не были инвентаризации вообще или за последние 31 день.

Этот параметр проверяет наличие устройств независимо от состояния устройства. В больших доменах или доменах с большим количеством устаревших объектов этот параметр может увеличить время сканирования.
Повторное сканирование на основе файла повторного сканирования Файл повторного сканирования (.CSV) можно скачать с портала Movere или вручную создать пользовательский (.CSV) файл.

Для устройств Linux нельзя использовать файл повторного сканирования в консоли. В командной строке можно использовать файл повторного сканирования для устройств Linux.

Сканирование за пределами консоли

Боты можно доставлять на целевые устройства и выполнять проверки за пределами консоли. Хотя мы рекомендуем использовать консоль Movere для доставки ботов, Movere поддерживает размещение ботов вручную или с помощью стороннего программного обеспечения. Подробнее

Методы сканирования

При настройке сканирования можно выбрать один из следующих методов сканирования.

Метод Процесс
Сканирование как услуга (рекомендуется) Movere оценивает версию .NET, запущенную на целевом устройстве, и пытается проверить три раза:

- Первая попытка: Movere копирует бот на устройство с учетной записью пользователя, предоставленной в разделе Управление учетными данными. Бот выполняется как локальная служба. Проверка выполняется с использованием учетной записи NT Authority\System на устройстве.

- Вторая попытка. Если первая попытка не работает, Movere копирует бот с предоставленной учетной записью пользователя и запускает бот как локальный процесс.

- Третья попытка. Если вторая попытка не работает, Movere запускает проверку с предоставленной учетной записью пользователя и собирает сведения с помощью удаленного WMI.
Проверка как процесс Если вы не хотите, чтобы боты запускались как локальная служба, выберите этот параметр, чтобы запустить Movere как локальный процесс.

Movere пытается проверить дважды:

- Первая попытка. Movere копирует бот с учетной записью пользователя, предоставленной в разделе Управление учетными данными. Бот выполняется как локальный процесс.

- Вторая попытка. Если первая попытка не работает, Movere не копирует бот. Проверка выполняется с предоставленной учетной записью пользователя, и данные собираются с помощью удаленного инструментария WMI.
Удаленное сканирование с помощью WMI Это более старая технология, которую мы не рекомендуем использовать, если:

— Вы не можете развернуть ботов.

— .NET не поддерживается для целевых устройств (например, Windows 2000, Windows 2003, Windows XP).

При использовании этого метода бот не копируется. Проверка выполняется с предоставленной учетной записью пользователя, и данные собираются с помощью удаленного инструментария WMI.

WMI собирает только данные инвентаризации без проверки фактического потребления ресурсов.

Movere сканирует по сети. Скорость сканирования зависит от пропускной способности сети и состояния проверяемых устройств. Если проверка .NET обычно завершается в течение 30 секунд, проверка WMI может занять от трех до пяти минут.

Проверка .NET

По умолчанию Movere использует платформу .NET Framework для локального сканирования каждого устройства с Windows, предоставляя два основных преимущества:

  • Сведите к минимуму сетевой трафик. Movere создает временную локальную службу для сбора основных данных Windows и дополнительных данных, таких как SQL Server и Exchange. При локальном сканировании устройств обмен данными между консолью Movere и каждым целевым устройством ограничивается доставкой модуля сканирования Movere (< 5 МБ) и возвратом зашифрованного выходного файла (обычно < 10 КБ для проверок инвентаризации и 5 КБ для сканирования фактического использования ресурсов).
  • Сведите к минимуму использование памяти. Модуль сканирования Movere использует только доступные ресурсы и не отменяет использование существующих работающих приложений.

Проверка .NET работает следующим образом:

  1. Movere подключается к устройству, используя учетные данные, указанные в консоли Movere.

    • После доступа к устройству проверка выполняется с помощью учетной записи локальной системы при запуске как службы или с помощью учетной записи, предоставленной в консоли при запуске в качестве процесса.
    • Если на целевом устройстве установлено SQL Server, Movere обращается к SQL с теми же учетными данными. Если они не работают, Movere пытается получить доступ к SQL Server, используя другие учетные данные, добавленные в консоли Movere, в том порядке, в котором они добавляются.

  2. Боты инвентаризации и фактического потребления ресурсов, а также FrameworkVerifier и файл маркера доставляются на целевые устройства Windows.

    • Боты и файлы доставляются через порты 139 и 445.
    • Успешная доставка возвращает сообщения об успешном запуске бота и службы в консоли через случайный номер порта, выбранный Windows.
    • При запуске FrameworkVerifier конечная точка переключается на порт 443. Если консоль может достичь более 443, в консоли появится сообщение о начале локального сканирования .
    • Эти сообщения подтверждают, что боты успешно доставлены, сканирование началось и что целевое устройство может взаимодействовать с консолью Movere.

  3. При запуске сканирования проверяется использование ресурсов на целевом устройстве.

    • Например, если запускается сканирование и целевое устройство в настоящее время использует 80 % ЦП, Movere ограничивается не более чем 10 % от общего объема системных ресурсов.
    • Windows использует сложный алгоритм для обеспечения доступности ресурсов для самой операционной системы.
    • Если на устройстве доступно больше ресурсов, Movere использует эти дополнительные ресурсы. Это решение принимает платформа .NET Framework, а не Movere.
    • Если ресурсов недостаточно, отображаются следующие ошибки:
      • Недостаточно памяти для продолжения выполнения программы. Если на целевом устройстве недостаточно ресурсов, Movere завершает работу, а не ставит устройство под дополнительную нагрузку.
      • Недостаточно системных ресурсов для завершения запрошенной службы. Если целевое устройство недостаточно вычислительной мощности для выполнения запрошенных задач, Movere завершает работу самостоятельно.

  4. Учитывается общее время сканирования для каждого устройства. Movere может сканировать большинство устройств в течение 30 секунд. Например, если Movere выделяет 10 % ресурсов ЦП, сканирование может быть завершено менее чем за минуту. Если он имеет более 10 % ресурсов ЦП, время сканирования еще больше сокращается. Общее время сканирования зависит от продуктов, работающих на устройстве. Например, инвентаризация устройства с установленным SQL Server занимает больше времени, чем устройство без SQL Server.

  5. Когда .NET вместе с операционной системой выделяет ресурсы для Movere, Movere устанавливает приоритет потока на самый низкий доступный уровень.

    • Если другим приложениям требуется вычислительный цикл, им присваивается приоритет.
    • Если другие приложения не запрашивают ЦП, боты Movere запускаются с выделенными ресурсами ЦП, чтобы они могли завершить сканирование в кратчайшие сроки.

  6. Боты или двоичные файлы отправляются на целевое устройство.

    • Двоичные файлы инвентаризации около 4 МБ (Bot2/Bot4/FrameworkVerifier)
    • Для фактического потребления ресурсов двоичные файлы добавляют примерно 3,8 МБ (Arc2/Arc4).

    Двоичные файлы записываются на диск путем их копирования в папку Temp в общей папке Администратор$ целевого устройства Windows. Если общий ресурс Администратор$ недоступен, Movere попытается скопировать их в общую папку C$ в папке Temp.

  7. Выходные данные, созданные Movere, создаются в памяти, шифруются и сохраняются на диске в том же расположении.

  8. По завершении сканирования, после отправки выходного файла непосредственно в Movere или в консоль Movere, Movere самостоятельно удаляет файлы бота, не оставляя трассировки на отсканированном устройстве. Боты фактического потребления ресурсов содержат несколько проверок безопасности, предназначенных для корректного завершения сканирования.

Определение типа сканирования

Чтобы определить, может ли Movere сканировать систему локально или удаленно, Movere запрашивает общую информационную модель Windows (CIM) и реестр Windows.

  • Если Movere не удается подключиться к CIM, дальнейшая проверка не выполняется.
  • Если Movere может подключиться к CIM, но не к реестру, сканирование продолжается, так как данные, собираемые Movere с устройств Windows, в основном из CIM.
  • Независимо от того, сканирует ли Movere целевой объект локально или удаленно, он использует:
    • .NET System.Management.ManagementObjectSearcher, который инициализирует новый экземпляр класса ManagementObjectSearcher, используемый для вызова определенного запроса в указанном область (root\CIMV2).
    • .NET System.Win32.RegistryKey, представляющий узел уровня ключа в реестре Windows. Этот класс предлагает инкапсуляцию реестра, и Movere открывает его только в режиме без записи (только для чтения), поэтому Movere не может изменить реестр.
    • Доступ Movere к реестру регулируется разрешениями Windows, а 32- и 64-разрядные методы подключения используются для учета старых систем Windows.
    • Если целевая конечная точка проверяется удаленно, подключение осуществляется через инструментарий управления Windows (WMI).
    • Для удаленного сканирования Movere использует олицетворение для получения правильного уровня доступа в сочетании с временем ожидания 30 секунд для учета медленных подключений, выполняемых через WMI. Movere использует олицетворение учетной записи и требует LOGON32_LOGON_INTERACTIVE типа входа для удаленного сканирования и сканирования на основе ботов.

Сканирование устройств Windows

При настройке проверки устройств Windows вы выбираете тип устройств Windows, которые требуется сканировать.

  • Вы можете выполнить проверку инвентаризации как на серверах Windows Server, так и на рабочих станциях Windows, а также проверить фактическое потребление ресурсов на серверах Windows.
  • Вы можете сканировать устройства в определенных доменах Active Directory, целевые устройства по полному доменному имени или IP-адресу или целевые устройства в определенной подсети.
  • Вы также можете сканировать устройства в рабочей группе или сети периметра.

Для сканирования устройств Windows требуются определенные учетные данные.

  • Учетной записи требуется локальный доступ Администратор на устройствах, которые вы хотите проверить.
  • Во время сканирования устройств Windows Movere собирает данные из дополнительных источников, таких как SQL Server. Важно отметить, что Movere не позволяет использовать учетные записи с правами Администратор домена для сбора этих дополнительных данных.
  • Так как вы не можете использовать учетную запись Администратор домена для дополнительных данных, вместо этого можно создать выделенную учетную запись для Movere и назначить ей необходимые разрешения для локального Администратор. Подробнее.
  • Перед запуском проверки необходимо указать по крайней мере один набор учетных данных.
  • Учетные данные, введенные в консоли Movere, шифруются с помощью алгоритма симметричного ключа. Точный алгоритм и переменные, используемые для создания ключа, строго конфиденциальны. Этот процесс был рассмотрен независимо третьими лицами и не считается риском, так как боты растворяются на целевых устройствах после завершения сканирования.
  • Movere не хранит учетные данные в виде обычного текста, и учетные данные не передаются в облако.

Просмотрите разрешения, необходимые для сканирования устройств с Windows.

Сканирование устройств Linux

Двоичные файлы Linux movere содержат оптимизированный код C++, Golang, чтобы обеспечить максимально эффективное выполнение проверок Linux. Movere использует встроенные функции Linux, которые тщательно проверены и поставляются вместе с большинством дистрибутивов для обеспечения своевременного реагирования и минимального использования.

Сканирование устройств Linux должно выполняться пользователями с доступом secure shell (SSH) к устройствам Linux, которые вы хотите инвентаризации.

  • В консоли Movere можно указать сочетание имени пользователя и пароля или закрытый ключ SSH, который разрешает доступ.
  • Movere поддерживает открытый закрытый ключ SSH, а также закрытый ключ RSA SSH. Пользователи должны проверить первую строку закрытого ключа и убедиться, что это должен быть закрытый ключ заголовка RSA, например ---BEGIN RSA PRIVATE KEY--- , или закрытый ключ заголовка OpenSSH, например ---BEGIN OPENSSH PRIVATE KEY---.
  • Хотя корневой доступ не требуется, если вы виртуализировали устройства Linux, некоторые точки данных, такие как универсальный уникальный идентификатор (UUID) (используемый для связи виртуального устройства с физическим узлом), не будут собираться без доступа к корневому каталогу.
  • Movere также может выполняться без команды sudo, если учетная запись Linux, предоставленная в Movere, имеет базовый доступ к устройству Linux по протоколу SSH.
  • При указании имени пользователя используйте формат имени участника-пользователя , например user@domainname.com, а не домен\имя_пользователя, если учетная запись является частью домена Active Directory.

Команды сканирования

Movere использует SSH для удаленного выполнения команд bash. Учетная запись пользователя Linux должна иметь возможность выполнять эти команды с устройства Movere Console. Команды, используемые Movere, приведены в таблице .

Command Сведения
uname Подтверждает имя устройства и определяет архитектуру устройства (32-разрядная или 64-разрядная). Это определяет, какой бот Movere Linux используется для сканирования устройства.
pidof Проверяет, запущен ли на устройстве бот Movere Linux. Если он есть, он возвращает идентификатор процесса бота.
kill Используется только в том случае, если команда pidof находит бот Movere, уже запущенный на устройстве. Если бот запущен, он завершается, чтобы можно было запустить новую проверку.

Например, эту команду можно использовать, если вы выполняли проверку потребления ресурсов для подтверждения концепции в течение трех дней, а затем через один день решили начать 30-дневную проверку. Вместо того, чтобы подождать два дня до завершения первой проверки, вы начинаете вторую проверку, завершая первую.
Который Определяет расположение команд, которые пытается использовать Movere.

Вы можете использовать следующую команду: which uname, pidof, sudo, kill, chmod, nohup, чтобы найти расположение каждой команды. Если для каждого из них возвращается расположение, учетная запись пользователя может выполнить проверку.
scp Копирует файлы Movere с консольного устройства на целевое устройство Linux. Файлы размещаются в домашнем каталоге учетной записи Linux, указанной в консоли.
Nohup Используется, так как по умолчанию бот Movere Linux работает в фоновом режиме. При выходе из сеанса или преждевременном завершении подключения процесс завершается или зависает. Эта команда предотвращает это.
chmod Делает бот Movere Linux исполняемым в сканируемой системе.

Если вы можете изменить режим бота на исполняемый файл chmod 755, будет запущен бот. В противном случае проверка не начнется.
sudo Эта команда повышает уровень пользователя до уровня администратора. Это не обязательно. Единственная точка данных, которую Movere может не записать, если sudo недоступна, — это UUID или серийный номер целевого устройства.

Это поле не требуется и используется только для связывания виртуальных машин при клонировании устройств, а клону присваивается то же полное доменное имя и MAC-адрес, что и у исходного. Это происходит редко.
ps Сообщает snapshot текущих процессов.
mkdir Создает каталог.
Сенсорный ввод Изменяет метку времени файла.

Обратите внимание на следующие условия.

  • Для устройств Linux боты копируются в домашний каталог учетной записи пользователя, выполняющего сканирование.
  • После выполнения бот использует следующие команды локально на целевом устройстве для сбора данных инвентаризации и потребления ресурсов:
    • Lsb. cat, whoami, hostname, grep, lshal, awk, dmidecode, ifconfig (обычно /sbin/ifconfig), ip (обычно /sbin/ip), lsblk, df, ps, dpkg-query, rpm, test, find, netstat, gpg, gpg2.
    • Эти команды не выполняются во время каждой проверки. Некоторые из этих команд зависят от выходных данных предыдущей команды.

Проверка Active Directory

Movere подключается к Active Directory следующим образом:

  • Movere подключается с помощью .NET System.Net.LdapConnection, который представляет собой низкоуровневый соединитель LDAP, который позволяет разбиение по страницам. Это позволяет Movere запрашивать большие наборы данных, такие как пользователи Active Directory, с очень небольшими затратами.
  • Для запросов глобального каталога (например, для сбора списка дочерних доменов в лесу) Movere использует .NET System.DirectoryServices.Protocols.LdapDirectoryIdentifier для подключения к глобальному каталогу через порт 3268.
  • Movere требуется запросить только один контроллер домена для каждого домена. Он использует Active Directory, чтобы направить его на ближайший контроллер домена. Та же логика применяется при запросе к глобальному каталогу.
  • Консоль Movere обнаружит и заполнит доменное имя устройства, на котором запущена консоль. Если устройство, на котором запущена консоль, не присоединено к домену, домен не заполняется.
  • При выполнении проверки Active Directory Movere использует учетные данные, сопоставленные с этим доменом в консоли Movere.
  • Вы можете указать любое доменное имя или имя рабочей группы в консоли с помощью текстового поля на вкладке домен.
  • Затем домен автоматически добавляется в список доменов на вкладке сопоставления учетных данных.
  • Это позволяет централизованно вводить учетные данные из консоли Movere перед началом сканирования.
  • По умолчанию Movere собирает объекты устройств и пользователей из Active Directory. Хотя это рекомендуемый подход, вы можете исключить пользовательские объекты из запуска сканирования из командной строки.
    • Если данные пользователя не собираются, Movere по-прежнему перечисляет учетные записи, которые входят в каждое устройство во время инвентаризации и проверки фактического потребления ресурсов, но не будет разрешать их в Active Directory.
    • Поля имени пользователя, фамилии, адреса электронной почты, компании, номера или идентификатора сотрудника, страны или региона и т. д. пусты. Так как Movere не будет иметь этих данных.
      • Это влияет только на такие продукты, как SharePoint, Skype для бизнеса, Exchange, RDS, Dynamics CRM и Project Server.
      • Movere по-прежнему видит эти приложения, но не отображает сведения о пользователях, обращаюющихся к ним.
      • Другие данные не затрагиваются.
    • Исключение сбора пользовательских данных не влияет на пользовательские данные, собранные в процессе регистрации Movere. Эти данные необходимы для безопасного доступа пользователей к веб-сайту Movere.

сканирование SQL Server

Movere сканирует SQL следующим образом:

  1. Movere подтверждает наличие и работу ядра SQL, чтобы проверить его.

    • Чтобы определить ядра SQL, Movere перечисляет службы, присутствующие в целевой конечной точке, через CIM.
    • Если ядро SQL присутствует, но это пассивный экземпляр, То Movere не пытается подключиться к нему.
    • Movere также не пытается подключиться к экземплярам SQL Reporting, analysis или Integration.

  2. Чтобы начать сканирование, Movere использует учетные данные, назначенные домену, в порядке их ввода.

    • Movere всегда начинается с учетных данных Windows, и перед началом сканирования необходимо ввести по крайней мере один набор учетных данных.
    • В случае сбоя этих учетных данных Movere пытается подключиться, используя любые другие учетные данные, назначенные целевому домену, за исключением учетных данных администратора домена. Учетные данные администратора домена никогда не передаются ботам.
    • Если все учетные данные на основе Windows завершаются ошибкой, Movere будет использовать все учетные данные на основе SQL, введенные в консоли. Обратите внимание: учетные данные на основе SQL не связаны с определенным доменом, и, следовательно, все учетные данные SQL (если введено несколько учетных данных) будут использоваться в порядке ввода.
    • Если все учетные данные не удается, Movere выполняет последнюю попытку подключения с помощью учетной записи, которая запустила проверку, которая может быть учетными данными пользователя Movere или учетной записи локальной системы.

  3. После подтверждения запущенного экземпляра ядра SQL и ввода учетных данных Movere подключается по протоколу TCP. Для подключения Movere запрашивает реестр, чтобы определить номер порта, на котором прослушивается каждый запущенный экземпляр. Movere пытается подключиться к SQL Server, используя имя сервера, через указанный номер порта.

    • Movere не пытается обойти TCP. Movere не использует именованные каналы. Это основная причина, по которой Movere обычно не подключается к экземплярам SQL Express, так как сетевые протоколы, включая TCP, по умолчанию отключены в Express Edition.
    • Movere не будет пытаться подключиться с помощью IP-адреса устройства, случайных номеров портов или предположения, что экземпляры SQL используют порт SQL 1433.
    • Единственным исключением является кластер SQL Server. Если кластер SQL Server определен из активного узла, Movere пытается подключиться к SQL Server, используя имя кластера, а не имя узла.
    • Подключение к SQL Server идентично независимо от того, сканируется ли устройство локально или удаленно, и всегда выполняется с помощью собственных клиентских библиотек SQL .NET.

  4. Чтобы определить базы данных на каждом SQL Server, Movere запрашивает у master базы данных список баз данных. Для этого списка выполняется проверка схемы.

    • Если Movere не получил доступ к базе данных master, он переходит в CIM, чтобы получить список активных баз данных. Это позволяет обойти эту проблему, если Movere имеет доступ только к тем базам данных, которые требуется проверить.
    • Чтобы избежать выполнения запросов к каждой базе данных, Movere выполняет проверка схемы для каждой базы данных. При обнаружении совпадения к этой базе данных выполняется набор запросов, относящихся к этой технологии (и версии).

  5. Для выполнения инвентаризации Movere и проверки фактического потребления ресурсов учетной записи, используемой для сканирования SQL, требуется роль "Просмотр состояния сервера", роль "Просмотр любого определения" и db_datareader доступ к sqlServer master, msdb и всем созданным базам данных.

    • Если учетная запись пользователя Movere не имеет доступа к SQL Server, Movere по-прежнему может собирать основные сведения о SQL Server включая следующие:
      • Имя и размер каждой базы данных на сервере, которая не находится в автономном состоянии.
      • Если база данных не находится в автономном состоянии, она может находиться в одном из нескольких состояний, включая состояние "в сети", "восстановление", "подозрительную" или "чрезвычайную ситуацию".
      • Если Movere не имеет доступа к SQL Server и извлекет список баз данных из уровня Windows, вместо того, чтобы предполагать, что каждая база данных находится в состоянии "в сети", Movere сообщает о состоянии "Не подтверждено".

  6. Movere собирает данные. Чтобы избежать приема устаревших данных, Movere записывает дату последней записи данных в базу данных. Если ему больше 90 дней, собранные данные хранятся как потенциально устаревшие.

Проверка потребления ресурсов

По умолчанию Movere не собирает данные SQL при включении проверки фактического потребления ресурсов. Необходимо включить сбор данных SQL при настройке проверки потребления ресурсов в консоли Movere. Кроме того, можно задать для CollectSql значение True в файлах конфигурации ARC2 и ARC4.

Отсканированные данные SQL

Movere сканирует категории SQL Server данных, сводных в таблице.

Данные Сведения Требуется учетная запись
Список баз данных

Включая сведения о состоянии, размере, дате создания и кластеризация, зеркальном отображении и группах доступности в базе данных master.		 Movere собирает список базы данных по умолчанию, и ему не нужно создавать определенную учетную запись службы. Movere сначала использует учетные данные Windows, сопоставленные с доменом, в котором находится SQL Server, а затем учетные данные SQL, а затем использует учетную запись NT AUTHORITY\SYSTEM при запуске в качестве службы.

Требуемая учетная запись должна быть включена для входа с ролью общедоступного сервера и разрешениями на подключение к ядру СУБД. Все они включены по умолчанию.

Для SQL Server 2008 R2 и предыдущей версии NT AUTHORITY\SYSTEM также были назначены привилегии sysadmin по умолчанию. Она была удалена в SQL Server 2012 году. Это означает, что при сканировании SQL Server 2012 г. и более поздних версий необходимо предоставить нужной учетной записи пользователя доступ к SQL Server.
Сведения о производительности и подключении Сюда входят использование ЦП в минуту по экземплярам, загрузка ЦП базой данных и подключения к базе данных. Movere сначала использует учетные данные Windows, сопоставленные с доменом, в котором находится SQL Server, а затем учетные данные SQL, а затем использует учетную запись NT AUTHORITY\SYSTEM при запуске в качестве службы.

Требуемая учетная запись должна быть включена для входа с ролью общедоступного сервера и разрешениями на подключение к ядру СУБД. Все они включены по умолчанию.

Чтобы собрать SQL Server данные о производительности во время проверки фактического потребления ресурсов, задайте параметр в консоли Movere.
Сведения о доставке журналов (база данных msdb) Конфигурации доставки журналов хранятся в базе данных msdb. Для доставки журналов нужно предоставить нужной учетной записи db_datareader доступ к базе данных msdb (если только версия SQL не является старой и учетная запись NT AUTHORITY\SYSTEM имеет набор sysadmin).

Если используется доставка журналов и Movere не может получить доступ к базе данных msdb, конфигурации доставки журналов не отображаются на портале Movere.
SQL Server дополнительных данных и статистики диска Сканирует данные, размещенные на SQL Server, для поддержки таких приложений, как System Center Configuration Manager, Sharepoint. Требуемая учетная запись должна иметь db_datareader доступ к базе данных-получателю (если только версия SQL не является старой и учетная запись NT AUTHORITY\SYSTEM имеет sysadmin). Сюда также входят данные статистики производительности и дисков, собираемые на уровне базы данных.

Для этого типа сканирования требуются разрешения sysadmin.

Если вам нужен этот уровень детализации, предоставьте системным администраторам доступ к учетной записи NT AUTHORITY\SYSTEM или учетной записи службы, которую может использовать Movere.

Различия в представлениях

В таблице приведен минимальный доступ к базе данных для сбора различных данных о производительности с помощью проверки фактического потребления ресурсов SQL.

Данные производительности Минимальный доступ к базе данных
Данные на уровне экземпляра ЦП master.
Данные на уровне базы данных ЦП master.
Использование диска SQL Отдельная база данных
sql подключения к базе данных master.
Данные для чтения и записи в базе данных SQL Отдельная база данных
Общий размер базы данных SQL, используемой v Отдельная база данных

Сопоставление учетных данных

В организации один набор учетных данных вряд ли будет иметь доступ ко всем доменам и устройствам. При настройке сканирования Movere предоставляет возможность указать, какие учетные данные следует использовать и в каких доменах.

  • Вы можете использовать одну учетную запись во всех целевых доменах или сопоставить разные учетные данные с разными доменами.
  • Сопоставления между учетными данными и доменами предоставляются в консоли Movere и сохраняются в файле .config в зашифрованном формате.
  • Если предоставленные учетные данные отличаются от пользователя, запускающего консоль, они должны иметь полный доступ к папке, в которой была установлена консоль.
  • В настоящее время Movere не поддерживает использование нескольких учетных данных Linux. Для проверок Linux можно использовать только одно удостоверение Linux.
  • SQL Server учетные данные не нужно сопоставлять с доменами. Эти учетные данные используются только для подключения к экземплярам SQL Server независимо от доменов, в которых они находятся.
  • При сканировании устройств Windows по IP-адресу перед сканированием Movere попытается разрешить IP-адрес обратно в полное доменное имя. Успех зависит от параметров сети.
    • В случае успешного выполнения Movere использует учетные данные, назначенные для этого домена в консоли Movere.
    • Если IP-адрес не разрешается, используются учетные данные пользователя, выполняющего проверку. Movere не циклически просматривает список учетных данных в надежде получить доступ, так как это может заблокировать эти учетные записи.

Сканирование через брандмауэр или прокси-сервер

  • Если целевое устройство имеет брандмауэр, Movere может использовать общий доступ к файлам и печати, а также удаленное администрирование. Если брандмауэр разрешает любое исключение, Movere безопасно проходит через него.
  • Для отправки через брандмауэр Movere использует учетные данные, хранящиеся в параметрах Браузера Windows панель управления >>Connections>Локальная сеть. Этот параметр находится в файлеMovereService.exe.config .
    • Movere использует прокси-сервер как на устройстве с консолью Movere, так и на целевых устройствах, если параметры верны.
    • Если прокси-сервер блокирует подключение Movere на компьютере консоли к Интернету, появляется следующее сообщение об ошибке: Ошибка подключения к серверу. Исключение. Удаленный сервер вернул ошибку: (407) Требуется проверка подлинности прокси-сервера.

Дальнейшие действия

Сканирования Устройства Windows.