Сканирование

  • Статья

В этой статье описывается сканирование в Movere. Movere может сканировать, обнаруживать и записывать локальные среды и устройства в других общедоступных облаках, таких как AWS и GCP.

Movere сканирует устройства независимо от платформы (Windows или Linux) или поставщика услуг размещения (локальная среда, частное облако или общедоступное облако). Movere не требует среды VMware или гипервизора. Movere может связаться с любым устройством, если оно подключено к сети.

Что я могу проверить?

Вот что можно сканировать в Movere.

Сканирование Сведения
Устройства Windows Сканирование устройств Windows с помощью операционных систем Windows Server, клиентских операционных систем Windows из доменов Active Directory или полного доменного имени устройства, DNS или IP-адреса.

Устройства могут быть присоединены к домену или не подключены к домену, например устройствам в рабочей группе.

Вы можете выполнить сканирование в консоли Movere или из командной строки.

Вы запускаете проверку фактического потребления ресурсов для сбора данных о потреблении устройств с устройств Windows Server, чтобы показать производительность системы с течением времени.
Устройства Linux Сканируйте поддерживаемые устройства Linux из Active Directory, из определенных подсетей или с помощью DNS или IP-адресов.

Вы можете выполнить сканирование в консоли Movere или из командной строки.

Вы можете собирать фактические данные о потреблении ресурсов с устройств Linux.
Active Directory Сканирование объектов Active Directory (компьютеров, пользователей и доверия).

Вы можете проверить один домен или несколько доменов для обнаружения на уровне леса.
Устройства vCenter Удаленное сканирование модулей vmWare vCenter Server из консоли Movere.

Устройства предварительно настроены на виртуальные машины Linux, оптимизированные для vCenter Server.

Модули vmWare vCenter Server также можно сканировать как устройство Linux.
Windows vCenter Server Проверьте экземпляр SQL, на котором запущена база данных vCenter Server.
SQL Server Сбор SQL Server данных с устройств Windows и Linux.

— Если Movere обнаруживает ядро SQL на устройстве, но не может подключиться к SQL, он собирает базовые данные конфигурации.

— Если Movere имеет разрешения на доступ к сканированию данных SQL, он может собирать дополнительные сведения о самом SQL и других продуктах Майкрософт, использующих SQL в качестве базовой базы данных, таких как Sharepoint, System Center, Exchange.

— Если для SQL включена проверка фактического потребления ресурсов, она собирает сведения о производительности и подключении к базе данных.

Дополнительные сведения о данных SQL, собранных Movere.
Microsoft 365 Сканирование данных подписки.

Соберите сведения о пользователях Microsoft 365 и подписках, назначенных им.

Сканирование устройств в общедоступных облаках

При сканировании устройств в общедоступных облаках, таких как AWS и GCP, используются те же требования, процессы и процедуры, что и любые другие средства сканирования устройств. Нет никаких специальных инструкций. Устройство, на котором запущена консоль Movere, должно быть подключено к соответствующей облачной среде для проверки на работу. Рекомендуется выполнять сканирование из облачной среды, но вам не нужно.

Какие данные сканируются?

Помимо сканирования устройств Windows и Linux, как физических, так и виртуальных, Movere собирает данные из Active Directory, VMware vCenter, Exchange Server, SQL Server, SharePoint, Dynamics CRM, Microsoft 365, System Center Configuration Manager, System Center Virtual Machine Manager, System Center Operations Manager, System Center Data Protection Manager, Lync Server, Hyper-V, Altiris, LANDesk, LanSweeper и BigFix.

Проверки инвентаризации

Movere поддерживает проверки инвентаризации и фактические проверки потребления ресурсов.

Проверка инвентаризации записывает данные конфигурации на определенный момент времени с устройств и приложений. Каждый раз при сборе данных инвентаризации он сообщает последние доступные сведения и заменяет все, что было собрано ранее. Пример:

  • Проверка инвентаризации записывает сведения о том, что устройство работает Windows Server 2016 с 4 ГБ ОЗУ.
  • После сканирования увеличьте объем ОЗУ до 8 ГБ и выполните проверку инвентаризации.
  • Теперь сканирование сообщает о 8 ГБ ОЗУ, но не сообщает о том, что системе был назначен дополнительный ОЗУ с момента последней проверки.
  • Вы можете выполнить ручной анализ, чтобы обнаружить это, но Movere не сообщает об этом.

Боты проверки инвентаризации

Проверка инвентаризации выполняется с помощью ботов для Windows и Linux, а также может выполняться удаленно только для Windows. Боты инвентаризации Movere небольшие (размером около 2 МБ) и создают файл данных или полезные данные, которые обычно меньше 10 КБ. Боты не являются постоянными. Так как они небольшие, их можно легко развернуть, запустить и удалить. На устройствах, на которые требуется проверить, постоянный агент не требуется.

Процесс сканирования инвентаризации

Проверка инвентаризации работает следующим образом:

  1. Боты инвентаризации копируются на устройство, которое требуется проверить.
  2. Бот запускается один раз и создает выходной файл.
  3. Затем бот останавливается и удаляется.
  4. Боты Movere могут отправлять полезные данные обратно в консоль Movere или непосредственно в облако.
  5. Movere также поддерживает механизм извлечения (только для Windows) для получения полезных данных с целевых устройств без поддержки TLS 1.2.

Обычно выполняется проверка данных инвентаризации каждые несколько дней или недель.

Фактические проверки потребления ресурсов

Фактические проверки потребления ресурсов собирают сведения о производительности системы за определенный период. В отличие от сканирования инвентаризации, он собирает данные потребления (процессор, память, использование диска), которые постоянно меняются.

Фактические данные о потреблении ресурсов особенно полезны во время планирования миграции. Его можно использовать для точного вычисления размера облака, чтобы обеспечить, чтобы устройства поддерживали или повышали производительность после миграции.

Боты проверки потребления ресурсов

В операционной системе Windows боты фактического потребления ресурсов по умолчанию выполняются как установленная служба. В операционной системе Linux боты фактического потребления ресурсов выполняются как процесс. Если компьютер Linux перезагружается или перезагружается, пользователю необходимо повторно перезапустить сканирование. В отличие от ботов инвентаризации, фактические боты потребления ресурсов должны оставаться запущенными для сбора данных о потреблении с течением времени.

  • Arc2: двоичный файл фактического потребления ресурсов Movere, совместимый с платформой .NET 3.5 и x86.
  • Arc4: двоичный файл фактического потребления ресурсов Movere, совместимый с платформой .NET 4.0 или более поздней версии и x64.

Перед сканированием боты выполняют предварительные проверки, включая скорость перечисления процессов и доступ счетчика производительности на уровне процесса. Эти проверки:

  • Защита от пиков ЦП или проблем с разрешениями счетчика производительности.
  • При обнаружении медленной системы или отказа в разрешении боты записывают метрики производительности на уровне макросов и пропускают такие сведения, как загрузка ЦП, ОЗУ, путь и версия. Таким образом, Movere может оценить потребление без негативного влияния на производительность системы.

Собранные данные

Фактические проверки потребления ресурсов собирают данные из следующих источников.

  • Системы Windows:
    • Процесс Windows: Windows PerfMon, Общая информационная модель Windows (CIM)
    • Производительность диска: Windows PerfMon
    • Пропускная способность сети: Windows PerfMon
    • Netstat: вспомогаемая библиотека IP-адресов Windows
    • События: соединитель .NET для событий Windows
    • SQL Server: запросы Movere SQL
  • Системы Linux:
    • Выходные данные команд оболочки Bash (например, ps, df, netstat)
    • Прямой запрос системных виртуальных файлов, например /proc/diskstats

Для отслеживания изменений использования и точного вычисления пиковых рабочих нагрузок данные обычно регистрируются часто. Например, каждые пять, 10 или 15 минут в течение нескольких дней или недель.

Процесс сканирования потребления ресурсов

Проверка фактического потребления ресурсов работает следующим образом:

  1. Вы указываете частоту сбора данных (частоту) и продолжительность (длительность).

    • Частота проверки фактического потребления ресурсов обозначает частоту создания ARCBeat на каждом целевом устройстве (каждые 5, 10, 15, 30 или 60 минут).
    • ARCBeat — это время, прошедшее между двумя точками сбора данных потребления ресурсов. Значение по умолчанию — пять минут, но это значение можно изменить в консоли.
    • Например, если вы выберете пять минут, это до 288 возможных ARCBeats в день. (12 ARCbeats в час x 24 часа).
    • Длительность указывает, как долго выполняется сканирование на каждом целевом устройстве (один, три, семь, 30 или 90 дней). Длительность по умолчанию составляет 7 дней.
    • При необходимости можно собирать данные SQL во время сканирования. По умолчанию он не собирается.

  2. Фактические боты потребления ресурсов (Arc2, Arc4) и параметры коллекции отправляются на отслеживаемом устройстве.

  3. Бот записывает данные об использовании в соответствии с указанными параметрами.

  4. Если включить автоматическую отправку в облако непосредственно с целевого устройства, Movere предпринимает три попытки передать данные в облако. При сбое отправки происходит следующее:

    1. Бот выполняет три попытки (по одной каждые 30 секунд) для передачи полезных данных на устройство Movere Console.
    2. Если передача в консоль завершается сбоем, бот сохраняет полезные данные локально. Если передача и отправка замечаются, полезные данные удаляются с целевого устройства.
    3. При следующем выполнении ARCbeat и создании новых полезных данных бот снова пытается установить подключение к облаку или консоли для отправки оставшихся полезных данных.
    4. Бот продолжает работать на целевом устройстве на протяжении всего сканирования, а также передает сохраненные полезные данные сразу после установки подключения.

  5. После успешной отправки бот ожидает следующей коллекции данных в соответствии с параметрами частоты и длительности. Бот остается на месте в течение указанного времени.

  6. По окончании длительности сканирования бот завершает работу и удаляется.

Сканирование и повторное сканирование

Movere предоставляет следующие параметры для запуска проверки:

  • Первое сканирование: немедленно запустите сканирование. Вы инициируете проверку в конце мастера сканирования в консоли Movere. Это предназначено для массовой операции, например сканирования каждого устройства в Active Directory, пользователей M365.
  • Повторное сканирование. Параметр повторного сканирования полезен для целевых устройств, которые не были проверены при первой проверке. Это предпочтительный метод сканирования, если вы не достигли требуемого объема инвентаризации после первого сканирования. Пример:
    • Если вы запускаете первую проверку, предназначенную только для Active Directory, и теперь вы хотите использовать результаты для целевых активных устройств Windows или активных устройств Linux.
    • Назначение устройств, не присоединенных к домену или рабочих групп
    • Чтобы нацеливать устройства, которые не могут быть записаны во время предварительной проверки, например устройства, на которых отказано в сканировании из-за недостаточного разрешения, пользователи должны использовать повторное сканирование для назначения устройства с правильным набором разрешений.
    • Для целевых устройств, которые вы уже сканировали, для обновления данных инвентаризации или отслеживания изменений среды на устройствах.

Повторное сканирование типов

Для повторного сканирования устройств можно использовать один из следующих источников данных сканирования.

Метод Сведения
Повторное сканирование на основе активного списка устройств Можно выбрать:

— Активные серверы и рабочие станции Windows, которые не были зарегистрированы вообще или за последние 31 день. Это можно запустить только после успешной проверки Active Directory.

— Активные устройства Linux, которые не были инвентаризации вообще или за последние 31 день.

Этот параметр проверяет наличие устройств независимо от состояния устройства. В больших доменах или доменах с большим количеством устаревших объектов этот параметр может увеличить время сканирования.
Повторное сканирование на основе файла повторного сканирования Файл повторного сканирования (.CSV) можно скачать на портале Movere или вручную создать пользовательский (.CSV) файл.

Для устройств Linux нельзя выбрать использование повторного сканирования файла в консоли. В командной строке можно использовать повторное сканирование файлов для устройств Linux.

Сканирование за пределами консоли

Боты можно доставлять на целевые устройства и выполнять проверки за пределами консоли. Хотя мы рекомендуем использовать консоль Movere для доставки ботов, Movere поддерживает размещение ботов вручную или с помощью стороннего программного обеспечения. Подробнее

Методы сканирования

При настройке сканирования можно выбрать один из следующих методов сканирования.

Метод Процесс
Сканирование как услуга (рекомендуется) Movere оценивает версию .NET, выполняемую на целевом устройстве, и пытается сканировать три раза:

- Сначала попробуйте: Movere копирует бота на устройство с учетной записью пользователя, предоставленной в разделе "Управление учетными данными". Бот запускается как локальная служба. Проверка выполняется с помощью учетной записи NT Authority\System на устройстве.

- Вторая попытка: если первая попытка не работает, Movere копирует бота с предоставленной учетной записью пользователя и запускает бот в качестве локального процесса.

- Третья попытка: если вторая попытка не работает, Movere запускает проверку с предоставленной учетной записью пользователя и собирает сведения с помощью удаленного инструментария WMI.
Сканирование как процесс Если вы не хотите, чтобы боты запускались как локальная служба, выберите этот параметр, чтобы запустить Movere в качестве локального процесса.

Movere дважды пытается проверить:

- Сначала попробуйте: Movere копирует бота с учетной записью пользователя, предоставленной в разделе "Управление учетными данными". Бот выполняется как локальный процесс.

- Вторая попытка: если первая попытка не работает, Movere не копирует бота. Проверка выполняется с предоставленной учетной записью пользователя, а сведения собираются с помощью удаленного инструментария WMI.
Удаленная проверка с помощью инструментария WMI Это старая технология, которую мы не рекомендуем использовать, если только не:

— Вы не можете развертывать боты.

— .NET не поддерживается для целевых устройств (например, Windows 2000, Windows 2003, Windows XP).

При использовании этого метода бот не копируется. Проверка выполняется с предоставленной учетной записью пользователя, а сведения собираются с помощью удаленного инструментария WMI.

WMI собирает только данные инвентаризации без проверки фактического потребления ресурсов.

Перемещение сканирует по сети. Скорость сканирования зависит от пропускной способности сети и состояния сканируемых устройств. Если сканирование .NET обычно завершается в течение 30 секунд, проверка WMI может занять от трех до пяти минут для той же проверки.

Сканирование .NET

По умолчанию Movere использует платформу .NET Framework для локального сканирования каждого устройства Windows, обеспечивая два основных преимущества:

  • Минимизируйте сетевой трафик. Movere создает временную локальную службу для записи основных данных Windows и дополнительных данных, таких как SQL Server и Exchange. При локальном сканировании устройств обмен данными между консолью Movere и каждым целевым устройством ограничивается доставкой подсистемы сканирования Movere (< 5 МБ) и возвращением зашифрованного выходного файла (обычно < 10 КБ для проверок инвентаризации и 5 КБ для фактических проверок потребления ресурсов).
  • Минимизируйте использование памяти. Модуль сканирования Movere использует только доступные ресурсы и не отменяет использование существующего работающего приложения.

Сканирование .NET работает следующим образом:

  1. Movere подключается к устройству, используя учетные данные, указанные в консоли Movere.

    • После доступа к устройству выполняется сканирование с помощью учетной записи локальной системы при запуске в качестве службы или с помощью учетной записи, предоставленной в консоли при запуске в качестве процесса.
    • Если целевое устройство установлено SQL Server, Movere обращается к SQL, используя те же учетные данные. Если они не работают, Movere пытается получить доступ к SQL Server с помощью других учетных данных, добавленных в консоль Movere, в том порядке, в котором они добавлены.

  2. Боты инвентаризации и фактического потребления ресурсов, а также файл токена FrameworkVerifier и токена доставляются на целевые устройства Windows.

    • Боты и файлы доставляются через порты 139 и 445.
    • Успешная доставка возвращает сообщения об успешномзапуске бота и службы в консоли через случайный номер порта, выбранный Windows.
    • При запуске FrameworkVerifier конечная точка переключается на порт 443. Если она может подключиться к консоли более 443, в консоли появится сообщение о начале локальной проверки .
    • Эти сообщения подтверждают, что боты успешно доставлены, запущена проверка и что целевое устройство может взаимодействовать с консолью Movere.

  3. При запуске сканирования проверяется использование ресурсов на целевом устройстве.

    • Например, если сканирование запускается и целевое устройство использует 80 % ЦП, Movere ограничено не более 10 % от общего объема системных ресурсов.
    • Windows использует сложный алгоритм, чтобы обеспечить доступность ресурсов для самой операционной системы.
    • Если на устройстве доступно больше ресурсов, Movere использует дополнительные ресурсы. Платформа .NET принимает это решение, а не Movere.
    • Если недостаточно ресурсов, появляется следующее сообщение об ошибках:
      • Недостаточно памяти для продолжения выполнения программы: если целевое устройство недостаточно ресурсов, Movere завершает работу, а не помещает устройство под дальнейшее напряжение.
      • Недостаточно системных ресурсов для завершения запрошенной службы: если целевое устройство недостаточно мощности обработки для выполнения запрошенных задач, Movere завершает работу.

  4. Общее время сканирования на устройство считается. Movere может сканировать большинство устройств в течение 30 секунд. Например, если Movere выделяется 10 % ЦП, он может завершить сканирование менее чем за минуту. Если она имеет более 10 % ЦП, время сканирования сокращается еще больше. Общее время сканирования зависит от продуктов, работающих на устройстве. Например, устройство с установленным SQL Server занимает больше времени, чем устройство без SQL Server.

  5. Когда .NET вместе с операционной системой выделяет ресурсы Movere, Movere устанавливает приоритет потока на самый низкий доступный уровень.

    • Если другим приложениям требуется цикл вычислений, они получают приоритет.
    • Если другие приложения не запрашивают ЦП, то боты Movere выполняются с выделенными ресурсами ЦП, чтобы они могли выполнять сканирование в кратчайшие сроки.

  6. Боты и двоичные файлы отправляются на целевое устройство.

    • Двоичные файлы инвентаризации — около 4 МБ (Bot2/Bot4/FrameworkVerifier)
    • Для фактического потребления ресурсов двоичные файлы добавляют около 3,8 МБ (Arc2/Arc4).

    Двоичные файлы записываются на диск, копируя их в папку Temp в общей папке Администратор$ целевого устройства Windows. Если общий ресурс Администратор$ недоступен, Movere попытается скопировать их в общую папку C$ в папке Temp.

  7. Выходные данные, созданные Movere, создаются в памяти, шифруются и сохраняются на диск в том же расположении.

  8. В конце сканирования после отправки выходного файла непосредственно в Movere или в консоль Movere Movere movere самоудаляет файлы бота, не оставляя трассировки на отсканированном устройстве. Фактические боты потребления ресурсов содержат несколько проверок безопасности, предназначенных для корректного выхода из проверки.

Определение типа сканирования

Чтобы определить, может ли Movere сканировать систему локально или удаленно, Movere запрашивает общую информационную модель Windows (CIM) и реестр Windows.

  • Если Movere не удается подключиться к CIM, попытка дальнейшего сканирования не выполняется.
  • Если Movere может подключиться к CIM, но не к реестру, проверка продолжается, так как данные Movere собирает с устройств Windows в основном из CIM.
  • Проверяет ли Movere целевой объект локально или удаленно, используется:
    • .NET System.Management.ManagementObjectSearcher, который инициализирует новый экземпляр класса ManagementObjectSearcher, используемый для вызова определенного запроса в указанной области (root\CIMV2).
    • .NET System.Win32.RegistryKey, представляющий узел уровня ключа в реестре Windows. Этот класс предлагает инкапсуляцию реестра, и Movere открывает его только в режиме без записи (только для чтения), чтобы Movere не смог изменить реестр.
    • Доступ Movere к реестру регулируется разрешениями Windows, а для учета старых систем Windows используются методы 32-разрядных и 64-разрядных подключений.
    • Если целевая конечная точка сканируется удаленно, подключение выполняется с помощью инструментария управления Windows (WMI).
    • Для удаленного сканирования Movere использует олицетворение для получения правильного уровня доступа, в сочетании с временем ожидания 30 секунд для учета медленных подключений, выполненных через WMI. Movere использует олицетворение учетной записи и требует LOGON32_LOGON_INTERACTIVE типа входа для удаленного и бота сканирования.

Сканирование устройств Windows

При настройке сканирования для устройств Windows выберите тип устройств Windows, которые требуется проверить.

  • Вы можете выполнить проверку инвентаризации как на серверах Windows, так и на рабочих станциях Windows, а также на фактическом потреблении ресурсов на серверах Windows.
  • Вы можете сканировать устройства в определенных доменах Active Directory, целевых устройствах по полному доменному имени или IP-адресу или целевым устройствам в определенной подсети.
  • Вы также можете сканировать устройства в рабочей группе или сети периметра.

Для сканирования устройств Windows требуются определенные учетные данные.

  • Для учетной записи требуется локальный Администратор доступ на устройствах, которые требуется проверить.
  • Во время сканирования устройств Windows Movere собирает данные из дополнительных источников, таких как SQL Server. Важно отметить, что Movere не позволяет использовать учетные записи с правами Администратор домена для сбора этих вторичных данных.
  • Так как вы не можете использовать учетную запись домена Администратор для дополнительных данных, вы можете создать выделенную учетную запись для Movere и назначить ей необходимые разрешения локального Администратор. Подробнее.
  • Перед запуском проверки необходимо указать по крайней мере один набор учетных данных.
  • Учетные данные, введенные в консоли Movere, шифруются с помощью алгоритма симметричного ключа. Точный алгоритм и переменные, используемые для создания ключа, являются строго конфиденциальными. Этот процесс был рассмотрен независимо третьими сторонами и не считается риском, так как боты растворяются на целевых устройствах после завершения сканирования.
  • Movere не хранит учетные данные в виде обычного текста, и учетные данные не отправляются в облако.

Просмотрите разрешения, необходимые для сканирования устройств Windows.

Сканирование устройств Linux

Двоичные файлы Linux Movere содержат оптимизированный код C++, Golang, чтобы обеспечить максимально эффективное выполнение сканирования Linux. Movere использует встроенные функции Linux, которые тщательно проверяются и упаковываются с большинством дистрибутивов, чтобы обеспечить своевременное реагирование и минимальное использование.

Сканирование устройств Linux должно выполняться пользователями с доступом к защищенным оболочкам (SSH) к устройствам Linux, которые требуется инвентаризации.

  • В консоли Movere можно указать сочетание имени пользователя и пароля или закрытый ключ SSH, который разрешает доступ.
  • Movere поддерживает закрытый ключ Open SSH, а также закрытый ключ RSA SSH. Пользователи должны проверить первую строку закрытого ключа и убедиться, что это должен быть закрытый ключ заголовка RSA, например ---BEGIN RSA PRIVATE KEY--- закрытый ключ заголовка OpenSSH, например ---BEGIN OPENSSH PRIVATE KEY---.
  • Хотя корневой доступ не требуется, если у вас есть виртуализированные устройства Linux, некоторые точки данных, такие как универсальный уникальный идентификатор (UUID) (используется для связывания виртуального устройства с физическим узлом), не будут собираться без корневого доступа.
  • Movere также может выполняться без команды sudo, если учетная запись Linux, предоставленная в Movere, имеет базовый доступ к устройству Linux через SSH
  • Если указать имя пользователя, используйте формат имени участника-пользователя , например user@domainname.com, а не домен\имя пользователя, если учетная запись является частью домена Active Directory.

Команды сканирования

Movere использует SSH для удаленного выполнения команд Bash. Учетная запись пользователя Linux должна иметь возможность выполнять эти команды с устройства Movere Console. Команды, используемые Movere, суммируются в таблице.

Команда Сведения
uname Подтверждает имя устройства и определяет архитектуру устройства (32-разрядную или 64-разрядную). Это определяет, какой бот Movere Linux используется для сканирования устройства.
pidof Проверяет, запущен ли бот Movere Linux на устройстве. Если таковой есть, он возвращает идентификатор процесса бота.
kill Используется, только если команда pidof находит бот Movere, уже запущенный на устройстве. Если бот запущен, он завершается так, чтобы можно было запустить новую проверку.

Например, можно использовать эту команду, если вы выполнили проверку потребления ресурсов подтверждения концепции в течение трех дней, а затем через один день решили начать 30-дневное сканирование. Вместо того, чтобы ждать двух дней, пока первая проверка завершится, вы начнете вторую проверку, завершив первую.
Который Определяет расположение команд Movere, которые пытается использовать.

Эту команду можно использовать: which uname, pidof, sudo, kill, chmod, nohup, чтобы найти расположение каждой команды. Если расположение возвращается для каждого из них, учетная запись пользователя может выполнить проверку.
scp Копирует файлы Movere с устройства консоли на целевое устройство Linux. Файлы помещаются в домашний каталог учетной записи Linux, указанной в консоли.
nohup Используется, так как бот Movere Linux работает в фоновом режиме по умолчанию. Если вы выходите из сеанса или подключение преждевременно завершается, процесс завершается или зависает. Эта команда держит это в курсе событий.
chmod Делает исполняемый файл бота Movere Linux в проверяемой системе.

Если вы можете изменить режим бота на исполняемый файл chmod 755, будет запущен бот. В противном случае сканирование не запустится.
sudo Эта команда повышает уровень администратора. Это не обязательно. Единственная точка данных Movere может не записываться, если sudo недоступен, это UUID или серийный номер целевого устройства.

Это поле не требуется и используется только для связывания виртуальных машин при клонировании устройств, а клонирование получает то же полное доменное имя и MAC-адрес, что и исходный. Это редко происходит.
ps Сообщает моментальный снимок текущих процессов.
mkdir Создает каталог.
Сенсорный ввод Изменяет метку времени файла.

Обратите внимание на следующее.

  • Для устройств Linux боты копируются в домашний каталог учетной записи пользователя, на которой выполняется сканирование.
  • После выполнения бота эти команды используются локально на целевом устройстве для сбора данных инвентаризации и потребления ресурсов:
    • Lsb. cat, whoami, hostname, grep, lshal, awk, dmidecode, ifconfig (обычно /sbin/ifconfig), ip (обычно /sbin/ip), lsblk, df, ps, dpkg-query, rpm, test, find, netstat, gpg, gpg2.
    • Эти команды не выполняются во время каждой проверки. Некоторые зависят от выходных данных предыдущей команды.

Проверка Active Directory

Movere подключается к Active Directory следующим образом:

  • Movere подключается с помощью .NET System.Net.LdapConnection, который представляет собой низкоуровневый соединитель LDAP, позволяющий разбиение по страницам. Это позволяет Movere запрашивать большие наборы данных, такие как пользователи Active Directory, с очень небольшими издержками.
  • Для запросов глобального каталога (например, для сбора списка дочерних доменов в лесу) Movere использует .NET System.DirectoryServices.Protocols.LdapDirectoryIdentifier для подключения к глобальному каталогу через порт 3268.
  • Movere должен запрашивать только один контроллер домена для каждого домена. Он использует Active Directory, чтобы направить его на ближайший контроллер домена. Та же логика применяется при запросе глобального каталога.
  • Консоль Movere обнаружит и заполнит доменное имя устройства, на котором запущена консоль. Если устройство, на котором запущена консоль, не присоединено к домену, домен не заполняется.
  • При выполнении проверки Active Directory Movere использует учетные данные, сопоставленные с этим доменом в консоли Movere.
  • В консоли можно указать любое доменное имя или имя рабочей группы с помощью текстового поля на вкладке домена.
  • Затем домен автоматически добавляется в список доменов на вкладке сопоставления учетных данных.
  • Это позволяет централизованно вводить учетные данные из консоли Movere перед началом сканирования.
  • По умолчанию Movere собирает объекты устройств и пользователей из Active Directory. Хотя это рекомендуемый подход, можно исключить пользовательские объекты из запуска сканирования из командной строки.
    • Если данные пользователя не собираются, Movere по-прежнему перечисляет учетные записи, которые входят в каждое устройство во время инвентаризации и фактического сканирования потребления ресурсов, но не будут разрешать их в Active Directory.
    • Имя пользователя, фамилия, адрес электронной почты, компания, номер сотрудника/ идентификатор, поля страны и т. д. пусты. так как Movere не будет иметь эти данные.
      • Это влияет на такие продукты, как SharePoint, Skype для бизнеса, Exchange, RDS, Dynamics CRM и Project Server только с точки зрения пользователя.
      • Movere по-прежнему видит эти приложения, но не отображает сведения о пользователях, обращаюющихся к ним.
      • Другие данные не затрагиваются.
    • Исключение сбора пользовательских данных не влияет на данные пользователей, собранные во время процесса регистрации Movere. Эти данные необходимы для безопасного доступа пользователей к веб-сайту Movere.

сканирование SQL Server

Movere сканирует SQL следующим образом:

  1. Movere подтверждает, что ядро SQL присутствует и работает, чтобы проверить его.

    • Чтобы определить подсистемы SQL, Movere перечисляет службы, присутствующие в целевой конечной точке, через CIM.
    • Если подсистема SQL присутствует, но это пассивный экземпляр, Movere не пытается подключиться к нему.
    • Movere также не пытается подключиться к экземплярам SQL Reporting, анализа или интеграции.

  2. Чтобы начать сканирование, Movere использует учетные данные, назначенные домену, в порядке их ввода.

    • Movere всегда начинается с учетных данных Windows, и перед началом сканирования необходимо ввести по крайней мере один набор учетных данных.
    • Если эти учетные данные завершаются ошибкой, Movere пытается подключиться с использованием любых других учетных данных, назначенных целевому домену, за исключением учетных данных администратора домена. Учетные данные администратора домена никогда не передаются ботам.
    • Если все учетные данные на основе Windows завершаются ошибкой, Movere будет использовать все учетные данные на основе SQL, введенные в консоли. Обратите внимание: учетные данные на основе SQL не связаны с определенным доменом и, следовательно, все учетные данные SQL (если вводятся несколько учетных данных) будут использоваться в том порядке, в который они вводятся.
    • Если все учетные данные завершаются ошибкой, Movere пытается подключиться с помощью учетной записи, которая запустила проверку, которая может быть учетными данными пользователя Movere или локальной системной учетной записи.

  3. После подтверждения запущенного экземпляра ядра SQL и использования учетных данных Movere подключается через TCP. Чтобы подключиться, Movere запрашивает реестр, чтобы определить номер порта, на котором прослушивается каждый запущенный экземпляр. Movere пытается подключиться к SQL Server с помощью имени сервера через указанный номер порта.

    • Movere не пытается обойти TCP. Movere не использует именованные каналы. Это основная причина, по которой Movere обычно не подключается к экземплярам SQL Express, так как сетевые протоколы, включая TCP, по умолчанию отключены в Express Edition.
    • Movere не будет пытаться подключиться с помощью IP-адреса устройства, случайных номеров портов или с помощью предположения, что экземпляры SQL используют порт SQL 1433.
    • Единственным исключением является кластер SQL Server. Если кластер SQL Server определен из активного узла, Movere пытается подключиться к SQL Server с помощью имени кластера, а не имени узла.
    • Подключение к SQL Server идентично, проверяется ли устройство локально или удаленно, и всегда использует собственные клиентские библиотеки SQL .NET.

  4. Чтобы определить базы данных на каждом SQL Server, Movere запрашивает базу данных master для списка баз данных. Проверка схемы выполняется в этом списке.

    • Если Movere не получил доступ к базе данных master, он отправляется в CIM для получения списка активных баз данных. Это позволяет обойти эту проблему, если Movere имеет доступ только к базам данных, которые требуется проверить.
    • Чтобы избежать выполнения запросов к каждой базе данных, Movere выполняет проверку схемы для каждой базы данных. Если совпадение найдено, для этой базы данных выполняется набор запросов, относящихся к этой технологии (и версии).

  5. Для запуска инвентаризации Movere и фактического потребления ресурсов учетная запись, используемая для сканирования sql, требуется роль состояния сервера просмотра, просмотр роли определения и db_datareader доступ к главному серверу SQLServer, msdb и любым созданным базам данных.

    • Если у учетной записи пользователя Movere нет доступа к SQL Server, Movere по-прежнему может собирать основные сведения о SQL Server включая:
      • Имя и размер каждой базы данных на сервере, который не находится в автономном состоянии.
      • Если база данных не находится в автономном состоянии, она может находиться в одном из нескольких состояний, включая подключение, восстановление, восстановление, подозрение или чрезвычайную ситуацию.
      • Если Movere не имеет доступа к SQL Server и извлекается список баз данных из слоя Windows, вместо того чтобы предполагать, что каждая база данных находится в оперативном состоянии, Movere сообщает состояние как неподтвержденное.

  6. Movere собирает данные. Чтобы избежать приема устаревших данных, Movere фиксирует последнюю дату записи данных в базу данных. Если это более 90 дней, собранные данные хранятся как потенциально устаревшие.

Проверка потребления ресурсов

По умолчанию Movere не собирает данные SQL при включении проверки фактического потребления ресурсов. Необходимо специально включить сбор данных SQL при настройке сканирования потребления ресурсов в консоли Movere. Кроме того, можно задать для значения CollectSqlзначение True в файлах конфигурации ARC2 и ARC4.

Отсканированные данные SQL

Movere сканирует категории SQL Server данных, сводных в таблице.

Data Сведения Требуется учетная запись
Список баз данных

Включая сведения о состоянии, размере, дате создания и кластеризации, зеркальном отображении и группах доступности в базе данных master.		 Movere собирает список баз данных по умолчанию и не требует создания определенной учетной записи службы. Movere сначала использует учетные данные Windows, сопоставленные с доменом, где находится SQL Server, а затем учетные данные SQL, а затем используют учетную запись NT AUTHORITY\SYSTEM при запуске в качестве службы.

Для входа необходимо включить нужную учетную запись с ролью общедоступного сервера и разрешениями на подключение к ядру СУБД. Все они включены по умолчанию.

Для SQL Server 2008 R2 и предыдущей версии nt AUTHORITY\SYSTEM по умолчанию также были назначены привилегии sysadmin. Это было удалено в SQL Server 2012 года. Это означает, что при сканировании SQL Server 2012 и более поздних версиях необходимая учетная запись пользователя должна быть специально предоставлена доступ к SQL Server.
Сведения о производительности и подключении Сюда входят загрузка ЦП на минуту по экземпляру, загрузка ЦП базой данных и подключения к базе данных. Movere сначала использует учетные данные Windows, сопоставленные с доменом, где находится SQL Server, а затем учетные данные SQL, а затем используют учетную запись NT AUTHORITY\SYSTEM при запуске в качестве службы.

Для входа необходимо включить нужную учетную запись с ролью общедоступного сервера и разрешениями на подключение к ядру СУБД. Все они включены по умолчанию.

Чтобы собрать SQL Server данные о производительности во время проверки фактического потребления ресурсов, задайте параметр в консоли Movere.
Сведения о доставке журналов (база данных msdb) Конфигурации доставки журналов хранятся в базе данных msdb. Для доставки журналов необходимая учетная запись должна быть предоставлена db_datareader доступ к базе данных msdb (если версия SQL не является старой, а учетная запись NT AUTHORITY\SYSTEM имеет набор sysadmin).

Если используется доставка журналов, и Movere не может получить доступ к базе данных msdb, конфигурации доставки журналов не отображаются на портале Movere.
SQL Server дополнительных данных и статистику диска Сканирует данные, размещенные на SQL Server, в поддержку приложения, например System Center Configuration Manager, Sharepoint. Требуемая учетная запись должна быть предоставлена db_datareader доступ к базе данных-получателю (если версия SQL не является старой, а учетная запись NT AUTHORITY\SYSTEM имеет sysadmin. Сюда также входят данные статистики производительности и диска, собранные на уровне базы данных.

Для этого типа сканирования требуются разрешения sysadmin.

Если вам нужен этот уровень детализации, предоставьте системный администратору доступ к учетной записи NT AUTHORITY\SYSTEM или учетной записи службы, которую может использовать Movere.

Различия в представлениях

В таблице приводится сводка минимального доступа к базе данных для сбора различных данных о производительности с проверкой фактического потребления ресурсов SQL.

Данные производительности Минимальный доступ к базе данных
Данные на уровне ЦП master.
Данные уровня базы данных ЦП master.
Использование диска SQL Отдельная база данных
Подключения к базе данных SQL master.
Данные чтения и записи базы данных SQL Отдельная база данных
Общий размер базы данных SQL Отдельная база данных

Сопоставление учетных данных

В организации один набор учетных данных вряд ли будет иметь доступ ко всем доменам и устройствам. При настройке сканирования Movere позволяет указать, какие учетные данные следует использовать, в каких доменах.

  • Вы можете использовать одну учетную запись во всех целевых доменах или сопоставить разные учетные данные с разными доменами.
  • Сопоставления учетных данных и доменов предоставляются в консоли Movere и сохраняются в файле .config в зашифрованном формате.
  • Если предоставленные учетные данные отличаются от учетных данных, запущенных в консоли, учетные данные должны иметь полный контроль над папкой, в которой была установлена консоль.
  • Movere в настоящее время не поддерживает использование нескольких учетных данных Linux. Для сканирования Linux можно использовать только один учетный данные Linux.
  • SQL Server учетные данные не нужно сопоставлять с доменами. Эти учетные данные используются только для подключения к экземплярам SQL Server независимо от доменов, в которых они находятся.
  • При сканировании устройств Windows по IP-адресу перед сканированием Movere пытается разрешить IP-адрес обратно в полное доменное имя. Успех зависит от параметров сети.
    • В случае успешного выполнения Movere использует учетные данные, назначенные данному домену в консоли Movere.
    • Если IP-адрес не разрешается, используются учетные данные пользователя, выполняющего проверку. Movere не проходит через список учетных данных в надежде получить доступ, так как это может заблокировать эти учетные записи.

Сканирование с помощью брандмауэра или прокси-сервера

  • Если на целевом устройстве есть брандмауэр, Movere может использовать общий доступ к файлам и печати или удаленное администрирование. Если любое исключение разрешено брандмауэром, Movere безопасно проходит через него.
  • Для отправки через брандмауэр Movere использует учетные данные, хранящиеся впараметрах локальной сетиподключенийк локальной области Windows > панель управления >Internet Options>. Этот параметр находится в файлеMovereService.exe.config .
    • Movere использует прокси-сервер как на устройстве консоли Movere, так и на целевых устройствах, если параметры верны.
    • Если прокси-сервер блокирует movere на компьютере консоли от доступа к Интернету, появляется следующее сообщение об ошибке: ошибка при подключении к серверу. Исключение: удаленный сервер вернул ошибку: (407) Требуется проверка подлинности прокси-сервера.

Дальнейшие действия

Сканирования Устройства Windows.