Spis treści

Agent LOG Plus

Czym jest agent?

Agent LOG Plus jest instalowany w środowisku Windows Desktop i działa jako usługa systemu operacyjnego. Działa w trybie ciągłym a jego głównym zadaniem jest stałe monitorowanie konfiguracji parametrów sprzętowych urządzenia, zainstalowanego oprogramowania oraz wielu innych.

Agent LOG Plus łączy się bezpośrednio z serwerem aplikacji za pomocą ustalonych adresów i portów. Posiada własną lokalną bazę danych, która pełni rolę bufora danych („cache”), kiedy Agent nie ma połączenie z serwerem. Dane są gromadzone tak długo, aż takie połączenie zostanie nawiązane. Wówczas są one przesyłane do serwera.

Jakie zadania realizuje agent?

• Skanowanie danych
  Agent skanuje komputery, a pozyskane dane zasilają statystyki komputera i służą do bieżącego raportowania w obszarach wydajności, aktywności oraz historii operacyjnej urządzenia. Zakres skanowania agenta definiowany jest w profilu agenta.

• Skanowanie konfiguracji sprzętowej
  Zbieranie szczegółowych informacji o sprzęcie: procesor, RAM, płyta główna, dyski, partycje, urządzenia peryferyjne, numer seryjny, producent, stan SMART itd.

• Monitorowanie obciążenia
  Stałe monitorowanie zużycia zasobów takich jak CPU, RAM, miejsce na dysku, obciążenie dysku i sieci. Generowanie alertów w przypadku przekroczenia progów krytycznych.

• Skanowanie oprogramowania
  Agent wykonuje pełny oraz przyrostowy audyt zainstalowanego oprogramowania zgodnie z harmonogramem zdefiniowanym w profilu agenta. Audyty te umożliwiają stałą kontrolę stanu aplikacji i podstawę do analizy zgodności licencyjnej w module SAM. Zakres, częstotliwość, katalogi oraz priorytet skanowania są w pełni konfigurowalne.

• Identyfikacja oprogramowania
  Agent identyfikuje zainstalowane aplikacje na podstawie wzorców i słowników oprogramowania, tworząc wpisy w module SAM. Identyfikacja umożliwia rozliczanie licencji, tworzenie bilansów oraz generowanie alertów dotyczących niezgodności licencji, niskiego użycia lub wysokich kosztów.

• Realizacja wykonania skryptów
  Agent umożliwia zdalne uruchamianie skryptów (PowerShell, Batch) w celu wykonywania czynności administracyjnych takich jak instalacja, konfiguracja, aktualizacja czy zbieranie danych diagnostycznych.

• Realizacja połączenia zdalnego
  Funkcjonalność agenta pozwala na nawiązywanie bezpiecznych połączeń zdalnych z komputerem użytkownika z użyciem VNC. Umożliwia to przejęcie kontroli administracyjnej nad urządzeniem bez przerywania pracy użytkownika, przy jednoczesnym zabezpieczeniu operacji zgodą i hasłem.

• Wyświetlanie komunikatów ekranowych (wkrótce)
  Agent może przesyłać komunikaty bezpośrednio na ekran użytkownika – np. powiadomienia systemowe, ostrzeżenia o zagrożeniach, przypomnienia lub komunikaty administracyjne.

• Blokowanie nośników danych
  Możliwość automatycznego wykrywania i blokowania nieautoryzowanych nośników danych (USB, karty pamięci, napędy optyczne, Bluetooth, modemy). Agent prowadzi rejestr podłączeń i zarządza ich autoryzacją.

• Blokowanie aplikacji
  Agent umożliwia tworzenie reguł blokujących uruchamianie określonych aplikacji (np. gier, komunikatorów, narzędzi nieautoryzowanych), bazując na nazwie aplikacji lub jej typie.

• Blokowanie procesów
  Agent umożliwia tworzenie reguł blokujących uruchamianie określonych procesów systemowych lub użytkownika w czasie rzeczywistym, aby zapobiec działaniom niezgodnym z polityką organizacji.

• Blokowanie stron www
  Agent umożliwia tworzenie reguł blokujących uruchamianie wskazanych stron internetowych. Blokady bazują na liście wskazanych adresów URL.

• Monitorowanie pracy użytkownika
  Rejestracja aktywności użytkownika, w tym logowań, uruchamiania programów, odwiedzanych stron, operacji na plikach – wszystko zgodnie z ustawionym zakresem monitorowania.

• Monitorowanie ekranów (zrzuty ekranu)
  Agent cyklicznie wykonuje zrzuty ekranu aktywnej sesji użytkownika zgodnie z ustalonym harmonogramem. Przechowywanie danych ograniczane czasowo lub ilościowo.

• Monitorowanie wydruków
  Rejestrowanie szczegółów dotyczących drukowania dokumentów: użytkownik, komputer, drukarka, liczba stron, nazwa dokumentu.

• Monitorowanie plików
  Agent rejestruje operacje na plikach – tworzenie, edytowanie, kopiowanie, usuwanie – wraz z informacjami o użytkowniku, czasie operacji i używanym nośniku.

• Identyfikacja symulatorów aktywności
  Mechanizm wykrywający funkcję, która automatycznie generuje działania użytkownika – takie jak ruchy myszką, kliknięcia, naciśnięcia klawiszy – w celu stworzenia pozoru aktywnej pracy przy komputerze, mimo że użytkownik fizycznie z niego nie korzysta.

Agent zawiera

• Bibliotekę agenta – mechanizmy działania, aktualizacje, logika operacyjna.

• Słowniki i wzorce – wykorzystywane do identyfikacji oprogramowania i elementów systemu.

• Profil konfiguracji agenta – definiuje, co agent ma monitorować i z jaką częstotliwością

Jakie dane Agent wysyła do serwera?

CMDB (Configuration Management Database)

Zawiera pełną informację o sprzęcie i oprogramowaniu:

• Informacje podstawowe: nazwa komputera, adres IP, model, adres fizyczny.

• Status Agenta: online/offline, aktywność.

• Alerty obciążenia: CPU, RAM, HDD, sieć.

• Raporty syntetyczne:

  • Przyrostowy (codziennie o 12:30)

  • Pełny (raz w tygodniu o 12:30)

• Pełna konfiguracja sprzętowa i dane monitorujące: BIOS, CPU, RAM, dane o aplikacjach, użytkownikach, nośnikach danych, itp.

⏱️ Dane przesyłane: codziennie, tygodniowo lub przy zdarzeniach
📦 Rozmiar danych: od <1 MB do >20 MB

Monitoring

Monitoruje aktywność użytkowników:

• Logowania, sesje, użycie oprogramowania.

• Operacje na plikach i statystyki pracy komputera.

• Informacje zbierane co 4 godziny (raport syntetyczny) lub codziennie (pełne dane).

📦 Rozmiar danych: do <20 MB

Network (skanowanie sieci)

Zbiera dane o urządzeniach w sieci:

• Adresy IP, MAC, nazwy urządzeń, typy, czasy odpowiedzi.

⏱️ Skanowanie co 2 godziny.
📦 Średni rozmiar danych: <10 MB

Scripts

• Umożliwia zdalne wykonywanie skryptów.

• Wyniki przekazywane są po wykonaniu.

⏱️ Wysyłka danych w momencie zdarzenia
📦 Rozmiar danych: <1 MB

Device Management

• Rejestr podłączanych urządzeń USB i innych.

• Informacje o dacie i statusie urządzenia.

⏱️ Zdarzeniowo
📦 Rozmiar danych: <1 KB

Remote Desktop (VNC)

• Umożliwia zdalne zarządzanie komputerem.

• Zawiera bibliotekę usługi i dane z sesji.

⏱️ W momencie zdarzenia (na żądanie)
📦 Do 5 MB + zależnie od długości sesji

Co agent wysyła do Hurtowni danych?

Jeśli w ramach Profilu Agenta zostanie włączona hurtownia danych to Agent poza w/w zakresem wysyła również:

• wszystkie dane (“surowe”) z CMDB

  • wszystkie dane (“surowe”) z monitoring

Integracja z bazą danych i hurtownią danych

• Dane zbierane przez agenta są najpierw przechowywane lokalnie.

• Następnie przesyłane do bazy danych LOG Plus (dane operacyjne, logi).

• Część informacji trafia do hurtowni danych, gdzie są agregowane i analizowane historycznie.

Jak agent obciąża urządzenie?

Rozmiary przesyłanych danych (paczki)

Szacunkowa dzienna wielkość danych przesyłanych przez jednego agenta:

• Pełny audyt – do 20 MB

• Audyt przyrostowy – ok. 3 MB

• Skanowanie hurtowni danych – do 20 MB

• Monitoring – ~0,2 MB co 4 godziny

• Pozostałe operacje – <1 MB każda

Średnia wielkość danych przesyłanych w ciągu doby wynosi około 18 MB, przy czym są to dane rozłożone w czasie według ustalonego harmonogramu. Dzięki temu agent nie generuje nagłych skoków w wykorzystaniu łącza.

Wpływ na wydajność komputera

Agent jest zaprojektowany do pracy w tle z minimalnym obciążeniem zasobów systemowych. Poziom zużycia CPU i pamięci zależy od aktualnie wykonywanej operacji:

Open

Częstotliwość wysyłania danych

Agent wysyła w/w dane w wyżej opisanym harmonogramie, widocznym także na grafice:

Open

Zalecamy zachować ostrożność podczas zmiany poszczególnych parametrów ponieważ może to doprowadzić do zbyt dużego obciążenia serwera LOG Plus.

• Przykład 1. Dla Organizacji która posiada 2000 lub więcej komputerów nie należy ustawiać w Profilach Agentów częstotliwość (sekcja Audyt SAM → Audyt przyrostowy) w polu Częstotliwość skanowania katalogów programów Windows wartości Codziennie)

• Przykład 2. Dla Organizacji która posiada 1000 lub więcej komputerów nie należy ustawiać w Profilach Agentów (sekcja Ustawienia pracy Agenta → Czasy) w polu Częstotliwość wysyłania raportów z komputera wartości 1 godzina)

Bezpieczeństwo danych

• Szyfrowanie komunikacji – Komunikacja między każdym z modułów jest szyfrowana. Kanał transportowy (TCP) między klientem, a serwerem jest szyfrowany algorytmem AES (Rijndael).

• Zabezpieczenia Agentów – Agenci LOG PLUS są specyficznym rodzajem klientów serwera aplikacji o bardzo ograniczonych możliwościach. Ze względu na specyfikę pracy w trybie usługi systemowej nie podlegają klasycznej metodzie uwierzytelniania, tak jak użytkownicy logujący się do serwera za pomocą konsoli administracyjnej. 
  Klucz użyty do szyfrowania komunikacji Agent-serwer jest przechowywany w pliku konfiguracyjnym usługi Agenta – jest on generowany raz dla instancji serwera aplikacji w momencie pierwszego jej uruchomienia i zapisywany automatycznie w pliku konfiguracyjnym Agenta w momencie eksportu MSI Agenta przez Administratora LOG Plus. 
  Stroną inicjującą połączenie w komunikacji Agent-serwer są tylko i wyłącznie agenci. 
  Celem podniesienia bezpieczeństwa systemu należy zadbać, aby użytkownicy logujący się do stacji roboczych, na których pracują Agenci, nie posiadali uprawnień administracyjnych.

• Odporność na ataki przez powtórzenie – Komunikacja Agent – Serwer jest odporna na ataki przez powtórzenie, ponieważ dane z monitoringu posiadają swoje unikalne ID w efekcie czego potencjalny atak przez powtórzenie nie zapisze tych samych wartość kolejny raz. 

• Odporność na problemy komunikacyjne – Agent w przypadku problemów z komunikacją zapisuje dane lokalnie tak długo, aż nie odzyska komunikacji z serwerem LOG Plus i nastąpi możliwość ich przesłania.