Справочный портал
MaxPatrol VM 2.5 (27.0) · Справка
Русский
Справочник по параметрам модулейМодули для сбора информации об активах
Мо­дуль HostDiscovery
В этой статье
Способы проверки узлов
Параметры проверки узлов
Объем занимаемой памяти (дополнительные параметры)
Работа модуля (дополнительные параметры)
Дан­ные, по­лу­чен­ные мо­ду­лем Hostdiscovery при про­ве­де­нии ауди­та того узла, с ко­то­ро­го вы­пол­ня­ет­ся этот аудит, бу­дут недо­сто­вер­ны­ми.

Мо­дуль пред­на­зна­чен для по­ис­ка ак­ти­вов в IT-ин­фра­струк­ту­ре ор­га­ни­за­ции. Для про­вер­ки до­ступ­но­сти ак­ти­вов ис­поль­зу­ют­ся ICMP ping, TCP ping или оба ме­то­да од­но­вре­мен­но. Для мо­ду­ля со­зда­ны стан­дарт­ные про­фи­ли:

  • HostDiscovery — ба­зо­вый про­филь для по­ис­ка ак­ти­вов. Ак­тив об­на­ру­жи­ва­ет­ся по от­кры­тым на нем TCP-пор­там из спис­ка ча­сто ис­поль­зу­е­мых или от­ве­ту на за­прос по про­то­ко­лу ICMP.
  • Inventory Profile — для по­ис­ка ак­ти­вов. Ак­тив об­на­ру­жи­ва­ет­ся по от­кры­тым на нем TCP-пор­там или от­ве­ту на за­прос по про­то­ко­лу ICMP.
  • Os Detection Profile — для по­ис­ка ак­ти­вов и опре­де­ле­ния вер­сий, уста­нов­лен­ных на них опе­ра­ци­он­ных си­стем. Ак­тив об­на­ру­жи­ва­ет­ся по от­кры­тым на нем TCP-пор­там. Для опре­де­ле­ния ОС необ­хо­ди­мо, что­бы хотя бы один из про­ве­ря­е­мых на ак­ти­ве пор­тов был от­крыт и хотя бы один был за­крыт. Опре­де­ля­ют­ся сле­ду­ю­щие вер­сии ОС: Windows 7, 10; Windows Server 2012, 2012 R2, 2016; Debian 3.x, 4; Oracle Solaris 9.x, 10.x; Ubuntu (Linux) 8, 10, 14, 15, 16, 17.
  • PortScan Full Range — для по­ис­ка от­кры­тых на ак­ти­ве TCP-пор­тов в диа­па­зоне от 1 до 65535.

На­стра­и­вать па­ра­мет­ры мо­ду­ля вы мо­же­те при со­зда­нии поль­зо­ва­тель­ско­го про­фи­ля на базе стан­дарт­но­го или при со­зда­нии за­да­чи на сбор дан­ных. Для это­го в па­не­ли с па­ра­мет­ра­ми про­фи­ля в иерар­хи­че­ском спис­ке нуж­но вы­брать сек­цию па­ра­мет­ров. Ниже при­во­дят­ся опи­са­ния па­ра­мет­ров в каж­дой сек­ции.

По умол­ча­нию для мо­ду­ля Hostdiscovery мо­жет од­но­вре­мен­но вы­пол­нять­ся не боль­ше од­ной под­за­да­чи. Вы мо­же­те из­ме­нить это зна­че­ние на стра­ни­це Управ­ле­ние си­сте­мой на вклад­ке Кол­лек­то­ры в па­не­ли Мо­ду­ли и по­то­ки.

Спо­со­бы про­вер­ки уз­лов

Сек­ция со­дер­жит па­ра­мет­ры для на­строй­ки про­вер­ки пор­тов. Успех хотя бы од­ной про­вер­ки, ука­зы­ва­ет на ак­тив­ность узла. До­ступ­ны сле­ду­ю­щие па­ра­мет­ры:

  • Про­во­дить про­вер­ку с по­мо­щью эхо-за­про­са ICMP — при вклю­че­нии вы­пол­ня­ет­ся про­вер­ка пор­тов эхо-за­про­са­ми по про­то­ко­лу ICMP.
  • Пор­ты TCP для про­вер­ки с по­мо­щью SYN-па­ке­тов — поле для вво­да но­ме­ров TCP-пор­тов, про­ве­ря­е­мых с син­хро­ни­за­ци­ей но­ме­ров по­сле­до­ва­тель­но­сти. Несколь­ко пор­тов нуж­но вво­дить че­рез за­пя­тую, диа­па­зон пор­тов — че­рез де­фис. На­при­мер: 80, 443, 1024-2000.
  • Пор­ты TCP для про­вер­ки с по­мо­щью ACK-па­ке­тов — до­пол­ни­тель­ное поле для вво­да но­ме­ров TCP-пор­тов, про­ве­ря­е­мых с под­твер­жде­ни­ем. Несколь­ко пор­тов нуж­но вво­дить че­рез за­пя­тую, диа­па­зон пор­тов — че­рез де­фис.
  • Пор­ты TCP для про­вер­ки с по­мо­щью RST-па­ке­тов — до­пол­ни­тель­ное поле для вво­да но­ме­ров TCP-пор­тов. Несколь­ко пор­тов нуж­но вво­дить че­рез за­пя­тую, диа­па­зон пор­тов — че­рез де­фис.
  • Пор­ты UDP для про­вер­ки — до­пол­ни­тель­ное поле для вво­да но­ме­ров про­ве­ря­е­мых UDP-пор­тов. Несколь­ко пор­тов нуж­но вво­дить че­рез за­пя­тую, диа­па­зон пор­тов — че­рез де­фис.

Па­ра­мет­ры про­вер­ки уз­лов

Сек­ция со­дер­жит сле­ду­ю­щие па­ра­мет­ры для на­строй­ки про­ве­рок пор­тов:

  • Опре­де­ле­ние опе­ра­ци­он­ной си­сте­мы — при вклю­че­нии на ак­тив­ных уз­лах про­во­дит­ся опре­де­ле­ние вер­сии ОС.
  • Про­вер­ка с по­мо­щью ARP-за­про­сов — до­пол­ни­тель­ный па­ра­метр, при вклю­че­нии ко­то­ро­го про­во­дит­ся про­вер­ка с по­мо­щью ARP-за­про­сов. От­клю­че­ние мо­жет уве­ли­чить об­щее вре­мя про­вер­ки уз­лов.
  • Счи­тать узел ак­тив­ным при от­ве­те на ARP-за­прос — до­пол­ни­тель­ный па­ра­метр, при вклю­че­нии ко­то­ро­го узел счи­та­ет­ся ак­тив­ным при от­ве­те ARP-за­прос.
  • Счи­тать узел ак­тив­ным при лю­бом от­ве­те — до­пол­ни­тель­ный па­ра­метр, при вклю­че­нии ко­то­ро­го узел счи­та­ет­ся ак­тив­ным при ожи­да­е­мом от­ве­те.
  • Ска­ни­ро­ва­ние ак­тив­ных уз­лов — до­пол­ни­тель­ный па­ра­метр, при вклю­че­нии ко­то­ро­го вы­пол­ня­ет­ся ска­ни­ро­ва­ние пор­тов на ак­тив­ных уз­лах.
  • Мак­си­маль­ное ко­ли­че­ство неудач­ных про­ве­рок — до­пол­ни­тель­ное поле для вво­да мак­си­маль­но­го ко­ли­че­ства неудач­ных про­ве­рок каж­до­го узла.

    Ин­тер­вал меж­ду про­вер­ка­ми — до­пол­ни­тель­ное поле для вво­да вре­ме­ни меж­ду про­вер­ка­ми в мил­ли­се­кун­дах. Ис­поль­зу­ет­ся, если ис­тек­ло вре­мя, ука­зан­ное в поле Тайм-аут от­ве­та.

  • Тайм-аут от­ве­та — до­пол­ни­тель­ное поле для вво­да мак­си­маль­но­го вре­мя ожи­да­ния от­ве­та при про­вер­ке в мил­ли­се­кун­дах.
  • Мак­си­маль­ная ско­рость от­прав­ки ARP-за­про­сов — до­пол­ни­тель­ное поле для вво­да мак­си­маль­но­го ко­ли­че­ства ARP-за­про­сов, от­прав­ля­е­мых при про­вер­ках в се­кун­ду.
    Боль­шое ко­ли­че­ство ARP-за­про­сов од­но­го узла мо­жет быть при­ня­то за се­те­вую ата­ку (ARP-storm, ARP-flood, ARP-spoofing).
  • Мак­си­маль­ная ско­рость от­прав­ки па­ке­тов — до­пол­ни­тель­ное поле для вво­да мак­си­маль­но­го ко­ли­че­ства па­ке­тов, от­прав­ля­е­мых при про­вер­ках в се­кун­ду.

Объ­ем за­ни­ма­е­мой па­мя­ти (до­пол­ни­тель­ные па­ра­мет­ры)

Сек­ция со­дер­жит сле­ду­ю­щие па­ра­мет­ры для на­строй­ки ра­бо­ты мо­ду­ля с па­мя­тью на узле MP 10 Collector:

  • Вы­де­лен­ный объ­ем па­мя­ти — поле для вво­да объ­е­ма па­мя­ти, вы­де­ля­е­мой мо­ду­лю на узле при его за­пус­ке, в ме­га­бай­тах.
  • Мак­си­маль­ный объ­ем па­мя­ти — поле для вво­да мак­си­маль­но­го объ­е­ма ис­поль­зу­е­мой мо­ду­лем па­мя­ти в ме­га­бай­тах.
  • Шаг уве­ли­че­ния объ­е­ма па­мя­ти — поле для вво­да объ­е­ма па­мя­ти, на ко­то­рый бу­дет уве­ли­чи­вать­ся вы­де­ля­е­мая мо­ду­лю па­мять в слу­чае ее нехват­ки. Шаг мо­жет быть от 16 до 1024 байт (нуж­но ука­зы­вать сте­пень двой­ки).

Ра­бо­та мо­ду­ля (до­пол­ни­тель­ные па­ра­мет­ры)

Сек­ция со­дер­жит сле­ду­ю­щие па­ра­мет­ры для на­строй­ки ра­бо­ты мо­ду­ля:

  • Со­би­рать со­бы­тия как уста­рев­шие — не ис­поль­зу­ет­ся.
  • Ин­тер­вал от­прав­ки уве­дом­ле­ний о со­сто­я­нии — поле для вво­да ин­тер­ва­ла от­прав­ки уве­дом­ле­ний об ак­тив­но­сти мо­ду­ля на MP 10 Collector в мил­ли­се­кун­дах.
  • По­втор­ное под­клю­че­ние: мак­си­маль­ное ко­ли­че­ство по­пы­ток — поле для вво­да мак­си­маль­но­го ко­ли­че­ства по­пы­ток мо­ду­ля вос­ста­но­вить связь с MP 10 Collector в слу­чае ее раз­ры­ва.
  • По­втор­ное под­клю­че­ние: ин­тер­вал меж­ду по­пыт­ка­ми — поле для вво­да вре­ме­ни меж­ду по­пыт­ка­ми мо­ду­ля вос­ста­но­вить связь с MP 10 Collector в мил­ли­се­кун­дах.
  • Спра­воч­ник с па­ра­мет­ра­ми жур­на­ли­ро­ва­ния — рас­кры­ва­ю­щий­ся спи­сок для вы­бо­ра спра­воч­ни­ка MaxPatrol VM с па­ра­мет­ра­ми жур­на­ли­ро­ва­ния ра­бо­ты мо­ду­ля.
  • Со­хра­нять ста­ти­сти­ку сбо­ра дан­ных — при вклю­че­нии в жур­на­ле мо­ду­ля со­хра­ня­ет­ся ин­фор­ма­ция об объ­е­ме со­бран­ных мо­ду­лем дан­ных (в бай­тах), ко­ли­че­стве па­ке­тов с дан­ны­ми, от­прав­лен­ных мо­ду­лем на MP 10 Collector, и их объ­е­ме (в бай­тах).
Расширение сбора данных
Модуль MP8ScanImporter
В этой статье
Способы проверки узлов
Параметры проверки узлов
Объем занимаемой памяти (дополнительные параметры)
Работа модуля (дополнительные параметры)