“通用进程发现代理”(CPDA) 将在侦测期间运行一系列命令,以收集有关所有正在运行的进程的信息。它还会收集用于生成拓扑的套接字数据。可以在任务日志中查看此代理的完整日志。

注: 在侦测日志期间,此代理不会收集侦测日志敏感信息,如正在运行的进程的命令行。

准备自定义 CPDA

默认 CPDA 将使用一个包含进程列表和相关详细信息的特殊 JSON 文件。您可以为进程发现准备自定义 CPDA。为避免出现错误,请确保在自定义 CPDA 中符合以下条件。

  • CPDA 不得停止或影响任何正在运行的进程。
  • CPDA 必须创建一个要在侦测进程期间读取的 rawProcessInfo.json 文件。

  • CPDA 还必须在含有设备操作系统具体详细信息的同一工作目录下创建 os.json 文件。

  • 将日志保存在同一工作目录下的 iris-agent.log 文件中。

    /tmp/.iris/process_discovery/rawProcessInfo.json /tmp/.iris/process_discovery/os.json

  • 对于 Linux,CPDA 必须运行可接受以下参数的 init bash 脚本。

    • <Working Dir>/rawProcessInfo.json

    • <Working Dir>/os.json

      示例: /bin/bash /tmp/.iris/process_discovery/run.sh

  • 对于 Windows,
    • CPDA 还必须在含所有套接字相关信息的工作目录下创建 socketsOutFile.txt 文件。请参见适用于 Windows 的示例 CPDA 文件
    • CPDA 必须运行可接受以下参数的 init powershell 脚本。
      • -osOutFile os.json
      • -processOutFile rawProcessInfo.json
      • -socketsOutFile socketsOutFile.txt

        例如:

        C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

        C:\Windows\Temp\irisAgent\WindowsCollector.ps1 -osOutFile os.json -processOutFile rawProcessInfo.json -socketsOutFile socketsOutFile.txt

  • CPDA 必须更新 rawProcessInfo.jsonos.json 文件。