Un agente de detección de procesos común (CPDA) ejecuta una serie de comandos durante la introspección para recopilar información sobre todos los procesos en ejecución. También recopila datos de sockets para generar topología. Puede ver los registros completos de este agente en los registros de tareas.
Preparar un CPDA personalizado
Un CPDA predeterminado utiliza un archivo JSON especial que contiene una lista de procesos con detalles relacionados. Puede preparar el CPDA personalizado para la detección de procesos. Para evitar escenarios de error, asegúrese de seguir las siguientes condiciones en el CPDA personalizado.
- El CPDA no debe detener ni afectar a ningún proceso en ejecución.
- El CPDA debe crear un archivo rawProcessInfo.json para leerlo durante el proceso de introspección.
-
El CPDA también debe crear un archivo os.json en el mismo directorio de trabajo que tenga los detalles específicos del sistema operativo del dispositivo.
- Guarde los registros en el archivo iris-agent.log en el mismo directorio de trabajo.
/tmp/.iris/process_discovery/rawProcessInfo.json /tmp/.iris/process_discovery/os.json -
Para Linux, el CPDA debe ejecutar el script
init bash, que acepta los siguientes argumentos.-
<Working Dir>/rawProcessInfo.json -
<Working Dir>/os.jsonEjemplo:
/bin/bash /tmp/.iris/process_discovery/run.sh
-
-
En Windows:
- El CPDA también debe crear un archivo socketsOutFile.txt en el directorio de trabajo que contenga toda la información relacionada con sockets. Consulte Archivos CPDA de ejemplo para Windows.
- El CPDA debe ejecutarse con el script
init powershell, que acepta los siguientes argumentos.-osOutFile os.json-processOutFile rawProcessInfo.json-socketsOutFile socketsOutFile.txtEjemplo:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Windows\Temp\irisAgent\WindowsCollector.ps1 -osOutFile os.json -processOutFile rawProcessInfo.json -socketsOutFile socketsOutFile.txt
- El CPDA debe actualizar los archivos rawProcessInfo.json y os.json.
