Agent i monitorowanie komputera pracownika
Agent jest modułem programu Ewida Audit. Odpowiada za monitorowanie komputera pracownika, bieżący audyt oraz część funkcji związanych z pracą w sieci firmowej. Całość działa w modelu typowym dla desktopowej aplikacji Windows oraz jej modułów instalowanych na stacjach roboczych i w infrastrukturze lokalnej.
Aby skonfigurować ustawienia monitorowania Agenta, należy otworzyć Ustawienia programu i wybrać zakładkę Agent widoczną po lewej stronie. To właśnie tutaj ustala się sposób działania monitorowania, harmonogramy, wyjątki oraz reguły blokowania.
Instalacja
Zakładka instalacyjna pełni przede wszystkim funkcję informacyjną. Pokazuje aktualny stan Serwera Agentów oraz podstawowe informacje o modułach Agenta, które trzeba uwzględnić przy konfiguracji środowiska, na przykład w regułach firewalla.
Przed rozpoczęciem właściwego monitorowania warto upewnić się, że komunikacja między Agentem, Serwerem Agentów i konsolą działa poprawnie. Bez tego część danych może nie być przesyłana albo odświeżana zgodnie z oczekiwaniami.
Ustawienia ogólne
Pokazuj ikonę Agenta na monitorowanym komputerze
Ta opcja włącza ikonę Agenta w pasku systemowym monitorowanego komputera. Dzięki temu użytkownik widzi, że Agent działa oraz może rozpoznać, czy monitorowanie jest aktualnie aktywne. To przydatne szczególnie wtedy, gdy firma chce prowadzić monitoring w sposób jawny i jednoznaczny dla pracowników.
Wyświetlaj informację o monitorowaniu użytkownikowi
Ustawienie to odpowiada za dodatkowy komunikat informujący o rozpoczęciu i zakończeniu monitorowania. Jeżeli celem jest pełna widoczność działania Agenta po stronie użytkownika, obie opcje warto pozostawić aktywne. Jeżeli monitorowanie ma działać bez komunikatów i bez ikony, trzeba wyłączyć oba ustawienia.
Pobieranie danych monitorowania z serwera
Ewida Audit przy uruchomieniu komunikuje się z Serwerem Agentów i pobiera aktualne logi. W ustawieniach można określić interwał, z jakim działająca aplikacja będzie ponawiała odczyt danych z serwera.
Konserwacja danych monitorowania
Ta opcja pozwala ustalić czas przechowywania logów. Program automatycznie wykonuje konserwację przy uruchomieniu i usuwa starsze wpisy zgodnie z przyjętymi ustawieniami. Warto dobrać ten okres tak, aby z jednej strony zachować potrzebną historię, a z drugiej nie gromadzić niepotrzebnie nadmiarowych danych.
Harmonogram monitorowania i skanowania
Harmonogram skanowania
Agent może wykonywać nie tylko monitorowanie, ale także okresowe skanowanie komputerów, czyli audyt. Harmonogram można całkowicie wyłączyć i uruchamiać skanowanie wyłącznie ręcznie z poziomu konsoli. Jeżeli jednak firma chce odświeżać dane regularnie, można określić co ile dni ma następować skanowanie oraz o której godzinie ma się rozpoczynać.
Harmonogram monitorowania
Monitorowanie komputera pracownika również może działać według harmonogramu. Można wskazać dni tygodnia oraz godziny rozpoczęcia i zakończenia monitorowania. To praktyczne rozwiązanie, gdy monitoring ma działać wyłącznie w określonych godzinach pracy, na przykład od 9:00 do 17:00.
Dzięki harmonogramom łatwiej dopasować działanie Agenta do zasad obowiązujących w firmie i ograniczyć zbieranie danych do okresów rzeczywiście potrzebnych.
Aplikacje zablokowane
W tej sekcji można zbudować czarną listę aplikacji, które mają być automatycznie blokowane przez Agenta. Mechanizm opiera się na filtrach szczegółów programu. Im więcej danych identyfikujących zostanie podanych, tym precyzyjniejsze będzie dopasowanie reguły.
Można także wskazać tylko producenta, jeśli celem jest blokowanie całej grupy jego produktów. Taki sposób konfiguracji pozwala dobrać poziom szczegółowości do rzeczywistych potrzeb firmy.
Komunikat dla użytkownika po zablokowaniu aplikacji
Po zablokowaniu aplikacji można wyświetlić użytkownikowi komunikat informacyjny. Treść tego komunikatu da się skonfigurować, dzięki czemu łatwo dopasować go do firmowych zasad albo polityki bezpieczeństwa.
Hosty wykluczone
Zakładka hostów wykluczonych pozwala wskazać komputery, dla których powyższe reguły blokowania nie będą obowiązywały. To przydatne na przykład dla stanowisk administracyjnych, testowych albo serwisowych.
Monitorowanie procesów
Ogólne
Ustawienia ogólne tej sekcji służą do znalezienia rozsądnego balansu między dokładnością pomiaru a wpływem monitorowania na wydajność komputera. W zależności od wymagań można postawić na większą szczegółowość albo na lżejszy tryb pracy.
Klasyfikacja procesów
Procesy można grupować, aby logi i zestawienia były czytelniejsze. Przykładowo procesy przeglądarek można przypisać do grupy Internet, a narzędzia związane z pracą do grupy Praca. Taki podział ułatwia późniejszą analizę danych.
Procesy wykluczone
W tej części można wskazać procesy, które mają być pomijane. Często dotyczy to procesów systemowych Windows albo takich aplikacji, których monitorowanie nie wnosi istotnych informacji w danej organizacji.
Hosty wykluczone
Jak w innych sekcjach, można także wskazać hosty wyłączone z obowiązywania tych ustawień.
Monitorowanie USB, autoryzacja i blokowanie nośników
Ustawienia tej sekcji dotyczą monitorowania urządzeń USB oraz reguł autoryzacji i blokowania nośników. To ważny obszar tam, gdzie firma chce kontrolować użycie pendrive'ów i innych zewnętrznych urządzeń pamięci.
Szczegółowy opis tego tematu znajduje się w osobnym artykule: blokowanie dysków i portów USB w Ewida Audit.
Monitorowanie drukarek
W tej sekcji można całkowicie wyłączyć monitorowanie drukarek albo wskazać nazwy urządzeń, które mają zostać pominięte. To przydatne wtedy, gdy część drukarek nie powinna pojawiać się w logach albo nie ma znaczenia z punktu widzenia monitorowania.
Hosty wykluczone
Zakładka hostów wykluczonych pozwala wskazać komputery, których te ustawienia nie obejmują. Dzięki temu reguły można stosować selektywnie, bez narzucania ich na wszystkie stanowiska.
Monitorowanie urządzeń (WMI)
Monitorowanie urządzeń polega na szybkim skanowaniu urządzeń i podzespołów komputera podczas uruchamiania Agenta. Mechanizm korzysta z klas WMI i pozwala wychwytywać zmiany w konfiguracji sprzętowej bez potrzeby wykonywania pełnego audytu za każdym razem.
Domyślny zestaw skanowanych urządzeń pobierany jest z ustawień audytu. Dodatkowo można wykluczyć wybrane klasy WMI, jeśli ich monitorowanie nie jest potrzebne albo generuje zbyt dużo danych w danym środowisku.
Hosty wykluczone
Również tutaj można wskazać hosty, które nie mają podlegać tym ustawieniom.
Monitorowanie instalacji oprogramowania
Ta sekcja odpowiada za rejestrowanie zmian związanych z instalacją i deinstalacją programów. Dzięki temu można śledzić, kiedy na monitorowanych komputerach pojawia się nowe oprogramowanie albo kiedy zostaje usunięte.
Oprogramowanie wykluczone
Można zbudować listę filtrów wykluczających określone programy z monitorowania instalacji i deinstalacji. Jest to przydatne wtedy, gdy część zmian nie ma znaczenia operacyjnego albo dotyczy składników, których firma nie chce uwzględniać w logach.
Hosty wykluczone
Tak jak w innych obszarach konfiguracji, także tutaj można wskazać hosty wyłączone z działania reguł.
Jak podejść do konfiguracji ustawień Agenta
Ustawienia monitorowania najlepiej wdrażać etapami. Na początku warto uruchomić podstawowe funkcje, sprawdzić jakość danych i dopiero później rozszerzać zakres monitorowania o kolejne obszary, takie jak blokowanie aplikacji, USB czy monitorowanie Internetu.
Taki sposób pracy pozwala lepiej ocenić, które dane są naprawdę potrzebne, a które jedynie zwiększają liczbę logów bez realnej wartości operacyjnej. W środowisku desktopowym Windows, gdzie Agent działa bezpośrednio na stacjach roboczych, dobrze dobrana konfiguracja ma duży wpływ zarówno na czytelność wyników, jak i na wygodę administracji.
Podsumowanie
Ustawienia Agenta w Ewida Audit pozwalają dopasować monitorowanie do zasad obowiązujących w konkretnej firmie. Można kontrolować harmonogramy, zakres zbieranych danych, wyjątki, blokowanie aplikacji oraz monitorowanie zmian w oprogramowaniu i sprzęcie.
Dzięki temu Ewida Audit może działać zarówno jako narzędzie do bieżącego audytu, jak i jako element stałego monitorowania komputerów pracowników, o ile jego konfiguracja zostanie dobrze dopasowana do rzeczywistego sposobu pracy organizacji.