Принципы работы |
По умолчанию компонент запускается автоматически при старте программного комплекса Dr.Web для файловых серверов UNIX. После запуска компонент формирует структуры данных в соответствии со структурой, описанной в MIB Dr.Web, и начинает ожидать поступление запросов на получение информации от внешних менеджеров SNMP. Компонент получает информацию о статусе компонентов программного комплекса, а также уведомления об обнаружении угроз непосредственно от демона управления конфигурацией Dr.Web ConfigD, как показано на рисунке ниже. Рисунок 22. Схема работы компонента Обнаружение угроз сканирующим ядром может происходить при проверках файлов, производящихся по запросам от различных компонентов Dr.Web для файловых серверов UNIX, поэтому на схеме указан абстрактный «Клиентский модуль проверки». При обнаружении любой угрозы происходит увеличение счетчика количества обнаруженных угроз, соответствующего типу угрозы, а всем менеджерам SNMP, получающим оповещения, рассылается SNMP trap с информацией об обнаруженной угрозе.
Интеграция с системным SNMP-агентом Для корректной работы SNMP-агента Dr.Web в случае, если на сервере уже работает основной системный SNMP-агент (), необходимо настроить передачу SNMP-запросов по ветке MIB Dr.Web от к Dr.Web SNMPD. Для этого необходимо отредактировать конфигурационный файл (обычно для – /etc/snmp/snmpd.conf), добавив в него строку следующего вида:
Где: •<версия> – используемая версия SNMP (2c, 3). •<community> – «community string», используемая Dr.Web SNMPD. •<адрес>:<порт> – сетевой сокет, прослушиваемый Dr.Web SNMPD. •<ветвь MIB> – OID ветви дерева MIB, содержащей описания переменных и уведомлений SNMP (trap), используемых Dr.Web (этот OID равен .1.3.6.1.4.1.29690). При использовании настроек SNMP-агента Dr.Web по умолчанию добавляемая строка имеет следующий вид:
Обратите внимание, что, поскольку в этом случае порт 161 будет использоваться стандартным системным , то для Dr.Web SNMPD в параметре ListenAddress следует указать другой порт (50000 в данном примере). |