8.1.3.1.1.2 Ação de regra
8.5 Controle de dispositivos
8.6.4 Provedor WMI
Sobre o WMI
A Instrumentação de gerenciamento do Windows (WMI) é a implementação do Gerenciamento corporativo com base na web (WBEM), que é uma iniciativa da indústria para desenvolver tecnologia padrão para acessar
informações de gerenciamento em um ambiente corporativo.
Para mais informações sobre o WMI, consulte http://msdn.microsoft.com/en-us/library/windows/desktop/ aa384642(v=vs.85).aspx
Provedor WMI ESET
O objetivo do Provedor WMI ESET é permitir o monitoramento remoto de produtos ESET em um ambiente
representativo, sem a necessidade de software ou ferramentas específicas da ESET. Ao expor as informações básicas de produto, status e estatísticas através do WMI, nós aumentamos muito as possibilidades dos administradores de empresas ao monitorar os produtos ESET. Administradores podem aproveitar o número de métodos de acesso oferecidos pelo WMI (linha de comando, scripts e ferramentas de monitoramento de empresa de terceiros) para monitorar o estado de seus produtos ESET.
A implementação atual fornece acesso somente leitura a informações básicas do produto, recursos instalados e seu status da proteção, estatísticas de rastreamentos individuais e relatórios de produto.
O provedor WMI permite o uso da infraestrutura e ferramentas padrão Windows WMI para ler o estado do produto e os relatórios do produto.
8.6.4.1 Dados fornecidos
Todas as classes WMI relacionadas a um produto ESET estão localizadas no namespace "root\ESET". As classes a seguir, que são descritas em mais detalhes abaixo, estão implementadas no momento:
Geral:
ESET_Product ESET_Features ESET_Statistics Relatórios:
ESET_ThreatLog ESET_EventLog ESET_ODFileScanLogs ESET_ODFileScanLogRecords ESET_ODServerScanLogs ESET_ODServerScanLogRecords ESET_GreylistLog ESET_SpamLog Classe ESET_Product
Só pode haver uma instância da classe ESET_Product. Propriedades desta classe são referentes a informações básicas sobre seu produto ESET instalado:
ID - Identificador do tipo de produto, por exemplo, "essbe" Name - nome do produto, por exemplo "ESET Security"
Edition - edição do produto, por exemplo, "Microsoft SharePoint Server" Version - Versão do produto, por exemplo "4.5.15013.0"
VirusDBVersion - versão do banco de dados de vírus, por exemplo "7868 (20130107)"
VirusDBLastUpdate - registro da última atualização do banco de dados de vírus. A string contém o registro no
formato de hora e data WMI, por exemplo, "20130118115511.000000+060"
LicenseExpiration - tempo de expiração da licença. A string contém o registro no formato de hora e data WMI, por
exemplo, "20130118115511.000000+060"
KernelRunning - valor booleano indicando se o serviço eKrn está sendo executado na máquina, por exemplo,
"VERDADEIRO"
StatusCode - número indicando o status da proteção do produto: 0 - Verde (OK), 1 - Amarelo (Alerta), 2 - Vermelho
(Erro)
StatusText - mensagem descrevendo o motivo de um código de status não-zero, caso contrário ficará vazio Classe ESET_Features
A classe ESET_Features tem várias instâncias, dependendo do número de recursos do produto. Cada instância contém:
Name- Nome do recurso (lista de nomes fornecida abaixo) Status - Status do recurso: 0 - inativo, 1 - desativado, 2 - ativado
Uma lista de string representando os recursos de produtos reconhecidos no momento:
CLIENT_FILE_AV - Proteção antivírus em tempo real do sistema de arquivos CLIENT_WEB_AV - proteção antivírus web do cliente
CLIENT_DOC_AV - proteção antivírus de documento do cliente CLIENT_NET_FW - Firewall pessoal do cliente
CLIENT_EMAIL_AV - proteção antivírus de email do cliente CLIENT_EMAIL_AS - proteção anti-spam de email do cliente
SERVER_FILE_AV - proteção antivírus em tempo real de arquivos no produto de arquivo servidor protegido, por
exemplo, arquivos no banco de dados de conteúdo do SharePoint no caso do ESET Security for Microsoft SharePoint
SERVER_EMAIL_AV - proteção antivírus de emails do produto de servidor protegido, por exemplo, emails no MS
Exchange ou IBM Domino
SERVER_EMAIL_AS - proteção anti-spam de emails do produto de servidor protegido, por exemplo, emails no MS
Exchange ou IBM Domino
SERVER_GATEWAY_AV - proteção antivírus de protocolos de rede protegidos no gateway SERVER_GATEWAY_AS - proteção anti-spam de protocolos de rede protegidos no gateway
160
Classe ESET_Statistics
A classe ESET_Statistics tem várias instâncias, dependendo do número de rastreamentos no produto. Cada instância contém:
Scanner - código string para o rastreamento em particular, por exemplo, "CLIENT_FILE" Total - número total de arquivos rastreados
Infected - número de arquivos infectados encontrados Cleaned - número de arquivos limpos
Timestamp - registro da última alteração nas estatísticas. No formato de hora e data WMI, por exemplo, "20130118115511.000000+060"
ResetTime - registro de quando o contados de estatísticas foi redefinido mais recentemente. No formato de hora e data WMI, por exemplo, "20130118115511.000000+060"
Lista de strings representando os rastreamentos reconhecidos no momento: CLIENT_FILE CLIENT_EMAIL CLIENT_WEB SERVER_FILE SERVER_EMAIL SERVER_WEB Classe ESET_ThreatLog
A classe ESET_ThreatLog tem várias instâncias, cada uma representando um registro de relatório do relatório “Ameaças detectadas”. Cada instância contém:
ID - ID único deste registro de relatório
Timestamp - criação de um registro do relatório (no formato data/hora WMI)
LogLevel - gravidade do registro de relatório expressa como um número de [0-8]. Os valores correspondem aos
níveis nomeados a seguir: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
Scanner - Nome do rastreamento que criou este evento de relatório ObjectType - Tipo de objeto que produziu este evento de relatório ObjectName - Nome do objeto que produziu este evento de relatório
Threat - Nome da ameaça encontrada no objeto descrito pelas propriedades ObjectName e ObjectType Action - Ação realizada depois da identificação da ameaça
User - Conta do usuário que causou este evento de relatório Information - Descrição adicional do evento
ESET_EventLog
A classe ESET_EventLog tem várias instâncias, cada uma representando um registro de relatório do relatório de “Eventos”. Cada instância contém:
ID - ID único deste registro de relatório
Timestamp - criação de um registro do relatório (no formato data/hora WMI)
LogLevel - gravidade do registro de relatório expressa como um número no intervalo [0-8]. Os valores
correspondem aos níveis nomeados a seguir: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
Module - Nome do módulo que criou este evento de relatório Event - Descrição do evento
ESET_ODFileScanLogs
A classe ESET_ODFileScanLogs tem várias instâncias, cada uma representando um registro de arquivo de
rastreamento sob demanda. Isto é equivalente à lista de relatórios “Rastreamento sob demanda do computador” na interface gráfica do usuário. Cada instância contém:
ID - ID único deste relatório sob demanda
Timestamp - criação de um registro do relatório (no formato data/hora WMI) Targets - Pastas/objetos de destino do rastreamento
TotalScanned - Número total de objetos rastreados Infected - Número de objetos infectados encontrados Cleaned - Número de objetos limpos
Status - Status do processo de rastreamento ESET_ODFileScanLogRecords
A classe ESET_ODFileScanLogRecords tem várias instâncias, cada uma representando um registro de relatório em um dos relatórios de rastreamento representados por instâncias da classe ESET_ODFileScanLogs. Instâncias desta classe fornecem registros de relatório de todos os rastreamentos/relatórios sob demanda. Quando é necessária apenas uma instância de um relatório de rastreamento em particular, eles devem ser filtrados pela propriedade LogID. Cada instância de classe contém:
LogID - ID do relatório de rastreamento ao qual este registro pertence (ID de uma das instâncias da classe
ESET_ODFileScanLogs)
ID - ID único deste registro de relatório de rastreamento
Timestamp - criação de um registro do relatório (no formato data/hora WMI)
LogLevel - gravidade do registro de relatório expressa como um número [0-8]. Os valores correspondem aos níveis
nomeados a seguir: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
Log - a mensagem de relatório real ESET_ODServerScanLogs
A classe ESET_ODServerScanLogs tem várias instâncias, cada uma representando uma execução do rastreamento de servidor sob demanda. Cada instância contém:
ID - ID único deste relatório sob demanda
Timestamp - criação de um registro do relatório (no formato data/hora WMI) Targets - Pastas/objetos de destino do rastreamento
TotalScanned - Número total de objetos rastreados Infected - Número de objetos infectados encontrados Cleaned - Número de objetos limpos
RuleHits - Número de acessos de regra Status - Status do processo de rastreamento
162
ESET_ODServerScanLogRecords
A classe ESET_ODServerScanLogRecords tem várias instâncias, cada uma representando um registro de relatório em um dos relatórios de rastreamento representados por instâncias da classe ESET_ODServerScanLogs. Instâncias desta classe fornecem registros de relatório de todos os rastreamentos/relatórios sob demanda. Quando é necessária apenas uma instância de um relatório de rastreamento em particular, eles devem ser filtrados pela propriedade LogID. Cada instância de classe contém:
LogID - ID do relatório de rastreamento ao qual este registro pertence (ID de uma das instâncias da classe ESET_
ODServerScanLogs)
ID - ID único deste registro de relatório de rastreamento
Timestamp - criação de um registro do relatório (no formato data/hora WMI)
LogLevel - gravidade do registro de relatório expressa como um número no intervalo [0-8]. Os valores
correspondem aos níveis nomeados a seguir: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
Log - a mensagem de relatório real ESET_GreylistLog
A classe ESET_GreylistLog tem várias instâncias, cada uma representando um registro de relatório do relatório de “Lista cinza”. Cada instância contém:
ID - ID único deste registro de relatório
Timestamp - criação de um registro do relatório (no formato data/hora WMI)
LogLevel - gravidade do registro de relatório expressa como um número [0-8]. Os valores correspondem aos níveis
nomeados a seguir: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
HELODomain - Nome do domínio HELO IP - Endereço IP de origem
Sender - Remetente do email Recipient - Destinatário de email Action - Ação realizada
TimeToAccept - Número de minutos depois do qual o email será aceito ESET_SpamLog
A classe ESET_SpamLog tem várias instâncias, cada uma representando um registro de relatório de “Spamlog”. Cada instância contém:
ID - ID único deste registro de relatório
Timestamp - criação de um registro do relatório (no formato data/hora WMI)
LogLevel - gravidade do registro de relatório expressa como um número [0-8]. Os valores correspondem aos níveis
nomeados a seguir: Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
Sender - Remetente do email Recipients - Destinatário de email Subject - Assunto do email Received - Hora do recebimento
Score - Pontuação de spam em porcentagem [0-100] Reason - O motivo do email ter sido marcado como spam Action - Ação realizada
8.6.4.2 Acessando dados fornecidos
Aqui estão alguns exemplos de como acessar os dados WMI da ESET a partir da linha de comando do Windows e de PowerShell, que deve ser possível a partir de qualquer sistema operacional atual do Windows. Porém, há muitas outras formas de acessar os dados a partir de outras linguagens de script e ferramentas.
Linha de comando sem scripts
O comando wmic a ferramenta linha de comando pode ser usada para acessar várias classes pré-definidas ou qualquer classe WMI personalizada.
Para exibir informações completas sobre o produto na máquina local:
wmic /namespace:\\root\ESET Path ESET_Product
Para exibir apenas o número de versão de produto do produto na máquina local:
wmic /namespace:\\root\ESET Path ESET_Product Get Version
Para exibir informações completas sobre o produto em uma máquina remota com IP 10.1.118.180:
wmic /namespace:\\root\ESET /node:10.1.118.180 /user:Administrator Path ESET_Product
PowerShell
Obter e exibir informações completas sobre o produto na máquina local:
Get-WmiObject ESET_Product -namespace 'root\ESET'
Obter e exibir informações completas sobre o produto em uma máquina remota com IP 10.1.118.180:
$cred = Get-Credential # pede as credenciais ao usuário e armazena-as na variável Get-WmiObject ESET_Product -namespace 'root\ESET' -computername '10.1.118.180' -cred $cred