跳到主要内容
联系支持

这篇文章是给谁看的?

Incydr专业,企业,地平线和政府F2
Incydr基础,高级,和政府F1

的Code42控制台中找到您的产品计划帐户菜单

老师,不。

Incydr Professional, Enterprise, Horizon和Gov F2,是的。

Incydr基础,高级和Gov F1,是的。

首页
开始
发布说明
常见问题
api
系统状态
Code42支持

初始文件元数据收集扫描faq

  1. 最后一次更新
  2. 另存为PDF

概述

当你启用文件元数据收集, Code42扫描并索引用户设备上的所有文件。(对于Incydr Professional、Enterprise、Horizon和Gov F2,文件元数据收集是自动启用的,因此在将内部风险代理部署到用户设备时立即开始扫描。)

另外,当你加上a云数据连接, Code42扫描并清点组织的云驱动器中属于被监控用户的所有文件。

本文将回答有关此过程的常见问题,包括:

定义

  • 端点数据来源:运行Code42应用程序的单个用户设备。
  • 云服务数据来源:您授权Code42监控的企业云服务。例如Box、谷歌Drive和Microsoft OneDrive for Business。这并包括电子邮件数据源(如Gmail和Office 365电子邮件),因为电子邮件服务没有初始文件扫描。
  • 最初的摄取:对端点数据源上的所有文件进行索引的文件扫描过程。扫描由安装在每个设备上的Code42应用程序执行。
  • 初始库存:对云数据源中的所有文件进行库存的文件扫描过程。这种扫描是通过Code42和云服务之间的直接连接执行的,不涉及用户设备上的Code42应用程序。这种扫描通常在首次授权云服务连接后开始,不需要完成Code42就可以开始监控这些云驱动器中的用户活动。

常见问题

什么是初始扫描?

对于端点和云数据连接有不同的扫描。

  • 端点数据来源:最初的摄取扫描索引设备上的所有文件。
    • 对于Incydr基本版和高级版以及其他计划,启用文件元数据收集开始扫描。对于Incydr Professional, Enterprise, Horizon和Gov F2,扫描将自动开始。
    • 此摄取在启用文件元数据收集时创建设备上所有文件的记录。因此,用户设备可能会临时使用高百分比的CPU资源.一旦初始扫描完成,Code42只监控新的增量文件更改,使用更少的CPU资源。
    • 如果你禁用了,然后重新启用文件元数据收集,设备上的初始摄取文件扫描将重新开始。(在Incydr Professional、Enterprise、Horizon和Gov F2中,没有禁用文件元数据收集的选项。)
  • 云服务数据来源:期初存货进程扫描组织的云驱动器中属于被监控用户的所有文件。此扫描完全不会影响用户设备。Code42直接连接到云服务以捕获这些数据,并在完成库存过程时立即开始监控文件活动。
    Microsoft中的共享库不会被编目、发现或监视
    Code42只能监控Microsoft OneDrive中的驱动器。而你可以创建一个OneDrive内的共享库,这些库实际上是在SharePoint中作为团队站点创建的。因为Code42不能监控SharePoint中的站点,所以OneDrive环境中列出的任何共享库都被排除在外。

扫描需要多长时间?

  • 端点数据来源:摄取时间根据每个设备上文件的数量和大小而有所不同。设备的处理能力和你的CPU使用率设置还会影响完成任务所需的时间。CPU使用率设置为50%当用户不在时和20%当用户在场时在美国,扫描设备上的每个文件可能需要几个小时到几天的时间。(内部风险代理无法配置CPU设置。)
  • 云服务数据来源:完成初始盘存所需的时间长度取决于驱动器中属于作用的用户在您的环境中被监视的人。库存过程不会影响并不是开始监视云存储中的用户活动的先决条件。
    • 对于包含数百个驱动器的环境,初始库存可能需要24到72小时,具体时间取决于每个用户驱动器中的文件数量。如果Code42与云环境的连接被限制,那么库存过程可能需要更长的时间。节流可能由于以下原因发生:
      • 谷歌驱动器连接可以根据每个用户驱动器的Code42服务和帐户中的所有服务作为一个整体发出的请求数量进行节流
      • OneDrive连接可以根据帐户的所有请求(包括来自Code42的请求)作为一个整体进行节流
      • 可以根据每个用户驱动器的Code42发出的请求来限制盒子连接
    • 对于包含数千个驱动器的环境,初始库存需要较长时间才能完成。通常,较大环境中的驱动器在这些时间框架内完成库存过程:
      • 60%的驾驶时间在24 - 72小时之间完成
      • 25%的驾驶在3 - 5天内完成
      • 15%的驾驶在6 - 10天内完成

我可以在扫描完全完成之前开始查看文件活动吗?

  • 端点数据来源:是的。一旦一个文件被扫描和索引,该文件的文件事件就在Code42中可见。此外,可能表明暴露风险的文件活动(如将文件移动到可移动媒体,上传到个人云服务或电子邮件)将优先于索引设备上的所有文件,并几乎实时报告。
  • 云数据来源:是的。Code42立即开始监视组织环境中的文件活动,同时扫描和完成范围内用户拥有的驱动器上的文件清单。这些驱动器的文件事件在发生后不久就可以在Code42中使用,即使这些驱动器的目录还没有完成。

我如何知道扫描何时完成?

端点数据源

扫描状态在每个设备的Code42应用程序日志中可见:

  1. 登录到Code42控制台
  2. 选择管理>设备
  3. 选择设备。
    显示设备详细信息。
  4. 检索日志:
    • Incydr基本和高级等计划:从操作菜单中,选择检索日志
    • Incydr专业,企业,地平线和政府F2:选择>检索日志,然后按检索日志
  5. 检索日志:邮件通知对话框中,选择是的并输入接收邮件通知的邮箱地址,或选择没有
  6. 点击应用
    检索……显示在表的“日志URL”列下。(如果设备离线,检索……一直显示到设备在线为止。)当日志可用时,a下载日志链接显示。
  7. 单击下载日志链接。
    日志以ZIP文件的形式下载。
  8. 导航到下载的日志归档文件的位置并打开该归档文件。
  9. 找到并打开service.log.0文件。
  10. 搜索service.log.0这些字符串表示初始扫描已经完成:
    • 将FFS摄取状态从INITIAL_INGEST转换为SCAN_SUCCESS
    • 将FFS摄取状态从SCAN_SUCCESS转换为STEADY_STATE
      如果上述字符串没有出现在日志文件中,则扫描仍在进行中,或者扫描完成的时间足够长,以至于消息存在于日志文件的旧版本中(例如service.log.1service.log.2).
      请联系技术支持工程师如果您需要帮助确定设备的扫描状态。

云服务数据连接

在Code42控制台中,转到管理>集成>数据连接回顾一下状态列。

  • 一种状态监控表示Code42当前正在监视云环境中的文件活动。如果您刚刚授权Code42连接到云存储环境,那么Code42将同时完成库存过程。
    • 要查看更详细的状态信息,请单击“数据源”表中的一行以打开细节面板的云服务。此面板列出了Code42已发现驱动器并当前正在监视文件活动的被监视用户的总数。对于谷歌驱动器,第二个部分重复了共享或团队驱动器的这些详细信息。

    为什么设备使用的CPU比允许的最大CPU多?

    不适用于内部风险代理人

    因为初始扫描会审查和索引设备上的所有文件,所以用户设备可能会暂时使用较高比例的CPU资源。

    Code42应用程序CPU设置适用于量CPU处理时间专用于Code42,而不是总CPU处理能力。因此,如果CPU限制为20%(例如),设备的任务管理器或活动监视器可能会报告Code42应用程序在特定时间点使用超过20%的CPU。

    CPU的处理时间是以指令周期.当您将Code42应用程序的CPU使用限制为X%时,您正在指定Code42应用程序被允许使用它所需要的最多X%的可用周期的CPU容量。例如,CPU限制设置为20, Code42应用程序可以使用高达100%的CPU 20%的时间.剩余80%的时间,CPU优先处理其他进程请求。这使得Code42应用程序在请求CPU资源时尽可能高效地工作,但限制了对设备的整体影响。

    为实现性能和速度的最佳组合,请设置用户不在时,使用至设置为50%和当用户在场时,使用至设置为20%。

    Code42使用多少内存?

    Code42应用程序动态地设置内存分配,以使用设备上25%的物理内存。例如,如果设备有8GB的RAM, Code42应用程序最多可以使用2GB。