初始文件元数据收集扫描faq
概述
当你启用文件元数据收集, Code42扫描并索引用户设备上的所有文件。(对于Incydr Professional、Enterprise、Horizon和Gov F2,文件元数据收集是自动启用的,因此在将内部风险代理部署到用户设备时立即开始扫描。)
另外,当你加上a云数据连接, Code42扫描并清点组织的云驱动器中属于被监控用户的所有文件。
本文将回答有关此过程的常见问题,包括:
定义
- 端点数据来源:运行Code42应用程序的单个用户设备。
- 云服务数据来源:您授权Code42监控的企业云服务。例如Box、谷歌Drive和Microsoft OneDrive for Business。这并不包括电子邮件数据源(如Gmail和Office 365电子邮件),因为电子邮件服务没有初始文件扫描。
- 最初的摄取:对端点数据源上的所有文件进行索引的文件扫描过程。扫描由安装在每个设备上的Code42应用程序执行。
- 初始库存:对云数据源中的所有文件进行库存的文件扫描过程。这种扫描是通过Code42和云服务之间的直接连接执行的,不涉及用户设备上的Code42应用程序。这种扫描通常在首次授权云服务连接后开始,不需要完成Code42就可以开始监控这些云驱动器中的用户活动。
常见问题
什么是初始扫描?
对于端点和云数据连接有不同的扫描。
- 端点数据来源:的最初的摄取扫描索引设备上的所有文件。
- 对于Incydr基本版和高级版以及其他计划,启用文件元数据收集开始扫描。对于Incydr Professional, Enterprise, Horizon和Gov F2,扫描将自动开始。
- 此摄取在启用文件元数据收集时创建设备上所有文件的记录。因此,用户设备可能会临时使用高百分比的CPU资源.一旦初始扫描完成,Code42只监控新的增量文件更改,使用更少的CPU资源。
- 如果你禁用了,然后重新启用文件元数据收集,设备上的初始摄取文件扫描将重新开始。(在Incydr Professional、Enterprise、Horizon和Gov F2中,没有禁用文件元数据收集的选项。)
- 云服务数据来源:的期初存货进程扫描组织的云驱动器中属于被监控用户的所有文件。此扫描完全不会影响用户设备。Code42直接连接到云服务以捕获这些数据,并在完成库存过程时立即开始监控文件活动。Microsoft中的共享库不会被编目、发现或监视
Code42只能监控Microsoft OneDrive中的驱动器。而你可以创建一个OneDrive内的共享库,这些库实际上是在SharePoint中作为团队站点创建的。因为Code42不能监控SharePoint中的站点,所以OneDrive环境中列出的任何共享库都被排除在外。
扫描需要多长时间?
我可以在扫描完全完成之前开始查看文件活动吗?
- 端点数据来源:是的。一旦一个文件被扫描和索引,该文件的文件事件就在Code42中可见。此外,可能表明暴露风险的文件活动(如将文件移动到可移动媒体,上传到个人云服务或电子邮件)将优先于索引设备上的所有文件,并几乎实时报告。
- 云数据来源:是的。Code42立即开始监视组织环境中的文件活动,同时扫描和完成范围内用户拥有的驱动器上的文件清单。这些驱动器的文件事件在发生后不久就可以在Code42中使用,即使这些驱动器的目录还没有完成。
我如何知道扫描何时完成?
端点数据源
扫描状态在每个设备的Code42应用程序日志中可见:
- 登录到Code42控制台.
- 选择管理>设备.
- 选择设备。
显示设备详细信息。 - 检索日志:
- Incydr基本和高级等计划:从操作菜单中,选择检索日志.
- Incydr专业,企业,地平线和政府F2:选择>检索日志,然后按检索日志.
- 在检索日志:邮件通知对话框中,选择是的并输入接收邮件通知的邮箱地址,或选择没有.
- 点击应用.
检索……显示在表的“日志URL”列下。(如果设备离线,检索……一直显示到设备在线为止。)当日志可用时,a下载日志链接显示。 - 单击下载日志链接。
日志以ZIP文件的形式下载。 - 导航到下载的日志归档文件的位置并打开该归档文件。
- 找到并打开service.log.0文件。
- 搜索service.log.0这些字符串表示初始扫描已经完成:
将FFS摄取状态从INITIAL_INGEST转换为SCAN_SUCCESS
将FFS摄取状态从SCAN_SUCCESS转换为STEADY_STATE
如果上述字符串没有出现在日志文件中,则扫描仍在进行中,或者扫描完成的时间足够长,以至于消息存在于日志文件的旧版本中(例如service.log.1或service.log.2).
请联系技术支持工程师如果您需要帮助确定设备的扫描状态。
云服务数据连接
在Code42控制台中,转到管理>集成>数据连接回顾一下状态列。
- 一种状态监控表示Code42当前正在监视云环境中的文件活动。如果您刚刚授权Code42连接到云存储环境,那么Code42将同时完成库存过程。
- 要查看更详细的状态信息,请单击“数据源”表中的一行以打开细节面板的云服务。此面板列出了Code42已发现驱动器并当前正在监视文件活动的被监视用户的总数。对于谷歌驱动器,第二个部分重复了共享或团队驱动器的这些详细信息。
为什么设备使用的CPU比允许的最大CPU多?
不适用于内部风险代理人
因为初始扫描会审查和索引设备上的所有文件,所以用户设备可能会暂时使用较高比例的CPU资源。
Code42应用程序CPU设置适用于量CPU处理时间专用于Code42,而不是总CPU处理能力。因此,如果CPU限制为20%(例如),设备的任务管理器或活动监视器可能会报告Code42应用程序在特定时间点使用超过20%的CPU。
CPU的处理时间是以指令周期.当您将Code42应用程序的CPU使用限制为X%时,您正在指定Code42应用程序被允许使用它所需要的最多X%的可用周期的CPU容量。例如,CPU限制设置为20%, Code42应用程序可以使用高达100%的CPU 20%的时间.剩余80%的时间,CPU优先处理其他进程请求。这使得Code42应用程序在请求CPU资源时尽可能高效地工作,但限制了对设备的整体影响。
为实现性能和速度的最佳组合,请设置用户不在时,使用至设置为50%和当用户在场时,使用至设置为20%。
Code42使用多少内存?
Code42应用程序动态地设置内存分配,以使用设备上25%的物理内存。例如,如果设备有8GB的RAM, Code42应用程序最多可以使用2GB。