|
Agentアンインストール
Agentのアンインストールが完了した場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•login - 管理者のログイン名
•state - 処理完了ステータス:
•true - 成功
•false - 失敗
•id - 端末ID
•address - 端末アドレス
•station - 端末名
•message - ステータスが true の場合空欄、それ以外はエラーメッセージ |
ignored
|
プロシージャテキスト
--[[
Called:
when deinstallation of Agent completed
Database:
available
Parameters:
login login name of administrator
state true success
false failed
id station ID
address station address
station station name
message empty if state is 'true' or contains error message
Returned value:
ignored
]]
local args = ... -- args.login, args.state, args.id
-- args.address, args.station, args.message
|
端末でコンポーネント停止
Agentから component completed イベントを受信した場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末アドレス
•station - 端末名
•component - コンポーネント数
•pid - プロセスID
•infections - 脅威を検出
•errors - アクセスエラーを検知
•exitcode - コンポーネント終了コード |
ignored
|
プロシージャテキスト
--[[
Called:
when "component completed" event received from Agent
Database:
available
Parameters:
id station ID
address station address
station station name
component component number
pid process ID
infections infections found
errors access errors detected
exitcode component exit code
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.component,
-- args.pid, args.exitcode, args.infections, args.errors
|
タスク実行
Agentから job executed イベントを受信した場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末アドレス
•station - 端末名
•done - 処理完了ステータス:
•true - 実行成功
•false - 実行失敗
•time - タスク完了時間
•name - タスク名
•error - エラーまたはステータスメッセージ |
ignored
|
プロシージャテキスト
--[[
Called:
when "job executed" event received from Agent
Database:
available
Parameters:
id station ID
address station address
station station name
done true executed successfully
false execution failed
time job completion time
name job name
job job ID (empty for Agent prior version 11 (protocol 3.1+))
error error or other message
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.done,
-- args.name, args.job, args.time, args.error
|
端末でコンポーネント起動
Agentから component started イベントを受信した場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末アドレス
•station - 端末名
•component - コンポーネント数
•pid - プロセスID
•engine - virus-findingエンジンバージョン
•records - ウイルスレコード数
•user - プロセス所有者のユーザー名とグループ
•time - 開始時間(端末時間) |
ignored
|
プロシージャテキスト
--[[
Called:
when "component started" event received from Agent
Database:
available
Parameters:
id station ID
address station address
station station name
component component number
pid process ID
engine virus-finding engine version
records virus records number
user user name and group (process owner)
time start time (station time)
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.component,
-- args.pid, args.records, args.user, args.time, args.engine
|
端末位置情報を変更
端末の位置情報が変更された場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末アドレス
•station - 端末名
•latitude - 緯度(DD.DDDDDDフォーマット)
•longitude - 経度(DD.DDDDDDフォーマット) |
ignored
|
プロシージャテキスト
--[[
Called:
when agent geolocation changed
Database:
available
Parameters:
id station ID
address station address
station station name
latitude station latitude in DD.DDDDDD format
longitude station longitude in DD.DDDDDD format
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.name, args.latitude, args.longitude
|
端末要再起動
Dr.Web Serverが端末から reboot required のメッセージを受信した後に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末ネットワークアドレス
•station - 端末のNetBIOS名(DNS名での置き換えなし)
•product - 製品ID
•説明 - 端末の説明(任意)
•from_revision - 現在のリビジョン番号
•to_revision - 新しいリビジョン番号
•from_revision_date - 現在リビジョンの日付
•to_revision_date - 新しいリビジョンの日付 |
ignored
|
プロシージャテキスト
--[[
Called:
after server received 'reboot required' station message.
Database:
available
Parameters:
id station ID
address station network address
station station name (this is NetBIOS station name not replaced by DNS one)
product product ID
description product description
from_revision current revision number
to_revision new revision number
from_revision_date current revision date
to_revision_date new revision date
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.product, args.description, args.from_revision, args.to_revision, args.from_revision_date, args.to_revision_date
|
端末でセキュリティ脅威を検出
Agentから virus detected イベントを受信した場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末アドレス
•station - 端末名
•component - コンポーネント数
•pid - プロセスID
•time - イベント発生時間(端末時間)
•user - プロセス所有者のユーザー名とグループ
•object - ファイルシステム内のオブジェクトへのパス
•owner - オブジェクト所有者のユーザー名とグループ
•virus - ウイルス名
•action - アクションコード
•objecttype - オブジェクトの種類:
▫-1 - 不明
▫0 - ファイル
▫1 - ブートセクタ
▫2 - メモリブロックまたはプロセス
▫3 - ウイルスアクティビティ
•infectiontype - 脅威のタイプ(Dr.Web API 参照)
•compsid - 端末SID
•compmac - 端末MACアドレス
•description - 端末の説明
•compdn - 端末LDAP DN(Windows OS上のクライアントのみ)
•sha1 - 検出されたオブジェクトのSHA-1ハッシュ
•sha256 - 検出されたオブジェクトのSHA-256ハッシュ
•hashdb - ハッシュが含まれているBulletin |
ignored
|
プロシージャテキスト
--[[
Called:
when "virus detected" event received from Agent
Database:
available
Parameters:
id station ID
address station address
station station name
component component number
pid process ID
time event time (station time)
user user name and group (process owner)
object filesystem object path
owner object owner (user name and group)
virus virus name
action action code (see Dr.Web API; only errors bit set)
objecttype object type
-1 unknown
0 file
1 boot sector
2 memory block / process
3 virus like activity
infectiontype infection type (see Dr.Web API)
compsid computer sid
compmac computer MAC
description computer description
compdn computer LDAP DN
sha1 object SHA-1 hash
sha256 object SHA-256 hash
hashdb hash database containing object
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.component,
-- args.pid, args.time, args.user, args.object, args.owner,
-- args.virus, args.action, args.objecttype, args.infectiontype
-- args.compsid, args.compmac, args.description, args.compdn
-- args.sha1, args.sha256, args.hashdb
|
予防的保護のレポート
端末から予防的保護レポートを受信した場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末アドレス
•station - 端末名
•time - 端末でのイベント発生時間
•pid - プロセスID
•path - 疑わしい活動をするプロセスの実行パス
•target_path - アクセス試行が行われた保護されたオブジェクトへのパス
•hips_type - 保護するオブジェクトの種類(数字)
•shell_guard_type - 不正なコード実行のブロック理由(数字)
•denied - アクセスが拒否されました(true | false)
•is_user_action - アクションはユーザーによって要求されました(true | false)
•event_count - 自動的に拒否されたイベントの数(is_user_action が false の場合)
•event_user - 疑わしい活動をするプロセスを実行したユーザー
•action_user - プロセスの疑わしい活動に対するアクションを指定したユーザー(is_user_action が true の場合)
•sha1 - 検出されたオブジェクトのSHA-1ハッシュ
•sha256 - 検出されたオブジェクトのSHA-256ハッシュ
•hashdb - ハッシュが含まれているBulletin |
ignored
|
プロシージャテキスト
--[[
Called:
when HIPS event received from Agent
Database:
available
Parameters:
id station ID
address station address
station station name
time station time
pid numeric,process id
path process file path
target_path affected resource path
hips_type numeric, HIPS type
shell_guard_type numeric, Shell Guard event type
denied boolean, access was denied
is_user_action boolean, user was asked
event_count event number (for accumulation period - if is_user_action is false)
event_user user which initiated the suspicious activity
action_user user which allowed or denied the activity (non-empty only if is_user_action is true)
sha1 process file SHA-1 hash
sha256 process file SHA-256 hash
hashdb hash database containing process file
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.time,
-- args.pid, args.path, args.target_path, args.hips_type, args.shell_guard_type,
-- args.denied, args.is_user_action, args.event_count, args.event_user, args.action_user
-- args.sha1, args.sha256, args.hashdb
|
端末の認証失敗
認証エラーによってAgentの接続が拒否された後に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末アドレス
•station - 端末名
•reason - 失敗理由
•type - station、installer、proxy のいずれか1つ
•compsid - 端末SID
•compmac - 端末MACアドレス
•description - 端末の説明 |
ignored
|
プロシージャテキスト
--[[
Called:
just after Agent connection rejected due authorization error
Database:
available
Parameters:
id station ID
address station address
station station name
reason failure reason
type one of 'station' | 'installer' | 'proxy'
compsid station UID (SID on Windows)
compmac station MAC address
description station description
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.reason, args.type, args.compsid, args.compmac, args.description
|
端末の日時エラー
端末の正しくない日時が確認された場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末アドレス
•station - 端末名
•now - サーバー時間(ミリ秒)
•time - 端末時間(ミリ秒)
•valid_delta - 時間差分(ミリ秒) |
ignored
|
プロシージャテキスト
--[[
Called:
when invalid station time/date detected
Database:
available
Parameters:
id station ID
address station address
station station name
now server time (in milliseconds)
time station time (in milliseconds)
valid_delta valid time delta (in milliseconds)
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station
-- args.now, args.date, args.valid_delta
|
端末の更新失敗
Dr.Web Serverが端末から update failed メッセージを受信した後に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末ネットワークアドレス
•station - 端末のNetBIOS名(DNS名での置き換えなし)
•product - 製品ID
•説明 - 端末の説明(任意)
•from_revision - 現在のリビジョン番号
•to_revision - 新しいリビジョン番号
•from_revision_date - 現在リビジョンの日付
•to_revision_date - 新しいリビジョンの日付 |
ignored
|
プロシージャテキスト
--[[
Called:
after server received 'update failed' station message.
Database:
available
Parameters:
id station ID
address station network address
station station name (this is NetBIOS station name not replaced by DNS one)
product product ID
description product description
from_revision current revision number
to_revision new revision number
from_revision_date current revision date
to_revision_date new revision date
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.product, args.description, args.from_revision, args.to_revision, args.from_revision_date, args.to_revision_date
|
端末スキャンエラー
Agentから scan error イベントを受信した場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末アドレス
•station - 端末名
•component - コンポーネント数
•pid - プロセスID
•time - イベント発生時間(端末時間)
•user - プロセス所有者のユーザー名とグループ
•object - ファイルシステム内のオブジェクトへのパス
•owner - オブジェクト所有者のユーザー名とグループ
•action - アクションコード
•compsid - 端末SID
•compmac - 端末MACアドレス
•description - 端末の説明
•ldapdn - 端末LDAP DN(Windows OS上のクライアントのみ)
•sha1 - 検出されたオブジェクトのSHA-1ハッシュ
•sha256 - 検出されたオブジェクトのSHA-256ハッシュ
•hashdb - ハッシュが含まれているBulletin |
ignored
|
プロシージャテキスト
--[[
Called:
when "scan error" event received from Agent
Database:
available
Parameters:
id station ID
address station address
station station name
component component number
pid process ID
time event time (station time)
user user name and group (process owner)
object filesystem object path
owner object owner (user name and group)
action action code (error bit(s) set)
compsid computer SID
compmac computer MAC
description computer description
ldapdn computer LDAP DN
sha1 object SHA-1 hash
sha256 object SHA-256 hash
hashdb hash database containing object
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.component,
-- args.pid, args.time, args.user, args.object, args.owner,
-- args.action, args.compsid, args.compmac, args.description, args.ldapdn
-- args.sha1, args.sha256, args.hashdb
|
コンポーネントのリスト受信
Agentがインストールされたコンポーネントリストをレポートした場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末アドレス
•station - 端末名
•count - レポートされたコンポーネント数
•component_0 - コンポーネント名
•time_0 - インストール時間
•from_0 - インストールソース(Dr.Web Serverアドレス、MSIなど)
•path_0 - インストールパス |
ignored
|
プロシージャテキスト
--[[
Called:
when Agent reported installed components
Database:
available
Parameters:
id station ID
address station address
station station name
count number of components reported
component_0 component name
time_0 installation time
from_0 installation source (server address, MSI, etc)
path_0 installation path
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.count
-- args.component_0, args.time_0, args.from_0, args.path_0
-- args.component_1, args.time_1, args.from_1, args.path_1
-- ...
|
ウイルスデータベースの情報を受信
Agentがウイルスデータベースの情報を送信した場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末アドレス
•station - 端末名
•count - ウイルスデータベースの数
•name_0 - ウイルスデータベースのファイル名
•md5_0 - ウイルスデータベースのファイルのMD5
•version_0 - ウイルスデータベースのバージョン
•issued_0 - ウイルスデータベースの発行日時
•records_0 - ウイルスデータベースのレコード数
•type_0 - ウイルスデータベースのタイプ |
ignored
|
プロシージャテキスト
--[[
Called:
when Agent sent virus bases information
Database:
available
Parameters:
id station ID
address station address
station station name
count number of found virus bases
name_0 virus base file name
md5_0 virus base file MD5
version_0 virus base version
issued_0 virus base issue date and time
records_0 number of records
type_0 virus base type
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.count,
-- args.name_0, args.md5_0, args.version_0,
-- args.issued_0, args.records_0, args.type_0,
-- args.name_1, args.md5_1, args.version_1,
-- args.issued_1, args.records_1, args.type_1,
-- ...
|
端末ステータス
Agentがコンポーネント、ウイルスベース、ローカルポリシーのステータスをレポートした場合に呼び出されます(イベント送信、更新とタスクの受信)。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•events - イベントのレポート:
▫true - Agentがイベントの情報を送信する
▫false - Agentがイベントの情報を送信しない
•jobs - タスクの承認(スケジュールによるスキャン、リモートでのスキャン):
▫true - Agentがタスクを承認する
▫false - Agentがタスクを承認しない
•updates - 更新の承認:
•true - Agentが更新を承認する
•false - Agentが更新を承認しない |
ignored
|
プロシージャテキスト
--[[
Called:
when Agent report its local policy
Database:
available
Parameters:
events true Agent send events
false Agent do not send events
jobs true Agent accept jobs (schedule & remote scan)
false Agent do not accept jobs
updates true Agent accept updates
false Agent do not accept updates
Returned value:
ignored
]]
local args = ... -- args.events, args.jobs, args.updates
|
端末認証中
端末が認証しようとしている(IDとパスワードがチェックされ、有効と認識されている)場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•connected - すでにDr.Web Serverに接続している同じIDの端末をチェック:
▫true - 同じIDを持つ他の端末がすでにDr.Web Serverに接続されています
▫false - 同じIDを持つ端末は他に接続されていません
•current_address - 接続されている端末のネットワークアドレス( connected がtrueの場合のみ値が存在します)
•current_name - すでに接続されている端末名
•last_address - このIDを持つ端末の最終接続時点のネットワークアドレス
•last_time - このIDを持つ端末が最後に接続された時間
•last_server - このIDを持つ端末の最終接続時点のDr.Web Server
•new_name - 接続端末名
•new_address - 接続端末のネットワークアドレス |
string - 端末への接続リクエストの結果
nil - デフォルトのDr.Web Serverの動作
deny - 端末に対する認証拒否
force - 同じIDの端末がすでに接続していても認証を許可(すでに接続している端末は切断)
newbie - 端末を新規端末にリセット
|
プロシージャテキスト
--[[
Called:
when station tries to authorize (id and password already checked, valid and known)
Database:
available
Parameters:
id station ID
connected true station with same ID already connected to server
false no any station with same ID connected
current_address already connected station network address (not empty only if 'connected' is true)
current_name last connected station name
last_address last disconnected station network address
last_time last disconnected station seen time
last_server last connected station server
new_name now connecting station name
new_address now connecting station network address
Returned value:
nil default server behavior
string 'deny' deny authorization for station
'force' allow authorization even if other station with same ID already connected (by disconnecting it)
'newbie' reset station to newbie
Procedure from next set will be called if returned nothing.
]]
local args = ... -- args.id, args.connected, args.current_address, args.current_name, args.last_address,
-- args.last_time, args.last_server, args.new_name, args.new_address
-- no return => `nil' value
|
端末接続
端末の作成が完了した場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末アドレス
•station - 端末名
•os - 端末OS
•platform - 端末プラットフォーム
•compsid - 端末SID
•compmac - 端末MACアドレス
•description - 端末の説明 |
ignored
|
プロシージャテキスト
--[[
Called:
when Agent connected successfully
Database:
available
Parameters:
id station ID
address station address
station station name
os station os
platform station platform
compsid station UID (Security ID on Windows)
compmac station MAC address
description station description
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.name, args.os, args.platform, args.compsid, args.compmac, args.description
|
端末を作成
端末作成が完了した場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•login - 管理者のログイン名
•id - 端末ID
•name - 端末名
•state - 処理完了ステータス:
▫0 - 作成完了
▫1 - 処理失敗(データベースエラー)
▫2 - 処理タイムアウト(データベースオーバーロード)
▫3 - 利用可能なライセンスなし
▫4 - 既存の端末 |
ignored
|
プロシージャテキスト
--[[
Called:
when station create completed
Database:
available
Parameters:
login administrator`s login name
id station ID
name station name
state operation completion state:
0 created successfully
1 operation failed (database error)
2 operation timed out (database overloaded)
3 no available license
4 already exists
Returned value:
ignored
]]
local args = ... -- args.login, args.id, args.name, args.state
|
端末を削除
端末が削除された場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•login - 管理者のログイン名
•id - 端末ID |
ignored
|
プロシージャテキスト
--[[
Called:
when station deleted
Database:
available
Parameters:
login administrator`s login name
id station id
Returned value:
ignored
]]
local args = ... -- args.login, args.id
|
端末スキャン統計
Agentから scan statistics イベントを受信した場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末アドレス
•station - 端末名
•component - コンポーネント数
•pid - プロセスID
•user - プロセス所有者のユーザー名とグループ
•time - イベント発生時間(端末時間)
•size - スキャンされたすべてのオブジェクトのサイズのサマリ
•elapsedtime - 経過時間
•scanned - スキャンされたオブジェクトの数
•infected - 既知のウイルスに感染しているオブジェクトの数
•modifications - ウイルスの亜種に感染しているオブジェクトの数
•suspicious - 疑わしいオブジェクトの数
•cured - 修復されたファイルの数
•deleted - 削除されたファイルの数
•renamed - 名前変更されたファイルの数
•moved - 隔離されたファイルの数
•locked - ロックされたファイルの数(SpIDer Guardのみ)
•errors - アクセスエラーによってスキャンされなかったファイルの数 |
ignored
|
プロシージャテキスト
--[[
Called:
when "scan statistics" event received from Agent
Database:
available
Parameters:
id station ID
address station address
station station name
component number of component
pid process ID
user user name and group (process owner)
time event time (station time)
size summary size of all scanned objects
elapsedtime elapsed time
scanned number of scanned objects
infected number of objects infected by known virus
modifications number of objects infected by virus modification
suspicious number of suspicious objects
cured number of cured files
deleted number of deleted files
renamed number of renamed files
moved number of quarantined files
locked number of locked files (SpIDer Guard only)
errors number of not scanned files (due access error)
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.component,
-- args.pid, args.time, args.user, args.scanned,
-- args.infected, args.modifications, args.suspicious,
-- args.cured, args.deleted, args.renamed, args.moved,
-- args.locked, args.errors, args.size, args.elapsedtime
|
Agentインストール
installation イベントが起こった場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - インストールID(注意:端末IDとは異なります)
•address - 端末アドレス
•station - 端末名
•event - イベントタイプ:
▫0 - インストール開始
▫1 - 正常終了
▫2 - 拒否
▫3 - タイムアウト
▫4 - 失敗
▫5 - 未完了
•message - エラーメッセージ(エラーがない場合は空欄)
•sessionid - インストールセッションID |
ignored
|
プロシージャテキスト
--[[
Called:
when "installation" event occured
Database:
available
Parameters:
id installation ID (not station!)
address station address
station station name
event event type:
0 installation begin
1 successully completed
2 rejected
3 timed out
4 failed
5 incomplete
message error message (or empty if there is no error)
sessionid installation session ID
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station
-- args.event, args.message, args.sessionid
|
デバイスがブロック
端末上のデバイスがブロックされた場合に呼び出されます。
データベース
|
パラメータ
|
戻り値
|
使用可能
|
•id - 端末ID
•address - 端末アドレス
•name - 端末名
•user - ユーザー名
•instance_id - デバイスインスタンスID
•friendly_name - デバイスのフレンドリ名
•説明 - 端末の説明(任意)
•guid - デバイスのGUID
•class - デバイスクラス(親グループ名) |
ignored
|
プロシージャテキスト
--[[
Called:
when device on station blocked
Database:
available
Parameters:
id station ID
address station address
station station name
user user name
instance_id device instance id
friendly_name device friendly name
description device description
guid device guid
class device group class guid
blocktime time when station was blocked
blockrcvtime time when server received alert
Returned value:
ignored
]]
local args = ... -- args.id args.address args.station args.user args.instance_id
-- args.friendly_name args.description args.guid args.class
-- args.station_time args.args.recv_time
|
|