|
Агент деинсталлирован
Вызывается после завершения удаления Агента.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•login — регистрационное имя администратора,
•state — статус завершения:
▫true — успешно,
▫false — неуспешно,
•id — ID станции,
•address — адрес станции,
•station — название станции,
•message — пустое, если статус true, в противном случае содержит сообщение об ошибке |
игнорируется
|
Текст процедуры:
--[[
Called:
when deinstallation of Agent completed
Database:
available
Parameters:
login login name of administrator
state true success
false failed
id station ID
address station address
station station name
message empty if state is 'true' or contains error message
Returned value:
ignored
]]
local args = ... -- args.login, args.state, args.id
-- args.address, args.station, args.message
|
Завершение работы компонента на станции
Вызывается при получении события component completed от Агента.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — адрес станции,
•station — название станции,
•component — номер компонента,
•pid — ID процесса,
•infections — обнаружены угрозы,
•errors — обнаружены ошибки доступа,
•exitcode — код завершения компонента, |
игнорируется
|
Текст процедуры:
--[[
Called:
when "component completed" event received from Agent
Database:
available
Parameters:
id station ID
address station address
station station name
component component number
pid process ID
infections infections found
errors access errors detected
exitcode component exit code
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.component,
-- args.pid, args.exitcode, args.infections, args.errors
|
Задание выполнено
Вызывается при получении от Агента события job executed.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — адрес станции,
•station — название станции,
•done — статус выполнения:
▫true — выполнено успешно,
▫false — сбой при выполнении,
•time — время завершения задания,
•name — название задания,
•error — сообщение об ошибке или состоянии |
игнорируется
|
Текст процедуры:
--[[
Called:
when "job executed" event received from Agent
Database:
available
Parameters:
id station ID
address station address
station station name
done true executed successfully
false execution failed
time job completion time
name job name
job job ID (empty for Agent prior version 11 (protocol 3.1+))
error error or other message
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.done,
-- args.name, args.job, args.time, args.error
|
Запуск компонента на станции
Вызывается при получении события component started от Агента.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — адрес станции,
•station — название станции,
•component — номер компонента,
•pid — ID процесса,
•engine — версия поискового движка,
•records — количество вирусных записей,
•user — имя пользователя и группа владельца процесса,
•time — время начала (время станции) |
игнорируется
|
Текст процедуры:
--[[
Called:
when "component started" event received from Agent
Database:
available
Parameters:
id station ID
address station address
station station name
component component number
pid process ID
engine virus-finding engine version
records virus records number
user user name and group (process owner)
time start time (station time)
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.component,
-- args.pid, args.records, args.user, args.time, args.engine
|
Изменилось географическое положение станции
Вызывается при изменении географического местоположения станции.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — адрес станции,
•station — название станции,
•latitude — широта станции в формате DD.DDDDDD,
•longitude — долгота станции в формате DD.DDDDDD |
игнорируется
|
Текст процедуры:
--[[
Called:
when agent geolocation changed
Database:
available
Parameters:
id station ID
address station address
station station name
latitude station latitude in DD.DDDDDD format
longitude station longitude in DD.DDDDDD format
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.name, args.latitude, args.longitude
|
Необходима перезагрузка станции
Вызывается после получения Сервером Dr.Web сообщения reboot required от станции.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — сетевой адрес станции,
•station — NetBIOS-имя станции. Не заменяется на DNS-имя,
•product — ID продукта,
•description — описание продукта,
•from_revision — номер текущей ревизии,
•to_revision — номер новой ревизии,
•from_revision_date — дата текущей ревизии,
•to_revision_date — дата новой ревизии |
игнорируется
|
Текст процедуры:
--[[
Called:
after server received 'reboot required' station message.
Database:
available
Parameters:
id station ID
address station network address
station station name (this is NetBIOS station name not replaced by DNS one)
product product ID
description product description
from_revision current revision number
to_revision new revision number
from_revision_date current revision date
to_revision_date new revision date
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.product, args.description, args.from_revision, args.to_revision, args.from_revision_date, args.to_revision_date
|
Обнаружена угроза безопасности станции
Вызывается при получении события virus detected от Агента.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — адрес станции,
•station — название станции,
•component — номер компонента,
•pid — ID процесса,
•time — время наступления события (время станции),
•user — имя пользователя и группа владельца процесса,
•object — путь к объекту в файловой системе,
•owner — имя пользователя и группа владельца объекта,
•virus — название вируса,
•action — код действия,
•objecttype — тип объекта:
▫-1 неизвестен,
▫0 файл,
▫1 —загрузочный сектор,
▫2 —блок памяти или процесс,
▫3 —вирусная активность
•infectiontype — тип угрозы (см. Dr.Web API),
•compsid — SID станции,
•compmac — MAC-адрес станции,
•description — описание станции,
•compdn — LDAP DN станции (только для клиентов под ОС Windows),
•sha1 — хеш SHA-1 обнаруженного объекта,
•sha256 — хеш SHA-256 обнаруженного объекта,
•hashdb — бюллетень, содержащий хеш |
игнорируется
|
Текст процедуры:
--[[
Called:
when "virus detected" event received from Agent
Database:
available
Parameters:
id station ID
address station address
station station name
component component number
pid process ID
time event time (station time)
user user name and group (process owner)
object filesystem object path
owner object owner (user name and group)
virus virus name
action action code (see Dr.Web API; only errors bit set)
objecttype object type
-1 unknown
0 file
1 boot sector
2 memory block / process
3 virus like activity
infectiontype infection type (see Dr.Web API)
compsid computer sid
compmac computer MAC
description computer description
compdn computer LDAP DN
sha1 object SHA-1 hash
sha256 object SHA-256 hash
hashdb hash database containing object
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.component,
-- args.pid, args.time, args.user, args.object, args.owner,
-- args.virus, args.action, args.objecttype, args.infectiontype
-- args.compsid, args.compmac, args.description, args.compdn
-- args.sha1, args.sha256, args.hashdb
|
Отчет Превентивной защиты
Вызывается при получении отчета Превентивной защиты со станции.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — адрес станции,
•station — название станции,
•time — время появления события на станции,
•pid — ID процесса,
•path — путь к исполняемому файлу процесса с подозрительной активностью,
•target_path — путь к защищаемому объекту, к которому была осуществлена попытка доступа,
•hips_type — тип защищаемого объекта (числовое значение),
•shell_guard_type — причина блокировки неавторизованного кода (числовое значение),
•denied — доступ был запрещен (true | false),
•is_user_action — действие было запрошено у пользователя (true | false),
•event_count — количество автоматически запрещенных событий (только если для is_user_action значение false),
•event_user — пользователь, который запустил процесс с подозрительной активностью,
•action_user — пользователь, который задал реакцию на подозрительную активность процесса (только если для is_user_action значение true),
•sha1 — хеш SHA-1 обнаруженного объекта,
•sha256 — хеш SHA-256 обнаруженного объекта,
•hashdb — бюллетень, содержащий хеш |
игнорируется
|
Текст процедуры:
--[[
Called:
when HIPS event received from Agent
Database:
available
Parameters:
id station ID
address station address
station station name
time station time
pid numeric,process id
path process file path
target_path affected resource path
hips_type numeric, HIPS type
shell_guard_type numeric, Shell Guard event type
denied boolean, access was denied
is_user_action boolean, user was asked
event_count event number (for accumulation period - if is_user_action is false)
event_user user which initiated the suspicious activity
action_user user which allowed or denied the activity (non-empty only if is_user_action is true)
sha1 process file SHA-1 hash
sha256 process file SHA-256 hash
hashdb hash database containing process file
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.time,
-- args.pid, args.path, args.target_path, args.hips_type, args.shell_guard_type,
-- args.denied, args.is_user_action, args.event_count, args.event_user, args.action_user
-- args.sha1, args.sha256, args.hashdb
|
Ошибка авторизации станции
Вызывается после отказа соединения с Агентом вследствие ошибки авторизации.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — адрес станции,
•station — название станции,
•reason — причина сбоя,
•type — один из station, installer, proxy,
•compsid — SID станции,
•compmac — MAC-адрес станции,
•description — описание станции |
игнорируется
|
Текст процедуры:
--[[
Called:
just after Agent connection rejected due authorization error
Database:
available
Parameters:
id station ID
address station address
station station name
reason failure reason
type one of 'station' | 'installer' | 'proxy'
compsid station UID (SID on Windows)
compmac station MAC address
description station description
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.reason, args.type, args.compsid, args.compmac, args.description
|
Ошибка даты/времени на станции
Вызывается при обнаружении некорректных времени/даты на станции.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — адрес станции,
•station — название станции,
•now — время на Сервере Dr.Web (в миллисекундах),
•time — время на станции (в миллисекундах),
•valid_delta — допустимая разница времени (в миллисекундах) |
игнорируется
|
Текст процедуры:
--[[
Called:
when invalid station time/date detected
Database:
available
Parameters:
id station ID
address station address
station station name
now server time (in milliseconds)
time station time (in milliseconds)
valid_delta valid time delta (in milliseconds)
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station
-- args.now, args.date, args.valid_delta
|
Ошибка обновления станции
Вызывается после получения Сервером Dr.Web сообщения update failed от станции.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — сетевой адрес станции,
•station — NetBIOS-имя станции. Не заменяется на DNS-имя,
•product — ID продукта,
•description — описание продукта,
•from_revision — номер текущей ревизии,
•to_revision — номер новой ревизии,
•from_revision_date — дата текущей ревизии,
•to_revision_date — дата новой ревизии |
игнорируется
|
Текст процедуры:
--[[
Called:
after server received 'update failed' station message.
Database:
available
Parameters:
id station ID
address station network address
station station name (this is NetBIOS station name not replaced by DNS one)
product product ID
description product description
from_revision current revision number
to_revision new revision number
from_revision_date current revision date
to_revision_date new revision date
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.product, args.description, args.from_revision, args.to_revision, args.from_revision_date, args.to_revision_date
|
Ошибка сканирования станции
Вызывается при получении события scan error от Агента.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — адрес станции,
•station — название станции,
•component — номер компонента,
•pid — ID процесса,
•time — время наступления события (время станции),
•user — имя пользователя и группа владельца процесса,
•object — путь к объекту в файловой системе,
•owner — имя пользователя и группа владельца объекта,
•action — код действия,
•compsid — SID станции,
•compmac — MAC-адрес станции,
•description — описание станции,
•ldapdn — LDAP DN станции (только для клиентов под ОС Windows),
•sha1 — хеш SHA-1 обнаруженного объекта,
•sha256 — хеш SHA-256 обнаруженного объекта,
•hashdb — бюллетень, содержащий хеш |
игнорируется
|
Текст процедуры:
--[[
Called:
when "scan error" event received from Agent
Database:
available
Parameters:
id station ID
address station address
station station name
component component number
pid process ID
time event time (station time)
user user name and group (process owner)
object filesystem object path
owner object owner (user name and group)
action action code (error bit(s) set)
compsid computer SID
compmac computer MAC
description computer description
ldapdn computer LDAP DN
sha1 object SHA-1 hash
sha256 object SHA-256 hash
hashdb hash database containing object
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.component,
-- args.pid, args.time, args.user, args.object, args.owner,
-- args.action, args.compsid, args.compmac, args.description, args.ldapdn
-- args.sha1, args.sha256, args.hashdb
|
Получен список компонентов
Вызывается при сообщении Агентом списка установленных компонентов.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — адрес станции,
•station — название станции,
•count — количество заявленных компонентов,
•component_0 — название компонента,
•time_0 — время установки,
•from_0 — источник установки (адрес Сервера Dr.Web, MSI и т.п.),
•path_0 — путь установки |
игнорируется
|
Текст процедуры:
--[[
Called:
when Agent reported installed components
Database:
available
Parameters:
id station ID
address station address
station station name
count number of components reported
component_0 component name
time_0 installation time
from_0 installation source (server address, MSI, etc)
path_0 installation path
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.count
-- args.component_0, args.time_0, args.from_0, args.path_0
-- args.component_1, args.time_1, args.from_1, args.path_1
-- ...
|
Получена информация о вирусных базах
Вызывается при отправке Агентом информации о вирусных базах.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — адрес станции,
•station — название станции,
•count — количество вирусных баз,
•name_0 — название файла вирусной базы,
•md5_0 — MD5 файла вирусной базы,
•version_0 — версия вирусной базы,
•issued_0 — дата и время выпуска вирусной базы,
•records_0 — количество записей в вирусной базе,
•type_0 — тип вирусной базы |
игнорируется
|
Текст процедуры:
--[[
Called:
when Agent sent virus bases information
Database:
available
Parameters:
id station ID
address station address
station station name
count number of found virus bases
name_0 virus base file name
md5_0 virus base file MD5
version_0 virus base version
issued_0 virus base issue date and time
records_0 number of records
type_0 virus base type
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.count,
-- args.name_0, args.md5_0, args.version_0,
-- args.issued_0, args.records_0, args.type_0,
-- args.name_1, args.md5_1, args.version_1,
-- args.issued_1, args.records_1, args.type_1,
-- ...
|
Состояние станции
Вызывается при сообщении Агентом состояния компонентов, вирусных баз и некоторых локальных политик (отправка событий, прием обновлений и заданий).
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•events — сообщение о событиях:
▫true — Агент отправляет информацию о событиях,
▫false — Агент не отправляет информацию о событиях,
•jobs — прием заданий (по расписанию и удаленные сканирования):
▫true — Агент принимает задания,
▫false — Агент не принимает задания,
•updates — прием обновлений:
▫true — Агент принимает обновления,
▫false — Агент не принимает обновления |
игнорируется
|
Текст процедуры:
--[[
Called:
when Agent report its local policy
Database:
available
Parameters:
events true Agent send events
false Agent do not send events
jobs true Agent accept jobs (schedule & remote scan)
false Agent do not accept jobs
updates true Agent accept updates
false Agent do not accept updates
Returned value:
ignored
]]
local args = ... -- args.events, args.jobs, args.updates
|
Станция в процессе авторизации
Вызывается при попытке авторизации станции (ID и пароль уже проверены, валидны и известны).
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•connected — проверка наличия станций с данным ID, уже подключенных к Серверу Dr.Web:
▫true — другая станция с данным ID уже подключена к Серверу Dr.Web,
▫false — нет других подключенных станций с данным ID,
•current_address — сетевой адрес уже подключенной станции с данным ID (не пустой, только если connected принимает значение true),
•current_name — название уже подключенной станции с данным ID,
•last_address — сетевой адрес станции с данным ID во время ее последнего подключения,
•last_time — время последнего появления станции с данным ID,
•last_server — Сервер Dr.Web станции с данным ID во время ее последнего подключения,
•new_name — название подключающейся станции,
•new_address — сетевой адрес подключающейся станции |
•string — результат запроса на подключение станции
•nil — поведение Сервера Dr.Web по умолчанию
•deny — отказать станции в авторизации
•force — разрешить авторизацию, даже если другая станция с этим ID уже подключена (отключить подключенную станцию)
•newbie — сбросить станцию в новички |
Текст процедуры:
--[[
Called:
when station tries to authorize (id and password already checked, valid and known)
Database:
available
Parameters:
id station ID
connected true station with same ID already connected to server
false no any station with same ID connected
current_address already connected station network address (not empty only if 'connected' is true)
current_name last connected station name
last_address last disconnected station network address
last_time last disconnected station seen time
last_server last connected station server
new_name now connecting station name
new_address now connecting station network address
Returned value:
nil default server behavior
string 'deny' deny authorization for station
'force' allow authorization even if other station with same ID already connected (by disconnecting it)
'newbie' reset station to newbie
Procedure from next set will be called if returned nothing.
]]
local args = ... -- args.id, args.connected, args.current_address, args.current_name, args.last_address,
-- args.last_time, args.last_server, args.new_name, args.new_address
-- no return => `nil' value
|
Станция подключена
Вызывается при удачном подключении Агента.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — адрес станции,
•station — название станции,
•os — ОС станции,
•platform — платформа станции,
•compsid — SID станции,
•compmac — MAC-адрес станции,
•description — описание станции |
игнорируется
|
Текст процедуры:
--[[
Called:
when Agent connected successfully
Database:
available
Parameters:
id station ID
address station address
station station name
os station os
platform station platform
compsid station UID (Security ID on Windows)
compmac station MAC address
description station description
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.name, args.os, args.platform, args.compsid, args.compmac, args.description
|
Станция создана
Вызывается при завершении создания станции.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•login — регистрационное имя администратора,
•id — ID станции,
•name — название станции,
•state — статус завершения операции:
▫0 — успешно создана,
▫1 — ошибка при выполнении операции (ошибка базы данных),
▫2 — время ожидания операции истекло (база данных перегружена),
▫3 — нет доступных лицензий,
▫4 — станция уже существует |
игнорируется
|
Текст процедуры:
--[[
Called:
when station create completed
Database:
available
Parameters:
login administrator`s login name
id station ID
name station name
state operation completion state:
0 created successfully
1 operation failed (database error)
2 operation timed out (database overloaded)
3 no free license
4 already exists
Returned value:
ignored
]]
local args = ... -- args.login, args.id, args.name, args.state
|
Станция удалена
Вызывается при удалении станции.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•login — регистрационное имя администратора,
•id — ID станции |
игнорируется
|
Текст процедуры:
--[[
Called:
when station deleted
Database:
available
Parameters:
login administrator`s login name
id station id
Returned value:
ignored
]]
local args = ... -- args.login, args.id
|
Статистика сканирования станции
Вызывается при получении события scan statistics от Агента.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — адрес станции,
•station — название станции,
•component — номер компонента,
•pid — ID процесса,
•user — имя пользователя и группа владельца процесса,
•time — время наступления события (время станции),
•size — суммарный размер всех просканированных объектов,
•elapsedtime — затраченное время,
•scanned — количество просканированных объектов,
•infected — количество объектов, инфицированных известным вирусом,
•modifications — количество объектов, инфицированных модификацией вируса,
•suspicious — количество подозрительных объектов,
•cured — количество вылеченных файлов,
•deleted — количество удаленных файлов,
•renamed — количество переименованных файлов,
•moved — количество файлов, перемещенных в карантин,
•locked — количество заблокированных файлов (только SpIDer Guard),
•errors — количество файлов, не просканированных из-за ошибки доступа |
игнорируется
|
Текст процедуры:
--[[
Called:
when "scan statistics" event received from Agent
Database:
available
Parameters:
id station ID
address station address
station station name
component number of component
pid process ID
user user name and group (process owner)
time event time (station time)
size summary size of all scanned objects
elapsedtime elapsed time
scanned number of scanned objects
infected number of objects infected by known virus
modifications number of objects infected by virus modification
suspicious number of suspicious objects
cured number of cured files
deleted number of deleted files
renamed number of renamed files
moved number of quarantined files
locked number of locked files (SpIDer Guard only)
errors number of not scanned files (due access error)
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station, args.component,
-- args.pid, args.time, args.user, args.scanned,
-- args.infected, args.modifications, args.suspicious,
-- args.cured, args.deleted, args.renamed, args.moved,
-- args.locked, args.errors, args.size, args.elapsedtime
|
Установка Агента
Вызывается после получения события installation.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID инсталляции (внимание: это не ID станции),
•address — адрес станции,
•station — название станции,
•event — тип события:
▫0 — начало инсталляции,
▫1 — завершено успешно,
▫2 — отказ,
▫3 — время истекло,
▫4 — неуспешно,
▫5 — не завершено
•message — сообщение об ошибке (или пустое, если не было ошибки),
•sessionid — ID сессии инсталляции |
игнорируется
|
Текст процедуры:
--[[
Called:
when "installation" event occured
Database:
available
Parameters:
id installation ID (not station!)
address station address
station station name
event event type:
0 installation begin
1 successully completed
2 rejected
3 timed out
4 failed
5 incomplete
message error message (or empty if there is no error)
sessionid installation session ID
Returned value:
ignored
]]
local args = ... -- args.id, args.address, args.station
-- args.event, args.message, args.sessionid
|
Устройство заблокировано
Вызывается при блокировке устройства на станции.
База данных
|
Параметры
|
Возвращаемое значение
|
доступна
|
•id — ID станции,
•address — адрес станции,
•name — название станции,
•user — имя пользователя,
•instance_id — идентификатор экземпляра устройства,
•friendly_name — понятное имя устройства,
•description — описание устройства,
•guid — GUID устройства,
•class — класс устройства (название родительской группы) |
игнорируется
|
Текст процедуры:
--[[
Called:
when device on station blocked
Database:
available
Parameters:
id station ID
address station address
station station name
user user name
instance_id device instance id
friendly_name device friendly name
description device description
guid device guid
class device group class guid
blocktime time when station was blocked
blockrcvtime time when server received alert
Returned value:
ignored
]]
local args = ... -- args.id args.address args.station args.user args.instance_id
-- args.friendly_name args.description args.guid args.class
-- args.station_time args.args.recv_time
|
|