安装云安全中心客户端后,客户端会在服务器中开启AliYunDun、AliYunDunMonitor等进程,以实现信息采集、威胁检测等能力。您可以通过查看进程状态,判断安全防护能力是否生效。本文提供云安全中心客户端文件和进程的详细说明。
进程架构
云安全中心客户端采用模块化架构,由核心常驻进程和功能性进程组成,以确保基础功能的稳定运行和高级功能的高效调度。
常驻进程:如
AliYunDun、AliYunDunMonitor和AliYunDunUpdate,负责与云安全中心服务端通信、维持心跳、上报基础安全数据、执行自我更新等,为客户端提供了基础运行能力。功能性进程(非常驻进程):如
AliHips、AliNet等,仅在控制台开启相应的高级防御功能(如恶意主机行为防御、网页防篡改)后,才会按需下载并启动。
进程详解
为避免客户端功能异常,请勿手动结束或删除相关进程与文件。
如需删除客户端相关文件,请参见客户端能力配置关闭客户端自保护开关。
核心进程
核心进程是保障客户端与云端通信、基础监控能力正常运行的基础,客户端安装后自动启动。
自 aegis_12_3x 版本起,AliSecureCheckAdvanced 和 AliDetect 进程已合并为 AliSecCheck。更早的版本不受影响。
进程名 | 进程文件所属文件夹 | 功能描述 |
|
| 与云安全中心服务端通信,负责心跳上报、指令接收和数据上报,执行客户端自保护。 |
|
| 负责主机安全监控,包括资产信息、进程、端口、账号等信息的采集与检测。 |
|
| 负责客户端版本和规则库的自动更新。 |
|
| 负责执行安全扫描与检测任务,包括漏洞扫描、合规基线检查,以及对挖矿、木马等恶意程序的运行时检测 |
功能进程
功能进程与特定的付费功能绑定,仅在开启相应功能后才会启动。
进程名 | 进程文件所属文件夹 | 功能描述 | 启动条件 |
|
| 提供网络层防护,拦截恶意IP访问、对外攻击等网络行为。 | 开启恶意网络行为防御。 |
|
| 提供主机入侵防护,拦截恶意主机行为、防勒索、防御网站后门连接。 | 开启恶意主机行为防御、防勒索(诱饵捕获)、网站后门连接防御任意一个开关。 |
|
| 执行网页防篡改和核心文件监控功能。 | 开启网页防篡改或核心文件监控。 |
|
| 执行安全报告、异常检测、实时监控等任务。 | 开启服务器防勒索。 |
|
| 执行数据备份、数据恢复、故障监测以及任务调度等任务。 | |
|
| 数据库备份代理进程,执行数据库初始备份、增量备份、恢复数据库备份、调度与管理、日志记录与监控等任务。 | 开启数据库防勒索。 |
进程和功能的关系
功能名称 | 关联进程 | 版本/防护等级限制 | 功能说明文档 |
客户端自保护 |
| 无 | |
恶意网络行为防御 |
|
| |
恶意主机行为防御 |
|
| |
防勒索(诱饵捕获) |
|
| |
网站后门连接防御 |
|
| |
网页防篡改 |
| 无 重要 此功能为增值服务,需单独购买。 | |
核心文件监控 |
|
| |
服务器防勒索 |
| 无 重要 此功能为增值服务(防勒索托管服务),需单独购买。 | |
数据库防勒索 |
| 无 重要 此功能为增值服务(防勒索托管服务),需单独购买。 |
进程和客户端状态的关系
通过监控AliYunDun进程与服务端的通信来评估客户端的在线状态。当出现以下任一情况时,客户端状态将由“在线”变为“离线”。
可以在主机资产页面查看服务器的客户端状态:离线(
)、在线(
)。
服务端检测到与客户端的通信中断,例如网络异常、
AliYunDun进程被结束或客户端被卸载。服务端在10小时内未收到客户端上报的任何信息(如心跳、安全数据等)。
运行权限与文件位置
进程运行权限
为实现全面的安全监控和防护,客户端进程必须在操作系统中以高权限运行,高权限用于执行内核级监控、文件系统防护、网络行为分析和进程自我保护等底层操作。
Linux 系统下为
root账号。Windows 系统下为
SYSTEM账号。
默认进程文件路径
Windows 系统:
32-bit:C:\Program Files\Alibaba\aegis。
64-bit:C:\Program Files (x86)\Alibaba\aegis。
Linux系统:/usr/local/aegis。
进程状态检查方法
您可以通过以下命令快速检查客户端进程和服务是否正常运行。以下以核心进程为例。
Linux 系统
查看进程命令:
# 检查核心进程(AliYunDun, AliYunDunMonitor, AliYunDunUpdate 必须全部存在)
ps -ef | grep -E 'AliYunDun|YunDunMonitor|YunDunUpdate'
# 查看服务状态(应为 active (running))
systemctl status aegis
正常状态示例输出:
root 5472 1 0 Sep10 ? 00:00:18 /usr/local/aegis/aegis_update/AliYunDunUpdate
root 5524 1 0 Sep10 ? 00:01:34 /usr/local/aegis/aegis_client/aegis_12_61/AliYunDun
root 5546 1 0 Sep10 ? 00:03:13 /usr/local/aegis/aegis_client/aegis_12_61/AliYunDunMonitor
● aegis.service - LSB: Aegis service
Loaded: loaded (/etc/rc.d/init.d/aegis; generated)
Active: active (running) since Mon 2023-10-30 10:00:00 CST; 1 day 2h ago
Windows 系统
方式一:在任务管理器中查看相关进程
方式二:使用 PowerShell 执行命令
查看进程命令:
# 检查核心进程 Get-Process | Where-Object {$_.Name -match '^(AliYunDun|AliYunDunMonitor|AliYunDunUpdate)$'} # 查看服务状态(应为 Running) Get-Service | Where-Object {$_.Name -match 'Aegis|AliYunDun'}正常状态示例输出:
Handles NPM(K) PM(K) WS(K) CPU(s) Id SI ProcessName ------- ------ ----- ----- ------ -- -- ----------- 380 26 15948 19656 615.75 6072 0 AliYunDun 599 31 47576 37356 968.73 2488 0 AliYunDunMonitor 257 14 8072 11336 232.03 2904 0 AliYunDunUpdate Status Name DisplayName ------ ---- ----------- Running Alibaba Securit... Alibaba Security Aegis Detect Service Running Alibaba Securit... Alibaba Security Aegis Update Service