安装云安全中心客户端后,客户端会在服务器中开启AliYunDun、AliYunDunMonitor等进程,以实现信息采集、威胁检测等能力。您可以通过查看进程状态,判断安全防护能力是否生效。本文提供云安全中心客户端文件和进程的详细说明。
进程说明
云安全中心客户端的进程在Linux系统的服务器上以root账号运行,在Windows系统的服务器上以SYSTEM账号运行。下表介绍云安全中心客户端所包含的文件和进程。
建议不要在服务器中手动删除以下文件或进程,否则可能会导致云安全中心客户端异常。
如需删除客户端相关文件,请先关闭客户端自保护开关。自保护开关开启时,您将无法卸载Agent或删除Agent的任何进程文件。关闭客户端自保护的具体操作,请参见客户端自保护。
常驻进程是指安装云安全中心客户端后一直会存在的进程,只有这些进程启动,云安全中心才能正常防护服务器。非常驻进程是指只在特定情况或开启指定功能后才会启动的进程。
客户端包含的文件 | 关联进程 | 为常驻进程 | 文件下载时间 | 文件所在路径 |
|
| 是 |
|
|
|
| 是 | 安装Agent插件后, | |
|
| 是(仅企业版和旗舰版用户显示该进程) | 仅企业版或旗舰版用户安装Agent插件后, | |
|
| 否 | 开启恶意网络行为防御开关后, | |
|
| 否 | 在为服务器开启网页防篡改或核心文件监控后, | |
|
| 否 | 在功能设置页面,开启恶意主机行为防御、防勒索(诱饵捕获)、网站后门连接防御任意一个开关后, | |
|
| 否,启动相应检查才能启动该进程。 | 执行了基线检查或者漏洞检查后, | |
| ||||
| 无 | 不涉及 | 安装Agent插件后, | |
|
| 否 | 服务器防勒索服务会启动 | |
|
| 否 | 数据库防勒索服务会启动 |
查看进程
Linux系统:执行
ps -ef | grep aegis命令查看客户端进程。
Windows系统:在任务管理器中查看相关进程。
进程与客户端状态说明
客户端状态
云安全中心服务端主要通过检测服务器中AliYunDun进程的状态判断客户端是否在线。出现以下任一情况,云安全中心服务端会判定该服务器客户端不在线,并将该服务器的客户端状态从
(在线)变成
(离线)。您可以在主机资产页面查看服务器的客户端状态。
服务端检测到和客户端的通信异常,包括但不限于网络异常、客户端进程(
AliYunDun)被异常结束、客户端被卸载等,会将客户端的状态更改为离线。如果服务端在10个小时内没有收到客户端登录、采集到的数据等信息,会将客户端状态更改为离线。
功能状态
云安全中心恶意网络行为防御、恶意主机行为防御等功能,都需要开启对应的进程才能使用。例如:当您为服务器开启恶意网络行为防御开关时,客户端会自动下载AliNet文件,并启动AliNet进程。您可以在服务器资产详情页面查看各功能的防御状态,下表是防御功能和进程的对应关系。
防御功能 | 支持的版本 | 关联进程 | 说明 |
客户端自保护 | 所有版本 |
| 拦截未通过云安全中心控制台卸载Agent或修改客户端文件的行为,保障客户端安全。 |
网站后门连接防御 | 企业版、旗舰版 |
| 自动拦截黑客通过已知网站后门进行的异常连接行为。 |
恶意主机行为防御 | 防病毒版、高级版、企业版、旗舰版 | 自动拦截并查杀常见网络病毒。 | |
防勒索(诱饵捕获) | 防病毒版、高级版、企业版、旗舰版 | 捕捉新型勒索病毒的诱饵,并通过病毒行为分析,自动启动新型勒索病毒的防御。 | |
恶意网络行为防御 | 高级版、企业版、旗舰版 |
| 拦截服务器和已披露的恶意访问源之间的网络行为。 |