これは、コレクター側とホスト側の両方のサービスのオープン/クローズドTCP接続の観点から、単一の「通常の」Windowsサーバー(約70のWMI収集タスク)を監視するコレクターがどのように見えるかを簡単に分析したものです。 。
データ収集
ローカルコレクターについて
- 「通常の」量のWMI収集タスクでホストを監視しているWindowsコレクターは、各収集中にsvchost.exeプロセス(コレクターのエフェメラルポート経由のRPC EMAP>ホストの3TCP)で約4〜135のアウトバウンドを安定して維持します。タスクのポーリングサイクル。
-
監視しているデータソースの数に応じて、これは5〜20秒ごとに発生し、HostStatus-idleIntervalの測定値に対応する必要があります。
この後、これらのエフェメラルポート接続はTIME_WAIT状態に送信され、2MSLタイムアウト期間後に接続が正常に閉じます。 - これらの接続のうち6〜18は、いつでもTIME_WAIT状態でプールできます。
- さらに、1〜10個のエフェメラルローカルポート接続>リモートエフェメラルポートがsbwinproxy.exeによって常に維持されている>ホストのsvchost.exeが表示される場合があります。
ローカルホスト上
- 「通常の」量のWMI収集タスクで監視されているWindowsホストは、各収集タスクのポーリングサイクル中に、svchost.exe(ホスト上の1TCPを介したRPCEMAP>コレクター上のエフェメラルポート)で約135つの接続を安定して維持します。
-
監視しているデータソースの数に応じて、これは5〜20秒ごとに発生し、HostStatus-idleIntervalの測定値に対応する必要があります。
この後、これらのエフェメラルポート接続はTIME_WAIT状態に送信され、2MSLタイムアウト期間後に接続が正常に閉じます。 -
「通常の」Windowsホストは、これらのTIME_WAIT接続をいつでも約6〜18個プールできます。
A - さらに、svchost.exe>コレクターのsvchost.exeによって常に維持されている1〜10個のエフェメラルポート接続ポートが表示される場合があります。
アクティブディスカバリー
ローカルコレクターについて
- 「通常の」量のWMI収集タスクで監視されているWindowsホストは、10 TCPを超えるエフェメラルポートを介して最大135個のクイックsvchost.exe(RPC EMAP)接続を生成し、接続が閉じるTIME_WAIT状態にすぐに送信されます。 2MSLタイムアウト期間後に正常に。
- いくつかの収集タスクの後、定常状態に到達し、TIME_WAIT状態の一時的な接続の数は3〜4に減少します。
- さらに、java.exeはアウトバウンド接続を確立します。
ローカルホスト上
- 「通常の」量のWMI収集タスクで監視されているWindowsホストは、20 TCP>エフェメラルポートを介して最大30〜135のクイックsvchost.exe(RPC EMAP)接続を生成し、すぐにTIME_WAIT状態に送信されます。 2 MSLタイムアウト期間の後、接続は正常に閉じます。
- いくつかの収集タスクの後、定常状態に到達し、TIME_WAIT状態の一時的な接続の数は6〜18に減少します。
