Информация о логировании

Логи агента мониторинга содержат сведения о его работе и действиях пользователей. Они используются для диагностики сбоев, проверки корректности работы агента и анализа активности сотрудников.

Агент передает данные, которые собираются ММАП и РММАП на АРМ пользователей, в виде архивов. Имена архивов формируются по следующему шаблону: computer_name+_+user_login@user_domain+_+время создания архива в UTC+.+генерация случайных чисел, обеспечивающих уникальность имени каждого файла.

Архивы могут содержать следующие файлы:

• manifest.json
• activity.json
• inspector_log.json
• service_log.json
• timetracking_log.json

Разные типы архивов содержат разный набор файлов.

При непрерывной работе пользователя за ПК, архив с активностью формируется каждые 10 минут.

Чтобы самостоятельно настроить время формирования архива, в файле settings.cfg по пути ProgramData\ProcesetAgent добавьте параметр activity_sending_period, который задает интервал отправки активности на сервер (в секундах).

"activity_sending_period":60

Информация об активности пользователей хранится в таблице main.monitoring_activity.

Логи агента мониторинга, передаваемые с рабочих мест на сервер приложения, хранятся в таблице main.monitoring_agent_inspector_log.

manifest.json

В manifest.json фиксируется основная информация о пользователе, а также информация о типе логов. В поле type определяется от кого пришел архив — от инспектора (inspector), службы (service) или от трекинга (timetracking).

Пример:

{ 
  "version": "1.0.4", 
  "machine_guid": "3c830f47-9fcd-4a48-a568-750d8b179987",
  "user": { 
    "name": "Иванов Иван", 
    "login": "ivanov", 
    "domain": "CORP.BUSINESSPROJECT.COM",
    "ad_guid": "d59396ef-c493-4215-8dd5-1c478c846191",
    "timezone": "Europe/Moscow", 
    "timezone_sec": 10800, 
    "employee_id": 2 
  }, 
  "computer": { 
    "name": "c-066-im.corp.infomaximum.com", 
    "domain": "domain.com", 
    "workgroup": "" 
  }, 
  "agent": { 
    "version": "2.14.3" 
  },
  "type": "inspector"
} 

Где:

• version — версия протокола (формат данных для сервера)
• machine_guid — уникальный идентификатор устройства, с которого был собран архив
• user:name — имя пользователя (учетная запись ОС)
• user:login — логин пользователя (учетная запись ОС)
• user:domain — домен пользователя (при наличии)
• user:ad_guid — уникальный идентификатор пользователя в Active Directory
• user:timezone — часовой пояс
• user: timezone_sec — смещение часового пояса относительно UTC в секундах
• user: employee_id — внутренний id пользователя
• computer:name — имя АРМ
• computer:domain — домен АРМ
• computer: workgroup — рабочая группа АРМ
• agent:version — версия агента
• type — тип источника данных, от которого получен архив

activity.json

Активность сотрудников отправляется в JSON-формате в файле activity.json и представляет из себя массив записей.

Каждая запись обязательно содержит следующие поля:

{"version":"1.0.9"}
{  
"time":1692694112,
  "time_ms":469,
  "cpu_loading":12,
  "memory_loading":30,
  "window_activity":{ 
    "app_info":{ 
      "program_name":"Google Chrome",
      "version":"115.0.5790", 
    "executable_path":"%ProgramFiles(x86)%\\Google\\Chrome\\Application\\chrome.exe"},
    "type":43, 
    "input_type":1 
    "main_window":"",
    "domain":"",
    "url_path":"",
    "tab":"", 
    "file_name":"index (3).html",
    "file_path":"%USERPROFILE%\\Desktop\\",
    "location":[],
    "element":null, 
    "parameters":[]
}
}

Где:

• version — версия манифеста
• time — время события по UTC
• time_ms — время в миллисекундах
• cpu_loading — количество нагрузки на ЦП
• memory_loading — значение нагрузки на память
• window_activity — контейнер с информацией о событии
• app_info — информация о приложении
• program_name — название приложения из секции Description
• version — версия приложения
• executable_path — полный путь до исполняемого файла
• type — тип события
• input_type — параметр, отвечающий за определение типа активности: программная или аппаратная. Если непосредственно до совершенного события была аппаратная HID-активность, то параметр заполняется как input_type=1, если было программное событие, то input_type=0
• main_window — заголовок главного окна
• domain — домен окна
• url_path — URL окна
• file_name — имя открытого файла
• file_path — полный путь к открытому файлу
• location — иерархия окон со значением типа строго меньше 10:
  • name — название поля
  • type — код события
• element — элемент (например, кнопка, чекбокс)
• parameters — контейнер, содержащий следующую информацию:
  • name — название поля
  • value — хешированное значение
  • type — код события
  • is_current — информация о выполнении действия из текущего поля. Если параметр принимает значение 1 — действие выполнено в текущем поле, 0 — действие не было совершено в данном поле

Типы событий

Поле type представляет собой числовой код события. События сгруппированы по источнику в диапазоны.

Control-элементы

В базовом мониторинге могут быть только Window и ExcelSheet, в расширенном — все.

Горячие клавиши

В событии Invoke фиксируются комбинации с модификаторами Ctrl, Alt, Shift, а также функциональные F1—F12 . Не фиксируются сочетания Shift+A, где A — любая односимвольная клавиша. Например, такие сочетания используются при написании заглавных букв.

Регистр фиксации важен: модификаторы Ctrl, Alt, Shift должны быть именно в таком виде, F1—F12 заглавными буквами. Клавиша в сочетании с модификатором должна быть в верхнем регистре, например, Ctrl+X.

Если в названии элемента есть горячие клавиши, то в качестве имени в element_name записываются только они в нужном регистре, а остальная часть названия фиксируется в колонке element_hotkey_name.

inspector_log.json

В inspector_log.json передаются логи инспектора агента. В логах содержится информация о старте инспектора, периодичность запросов на обновление, тип мониторинга сотрудника.

Пример логов:

{"version":"1.0.0"}
PID=9212 TID=23400 important    Start   Inspector started, version = 2.14.3, user: nnesterova@CORP.INFOMAXIMUM.COM, settings: {"monitoring_status":2,"timetracking_status":false,"logger":{"level":"LEVEL_ERROR"}}, loggerSetting: LEVEL_ERROR
PID=9212 TID=23400 important    system_info::GetUserAdGuid  user sid = S-1-5-21-580362855-3340923925-1044332590-1417
PID=9212 TID=23400 important    ActivitySender::ActivitySender  reservedSpace file size = 1048576b
PID=9212 TID=23400 important    ModuleManager::LoadModule   module 'C:\Program
Files\ProcesetAgent\mod_extended_monitoring.dll' loaded
PID=9212 TID=23400 important    Controller::Start   ActivityCollectorExtended started
PID=9212 TID=23400 important    ModuleManager::LoadModule   module 'C:\Program Files\ProcesetAgent\mod_crash_watcher.dll' loaded
PID=9212 TID=23400 important    Controller::Start   ProcessCrashWatcher started
PID=9212 TID=9116 important SettingsManager::RefreshUserId  EnsureUser success, employeeId = 2
PID=9212 TID=9116 important SettingsManager::RefreshServerComponents    GetServerComponents success, components: com.infomaximum.subsystem.activedirectory com.infomaximum.subsystem.clickhouse.core com.infomaximum.subsystem.clickhouse.standalone com.infomaximum.subsystem.core com.infomaximum.subsystem.dashboard com.infomaximum.subsystem.dashboardext com.infomaximum.subsystem.frontend com.infomaximum.subsystem.monitoring com.infomaximum.subsystem.workspaces
PID=9212 TID=9116 important SettingsManager::RefreshSettings    GetSettings success, employeeInfo: employeeId = 2, displayName = 'Нестерова Наталья', logLevel = 'LEVEL_ERROR', monitoringType = Extended, trackingEnabled = false
PID=9212 TID=1484 important UserActivity::ExtractWindowActivity activityEventCount = 3, utcTime = [2021.12.06_04:41:42 - 2021.12.06_04:41:47]
PID=9212 TID=1484 important `anonymous-namespace'::PackActivity Timezone init id = Europe/Moscow, offsetInSec = 10800

service_log.json

В service_log.json собирается информация о старте службы, блокировке системы под конкретным пользователем, отправленных сбоях.

Пример логов:

{"version":"1.0.0"}
PID=6556 TID=17352 important    main    Service started, version = 2.14.3
PID=6556 TID=1116 important SessionController::StartInspector   Inspector started, sessionId = 14, UserPrincipalName = 'nnesterova@CORP.INFOMAXIMUM.COM'
PID=6556 TID=17352 important    RunAsService::<lambda_6f040d3ff28f03704b9026c4883d74c7>::operator ()  Session event WTS_SESSION_LOCK, sessionId = 14
PID=6556 TID=17352 important    SessionController::OnSessionDeactivated Session deactivated, sessionId = 14, UserPrincipalName = 'nnesterova@CORP.INFOMAXIMUM.COM'
PID=6556 TID=17352 important    RunAsService::<lambda_6f040d3ff28f03704b9026c4883d74c7>::operator ()  Session event WTS_SESSION_UNLOCK, sessionId = 14
PID=6556 TID=1116 important SessionController::StartInspector   Inspector started, sessionId = 14, UserPrincipalName = 'nnesterova@CORP.INFOMAXIMUM.COM'

timetracking_log.json

В timetracking_log.json собираются логи модуля таймтрекинга (время старта модуля, информация о пользователе и т. д.).

Пример логов:

{"version":"1.0.0"}
PID=660 TID=5172 important  main    Timetracking started, version = 2.14.3, user: client02@TEST.INFOMAXIMUM.RU, loggerSetting: LEVEL_ERROR
PID=660 TID=5172 important  IdleManager::ProcessResumeInfo  Save on server user activity = Пт ноя 26 11:33:32 2021
PID=660 TID=5172 important  IdleManager::ProcessResumeInfo  NotifyActiveTrackIdleResume