Im Trend Micro Officescan können zur Selbstreinigung der Applikation veraltete Agenten nach einem definierten Zeitraum gelöscht werden.
Sollte sich ein gelöschtes Agenten-System wieder am Server melden, wird dieser erneut registriert. DafĂŒr wird der im System gespeicherte Ordnername genutzt. Entsprechend sollte in regelmĂ€Ăigen AbstĂ€nden auch die Struktur geprĂŒft werden. Wenn die erwartete Struktur nicht mehr vorhanden wird, wird der Ordnername im Stamm-Verzeichnis erstellt. Damit erhĂ€lt der Ordner das Regelwerk des Haupt-Ordners.
Seit dem Build 5272 ist es durch die Bearbeitung der „ofscan.ini“ möglich bei der Löschung eine Meldung zu generieren. Dazu muss der folgende Textblock in der Datei implementiert werden:
[INI_STANDARD_ALERT_CLIENT_PURGE_SECTION] Std_Alert_Enable_SMTP=1 Std_Alert_Enable_SMTP_RBA=0 Std_Alert_SMTP_Send_To=test@testdomain.com Std_Alert_SMTP_Subject=Inactive Agent Purged Std_Alert_SMTP_Message=Purged Endpoint: %COMPUTER%\nIP Address: %IP%\nGUID: %GUID%\nDomain: %DOMAIN%\nInactive Since: %DATETIME%\n Std_Alert_Enable_NTEvent=0 Std_Alert_NTEvent_Message=Inactive Agent Purged\nPurged Endpoint: %COMPUTER%\nIP Address: %IP%\nGUID: %GUID%\nDomain: %DOMAIN%\nInactive Since: %DATETIME%\n Std_Alert_Enable_SNMP=0 Std_Alert_SNMP_Message=Inactive Agent Purged\nPurged Endpoint: %COMPUTER%\nIP Address: %IP%\nGUID: %GUID%\nDomain: %DOMAIN%\nInactive Since: %DATETIME%\n
In meinem Beispiel wird eine Mail an die definierte Mailadresse versandt. Die Funktionen „Meldung in Eventlog“ bzw. „Meldung als SNMP“ sind aktuell deaktiviert. Mit der Einstellung „Std_Alert_Enable_SMTP_RBA“ können zusĂ€tzlich die Administratoren informiert werden, aus deren Ordner der Agent gelöscht wird.
Weitere Informationen gibt es in den Patch-Informationen seit der Version 5272. Als Beispiel habe ich die gerade aktuellste Datei verknĂŒpft.