Datenerfassung

Für die Datenerfassung stehen verschiedene Optionen zur Verfügung. Neben der klassischen agentenlosen Erfassung, kann auch mittels lokaler Ausführung einer exe-Datei, oder mit Agenten gearbeitet werden, um die Daten der verschiedenen Geräte-Typen zu erfassen. Um jedoch einen ersten Überblick über das Netzwerk zu erlangen, eignet sich besonders das agentenlose Scannen.

Beim ersten Start von LOGINventory erscheint ein Wizard, der Sie bei der agentenlosen Ersterfassung unterstützt, wenn Sie auf den Knoten Remote Scanner wechseln. Im Wizard kann festgelegt werden, in welchem IP-Adress-Bereich nach Geräten gesucht werden soll, ob das Active Directory und Microsoft Exchange ausgelesen werden sollen, und ob vSphere-Geräte erfasst werden sollen.

Außerdem können administrative Windows-Credentials, SNMP-Communities und ein SSH-Login hinterlegt werden.

Im Nachhinein lassen sich natürlich noch weitere Definitionen und Benutzerkonten hinterlegen.

Agentenloses Scannen

Um mit LOGINventory agentenlos zu scannen, muss ausgewählt werden, was inventarisiert werden soll (Definitionen) und wie darauf zugegriffen werden kann (Benutzerkonten). Dann können diese Definitionen zu Jobs zusammengefasst und durch die Aufgabenplanung automatisiert ausgeführt werden. Im Job Monitor ist dabei stets der Fortschritt der aktuell laufenden und das Ergebnis der vergangenen Scans einsehbar.

Benutzerkonten

Grundsätzlich lassen sich die Benutzerkonten in folgende Typen unterscheiden:

• Generic Credentials (mit Benutzername, Passwort und Domäne): Administrative Konten zum Auslesen von Windows, Active Directory, Exchange, vSphere, XenApp, XenServer, SQL Server & Office365
• SSH Credentials (für Linux und MAC Computer) mit Login und Passwort oder Login, Key-File und (optionaler) Passphrase. Die Schlüssel-Datei muss dabei im OpenSSH-Format vorliegen, da SSH.NET verwendet wird. PPK-Keys von PuTTY können in dieses Format konvertiert werden.
• SNMP Communities (Read-Only): Zum Auslesen von SNMP v1/v2c Geräten, wie Netzwerkdruckern, Switches, Router, etc.
• SNMP v3 Credentials (mit entsprechenden Anmeldeparametern): Zum Erfassen von SNMP v3 Geräten mit Security-Name (z.B: "v3user"), Security-Level (z.B. "authNoPriv"), Auth Protokoll (z.B. "MD5"), Auth Schlüssel (z.B. "v3password"), Priv Protokoll (z.B. "AES"), Priv Schlüssel (z.B. "privPassword")
• Azure Credentials: Zum Hinterlegen von Zugangsinformationen für die "Modern Authentication" bei Microsoft Azure. Mittels "Client Secret" oder Zertifikat wird die Authentifizierung durchgeführt.
• AWS Credentials: Zum Hinterlegen von Zugangsinformationen für die "Modern Authentication" bei AWS. Mittels "Access Key" wird die Authentifizierung durchgeführt.

Scan-Definitionen

Die Definitionen beschreiben einzelne Scan-Bereiche, die sich in Jobs zusammenfassen lassen. Jede Definition benötigt einen Typ, einen eindeutigen Namen und optional eine Beschreibung. Die Definitionen lassen sich in folgende Typen unterscheiden:

• Asset Inventarisierung: Inventarisiert Windows-, Hyper-V, SNMP- (Switche, Netzwerkdrucker) und SSH-Geräte (Linux, Solaris, MacOS, …).
• Active Directory Konten und Gruppen: Liest Benutzer-, Gruppen und Computer-Eigenschaften aus Active Directory.
• Microsoft Exchange Inventarisierung: Inventarisiert eine komplette Exchange Organisation inklusive Mailbox-Informationen und mobile Geräte.
• VMware vSphere Inventarisierung: Inventarisiert VMware ESXi-Server und ihre vorhandenen VMs.
• Azure AD und Microsoft 365 Subscriptions: Liest aus dem Azure Active Directory Information zu Benutzer, Gruppen und Computern, sowie Berechtigungen im Azure AD aus. Außerdem wird ermittelt, welche Produkte bei Microsoft 365 lizenziert sind und welche User welche Lizenzen verbrauchen.
• Azure virtuelle Maschinen: Bei Azure wird ausgelesen, welche virtuellen Maschinen existieren, sowie diverse Konfigurationseinstellungen zu diesen VMs.
• AWS virtuelle Maschinen: Bei AWS wird ausgelesen, welche virtuellen Maschinen existieren, sowie diverse Konfigurationseinstellungen zu diesen VMs.
• SQL Server Inventarisierung: Inventarisiert Microsoft SQL Server Instanzen, deren Datenbanken und Benutzerrechte
• XenApp Inventarisierung: Inventarisiert auf Citrix XenApp publizierte Anwendungen.
• XenServer Inventarisierung: Inventarisiert Citrix XenServer und und ihre vorhandenen virtuellen Maschinen.
• Ausschluss von der Inventarisierung: Schließt Elemente von der Asset-Inventarisierung aus (wird in Jobs zusammen mit anderen Definitionen benutzt).
• Skriptbasierte Inventarisierung: Ermöglicht es skriptbasiert auf eigene Datenquellen zuzugreifen, um aus diesen beispielsweise Assets zu erzeugen, Lizenz-Informationen auszulesen oder Garantie-Daten zu ermitteln. Diese Funktion steht aktuell ausschließlich im Beta-Modus zur Verfügung.

Für alle Definitionstypen sind unter Allgemein die allgemeinen Einstellmöglichkeiten zusammengefasst, wie z.B.

• Anzahl der parallelen Scans (bei langsamer Netzverbindung niedriger wählen!)
• maximale Laufzeit für einen einzelnen Scan
• maximale Antwortzeit für den PING auf ein Gerät
• zusätzliche Kommandozeilenparameter

Hier gilt stets: Wenn die entsprechenden Felder leer sind, wird der Standard-Wert verwendet.

• Für jedes Gerät werden alle angewählten Accounts der Reihe nach (von oben nach unten) benutzt, bis ein Scan erfolgreich war.
• Über die Pfeil-Buttons lässt sich die Reihenfolge der Accounts innerhalb der Typen ändern.
• Die Credential Typen werden in folgender festen Reihenfolge verarbeitet:
  1. Generic Credentials
  2. SSH Credentials
  3. SNMP v3 Credentials
  4. SNMP Community
• An oberster Stelle sollten diejenigen Benutzerkonten stehen, die für die meisten Geräte in dieser Definition gültig sind.

Asset Inventarisierung

Für den Definitionen-Typ Asset Inventarisierung spezifiziert die Quelle den Scan-Bereich. Es gibt folgende Typen von Scan-Bereichen:

• IP v4 Adressbereich (z.B. 192.168.200.1 - 192.168.200.121)
• IP v4 Subnetz (CIDR) (z.B. 192.168.200.64/16)
• Datei-Liste (Textdatei mit Namen oder IP-Adressen der Assets: pro Zeile ein Eintrag)
• Liste von Elementen
• Active Directory: Sie können die Rechner erfassen, die Einträge im AD haben.

Falls als Quelle Active Directory gewählt wird, kann zwischen OUs und Sites and Subnets unterschieden werden. Mittels des Schiebereglers Knoten explizit wählen kann umgeschaltet werden, ob automatisch alle im gewählten Ordner (und Unterordnern) vorhandenen Elemente erfasst werden sollen, oder ob eine explizite Auswahl nötig ist.

Unter Erweitert kann die Datenermittlung angepasst werden. So lässt sich z.B. einstellen, ob Share-ACLs (Freigegebene Ordner), Treiber, Schriftarten, u.v.m. erfasst werden sollen. Diese Einstellungen können auch Einfluss auf die Laufzeit der Inventarisierung haben.

Unter Asset Eigenschaften lassen sich spezielle, frei definierbare Eigenschaften für diese Definition angeben (siehe Eigene Eigenschaften). Definieren Sie mit den Asset Eigenschaften Werte, die allen erfolgreich inventarisierten Assets einer Definition zugewiesen werden sollen! Falls Ihre IP-Adress-Bereiche z.B. bereits nach Standort aufgeteilt sind, könnten Sie als Asset Eigenschaft z.B. den jeweiligen Standort zuweisen und diese Zuweisung dann natürlich auch in Abfragen verwenden.

Unter File-Suche können Suchpfade angegeben werden, an denen nach bestimmten Dateien auf den zu scannenden Windows-Geräten gesucht werden soll. Dazu kann ein Pfad unter Verwendung von Wildcards (*) angegeben und bestimmt werden, ob die Suche rekursiv (also auch in allen Unterordnern) stattfinden soll. So können zum Beispiel alle Dateien im Temp-Ordner mit einer Suche nach C:\Temp\*.*gefunden werden.

Active Directory Konten und Gruppen

Falls die Option Benutzernamen anonymisieren in den Einstellungen aktiviert ist, können die Benutzerdaten nicht mit Active Directory Informationen ergänzt werden, da eine Zuordnung dann nicht möglich ist!

Die Quelle definiert, welche Einträge aus dem AD eingelesen werden sollen. Hier kann im Root-Verzeichnis der vollqualifizierte Domänen-Name angegeben werden. Über den Active Directory Browser kann ein Unterverzeichnis ausgewählt werden, um die Suche einzuschränken.

Über Erweitert können ausgewählte AD-Attribute gelesen und in LOGINventory-Attribute eingetragen werden. Dazu muss der Name des Wertes aus dem AD eingetragen und einem Custom-Wert in LOGINventory zugeordnet werden.

Außerdem kann hier eingestellt werden, dass Gruppenmitgliedschaften von Sicherheitsgruppen rekursiv aufgelöst werden, falls also eine Gruppe in einer anderen Gruppe enthalten ist ("Nested Groups", bzw. "Gruppenverschachtelung"). Weitere Parameter finden sich bei den Erklärungen zur LOGINfoAD.exe.

Microsoft Exchange Inventarisierung

Mit der Microsoft Exchange Inventarisierung lassen sich Informationen über die gesamte Exchange Organisation (2010 und später) inklusive Server, DAGs, Datenbanken, Mailboxen und mobile Geräte per Remote Scan von einem Microsoft Exchange Server erfassen. Falls unterschiedliche Exchange Server Versionen im Einsatz sind, sollte derjenige mit der neuesten Version benutzt werden. Das angegebene Benutzerkonto muss in der Exchange Organisation ausreichende Rechte besitzen, z.B. Mitglied der Gruppe „Exchange View-Only Administrators“, bzw. "View-Only Organization Management" (on-premises Server).

Um zu verhindern, dass alle Exchange Server erfasst werden, sondern nur ausgewählte, kann unter Erweitert ein Server-Filter gesetzt werden. So werden z.B. durch einen Eintrag von Serv* beim Server-Filter nur noch Exchange-Server erfasst, deren Name mit "Serv" beginnt.

VMware vSphere Inventarisierung

Mit der VMware vSphere Inventarisierung können ESXi und vCenter Server direkt erfasst werden, ohne dass weitere Konfigurationsschritte dort notwendig sind.

Als Quelle wählen Sie den Typ „Liste von Elementen“ und fügen Ihre ESXi Server, Ihren vCenter Server, bzw. Cluster als Element ein (Full Qualified Domain Name (z.B. vcenter.m.loginventory.de) oder die IP-Adresse).

Das Benutzerkonto muss über die benötigten administrativen Rechte (mindestens Read-Only-Admin) auf den VMware Servern verfügen.

Azure AD und Microsoft 365 Subscriptions

Mit diesem Definitionstyp werden einerseits aus Microsoft Azure Informationen zu User-Account, Computer-Account & Gruppenmitgliedschaften (analog zum Auslesen des on-premises Active Directory), sowie Berechtigungen in Azure AD ausgelesen. Andererseits lässt sich online auslesen, welche Subscriptions (z.B. Office365, Microsoft Intune, Power BI Pro, etc.) abgeschlossen wurden und welchen Usern dabei welche Lizenzen zugeordnet wurden.

Beim Zuordnen der Benutzerkonten zu der Definition kann ausschließlich der Typ Azure Credentials verwendet werden. Ein Auslesen ist mittels Generic Credentials (Benutzername + Passwort) nicht möglich!

Wir empfehlen bei der Authentifizierung ein Client Secret anstatt eines Zertifikats zu verwenden, da der Einrichtungsaufwand deutlich geringer ist.

Wenn die Erfassung erfolgreich war ist dies im Job-Monitor ersichtlich und die Daten aus dem Azure AD werden in den entsprechenden Active-Directory-Abfragen in LOGINventory angezeigt.

Die Daten zu den Micorsoft 365 Subscriptions stehen dann unterhalb des Knoten "Software" in den entsprechenden Abfragen zur Verfügung. Ebenso lassen sich diese Cloud-Subscriptions zum Lizenzmanagement hinzufügen.

Azure virtuelle Maschinen

Mit diesem Definitionstyp wird von Microsoft Azure ausgelesen, welche virtuellen Maschinen (VMs) angelegt wurden, welchen Status diese haben, sowie diverse Informationen zu Betriebssystem, IP-Adresse, Größe, Standort etc. ermittelt.

Dabei wird die Azure-Umgebung als "Hypervisor" betrachtet, sodass eine Zuweisung der VMs zu diesem Host (= der Azure Umgebung) in LOGINventory existiert.

Wie bei den anderen Hypervisor-Erfassungen auch, werden nur laufende VMs als Asset angelegt, siehe Besonderheiten bei der Hypervisor-Erfassung.

AWS virtuelle Maschinen

Mit diesem Definitionstyp wird von AWS (Amazon Web Services) ausgelesen, welche virtuellen Maschinen (VMs) angelegt wurden, welchen Status diese haben, sowie diverse Informationen zu Betriebssystem, IP-Adresse, Größe, Standort etc. ermittelt.

Dabei wird die AWS-Umgebung als "Hypervisor" betrachtet, sodass eine Zuweisung der VMs zu diesem Host (= der AWS Umgebung) in LOGINventory existiert.

Wie bei den anderen Hypervisor-Erfassungen auch, werden nur laufende VMs als Asset angelegt, siehe Besonderheiten bei der Hypervisor-Erfassung.

SQL Server Inventarisierung

Bei der SQL Server Inventarisierung können einzelne Server anhand des Namens oder der IP erfasst werden, oder es werden IP-Bereiche definiert, in denen nach SQL Server Installationen gesucht wird. Das verwendete Benutzerkonto sollte nach Möglichkeit Administrator-Rechte auf dem Datenbank-Server haben; es kann aber z.B. auch mit dem User "sa" und dem entsprechenden Kennwort (Generic Credentials) gescannt werden.

XenApp Inventarisierung

Die auf Citrix XenApp Servern publizierten Anwendungen und deren Zugriffsrechte-Einstellungen werden über die XenApp Inventarisierung erfasst. Dazu müssen keine weiteren Voraussetzungen auf dem LOGINventory-Rechner erfüllt sein. Beim Anlegen der entsprechenden Definition muss von jeder XenApp Server Farm nur jeweils ein Server inventarisiert werden.

Der Name dieses Servers muss im dafür vorgesehen Feld eingegeben werden. Beim Öffnen der Dropdown-Liste werden die Mitglieder der Gruppe „XenApp Servers“ zur Auswahl angezeigt.

XenServer Inventarisierung

Bei der XenServer Inventarisierung können bei Quelle die einzelnen zu erfassenden XenServer über den Full Qualified Domain Name oder über die IP-Adresse hinzugefügt werden. Das verwendete Benutzerkonto muss auf dem XenServer Administrator-Rechte besitzen.

Ausschluss von der Inventarisierung

Es ist möglich, bestimmte Geräte von einem Scan-Bereich auszuschließen (Achtung: gilt nur für Definitionen vom Typ Asset Inventarisierung ), indem Definitionen mit Ausschluss von der Inventarisierung gemeinsam mit einer anderen Definition ausgeführt werden. Dazu können diese entweder per Multi-Selektion gemeinsam gestartet werden oder in einem Job kombiniert werden.

Skriptbasierte Inventarisierung

Die skriptbasierte Inventarisierung ermöglicht es, dass über den Remote Scanner ein Powershell-Skript mit Übergabe-Parametern aufgerufen wird. Dieses Skript kann dazu genutzt werden, Daten aus einer Datenquelle auszulesen und diese in eine inv-Datei zu schreiben.

Da Sie die Skripte selbst erstellen / bearbeiten können, können Sie selbst festlegen, aus welcher Datenquelle welche Informationen gelesen werden sollen.

Über folgendes Github Repository stellen wir bereits einige Beispiele für Skripte mit verschiedenen Funktionen bereit:

https://github.com/loginventory/custom-scan-scripts

Bitte befolgen Sie die Anleitung bei Github, und legen Sie die Skripte, die Sie verwenden möchten, an den dafür vorgesehenen Orten ab. Daraufhin kann im Dropdown-Menü das gewünschte Skript ausgewählt werden.

Einer Definition vom Typ Skriptbasierte Inventarisierung können keine Benutzerkonten zugewiesen werden. Stattdessen müssen im Reiter Parameter hinterlegt werden, die dann im Skript verwendet werden sollen. So werden z.B. Zugangsdaten, Kunden-IDs, Filterbedingungen oder Ähnliches über Parameter an das Skript übergeben, je nachdem, was dieses benötigt.

Jobs

Über Jobs erstellen Sie Kombinationen von Scan-Definitionen, um so Ihr Netzwerk oder Teilbereiche optimal zu scannen.

• Sollen mehrere Scan-Definitionen gleichzeitig gescannt werden, kann diese Aufgabe in einem Job zusammengefasst werden. So brauchen nicht immer die einzelnen Definitionen angewählt zu werden.
• Wenn bestimmte Assets in einem Scanbereich nicht gescannt werden sollen, können Sie diese über die Definition einer Ausschluss-Inventarisierung angeben. Wird diese Definition mit Inventarisierungs-Definitionen kombiniert, werden die ausgeschlossenen Assets nicht gescannt.
• Scan-Definitionen können in mehreren Jobs verwendet werden.
• Jobs lassen sich deaktivieren, woraufhin der Zeitplan ignoriert wird und die Jobs nicht mehr automatisch ausgeführt werden.

Zeitplan

Mit Hilfe eines Zeitplans können Sie festlegen, zu welchen Zeitpunkten Jobs automatisiert ausgeführt werden, um das Netzwerk regelmäßig zu scannen.

Job Monitor

Sobald ein Job gestartet wurde (oder eine Definition über Auswahl starten), kann der Fortschritt der Inventarisierung über den Job Monitor beobachtet werden. In der oberen Ergebnisliste werden alle bisher gelaufenen und aktuell laufenden Jobs aufgeführt. Wird eine der aufgeführten Definitionen angewählt, wird der Status der Erfassung dieser Definition in der unteren Ergebnisliste aufgelistet. Für die laufende Inventarisierung lässt sich hier auch der Verlauf beobachten. Für beendete Asset-Scans werden u.a. angezeigt:

• der Status ("Finished", "Executing", "Queued" oder "None")
• das Resultat ("Ok", "Error" oder "None")
• Informationen zur Startzeit und Laufzeit
• Informationen zum Fehler (falls vorhanden), typische Gründe und Maßnahmen zur Fehlerbehebung

In vielen Netzwerkkonfigurationen können mit den ersten Scans nicht direkt alle Geräte erfolgreich erfasst werden. Wenn Fehler bei der Erfassung auftreten, sollte zunächst geprüft werden, welche Art von Gerät sich hinter der nicht erfolgreich inventarisierten IP-Adresse verbirgt. Wenn es sich z.B. um ein IP-Telefon handelt, das über keine Remote-Schnittstelle verfügt, kann das Gerät höchstens manuell in die Datenbank eingetragen werden. Ggf. ist auch das Hinterlegen von weiteren Benutzerkonten mit den nötigen Rechten erforderlich, die Firewall-Konfiguration muss angepasst werden. Oder auf den Geräten müssen Remote-Protokolle freigeschaltet werden.

Erfassung mittels Logon-Script

Windows-Rechner können über einen Aufruf der LOGINfo.exe inventarisiert werden. Dieser Aufruf kann im Logon-Script positioniert werden, damit sich Rechner bei der Benutzer-Anmeldung automatisch erfassen.

Voraussetzungen

Um die Erfassung mittels Logon-Script einzurichten, sind verschiedene Schritte notwendig. Wie bei der Datenverarbeitung beschrieben, entstehen bei der Erfassung von Rechnern .inv-Dateien. Diese Dateien müssen in dem zentralen Datenverzeichnis abgelegt werden, welches vom Dienst LOGINventory Data Service überwacht wird. Dieser Dienst trägt die Daten dann in die Datenbank ein.

Zur Erfassung eines Rechners wird das Programm LOGINfo.exe aufgerufen, welches sich im Datenverzeichnis befindet. Im LOGINventory Helpdesk steht auch eine Legacy-Version namens LogInfoL.exe zum Download zur Verfügung, welche zur Inventarisierung von alten Systemen, wie NT4, ME oder Windows 2000 dient. Sie können das Datenverzeichnis auch über die Taskleiste öffnen, indem Sie den Dienst LOGINventory Data Service wählen und sich Neue Inventardateien anzeigen lassen.

Der Speicherort des Datenverzeichnisses kann in den Einstellungen angepasst werden. Hier lässt sich auch das Verzeichnis freigeben, was für die Inventarisierung mittels Logon-Script notwendig ist. Standardmäßig wird der Freigaben-Name Li9Data verwendet. Wenn Sie das Verzeichnis über diesen Dialog freigeben, werden folgende Rechte im Dateisystem gesetzt: Authentifizierte Benutzer: Voll; Lokaler Dienst: Ändern.

Damit können alle User und Computer innerhalb der Domäne auf das Verzeichnis zugreifen und dort die LOGINfo.exe aufrufen, um sich selbst zu inventarisieren. Eine Automatisierung dieses Aufrufs ist sinnvoll und kann über das Logon-Script konfiguriert werden.

Konfiguration

In das Logon-Script kann z.B. folgender Aufruf aufgenommen werden, der keine Ausgabedaten anzeigt:

 START /B \\server\LI9DATA\LOGINfo.exe

Falls der Scan nur für lokal angemeldete Benutzer ausgeführt werden soll, kann folgendes Kommando verwendet werden:

 If "%SESSIONNAME%"=="Console" START /B \\server\LI9DATA\LOGINfo.exe

Alternative: Die folgenden Zeilen im Skript bewirken, dass LOGINfo.exe lokal ausgeführt wird, wobei zuvor geprüft wird, ob es eine neuere Version der LOGINfo.exe auf dem Server gibt. Die entstehende .inv-Datei wird dabei direkt auf dem Server abgelegt. Weiterhin wird die Erfassung nur gestartet, wenn der Anwender lokal an der Konsole angemeldet ist.

If "%SESSIONNAME%"=="Console" (
xcopy /d \\server\LI9DATA\LOGINFO.EXE %temp% 
start /b %temp%\LOGINfo.exe \\server\LI9DATA)

Anstatt "server" muss hier natürlich jeweils der Name des entsprechenden Servers mit der LOGINventory-Installation angegeben werden. Außerdem können auch noch weitere Parameter beim Aufruf der LOGINfo.exe mit übergeben werden, diese sind ausführlich unten beschrieben; notwendig ist dies aber nicht.

Wie ein Aufruf dieser Art in das Logon-Script integriert wird, ist ausführlich von Microsoft beschrieben. Hierbei gibt es zwei Varianten:

• Zuweisen von Benutzeranmeldeskripts: https://technet.microsoft.com/de-de/library/cc770908(v=ws.11).aspx
• Zuweisen von Skripts zum Starten des Computers: https://technet.microsoft.com/de-de/library/cc770556(v=ws.11).aspx

Nun wird automatisch beim Anmelden der jeweilige Rechner inventarisiert. In der Abfrage "Überblick letzte Erfassung" können Sie überprüfen, welche Methode zur Inventarisierung verwendet wurde und wann die Inventarisierung geschehen ist, indem Sie die Spalten LastInventory.Agent und LastInventory.Timestamp überprüfen.

Parameter

Durch die Parameter kann das Verhalten der LOGINfo.exe angepasst werden. Wird ein Schaltername angegeben, hat dieser Priorität vor einem Eintrag in der LOGINfo.script Datei.

LOGINfo.exe [!IpAddress] [DataDir] [/parameter1] [/parameter2] ...

Windows Offline Agent zur Erfassung von Rechnern außerhalb des LANs

Der LOGINventory Offline-Agent kann auf Windows-Rechnern mit .NET Framework 3.5 und höher benutzt werden, die selten oder nie im LAN sind, aber trotzdem inventarisiert werden sollen. Da mit den bisher vorgestellten Erfassungsmethoden nur Geräte erfasst werden können, die im Netzwerk verfügbar sind, ist eine zusätzliche Erfassungsvariante nötig, um beispielsweise Laptops von Außendienstmitarbeitern regelmäßig zu inventarisieren. LOGINventory stellt hierfür den Windows Offline-Agenten bereit. Dieser sorgt dafür, dass die entsprechenden Rechner sich selbstständig erfassen, diese Daten lokal puffern und bei vorhandener Netzwerkverbindung die gepufferten Daten selbstständig an den LOGINventory-Rechner senden.

Einrichtung

Die Veröffentlichung des Offline-Agenten kann über das Ribbon-Menü Extras gestartet werden.

Zunächst muss ein Verzeichnis ausgewählt werden, in dem die entsprechenden Dateien abgelegt werden sollen. Die Konfigurationsdaten werden zusammen mit den MSI-Setups in einem administrativen Installations-Punkt (AIP) zur Verfügung gestellt – also einem Verzeichnis, aus dem die administrative Installation ausgeführt werden kann.

Dann können für die verschiedenen Firewall-Profile Öffentlich, Privat und Arbeit jeweils eine URL und Anmeldedaten hinterlegt werden, mit denen die Daten übertragen werden können.

Dabei ist folgendes zu beachten:

• Die Geräte, auf denen der Offline-Agent installiert wurde, erfassen sich selbst und versuchen dann (je nach aktivem Windows-Firewall-Profil) die in diesem Schritt angegebene URLs zu erreichen und dort ihre .inv-Dateien abzulegen.
• Die bei konfigurierten URLs müssen vom Client aus (z.B. Internet) erreichbar sein; dies kann z.B. mittels Port-Forwarder, Reverse Proxy oder DMZ-Server realisiert werden.
• Wird ein Port-Forwarder zum LOGINventory-Rechner konfiguriert, dann muss hier der LOGINventory Web Viewer sowie ein Zertifikat für https installiert werden.
• Der Empfang der Daten ist außerhalb des LOGINventory Web Viewers auch mittels ASPX oder PHP möglich. Dazu kann der Button Upload Script Vorlagen erstellen verwendet werden. Diese Script-Dateien können ggf. angepasst werden.

Ist der Webserver, der von den Offline Agenten angesprochen werden soll, gleichzeitig der lokale LOGINventory-Rechner inklusive veröffentlichtem Web Viewer, so sind keine weiteren Konfigurationsschritte notwendig. Hier ist eine spezielle Version der Datei OfflineAgent.aspx zum Empfangen der Daten bereits vorhanden, welche die Daten automatisch im aktuell konfigurierten Daten Verzeichnis des Servers ablegt. Deswegen wird diese URL auch als Standard-Adresse vorgeschlagen.

Die vom Offline Agent empfangenen .inv-Dateien werden nun im Datenverzeichnis abgelegt (standardmäßig%Public%\Documents\LOGIN\LOGINventory 9\Data).

Durch Editieren der Datei OfflineAgent.aspx oder OfflineAgent.php können Sie den lokalen Speicherort nach Ihren Erfordernissen abändern. Aus Sicherheitsgründen sollte dies jedoch nicht das Verzeichnis sein, in dem OfflineAgent.aspx liegt.

Falls ein anderer Webserver verwendet wird, müssen die .inv-Dateien schließlich noch zur Verarbeitung durch den Data Service auf dem LOGINventory-Rechner in das Daten-Verzeichnis kopiert werden, z.B. durch Robocopy.exe.

Im zu Beginn des Wizards ausgewählten Ordner entstehen mehrere Dateien, die alle zur Installation benötigt werden, darunter die entsprechenden MSI-Pakete für 32-bit und 64-bit Systeme:

Zur Installation auf den zu erfassenden Clients, empfiehlt es sich das passende Paket direkt aus dem AIP zu starten.

Arbeitsweise

Ist der Offline-Agent auf einem Rechner installiert, werden jeden Tag zwei „geplante Aufgaben“ zur Inventarisierung mittels einer lokalen Kopie der LOGINfo.exe (siehe Logon-Skript-Methode) ausgeführt, und zwar:

• um 10:00 im Benutzer-Kontext eines angemeldeten Users (Achtung: Die Task im Benutzerkontext wird erst angelegt, wenn sich ein entsprechender Nutzer nach dem Setup neu an dem Gerät anmeldet.)
• um 20:00 im System-Kontext, also auch, wenn kein Benutzer angemeldet ist.

Ist der Rechner zu diesen Zeiten ausgeschaltet, werden die Scans innerhalb von maximal 24 Stunden nachgeholt.

Findet der Dienst "LOGINventory Offline Agent" im Verzeichnis "C:\Users\Public\Documents\LOGIN\LOGINventory 9\LocalData" (lokales Datenverzeichnis) neue Inventardateien (*.inv), und es existiert eine Netzwerkverbindung, dann wird kurz darauf versucht, diese Dateien an die in der Konfiguration definierte - zum aktuellen Firewall-Profil passende - URL zu übertragen und danach ein SelfUpdate durchzuführen (falls verfügbar).

Ein tägliches Protokoll der Kommunikation mit dem zentralen LOGINventory Server befindet sich auf dem Client mit installiertem Offline-Agenten im Verzeichnis %ProgramData%\LOGIN\LOGINventory\9.0\Logs.

Update des Offline-Agenten

Für das Bereitstellen eines Update des Offline-Agenten kann es verschiedene Gründe geben:

1. Durch ein Update von LOGINventory wird eine Änderung an der Logik des Offline-Agenten vorgenommen (z.B. um die Zuverlässigkeit zu verbessern). Darauf wird dann jeweils im LOGINventory-Changelog explizit hingewiesen. Diese Updates kommen in der Regel sehr selten vor.
2. Durch ein Update von LOGINventory wird die Erfassung der LOGINfo.exe geändert (z.B. werden jetzt neue Werte ausgelesen). In diesem Fall sollte den Clients eine neue Version der LOGINfo.exe bereitgestellt werden, damit diese von den Neuerung profitieren und Daten liefern, welche kompatibel zur aktuell installierten Datenbank-Version sind.
3. Durch den Administrator wird eine Anpassung der LOGINfo.script-Datei vorgenommen, weil z.B. eine Regel zum Setzen von eigenen Eigenschaften abhängig von der IP-Adresse hinzugefügt wurde. Damit diese für die Clients gilt, muss den Clients die aktualisierte Version der LOGINfo.script-Datei zur Verfügung gestellt werden.
4. In Zukunft soll bei der Übertragung der Daten oder beim Selfupdate eine andere Ziel-URL verwendet werden, z.B. weil die LOGINventory-Installation auf eine andere Maschine umgezogen wird.

Prinzipiell gibt es zwei unterschiedliche Arten an Updates, die Sie zur Verfügung stellen können. Geschehen tut das jeweils, indem Sie den Wizard zur Bereitstellung des Offline-Agenten erneut durchlaufen und auf der letzten Seite eine der beiden Selfupdate-Optionen auswählen:

Über die Schaltfläche OfflineAgent_msi.zip für Selfupdate erstellen wird für den ersten der beschriebenen Fälle eine zip-Datei erstellt, die sich die Offline-Agent-Installation herunterladen und sich damit selbst updaten. Dabei ist übrigens nicht nur das Update der "Logik" enthalten, sondern auch die aktuelle LOGINfo.exe und LOGINfo.script werden bereitgestellt. Damit wird quasi ein "vollständiges Update" bereitgestellt. Bei Verwendung eines anderen Webservers müssen Sie diese Datei ebenfalls manuell auf diesen Server kopieren. Ein Update an Hand dieser Dateien beim Offline Agent erfolgt dann automatisch bei der nächsten Verbindung, aber maximal einmal täglich.

Falls jedoch "nur" die LOGINfo.exe oder die LOGINfo.script geändert wurden (Fall 2 oder 3), muss kein "vollständiges Update" bereitgestellt werden, sondern es genügt den Button loginfo_script.zip für Selbstupdate erstellen zu klicken. Daraufhin wird eine Datei "loginfo_script.zip" erstellt, die die jeweils aktuelle Version der LOGINfo.exe und der LOGINfo.script enthält. Auch diese zip-Datei wird am Ende der nächsten Übertragung vom Client mit der Offline-Agent Installation heruntergeladen und damit ein Selbstupdate von nur diesen beiden Dateien ausgeführt.

Für den vierten Grund - also eine Änderung der Upload- / Selfupdate-URLs - muss wie folgt vorgegangen werden: Im Wizard zur erneuten Veröffentlichung des Offline Agenten werden zunächst die neuen URLs eingetragen. Dann muss die Aktion OfflineAgent_msi.zip für Selfupdate erstellen (also die vollständige Aktualisierung) ausgeführt werden.

Linux Offline Agent

Mit dem Linux Offline Agent können sich Linux-Maschinen selbst erfassen und die Daten eigenständig zum LOGINventory-Server übertragen. Dazu werden unterschiedliche Pakete-Typen für die jeweiligen Linux-Derivate im Programmverzeichnis im Unterordner LoginfoXScripts (standardmäßig C:\Program Files\LOGIN\LOGINventory9\LoginfoXScripts) ausgeliefert.

Installation des Agenten

So kann zum Beispiel das .deb-Paket für Ubuntu und das .rpm-Paket für CentOS verwendet werden. Um den Agenten zu installieren, sollte wie folgt vorgegangen werden:

1. Transferieren des gewünschten Pakets auf die Linux-Maschine (z.B. via WinSCP)
2. Installieren Sie
   
   • das .deb-Paket mittels sudo apt install /path/to/package/name.deb
   • das .rpm-Paket mittels rpm -i /path/to/package/name.rpmBekanntes Problem: Das rpm-Kommando könnte sich über fehlende perl-Abhängigkeiten beschweren. In diesem Fall bitte --nodeps an die Kommandozeile anfügen.
3. Durch die Installation wurden
   • ein Inventarisierungs-Skript loginfo.shangelegt (/opt/loginfox/loginfox.sh)
   • ein täglicher Cronjob angelegt, der die Erfassung um 10:00 Uhr startet und im Anschluss die .inv-Datei überträgt (/etc/cron.d/loginfox)
4. Um die automatische Übertragung der Dateien zu aktivieren, müssen noch die Inhalte von zwei Dateien angepasst werden:
   • Die Upload-URL unter der die bei der Erfassung entstehende .inv-Datei abgelegt werden soll (z.B. OfflineAgent.aspx): /etc/loginfox/loginfox_url.config
     z.B. http://my-inventory-server/LOGINventory9/OfflineAgent.aspx
   • Die Credentials, die für die den Zugriff auf die Upload-URL verwendet werden sollen: /etc/loginfox/loginfox.config
     z.B. --user ACCOUNT@DOMAIN:PASSWORD

Weiter Hinweise zur Einrichtung der Upload-URL finden sich auch bei der Beschreibung des Windows Offline Agenten.

Manuelle Datenübertragung

Falls Ihr Linux-System keine .deb-Pakete oder .rpm-Pakete unterstützt, können Sie auch selbst eine .tgz-Datei auf ein entsprechendes Gerät kopieren, entpacken und ausführen. Die entstehende .inv-Datei muss dann manuell zurück kopiert werden, bzw. eine Übertragung selbst eingerichtet werden.

Dazu kann die Datei loginfo.tgz aus dem Unterordner LoginfoXScripts auf der Linux Maschine mittels tar xfz loginfo.tgz entpackt werden. Die Erfassung wird dann mittels ./loginfox.sh gestartet.

macOS Offline Agent

Einrichtung

Durch die Veröffentlichung des Windows Offline Agenten wird ein Verzeichnis erzeugt, in dem sich die benötigten Setup-Dateien befinden. Dabei steht auch ein Unterordner "macOS", in dem sich die Dateien zur Installation auf macOS befinden.

Zur Installation auf macOS werden die beiden Dateien loginfox.config und loginfox-macos-installer(version).pkg benötigt.

In der loginfox.config ist dabei hinterlegt, wohin der macOS-Agent seine inv-Dateien schicken soll. Dabei werden die im Veröffentlichungs-Prozess im Reiter "Öffentlich" hinterlegte URL und Passwort verwendet und diese verschlüsselt in der Datei hinterlegt. Falls die URL oder Benutzer / Passwort geändert werden sollen, empfiehlt es sich den Veröffentlichungs-Dialog erneut zu durchlaufen, woraufhin die loginfox.config aktualisiert wird. Die verschlüsselten Informationen werden durch die Installation unverschlüsselt auf dem macOS-Gerät im Verzeichnis "/Library/loginfox/(version)/" hinterlegt, damit sie für die Übertragung verwendet werden können. Die Rechte zum Einsehen der Datei wurden jedoch auf das Nötigste beschränkt.

Alternativ kann auch im Klartext in der loginfox.config hinterlegt werden, wohin die inv-Dateien geschickt werden sollen und mit welchem Benutzer die Übertragung stattfinden soll, indem folgende Syntax verwendet wird:

--user usr:pwd
--url https://{ADDRESS}{:PORT}/{UPLOAD-URL}

also z.B.

--user OfflineAgent@domain.local:MyPassword123
--url https://inventoryserver/LOGINventory9/OfflineAgent.aspx

Zur Installation auf dem macOS-Gerät müssen also die beiden Dateien loginfox.config und loginfox-macos-installer(version).pkg auf das Zielgerät in das Verzeichnis "/Users/Shared" kopiert werden.

Um das Setup zu starten, kann entweder ein Doppelklick auf die pkg-Datei gemacht werden und der Installations-Wizard durchlaufen werden, oder folgender Befehl in einem Terminal-Fenster ausgeführt werden:

sudo installer -pkg /path/to/package.pkg -target /

Nach der Installation können die Setup-Dateien gelöscht werden.

Arbeitsweise

Der installierte Offline Agent besteht aus mehreren Komponenten:

• Inventarisierungs-Skript: Die Datei "/Library/loginfox/(version)/loginfox.sh" führt die Inventarisierung des macOS-Geräts durch
• Automatismus zum regelmäßigen Ausführen: Täglich um 10 Uhr wird der Offline Agent durch einen launchd-Prozess gestartet: "/Library/LaunchDaemons/com.loginventory.loginfox.plist"
• Übertragung der inv-Datei: Die entstehende inv-Datei wird zur vorkonfigurierten http(s)-URL via curl-Befehl durch die loginfox.sh-Datei übertragen (siehe Einrichtung)

Softwarenutzungs-Auswertung mit LOGINuse

Standardmäßig verwendet LOGINventory zur Ermittlung des Zeitpunkts der letzten Benutzung einer Anwendung die entsprechende Windows Explorer Statistik („Last recently used“ bzw. „Zuletzt geöffnete Programme“). Diese Statistik ist bei allen unterstützten Windows Betriebssystemen ab 2000 im jeweiligen Benutzerkontext vorhanden, berücksichtigt jedoch nur die über Startmenü, Desktop oder Explorer gestarteten Anwendungen - also nicht den Taskbar!

Zusätzlich bietet LOGINventory auch einen eigenen Benutzungsstatistik-Agenten: LOGINuse. Damit werden alle benutzten Anwendungen (.exe, .jar, und .bat) (z.B. auch über Kommandozeile) von allen Benutzern eines Rechners erfasst. Dies funktioniert u.a. auch auf Terminalservern. LOGINuse sammelt seine Informationen in einer eigenen lokalen Datenbank. Wenn ein Programm das dritte Mal gestartet wurde und jeweils mindestens 10 Sekunden gelaufen ist, wird dieses Programm als „benutzt“ notiert. Diese Daten werden bei der normalen Inventarisierung des Systems eingesammelt und in die LOGINventory-Datenbank übertragen. Falls LOGINuse Daten zur Verfügung stehen, werden eventuell vorhandene Daten in der Windows-Statistik für dieses System ignoriert!

Installation

LOGINuse wird in einer MSI-Datei mitgeliefert, die in einen zentralen InstallationsPunkt (AIP) kopiert werden sollte. Von dort aus erfolgt die Verteilung auf die Client-Systeme z.B. über Group-Policies oder einen anderen der vorhandenen Mechanismen.

Da LOGINuse eine 32-Bit-Applikation ist, wird das Programm auf den 64-Bit Systemen unter dem Pfad %ProgramFiles(x86)%\LOGIN installiert. Zudem wird ein automatisch startender Dienst LOGINuse Service konfiguriert (Anmeldung mit dem lokalen Systemkonto). Wie bei allen MSI-Setups sollte die Original-MSI-Datei nach der Installation aufgehoben werden, um ggf. LOGINuse wieder deinstallieren zu können.

Regeln zur Erfassung

Für die Erfassung von LOGINuse gelten folgende Regeln:

• Es werden nur interaktive Prozesse erfasst, die im User-Kontext laufen.
• Es werden nur Prozesse erfasst, die außerhalb von %SYSTEMROOT% (inkl. Unterverzeichnisse) gestartet wurden.
• Es werden nur Prozesse erfasst, die mehr als 10 Sekunden Laufzeit zwischen Start und Stopp haben.
• Es werden nur Prozesse erfasst, die mindestens dreimal den o.a. Bedingungen entsprechen.
• Sichtbar sind die Ergebnisse frühestens 8 Stunden später in der LOGINventory-Datenbank!

Mit diesen Regeln soll erreicht werden, dass nur die echte Benutzung von Software-Paketen berücksichtigt wird, also:

• nur Pakete gezählt werden, die nicht in Windows enthaltenen sind
• ein versehentlicher Start (mit sofortigem Stopp) nicht erfasst wird
• der Funktionstest nach der Installation nicht erfasst wird
• keine unmittelbare Überwachung der Benutzer erfolgen kann

Beispiele:

Auslesen unterdrücken

Das Auslesen der LOGINuse-Datenbank während des Scannens kann unterbunden werden über den Schalter //NoLoginUse 1. Der Schalter kann entweder als Kommandozeilen-Parameter in der Scan-Definiton bzw. für das Programm LOGINfo.exe gesetzt werden, oder über die Datei LOGINfo.script.

Konfiguration des Daten-Verzeichnisses

Wenn nicht anders konfiguriert, schreibt LOGINuse seine Daten in das Verzeichnis%ProgramData%\LOGIN\LOGINventory\9.0\LOGINuse. Dies lässt sich pro Rechner umkonfigurieren, indem folgender Registry-Wert angelegt und gesetzt wird: HKLM\Software\LOGIN\LOGINuse, DataLocation. Dies kann zum Beispiel über folgende Kommandozeile (als Administrator) geschehen:

C:\> reg add HKLM\Software\LOGIN\LOGINuse, /v DataLocation /t REG_SZ /d "d:\LoginUseData" /f

Bei einer Deinstallation wird die lokale Datenbank gelöscht. Falls dies nicht erwünscht ist (z.B. weil im Anschluss eine Neuinstallation geplant ist), sollte zuvor ein Backup des lokalen Daten-Verzeichnisses angefertigt werden.

Manuelles Einfügen von Daten

Neben den verschiedenen automatisierten Verfahren gibt es auch die Möglichkeit, Daten manuell in LOGINventory einzufügen.

Lokale Erfassung mittels USB-Stick

Falls Sie Windows-Geräte nicht Remote oder per Logon-Script erfassen können, da diese gar keine Netzwerkkarte haben oder deren APIs das Vorgehen nicht unterstützen, können Sie sich auch die LOGINfo.exe auf einen USB-Stick kopieren und diese am zu erfassenden Rechner ausführen. Dabei gehen Sie am besten wie folgt vor:

1. Kopieren Sie das Datenverzeichnis inklusive LOGINfo.exe (normalerweise zu finden unter C:\Users\Public\Documents\LOGIN\LOGINventory 9\Data) auf einen USB-Stick.
2. Entfernen Sie den USB-Stick vom LOGINventory Rechner, gehen zum isolierten PC und stecken den USB-Stick ein.
3. Starten Sie den Windows Explorer, navigieren zum USB-Stick, starten die LOGINfo.exe und warten, bis eine .inv-Datei auf Ihrem USB-Stick erstellt wurde.
4. Entfernen Sie den USB-Stick wieder vom isolierten PC und gehen zurück zum LOGINventory Rechner.
5. Kopieren Sie die neue .inv-Datei in das Datenverzeichnis des LOGINventory Rechners.
6. Vergewissern Sie sich, dass der Dienst LOGINventory Data Service läuft und die Daten in die Datenbank eingetragen werden (die .inv-Datei verschwindet nach kurzer Zeit).

Manuelles Anlegen von Assets

Assets können über zwei unterschiedliche Benutzeroberflächen selbst angelegt werden: Um schnell und einfach ein oder mehrere Assets mit grundlegenden Eigenschaften anzulegen empfiehlt sich die Verwendung des Asset-Editors.
Falls zum manuell angelegten Asset 1:n-Beziehungen, wie z.B. die vorhandenen Software-Pakete hinterlegt werden sollen, ist dies nur mittels LOGINject möglich (veraltet).

Asset-Editor

Über das Ribbon-Menü kann ein Neues Asset angelegt werden, falls Sie sich unterhalb des Asset-Management-Knotens befinden.

Beim Anlegen von manuellen Assets kann zwischen drei vordefinierten Typen gewählt werden: Computer, Mobil, Peripherie-Gerät.

Je nach ausgewählten Typ stehen andere - für den jeweiligen Typ relevante - Felder zum Befüllen zur Verfügung. Bei Katalog-Einträgen, wie z.B. Asset-Modell oder Betriebssystem-Informationen haben Sie die Möglichkeit aus den bisher in der Datenbank vorhandenen Einträgen auszuwählen oder auch neue Einträge anzulegen.

Durch einen Klick auf OK wird das Asset angelegt. Falls noch ein weiteres ähnliches Gerät angelegt werden soll, kann oben rechts auf das Save & Next-Symbol geklickt werden. Dadurch werden alle bisher befüllten Einträge übernommen, bis auf den Namen.

Falls ein manuell angelegtes Gerät editiert werden soll, ist dies möglich, indem das Gerät in der Datenansicht gewählt und dann im Ribbon-Menü Asset Bearbeiten ausgewählt wird.

Anlegen von Peripherie-Geräten

Beim Anlegen von Peripherie-Geräten gibt es einige Besonderheiten zu beachten. Alle eingangs erwähnten Anmerkungen gelten aber weiterhin.

Um Peripherie-Geräte anzulegen, kann entweder, wie oben beschrieben, über Neues Asset der Asset-Editor geöffnet werden, oder es können bei Monitoren und via USB angeschlossenen Geräten die Informationen, die durch die Erfassung gesammelt wurden, übernommen werden.

Veraltet: LOGINject

Über das Ribbon-Menü unter Extras kann der Assistent LOGINject zum Manuellen Anlegen von Assets gestartet werden, wenn im Baum zu Asset-Management (oder unterhalb) navigiert wurde.

Bei 1:1-Beziehungen können die entsprechenden Felder direkt befüllt werden.

Bei Katalogeinträgen (z.B. Software-Pakete) können bestehende Einträge auf der rechten Seite per Drag & Drop ausgewählt werden. Falls ein bisher nicht in der Datenbank existierender Eintrag geschrieben werden soll, muss dieser ebenfalls zunächst auf der rechten Seite in eine freie Zeile geschrieben werden und kann dann dem Gerät zugeordnet werden.

Über die Funktion Datei → Asset speichern werden die Daten direkt in die LOGINventory-Datenbank übertragen.

Einlesen von Assets, Lizenzen und Eigenen Eigenschaften aus csv-Dateien

Um ein Mapping zu definieren, kann der Daten-Import aus dem Ribbon-Menü Extras aufgerufen werden. Daraufhin kann eine csv-Datei aus einem beliebigen Speicherort gewählt werden, um eine Import-Definition anzulegen. Für jeden Import muss ein eindeutiger Name vergeben werden und es muss eine Tabelle aus dem LOGINventory-Datenmodell ausgewählt werden, in der sich der Schlüssel für die Daten befindet.

Abhängig von der ausgewählten Tabelle stehen dann bei der Zuordnung unterschiedliche Zielspalten zur Verfügung.

Beim Einlesen von Assets kann in den Spalten Editierbar und Subtyp eine Einstellung vorgenommen werden: Wenn die neu einzulesenden Geräte im Nachgang über den Asset-Editor editierbar sein sollen, muss der Haken bei Editierbar gesetzt sein. Ausschließlich, wenn die Tabelle Device gewählt wird, kann ein Subtyp ausgewählt werden, der bestimmt, mit welchem Asset-Editor das Gerät im Nachhinein editiert werden soll: Handelt es sich um ein normales Gerät, muss kein Subtyp selektiert werden, handelt es sich um ein Smartphone oder Tablet, muss der Subtyp "Mobile" selektiert sein.

Wenn die Zuordnung erfolgreich durchgeführt wurde, kann durch einen Klick auf Übernehmen die Datei eingelesen werden.

Modifikation der Datenermittlung

Die standardmäßig ermittelten Daten lassen sich durch eigene Regeln erweitern. Dazu benutzen die agentenlosen Scans und die Erfassung mittels Logon-Script mit LOGINfo.exe die Datei LOGINfo.script; diese Datei befindet sich im Unterverzeichnis Script des Datenverzeichnisses (standardmäßig C:\Users\Public\Documents\LOGIN\LOGINventory 9\Data). Diese Script-Datei wird bei jeder Inventarisierung eines Assets ausgewertet. Das bedeutet, dass alle Anpassungen hier den gesamten Erfassungsprozess beeinflussen.

In dieser Script-Datei können

• über !SET-Befehle Schalter gesetzt werden, die vor der Inventarisierung ausgewertet werden und diese so beeinflussen können. Über diese Schalter lassen sich z.B.
  • die Timeouts für die Inventarisierung anpassen
  • das Lesen von zusätzlichen Informationen (wie z.B. Schriftarten) aktivieren
  • das Lesen von bestimmten Informationen während der Inventarisierung abschalten (z.B. Programm-Usage Daten, Netinstall-Pakete, Software Uninstall Informationen, Dienste)
    Dazu müssen die nicht mehr zu erfassenden Daten mit einem Komma getrennt aufgelistet werden, also z.B. !SET Ignore=BootLog,Event
• über zusätzliche Kommandos die Daten nach der Inventarisierung modifizieren:
  • Über Bedingungen und Vergleiche können Werte eingegrenzt werden.
  • Eigene (frei definierbare) Eigenschaften können Asset-bezogen zugeordnet werden, z.B. „Standort“-Informationen, Umgebungsvariablen, Werte aus WMI oder der Registry, bestimmte Dateieigenschaften.

• einfache Eigenschaften der LOGINventory-Datenbank können direkt geändert werden, z.B. kann der Wert für den Namen der gelesenen CPU geändert oder überschrieben werden.

  • Über das Kommando Cpu.Name=%$Cpu.Name% X1234 wird z.B. aus dem Eintrag AMD Athlon™ 64 X2 Dual Core Processor → AMD Athlon™ 64 X2 Dual Core Processor X1234

  • Einträge von Listeneinträgen können hinzugefügt, modifiziert oder entfernt werden.

  • Das Kommando !Modify NetworkAdapter Name=Broadcom NetXtreme-Gigabit-Ethernet, Name=Gigabit, DefaultGateway=10.11.12.14 ändert z.B. in dem Netzwerk-Adapter Eintrag mit Namen „Broadcom NetXtreme-Gigabit-Ethernet“ den Namen und den Eintrag für das Default-Gateway

Die Namen der Eigenschaften entsprechen den Spaltenüberschriften in LOGINventory.

Verfügbare Kommandos

Schalter

In die LOGINfo.script-Datei können Schalter eingefügt werden, um den Erfassungsprozess weiter anzupassen. Dazu kann folgende Syntax verwendet werden: !SET Befehl=Wert. Viele der angebotenen Einstellungen sind auch in den jeweiligen Scan-Definitionen direkt einstellbar.

Anlegen von Eigenen Eigenschaften

Sie können selbst Eigenschaften anlegen und ihnen Werte zuweisen. Um die Werte dieser Eigenschaften zu ändern, wird entweder ein Eintrag in der Datei LOGINfo.script benutzt – oder Sie können dies in LOGINventory interaktiv tun.

Die Eigenschaften, die über die Script-Datei erzeugt werden, haben immer den Typ String – im Gegensatz zu im LOGINventory angelegten Eigenen Eigenschaften, welche den Typ String, Int64 oder DateTime haben können. Weitere Informationen zu diesem Thema finden Sie bei den Eigenen Eigenschaften.

Verwenden Sie keine Leer- oder Sonderzeichen (z.B. $#_&-) im Eigenschaftsnamen!

Listeneinträge verändern

Vorhandene Listeneinträge (z.B. Software-Pakete) können geändert werden. Dies ist z.B. nützlich, wenn man eine Seriennummer hinzufügen oder die Softwarebezeichnung einer bestimmten Software ändern will. Die Benutzung von Wildcards ? und * wird dabei unterstützt. Es werden alle Einträge geändert, auf die der Ausdruck passt.

Unter Verwendung der Syntax !MODIFY tabelle bedingung Eigenschaft1=Wert1[,Eigenschaft2=Wert2 …] werden die Einträge dabei verändert, also z.B.

• Ergänzung von ProduktID und Produkt-Schlüssel beim Softwarepaket: !MODIFY SoftwarePackage Name=Nero*, PRODUCTID=reg:"HKEY_LOCAL_MACHINE\!32!SOFTWARE\Ahead\Nero – Burning Rom\Info”,user}, PRODUCTKEY={reg:"HKEY_LOCAL_MACHINE\!32!SOFTWARE\Ahead\Nero – Burning Rom\Info",Serial5}
• Ersetzen des SW-Paket-Namens durch konstanten Namen: !Modify SoftwarePackage Name=*WinZIP*,Name=File Compressor
• Ersetzen des SW-Paket-Namens durch seinen Namen und die Versionsnummer : !MODIFY SoftwarePackage NAME=Acrobat,NAME=$NAME$ $VERSION$
• Ergänzung von Produkt-Schlüsseln aus der Registry: !MODIFY SOFTWAREPACKAGE NAME=VMware Workstation, PRODUCTKEY={reg:"HKEY_LOCAL_MACHINE\!32!SOFTWARE\Vmware, Inc.\Vmware Workstation\License.ws.*",Serial}

Mit Hilfe der Syntax !BLOCK tabelle bedingung kann auch das Eintragen von gewissen Werten verhindert werden, z.B. !Block SoftwarePackage Name=LOGINventory oder !Block Hotfix Product=.Net*.

Beispiele

Setzen einer Eigenen Eigenschaft "Standort" abhängig vom IP-Bereich der Erfassung

!IF {like:%$Lastinventory.Ip%,192.168.10.*}
Custom.Standort=Munich
!ENDIF

!IF {like:%$Lastinventory.Ip%,192.168.20.*}
Custom.Standort=Berlin
!ENDIF

Hinzufügen eines Software-Pakete-Eintrags, obwohl weder in der Registry, noch in der "Add / Remove Software-Liste" Einträge zu finden sind (geschieht z.B. bei Paketmanagern, die über die Kommandozeile installiert wurden)

!IF {fileexist:"%programdata%\chocolatey\choco.exe"}
!ADD SoftwarePackage Name=Chocolatey,Version={fileversion:"%programdata%\chocolatey\choco.exe"}
!ENDIF

Ändern des ausgelesenen ChassisTypes für bestimmte Geräte (in Abhängigkeit vom ausgelesenen Betriebssystem-Namen)

!IF {like:%$Operatingsystem.Name%,*SonicWALL*}
DeviceInfo.ChassisType=Sonic
!ENDIF

Verhindern der Erfassung von Software-Paketen, die aus einem bestimmten Pfad installiert wurden (z.B. durch Software-Verteilung)

!Block SoftwarePackage InstallSource=*dfs\apps\*

Anpassung unter Linux

Die Datei LOGINfo.script wird nicht beachtet, falls es sich um eine Erfassung eines Linux-basierenden Geräts handelt. Hierfür kann aber auf dem zu scannenden Gerät eine Datei abgelegt werden, mit der es möglich ist verschiedene Einträge zu modifizieren, bzw. neue Einträge selbst zu schreiben.

Dafür muss eine Datei "custom.xml" im Pfad /opt/loginfox/custom.xml abgelegt werden, die folgenden Aufbau hat:

<?xml version="1.0" encoding="utf-8"?>
<Device>
<Name>custom name</Name>
<Custom>
<myvalue>myvalue content</myvalue >
</Custom>
<DeviceInfo>
<Description>device description</Description>
</DeviceInfo>
<OperatingSystem>
<Name>os name</Name>
<Version>os version</Version>
<Domain>os domain</Domain>
</OperatingSystem>
<SoftwarePackage>
    <NAME>F-Secure Policy Manager</NAME>
    <VERSION>14.20</VERSION>
    <INSTALLDATE.VALUE>2018-12-04T00:00:00Z</INSTALLDATE.VALUE>
    <PUBLISHER>F-Secure Corporation</PUBLISHER>
</SoftwarePackage>
<SoftwarePackage>
    <NAME>FileZilla Server</NAME>
    <VERSION>beta 0.9.60</VERSION>
    <INSTALLDATE.VALUE>2018-12-04T00:00:00Z</INSTALLDATE.VALUE>
    <PUBLISHER>FileZilla Project</PUBLISHER>
</SoftwarePackage>
</Device>

Die hier gesetzten 1:1-Beziehungen (z.B. Device.Name, OperatingSystem.Name, ...) überschreiben die eigentlich ausgelesenen Werte. Die Einträge bei den SoftwarePackages werden zu den bereits ausgelesenen Einträgen hinzugefügt.

Fehlermeldungen bei der Erfassung

Alle bekannten Fehler, die bei der Erfassung auftreten können, deren typische Gründe und wie die Fehler behoben werden können, sind im Helpdesk von LOGINventory beschrieben.