Vad är en inventeringsagent?

En inventeringsagent (asset agent) är ett litet program som installeras på en dator, inventerar enhetens hårdvara och programvara och rapporterar detaljerna till ett centralt inventariesystem. Det är agenten i agentbaserad inventering - ett av de två standardsätt som ITAM-verktyg använder för att ta reda på vad som faktiskt finns på en maskin; det andra är agentlös skanning över nätverket. Du ser den också kallas inventeringsagent, ITAM-agent eller endpoint-agent; det handlar om samma sak.

Det här lär du dig

• Så fungerar en inventeringsagent
• Vad en inventeringsagent rapporterar
• Hur en inventeringsagent rullas ut
• Agentbaserad eller agentlös inventering
• Inventeringsagent kontra molnagent kontra säkerhetsagent
• Enheter som inte kan köra en agent
• Varför en inventeringsagent slutar rapportera
• Vad en agent inte kan se

Så fungerar en inventeringsagent

Agenten installeras en gång - oftast inbakad i standardimagen eller utrullad via ett hanteringsverktyg när enheten registreras - och arbetar sedan tyst i bakgrunden. Enligt schema, eller när något ändras, samlar den in inventeringsdata och rapporterar till sin server, som uppdaterar enhetens post. Avtrycket är medvetet litet: agenten ligger för det mesta vilande, vaknar kort för att skanna och skickar en kompakt, krypterad inrapportering. Eftersom den inrapporteringen går ut över internet på vanlig utgående HTTPS (port 443) och inte bara på kontorsnätverket fortsätter en laptop hemma hos medarbetaren att rapportera precis som en på kontoret - agentens största praktiska fördel.

Vad en inventeringsagent rapporterar

Detaljerna varierar mellan produkter, men rapporten täcker vanligtvis fyra områden:

• Hårdvara - tillverkare, modell, serienummer, processor, minne, lagring och ofta MAC-adress och senast inloggade användare.
• Programvara - operativsystem och version, installerade program och versioner, ibland med användningsmätning som visar vad som faktiskt startas - underlag för licenshanteringen.
• Konfiguration och nätverk - värdnamn, IP-adress, domän- eller arbetsgruppstillhörighet och viktiga inställningar som krypterings- och brandväggsstatus.
• Status - senaste rapporttillfälle, patchnivå, ledigt diskutrymme och drifttid.

I större organisationer fyller denna ström ofta en CMDB, där enhetsdata kopplas till tjänster och system som beror på den. Det är också det renaste skyddet mot skugg-IT: program som installerats utan godkännande dyker ändå upp i agentens rapport.

Hur en inventeringsagent rullas ut

Att få en agent på en maskin är enkelt; att få den på varje maskin är det verkliga arbetet, och varje seriöst ITAM-verktyg dokumenterar vägarna dit. De fyra vanligaste:

1. Standardimage - agenten är en del av standardbygget, så varje ny enhet levereras med den redan installerad och registrerad.
2. Utknuffning via hanteringsverktyg - en befintlig plattform för enhetshantering installerar agenten på distans på de maskiner den redan hanterar.
3. Grupprincip (GPO) - i en Active Directory-domän tilldelas ett MSI-paket via grupprincip, så att domändatorerna installerar det vid nästa omstart.
4. MDM / Intune - mobil enhetshantering fördelar agenten till registrerade Windows-maskiner, med motsvarande registreringsprofiler för macOS och Linux.

Det finns en hake som varje utrullning stöter på: du behöver en lista över enheter att knuffa ut agenter till, men du har ingen pålitlig lista förrän agenterna rapporterar. Det här hönan-och-ägget-problemet - ibland kallat utrullningens moment 22 - är precis därför ett välskött register hör hemma vid sidan av agenten, inte efter den. Ett register som matats från inköpsuppgifter och IT-inventering talar om vilka maskiner som borde rapportera men ännu inte har dykt upp.

Agentbaserad eller agentlös inventering

Agentlös inventering skannar nätverket från en central punkt, med administratörsbehörighet och standardprotokoll - SNMP för nätverksutrustning, WMI på Windows, SSH eller WinRM för fjärrfrågor - för att fråga ut vad som svarar. Inget behöver installeras, vilket ger en snabb start och är enda alternativet för enheter som inte kan köra en agent. Priset är täckning och djup: den ser bara enheter som sitter på nätverket, är påslagna och nåbara i skanningsögonblicket, och hämtar oftast mindre detalj. Agenter är motsatsen - rikare data oavsett var enheten befinner sig, mot priset att distribuera och underhålla ett program på varje maskin, plus den lilla angreppsyta och patchbörda som programmet lägger till. Många team kör båda: agenter på de laptops som rör på sig, schemalagda skanningar av den fasta infrastruktur som aldrig lämnar racket.

Inventeringsagent kontra molnagent kontra säkerhetsagent

“Agent” är ett överlastat ord, och förvirringen är som värst när tre olika sorter körs på samma enhet:

• Inventeringsagent - rapporterar inventering av hårdvara och programvara för ITAM. Det är den här artikeln beskriver.
• Säkerhets- / EDR-agent - bevakar enheten efter hot och misstänkt beteende och kan blockera eller sätta i karantän. Dess jobb är skydd, inte inventering.
• Övervaknings- / molnagent - håller koll på moln- eller SaaS-arbetslaster, ofta via API:er snarare än ett installerat program, vilket gör den i praktiken agentlös på plattformssidan.

De samsas utan problem; en hanterad laptop kan bära alla tre. När en leverantör eller kollega säger “agenten” är det värt att bekräfta vilken de menar innan ni jämför.

Enheter som inte kan köra en agent

En agent körs bara på en allmän dator - Windows-, macOS- eller Linux-stationära datorer, laptops och servrar. En stor klass av strömförsörjd, nätverksansluten utrustning kan helt enkelt inte hysa någon eftersom det inte finns någonstans att installera programvara: nätverksväxlar och routrar, skrivare och multifunktionsenheter, IP-telefoner, industriell utrustning och driftteknik (OT) samt den breda familjen av begränsade, inbyggda enheter som marknaden kallar IoT. De finns som enhetskategorier i varje verksamhet; en agent kommer aldrig att täcka dem. Agentlösa protokoll kan fråga ut vissa av dem, men resten identifieras bara för att någon antecknade dem. Det är samma glapp som ett välskött register och inventarieetiketter är byggda för att täppa till.

Varför en inventeringsagent slutar rapportera

Även på maskiner som kan köra en agent försämras täckningen. En enhet som inte rapporterat på ett tag - många verktyg flaggar allt äldre än ungefär 15 dygn som inaktuellt - har oftast träffat en av en kort lista orsaker:

• Agenten avinstallerades eller blev korrupt, eller installerades aldrig från början.
• Maskinen är offline, tagen ur bruk eller ominstallerad utan att registreras på nytt.
• Utgående anslutning blockeras av en proxy eller brandvägg, så agenten kan inte nå sin server på port 443.
• En tidigare installation lämnade en dubblettpost, så en fysisk enhet visas som två.

Det här är agentglidning: glappet mellan vad den centrala konsolen rapporterar och hur datorparken faktiskt ser ut, som vidgas tyst när maskiner faller bort. Den praktiska lärdomen är att en agenträkning aldrig är en ren inventering på egen hand - den behöver regelbunden avstämning mot ett register som underhålls oberoende av om varje agent fortfarande hör av sig.

Vad en agent inte kan se

Utöver de programvaruinkapabla enheterna ovan är en agent blind för allt som är strömlöst eller perifert: skärmar, dockningsstationer, headset, tangentbord, reservdatorer (laptops) som fortfarande ligger i kartong i skåpet, och allt som raderats eller stått avstängt i månader. Enheter slutar dessutom rapportera precis när det betyder som mest - när de är borttappade, tagna ur bruk eller ligger i en låda i väntan på avveckling.

Automatisk inventering svarar alltså på “vad finns på datorerna?” - aldrig på “var är allt, och vem har det?”. Den frågan kräver ett välskött register och fysiska etiketter, oavsett hur bra agentdatan är. AMPthilly täcker register- och etikettsidan: ett register för både IT och fysisk utrustning, med utskrivbara QR-etiketter som skannas med mobilkameran i webbläsaren - ingen app att installera - så att utrustning utan nätverksanslutning, sådan ingen agent någonsin rapporterar, identifieras med en skanning i stället. Agentflödet och registret kompletterar varandra; de konkurrerar inte.

Vanliga frågor

Vad är skillnaden mellan agentbaserad och agentlös inventering? Agentbaserad inventering installerar ett litet program på varje enhet, som rapporterar en detaljerad inventering så fort enheten har internetanslutning. Agentlös inventering skannar nätverket från en central punkt med administratörsbehörighet och standardprotokoll som SNMP, WMI och SSH eller WinRM, så inget behöver installeras - men den ser bara enheter som är påslagna och nåbara i skanningsögonblicket, och oftast med mindre detalj. Många organisationer kör båda: agenter på de laptops som rör på sig, schemalagda skanningar av fast infrastruktur.

Hur rullar man ut en inventeringsagent över hela datorparken? De flesta team rullar ut agenten på ett av fyra sätt: bakar in den i standardimagen så att varje ny maskin levereras med den, knuffar ut den via ett hanteringsverktyg, distribuerar ett MSI-paket via grupprincip i en Active Directory-domän, eller fördelar den via MDM som Intune för Windows och motsvarande registrering för macOS och Linux. Haken är hönan och ägget - du behöver en lista över enheter att knuffa ut agenter till, men du har ingen pålitlig lista förrän agenterna rapporterar. Det är ett välskött register som täpper till glappet.

Hur ofta rapporterar en inventeringsagent in? Rapporteringsintervallet går att ställa in, och rätt inställning är en avvägning. Många agenter är inställda på att rapportera en eller två gånger per dygn, men intervallet kan kortas till några minuter för snabbrörliga datorparker eller glesas ut för att minska serverlasten. Vissa skickar dessutom en omedelbar uppdatering när något ändras - ny programvara installerad, en annan inloggad användare - i stället för att vänta på nästa schemalagda cykel.

Varför saknas en enhet i min inventeringsagents inventering? Oftast för att agenten har blivit inaktuell eller aldrig installerades. Vanliga orsaker: agenten avinstallerades, blev korrupt eller kom aldrig in på maskinen; enheten är offline, ominstallerad utan ny registrering eller tagen ur bruk; utgående anslutning blockeras av en proxy eller brandvägg på port 443; eller en tidigare installation lämnade en dubblettpost. Källor flaggar ofta en agent som inaktuell efter ungefär 15 dygn utan inrapportering. Eftersom täckningen försämras tyst glider den centrala räkningen från verkligheten och behöver regelbunden avstämning mot ett välskött register.

Vad är skillnaden mellan en inventeringsagent och en säkerhetsagent (EDR)? Det är olika jobb som råkar dela ordet “agent”. En inventeringsagent rapporterar fakta om hårdvara och programvara för IT asset management. En säkerhets- eller EDR-agent bevakar enheten efter hot och misstänkt beteende och kan blockera eller sätta i karantän. En övervaknings- eller molnagent håller koll på molnarbetslaster, ofta via API:er snarare än ett installerat program. Alla tre kan köras på samma maskin; den här artikeln handlar om inventeringsvarianten.

Saktar en inventeringsagent ner datorn? Sällan på något märkbart sätt. Inventeringsagenter är byggda för att vara lättviktiga: de ligger för det mesta vilande, vaknar kort för att skanna och skickar en liten, krypterad inrapportering över internet. Användningen av processor, minne och disk är liten, men över tusentals maskiner är det sammanlagda avtrycket och arbetet med att hålla varje agent frisk värt att planera för.

Övervakar inventeringsagenter vad medarbetarna gör? En inventeringsagent rapporterar fakta om enheten: hårdvaruspecifikation, serienummer, installerade program och versioner, patchstatus och oftast senast inloggade användare. Den registrerar inte tangenttryckningar, meddelanden eller surfhistorik. Vissa produkter mäter även programanvändning - hur ofta program faktiskt startas, som underlag för licensbeslut - men även det handlar om programvaran, inte om personen. Vad som samlas in ska framgå tydligt av din policy för godtagbar användning.

Behöver man en inventeringsagent för att hålla koll på utrustningen? Bara om du behöver automatisk, detaljerad inventering av datorerna - det är det enklaste sättet att hålla programlistor och patchstatus aktuella över en hel datorpark. För resten av utrustningen gör agenten ingenting: skärmar, dockor, headset, verktyg och allt som ligger i kartonger i ett skåp rapporterar aldrig in. De flesta team behöver ett välskött inventarieregister ändå; agenten är ett valfritt dataflöde in i registret, inte en ersättning för det.

Slutsatsen

En inventeringsagent är det mest tillförlitliga sättet att hålla detaljerad, aktuell inventering av datorerna i din park - vilken hårdvara de är, vilken programvara de kör och om de är patchade. Men den är ett flöde, inte hela bilden: den måste rullas ut förbi ett hönan-och-ägget-problem, den kan inte köras på växlar, skrivare, telefoner eller strömlös utrustning, och dess täckning glider när agenter blir inaktuella. Det hållbara svaret är ett välskött register som agenten matar in i, med fysiska etiketter för allt som agenten aldrig kommer att se.

Verktyg som gör det här enklare

AMPthilly är register- och etiketthalvan av den parningen. Ett register håller IT-hårdvara, fysisk utrustning och programvarulicenser samlat; varje sak får en utskrivbar QR-etikett som skannas med en vanlig mobilkamera i webbläsaren, utan app att installera; och utlåningar, återlämningar och en fullständig revisionshistorik håller ägandet aktuellt. Där agentdatan tar slut - dockorna, headseten, reservutrustningen i kartong, kitet som väntar på avveckling - tar registret vid. Börja gratis eller hör av dig.

Relaterade termer

• ITAM (IT asset management) - disciplinen som agentdatan matar in i
• CMDB - konfigurationsdatabasen som agenter ofta fyller på
• Software asset management - hanteringen av programvaran agenten inventerar
• Licenshantering - avstämning av installationer och användning mot köpta licenser
• IT asset disposition (ITAD) - avvecklingsfasen där enheter försvinner ur agentrapporterna