Аудитория: все — от администратора до руководителя. Закрывает вопрос: №4 целиком («откуда активность, как мы её достаём из РАЗНЫХ программ?»). Сценарий: нужно объяснить себе и заказчику, как одна программа узнаёт, что Word использовали 2 часа, а облако — запрещённое.
Это объяснение что и зачем. Честный разбор «что из этого уже работает в нашей инфраструктуре, а что пока фикстура» — в статье 15. Контракт коннектора — в статье 03.
Мы не следим за людьми и не лезем внутрь каждой программы — мы спрашиваем у систем, которые уже и так считают активность (антивирус KSC, сервер 1С, журналы Windows), один простой факт: «кто, в какой программе, в какой день, сколько поработал», — обезличиваем человека и складываем это к себе.
Всё остальное (эффективность, экономия, риски) — арифметика поверх этого простого факта.
Представьте счётчик электричества. Он не знает, что вы варите кофе или гладите бельё — он знает только «сколько киловатт утекло». Лицензиар — такой же счётчик, но для программ: он не читает ваши документы и переписку, он снимает показания использования:
один факт активности = { кто (обезличенно), что (программа), когда (день), сколько (минуты + действия) }Из миллионов таких «показаний» складывается ответ: эта лицензия работает, эта простаивает, эту переплачиваем, а вот это вообще запрещённое ПО.
Ключевой момент, который снимает путаницу: мы не ставим свой агент на каждый компьютер. Почти везде уже есть система, которая собирает активность за нас. Мы просто берём данные у неё.
| Источник | Что это уже умеет | Что мы у него берём | Связь с интернетом |
|---|---|---|---|
| KSC (Kaspersky Security Center) | агент антивируса уже стоит на всех ПК, ведёт инвентарь ПО и его запуски | какое ПО установлено и как запускалось | внутренняя сеть, без интернета |
| 1С (сервер/кластер) | сам ведёт журнал сеансов: кто в какой конфигурации работал | сессии и операции в 1С | внутренняя сеть, без интернета |
| syslog / Windows Event Log (evtx) | ОС сама пишет старт/стоп процессов (события 4688/4689) | минуты сессии и факт запуска программы | внутренняя сеть, без интернета |
То есть «клиент сбора» — это не программа на каждом рабочем месте, а коннектор к уже существующему агрегатору (KSC/1С/журналы). Это и есть ответ на «зачем отдельный слой» — агрегатор уже собран до нас, мы подключаемся к нему.
Word стоит локально, в интернет не ходит. Как мы узнаём, что им пользуются?
1. Марья работает в Word: открыла в 9:00, закрыла в 11:06, сохранила документ 18 раз.
2. На её ПК уже есть агент KSC (для антивируса). Windows пишет в журнал:
процесс winword.exe стартовал 09:00 (событие 4688), завершился 11:06 (4689).
3. Раз в день коннектор спрашивает у KSC/журнала сводку по этой машине и получает строку:
tabel_no=12345, raw_product="winword.exe", date=2026-06-15, session=126 мин, tx≈18
4. Коннектор отдаёт это как один TelemetryRecord (см. статью 03).
5. ПРИЁМ на сервере:
• распознаёт "winword.exe" → система MS_OFFICE (статья 10);
• обезличивает табельный 12345 → user_id a3f9… по Стрибогу (статья 02) — ФИО НЕ хранится;
• кладёт факт идемпотентно (повтор того же дня ничего не задвоит, статья 04).
6. РЕЗУЛЬТАТ: на /efficiency у MS Office растёт реальная активность → K_lic, I_int_act, утилизация.Заметьте: мы ни разу не заглянули в сам документ и не ставили ничего нового на ПК Марьи. Мы взяли «показания счётчика» у того, кто их уже снимает (KSC + журнал Windows), и обезличили человека.
1С работает в локальной сети, в интернет не ходит. У 1С есть журнал сеансов и интерфейс OData. Коннектор odata_1c спрашивает у сервера 1С: «кто сегодня работал в конфигурации ЗУП и сколько». Получает сессии → TelemetryRecord(sys_code/raw="1С:Зарплата…", session, tx=число проведённых документов) → дальше та же труба. Word мы «подслушали» через ОС; 1С прямо спрашиваем у самой 1С, потому что она это знает лучше всех.
Часто сетевые, с собственным сервером обновлений (может ходить наружу за обновлениями базы, но это их канал, не наш). Использование берём из инвентаря/запусков KSC так же, как для Word. Для нас это обычная санкционированная система реестра.
Google Drive, Telegram, Dropbox — это ПО, которое ходит в интернет и часто стоит без разрешения. Мы видим его так же — по имени процесса (telegram.exe) из журналов/KSC, либо по логам прокси/DLP. Но распознаватель понимает: это не наша санкционированная система → запись уходит не в эффективность, а в инвентарь теневого ИТ на /risks (статья 09). Труба сбора одна — различается только классификация на приёме.
Сам KSC, Astra Linux, виртуализация — это «инфраструктурное» ПО. Его не опрашивают на «нужность» (оно критично по определению) — I_eff = 1.00. Источник тут — сам KSC/системные журналы.
Разные программы, разная связь с интернетом — но путь данных один:
источник снял показания → коннектор привёл к единому виду (TelemetryRecord)
→ ПРИЁМ: распознал систему + обезличил человека + сохранил идемпотентно
→ поверх — арифметика: эффективность, утилизация, риски«Объявляем, вытаскиваем, фиксируем» по шагам:
- Объявляем — у каждой системы в реестре задан
collect_method(ksc/odata/syslog): это
декларация, откуда её собирать.
- Вытаскиваем — коннектор соответствующего типа читает источник.
- Распознаём и обезличиваем — сырое имя → система, табельный → opaque id.
- Фиксируем — идемпотентная запись факта + журнал прогона (
/collectors).
- «Вы ставите программу-шпион на каждый ПК?» — Нет. Мы подключаемся к KSC/1С/журналам,
которые уже есть. Где их нет — используется штатное Windows Event Forwarding (настройка ОС, не наш агент).
- «Вы читаете документы/переписку?» — Нет. Только «показания»: какая программа, сколько
минут, сколько действий. Содержимое не собирается.
- «Как часто обновляется?» — По расписанию планировщика (на стенде ~раз в пару минут, в
бою — раз в день/смену, настраивается). Повтор безопасен — идемпотентность (статья 04).
- «А если программа вообще офлайн?» — Неважно: показания снимает локальный агент/журнал,
данные уходят к нам при следующем сборе. Интернет у самой программы не требуется.
Дальше: 15 — что из этого уже заведено, а что пока фикстура · 03 — Коннекторы под капотом · 04 — Механизм сбора · 02 — Обезличивание.