Agent dość mocno ingeruje w komputer pracownika. Analizuje rejestr systemowy, zapisuje połączenia z internetem, rejestruje wychodzącą oraz przychodzącą pocztę, połączenia komunikatorów. Dane zebrane przez agentów pozwalają na: śledzenie aktywności pracowników, audyt legalności oprogramowania, realizację statystyk i zarządzanie zdalnym sprzętem. Śledzenie aktywności pracowników obejmuje m.in.: kontrolę i zarządzanie wykorzystaniem łącza internetowego, blokowanie określonych plików i aplikacji, audyt oprogramowania na komputerze, analizę czasu pracy oraz historii wykonywanych czynności. Monitorowanie komputera jest realizowane zdalnie, najczęściej poprzez podgląd pulpitu zdalnej maszyny. Istnieje możliwość interakcji z nadzorowanym pracownikiem poprzez różne formy komunikacji (m.in. czat, komunikaty systemowe). Oferowane funkcje oraz ich szczegółowość zależą od konkretnego typu aplikacji. Najpopularniejsze aplikacje służące do kontroli infrastruktury IT wykorzystywanej przez pracowników to Statlook, Oko Szefa, NetVizor.

Nieinwazyjna kontrola sieci

Przedstawione metody kontroli wymagają ingerencji w komputer użytkownika. Przeważnie konieczna jest instalacja oprogramowania, które dostarcza niezbędnych danych aplikacjom analizującym. Zaawansowany użytkownik z uprawnieniami administratora jest jednak w stanie wyłączyć aplikację zbierającą dane z komputera.

Rozwiązaniem problemu może być kontrola ruchu sieciowego na poziomie urządzenia, bezpośrednio obsługującego połączenie internetowe. Najprostsze będzie logowanie wszystkich przychodzących i wychodzących pakietów za pomocą serwera np. syslog. Zebrane dane mogą być przetwarzane i analizowane, zarówno przez oprogramowanie dostępne na rynku (np. ManageEngine Firewall Log Analyzer), jak i skrypty własnego autorstwa. Równie łatwo i efektywnie mogą w monitorowaniu urządzenia pomóc mechanizmy NetFlow lub sFlow. Dane NetFlow/sFlow z routera czy zapory ogniowej są przesyłane na serwer (kolektor + analizator) obsługujący tę technologię. Serwer ma możliwość analizowania przepływów i na ich podstawie określania aktywności danej stacji roboczej w sieci wewnętrznej. Aktywność określają: ilość danych pobranych i wysłanych, połączenia z serwerami czy rozkład danych z konkretnych aplikacji. Przykładem aplikacji zbierającej i analizującej przepływy jest NTOP. Jednak nie wszystkie urządzenia obsługują ten mechanizm.

Dobrym rozwiązaniem do kontroli aplikacji pracujących w środowisku sieciowym będą różnego rodzaju serwery pośredniczące (proxy). Serwer pośredniczący może logować ruch pochodzący od klienta, ale także analizować i przetwarzać dane pochodzące z konkretnych aplikacji sieciowych. Przykładowo, możemy kopiować zawartość poczty przychodzącej oraz wychodzącej lub zbierać dane o odwiedzanych przez użytkowników witrynach. Serwer pośredniczący (np. Squid) to także idealny kandydat do pełnej kontroli połączeń ze stronami WWW (ograniczania dostępu, logowania, analizy).