Конфигурационный файл (Log Scanner)

Параметр

Описание

Verbose

Регулирует количество информации, которую Log Scanner выводит в консоль. Если элемент Verbose имеет значение False или 0 или элемент не указан, в консоль выводится малое количество информации. В противном случае выводится подробная информация.

ThreadsCount

Максимальное количество потоков, которые Log Scanner может использовать при обработке входных данных.

По умолчанию используется до 8 потоков.

OutputDir

Каталог, в котором будет находиться выходной файл. Это может быть как абсолютный, так и относительный путь. Относительный путь рассчитывается относительно каталога, в котором находится исполняемый файл Log Scanner.

Если параметр OutputDir не задан, выходной файл сохраняется в каталоге, где находится исполняемый файл Log Scanner.

Pattern

Утилита отправляет запросы в Kaspersky CyberTrace Service в формате, указанном в элементе Pattern. Можно использовать следующие параметры:

• %IP% — значение, которое необходимо проверить, если утилита вызывается с параметром -i (--ip).
• %MD5%, значение, которое необходимо проверить, если утилита вызывается с параметром -s (--hash) и значение является хешем MD5.
• %SHA1% — значение, которое необходимо проверить, если утилита вызывается с параметром -s (--hash) и значение является хешем SHA1.
• %SHA256% — значение, которое необходимо проверить, если утилита вызывается с параметром -s (--hash) и значение является хешем SHA256.
• %URL% — значение, которое необходимо проверить, если утилита вызывается с параметром -u (--url).

  По умолчанию используется следующее значение:

ip=%IP% md5=%MD5% sha1=%SHA1% sha256=%SHA256% url=%URL%

Connection

Задает IP-адрес и порт (или именованный канал Windows или сокет UNIX), на который Log Scanner будет отправлять полученные данные.

• Если используется какое-либо неподдерживаемое SIEM-решение, параметр Connection должен задавать способ подключения к этому решению.
• Если SIEM-решение не используется, параметр Connection должен задавать способ подключения к Kaspersky CyberTrace Service.

  Значение зависит от способа, которым Log Scanner взаимодействует с решением SIEM или с Kaspersky CyberTrace Service.

• Если они взаимодействуют по протоколу TCP/IP, укажите в элементе Connection IP-адрес и порт, на которые Kaspersky CyberTrace Service получает события.
• Если они взаимодействуют через именованный канал Windows, укажите в элементе Connection именованный канал, по которому Kaspersky CyberTrace Service получает события. Имя канала должно быть указано в формате \\.\pipe\<pipe_name>.
• Если они взаимодействуют через сокет UNIX, укажите в элементе Connection сокет, через который служба Feed получает события.

По умолчанию данные отправляются на 127.0.0.1:9999.

SocketTimeout

Количество секунд, в течение которых Log Scanner ожидает, пока сокет или канал, указанный в параметре Connection, возобновит отправку данных.

Если значение этого параметра равно 0, Log Scanner ожидает бесконечно.

Максимальное допустимое значение этого параметра равно 1000.

По умолчанию время ожидания равно 15 секундам.

<Settings>

<Verbose>0</Verbose>

<ThreadsCount>8</ThreadsCount>

<OutputDir>../log_scanner_reports</OutputDir>

<Pattern>ip=%IP% md5=%MD5% sha1=%SHA1% sha256=%SHA256% url=%URL%</Pattern>

<Connection>127.0.0.1:9999</Connection>

<SocketTimeout>15</SocketTimeout>

</Settings>