Поддержка

Поддержка приложений для бизнеса

Kaspersky Unified Monitoring and Analysis Platform

Руководство администратора

Настройка источников событий

Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC)

Настройка централизованного получения событий с устройств Windows с помощью службы Windows Event Collector

Настройка передачи данных с сервера источника событий

Kaspersky Unified Monitoring and Analysis Platform
Нет результатов
База знаний Онлайн-справка
FAQ Обзор решения Форум Запрос в поддержку Видео

Настройка передачи данных с сервера источника событий

05 апреля 2024

ID 248539

Скачать PDF

Вы можете получать информацию о событиях на серверах и рабочих станциях, настроив передачу данных с удаленных устройств на сервер Windows Event Collector.

Предварительная подготовка

  1. Проверьте, что служба Windows Remote Management настроена на сервере источника событий, выполнив следующую команду в консоли PowerShell:

    winrm get winrm/config

    Если служба Windows Remote Management не настроена, инициализируйте ее, выполнив следующую команду:

    winrm quickconfig

  2. Если сервер источника событий является контроллером домена, откройте доступ по сети к журналам Windows, выполнив следующую команду в консоли PowerShel, запущенной от имени администратора:

    wevtutil set-log security /ca:’O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)

    Проверьте наличие доступа, выполнив следующую команду:

    wevtutil get-log security

Настройка брандмауэра сервера источника событий

Для того чтобы сервер Windows Event Collector мог получать записи журналов Windows, требуется открыть порты для входящих соединений на сервере источника событий.

Чтобы открыть порты для входящих соединений:

  1. На сервере источника событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
  2. В открывшемся окне введите запрос wf.msc и нажмите OK.

    Откроется окно Монитор брандмауэра Защитника Windows в режиме повышенной безопасности.

  3. Перейдите в раздел Правила для входящих подключений и в панели Действия нажмите Создать правило.

    Откроется Мастер создания правила для нового входящего пользователя.

  4. На шаге Тип правила выберите Для порта.
  5. На шаге Протоколы и порты в качестве протокола выберите Протокол TCP. В поле Определенные локальные порты укажите номера портов:
    • 5985 (для доступа по HTTP)
    • 5986 (для доступа по HTTPS)

    Вы можете указать один из портов или оба.

  6. На шаге Действие выберите Разрешить подключение (выбрано по умолчанию).
  7. На шаге Профиль снимите флажки Частный и Публичный.
  8. На шаге Имя укажите имя правила для нового входящего подключения и нажмите Готово.

Настройка передачи данных с сервера источника событий завершена.

Сервер Windows Event Collector должен обладать правами для чтения журналов Windows на сервере источника событий. Права могут быть предоставлены как учетной записи сервера Windows Event Collector, так и специальной пользовательской учетной записи. Подробнее о предоставлении прав см. в разделе Предоставление прав пользователю для просмотра журнала событий Windows.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!