Настройка коллектора KUMA для получения событий с устройств Windows

После завершения настройки политики аудита на устройствах, а также создания подписок на события и предоставления всех необходимых прав, требуется создать коллектор в веб-интерфейсе KUMA для событий с устройств Windows.

Подробнее о процедуре создания коллектора KUMA см. в разделе Создание коллектора.

Для получения событий от устройств Windows в мастере установки коллектора KUMA укажите следующие параметры коллектора:

1. На шаге Транспорт укажите следующие параметры:
   1. В поле Коннектор выберите Создать.
   2. В поле Тип выберите http.
   3. В поле Разделитель выберите \0.
2. На вкладке Дополнительные параметры в поле Режим TLS выберите С верификацией.
3. На шаге Парсинг событий нажмите на кнопку Добавить парсинг событий.
4. В открывшемся окне Основной парсинг событий в поле Нормализатор выберите [OOTB] Microsoft Products и нажмите ОК.
5. На шаге Маршрутизация добавьте следующие точки назначения:
   • Хранилище. Для отправки обработанных событий в хранилище.
   • Коррелятор. Для отправки обработанных событий в коррелятор.

   Если точки назначения Хранилище и Коррелятор не добавлены, создайте их

6. На шаге Проверка параметров нажмите Сохранить и создать сервис.
7. Скопируйте появившуюся команду для установки коллектора KUMA.