Содержание
Параметры коннекторов
Этот раздел содержит описание параметров всех поддерживаемых KUMA типов коннекторов.
Тип internal
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, internal.
- URL (обязательно) – URL, с которым необходимо установить связь.
Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
- Описание – описание ресурса: до 256 символов Юникода.
- Закладка Дополнительные параметры:
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса.
По умолчанию указывается значение Выключено.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса.
Тип tcp
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, tcp.
- URL (обязательно) – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
- Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения:
\n
,\t
,\0
. Если разделитель не задан (выбрано пустое значение), то по умолчанию используется значение:\n
. - Описание – описание ресурса: до 256 символов Юникода.
- Закладка Дополнительные параметры:
- Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 1 МБ; максимальное: 64 МБ.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Режим TLS – использование шифрования TLS:
- Выключено (по умолчанию) – не использовать шифрование TLS.
- Включено – использовать шифрование, но без верификации.
- С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
При использовании TLS невозможно указать IP-адрес в качестве URL.
- Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
Тип udp
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, udp.
- URL (обязательно) – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
- Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения:
\n
,\t
,\0
. Если разделитель не задан (выбрано пустое значение), то события не разделяются. - Описание – описание ресурса: до 256 символов Юникода.
- Закладка Дополнительные параметры:
- Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 16 Кб; максимальное: 64 Кб.
- Рабочие процессы – используется для установки числа рабочих процессов для коннектора. Значение по умолчанию: 1.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
Тип netflow
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, netflow.
- URL (обязательно) – URL, с которым необходимо установить связь.
- Описание – описание ресурса: до 256 символов Юникода.
- Закладка Дополнительные параметры:
- Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 16 Кб; максимальное: 64 Кб.
- Рабочие процессы – используется для установки числа рабочих процессов для коннектора. Значение по умолчанию: 1.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
Тип sflow
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, sflow.
- URL (обязательно) – URL, с которым требуется установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
- Описание – описание ресурса: до 256 символов Юникода.
- Закладка Дополнительные параметры:
- Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 1 МБ; максимальное: 64 МБ.
- Рабочие процессы – используется для установки количества рабочих процессов для коннектора. Значение по умолчанию: 1.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, позволяющий включить логирование ресурса. По умолчанию указывается значение Выключено.
Тип nats
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, nats.
- URL (обязательно) – URL, с которым необходимо установить связь.
- Топик (обязательно) – тема сообщений NATS. Должно содержать от 1 до 255 символов Юникода.
- Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения:
\n
,\t
,\0
. Если разделитель не задан (выбрано пустое значение), то события не разделяются. - Описание – описание ресурса: до 256 символов Юникода.
- Закладка Дополнительные параметры:
- Размер буфера – используется для установки размера буфера коннектора. Значение по умолчанию: 16 Кб; максимальное: 64 Кб.
- Идентификатор группы – параметр GroupID для сообщений NATS. Должно содержать от 1 до 255 символов Юникода. Значение по умолчанию:
default
. - Рабочие процессы – используется для установки числа рабочих процессов для коннектора. Значение по умолчанию: 1.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Идентификатор хранилища – идентификатор хранилища NATS.
- Режим TLS – использование шифрования TLS:
- Выключено (по умолчанию) – не использовать шифрование TLS.
- Включено – использовать шифрование, но без верификации сертификата.
- С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
- Нестандартный CA – использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.
При использовании TLS невозможно указать IP-адрес в качестве URL.
Для использования сертификатов KUMA на сторонних машинах необходимо изменить расширение файла сертификата с CERT на CRT. В противном случае может возвращаться ошибка x509: certificate signed by unknown authority.
- Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
Тип kafka
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, kafka.
- URL – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port.
- Топик – тема сообщений Kafka. Должен содержать от 1 до 255 следующих символов: a–z, A–Z, 0–9, ".", "_", "-".
- Авторизация – необходимость агентам проходить авторизацию при подключении к коннектору:
- выключена (по умолчанию).
- PFX.
При выборе этого варианта требуется сформировать сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать сертификат из хранилища и загрузить его в веб-интерфейс KUMA в виде PFX-секрета.
- обычная.
При выборе этого варианта требуется указать секрет, содержащий данные учетной записи пользователя для авторизации при подключении к коннектору.
- Идентификатор группы – параметр GroupID для сообщений Kafka. Должен содержать от 1 до 255 следующих символов: a–z, A–Z, 0–9, ".", "_", "-".
- Описание – описание ресурса: до 256 символов Юникода.
- Закладка Дополнительные параметры:
- Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения:
\n
,\t
,\0
. Если разделитель не задан (выбрано пустое значение), то события не разделяются. - Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Режим TLS – использование шифрования TLS:
- Выключено (по умолчанию) – не использовать шифрование TLS.
- Включено – использовать шифрование, но без верификации сертификата.
- С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
- Нестандартный CA – использовать шифрование с верификацией сертификата, подписанного центром сертификации. Секрет с сертификатом выбирается в раскрывающемся списке Нестандартный CA, который отображается при выборе этого пункта.
При использовании TLS невозможно указать IP-адрес в качестве URL.
Для использования сертификатов KUMA на сторонних машинах необходимо изменить расширение файла сертификата с CERT на CRT. В противном случае может возвращаться ошибка x509: certificate signed by unknown authority.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения:
Тип http
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, http.
- URL (обязательно) – URL, с которым необходимо установить связь. Доступные форматы: hostname:port, IPv4:port, IPv6:port, :port.
- Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения:
\n
,\t
,\0
. Если разделитель не задан (выбрано пустое значение), то события не разделяются. - Описание – описание ресурса: до 256 символов Юникода.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Режим TLS – использование шифрования TLS:
- Выключено (по умолчанию) – не использовать шифрование TLS.
- Включено – использовать шифрование, но без верификации.
- С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
При использовании TLS невозможно указать IP-адрес в качестве URL.
- Прокси-сервер – раскрывающийся список, в котором можно выбрать ресурс прокси-сервера.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Тип sql
KUMA поддерживает работу с несколькими типами баз данных.
При создании коннектора вам требуется задать значения для общих параметров коннектора и индивидуальных параметров подключения к базе данных.
Для коннектора на закладке Основные параметры вам требуется задать значения следующих параметров:
- Название (обязательно) – уникальное имя ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тип (обязательно) – тип коннектора, sql.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Запрос по умолчанию (обязательно) – SQL-запрос, который выполняется при подключении к базе данных.
- Интервал запросов, сек. – интервал выполнения SQL-запросов. Указывается в секундах.
Значение по умолчанию: 10 секунд.
- Описание – описание ресурса: до 256 символов Юникода.
Для подключения к базе данных на закладке Основные параметры вам требуется задать значения следующих параметров:
- URL (обязательно) – секрет, в котором хранится список URL-адресов для подключения к базе данных.
При необходимости вы можете изменить или создать секрет.
При создании подключений могут некорректно обрабатываться строки с учетными данными, содержащими специальные символы. Если при создании подключения возникает ошибка, но вы уверены в том, что значения параметров корректны, укажите специальные символы в процентной кодировке.
- Столбец идентификатора (обязательно) – название столбца, содержащего идентификатор для каждой строки таблицы.
- Начальное значение идентификатора (обязательно) – значение в столбце идентификатора, по которому будет определена строка, с которой требуется начать считывание данных из SQL-таблицы.
- Запрос – поле для дополнительного SQL-запроса. Запрос, указанный в этом поле, выполняется вместо запроса по умолчанию.
- Интервал запросов, сек. – интервал выполнения SQL-запросов. Интервал, указанный в этом поле, используется вместо интервала, указанного по умолчанию для коннектора.
Указывается в секундах. Значение по умолчанию: 10 секунд.
Для коннектора на закладке Дополнительные параметры вам требуется задать значения следующих параметров:
- Кодировка символов – кодировка символов. Значение по умолчанию:
UTF-8
.KUMA конвертирует ответы SQL в кодировку UTF-8. Вы можете настроить SQL-сервер на отправку ответов в кодировке UTF-8 или выбрать их кодировку на стороне KUMA.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
В рамках одного коннектора вы можете создать подключение для нескольких поддерживаемых баз данных.
Поддерживаемые типы SQL и особенности их использования
Оператор UNION не поддерживается коннекторами типа SQL.
Поддерживаются следующие типы SQL:
- MSSQL
Примеры URL:
sqlserver://{user}:{password}@{server:port}/{instance_name}?database={database}
– (рекомендуемый вариант)sqlserver://{user}:{password}@{server}?database={database}
В качестве плейсхолдера в SQL-запросе используются символы
@p1
.Если вам требуется подключиться с доменными учетными данными, укажите имя учетной записи в формате
<домен>%5C<пользователь>
. Например:sqlserver://domain%5Cuser:password@ksc.example.com:1433/SQLEXPRESS?database=KAV
. - MySQL
Пример URL:
mysql://{user}:{password}@tcp({server}:{port})/{database}
В качестве плейсхолдера в SQL-запросе используются символ
?
. - PostgreSQL
Пример URL:
postgres://{user}:{password}@{server}/{database}?sslmode=disable
В качестве плейсхолдера в SQL-запросе используются символы
$1
. - CockroachDB
Пример URL:
postgres://{user}:{password}@{server}:{port}/{database}?sslmode=disable
В качестве плейсхолдера в SQL-запросе используются символы
$1
. - SQLite3
Пример URL:
sqlite3://file:{file_path}
В качестве плейсхолдера в SQL-запросе используется знак вопроса:
?
. - Oracle DB
Пример URL:
oracle://{user}/{password}@{server}:{port}/{service_name}
Используется синтаксис Easy Connect. В качестве плейсхолдера в SQL-запросе используется символы
:val
.При обращении к Oracle DB, если начальное значение идентификатора используется в формате datetime, в SQL-запрос нужно добавить преобразование даты с помощью функции Oracle
to_timestamp_tz
. Например,select * from connections where login_time > to_timestamp_tz(:val, 'YYYY-MM-DD"T"HH24:MI:SSTZH:TZM')
. В этом примереConnections
– это таблица Oracle DB, а значение переменной:val
берется из поля Начальное значение идентификатора, поэтому его требуется указывать в формате с timezone (например,2021-01-01T00:10:00+03:00
).Для обращения к Oracle DB необходимо установить пакет libaio1.
- Firebird SQL
Пример URL:
firebirdsql://{user}:{password}@{server}:{port}/{database}
В качестве плейсхолдера в SQL-запросе используется знак вопроса:
?
.
В SQL-запросах поддерживается последовательный запрос сведений из базы данных. Например, если в поле Запрос указать запрос select * from <название таблицы с данными> where id > <плейсхолдер>
, то при первом обращении к таблице в качестве значения плейсхолдера будет использоваться значение поля Начальное значение идентификатора. При этом в сервисе, в котором используется SQL-коннектор, сохраняется идентификатор последней прочитанной записи, и во время следующего обращения к базе данных в качестве значения плейсхолдера в запросе будет использоваться идентификатор этой записи.
Тип file
Тип file используется для получения данных из любого текстового файла. Одна строка файла считается одним событием. Разделители между строк: \n. Коннектор этого типа доступен для Linux-агентов.
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, file.
- URL (обязательно) – полный путь до файла, с которым требуется выполнять взаимодействие. Например,
/var/log/*som?[1-9].log
. - Описание – описание ресурса: до 256 символов Юникода.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Тип diode
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, diode.
- Директория с событиями от диода данных (обязательно) – полный путь до директории на сервере коллектора KUMA, в которую диод данных перемещает файлы с событиями из изолированного сегмента сети. После считывания коннектором файлы удаляются из директории. Путь может содержать до 255 символов Юникода.
- Разделитель – используется для указания символа, определяющего границу между событиями. Доступные значения:
\n
,\t
,\0
. Если разделитель не задан (выбрано пустое значение), то по умолчанию используется значение:\n
.Этот параметр должен совпадать ресурсах коннектор и точка назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.
- Описание – описание ресурса: до 256 символов Юникода.
- Закладка Дополнительные параметры:
- Рабочие процессы – количество служб, обрабатывающих очередь запросов. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
- Интервал запросов, сек. – регулярность считывания файлов из директории с событиями от диода данных. Значение по умолчанию: 2. Значение указывается в секундах.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
Этот параметр должен совпадать ресурсах коннектор и точка назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
Тип ftp
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, ftp.
- URL (обязательно) – Действительный URL файла или маски файлов, который начинается со схемы 'ftp://'. Для маски файлов допустимо использование * ? [...].
Если в URL не содержится порт ftp сервера, подставляется 21 порт.
- Учетные данные для URL – для указания логина и пароля к FTP серверу. При отсутствии логина и пароля строка остается пустой.
- Описание – описание ресурса: до 256 символов Юникода.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Тип nfs
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, nfs.
- URL (обязательно) – путь до удаленной директории в формате nfs://host/path.
- Маска имени файла (обязательно) – маска, по которой фильтруются файлы с событиями. Допустимо использование масок "
*
", "?
", "[...]
". - Интервал запросов, сек. – интервал опроса. Промежуток времени, через который перечитываются файлы с удаленной системы. Значение указывается в секундах. По умолчанию указано значение: 0.
- Описание – описание ресурса: до 256 символов Юникода.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Тип wmi
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, wmi.
- URL (обязательно) – URL создаваемого коллектора, например
kuma-collector.example.com:7221
.При создании коллектора для получения данных с помощью Windows Management Instrumentation автоматически создается агент, который будет получать необходимые данные на удаленной машине и перенаправлять их в сервис коллектора. В поле URL требуется указать адрес этого коллектора. URL известен заранее, если вы знаете, на каком сервере планируете установить сервис, но это поле можно заполнить и после завершения мастера установки, скопировав данные из раздела Ресурсы → Активные сервисы.
- Описание – описание ресурса: до 256 символов Юникода.
- Учетные данные по умолчанию – раскрывающийся список, в котором выбирать значение не требуется. Учетные данные для подключения к хостам необходимо указывать в таблице Удаленные хосты (см. ниже).
- В таблице Удаленные хосты перечисляются удаленные устройства Windows, к которым требуется установить подключение. Доступные столбцы:
- Хост (обязательно) – IP-адрес или доменное имя устройства, с которого необходимо принимать данные. Например, "machine-1.example.com".
- Домен (обязательно) – название домена, в котором расположено удаленное устройство. Например, "example.com"
- Тип журналов – раскрывающийся список для выбора названия журналов Windows, которые требуется получить. По умолчанию в списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами, введя их название в поле Журналы Windows, а затем нажав ENTER. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов.
Журналы, доступные по умолчанию:
- Application
- ForwardedEvents
- Security
- System
- HardwareEvents
- Секрет – учетные данные для доступа к удаленному устройству Windows с правами на чтение журналов. Если оставить это поле пустым, то будут использоваться учетные данные из секрета, выбранного в раскрывающемся списке Учетные данные, используемые по умолчанию. Логин в ресурсе секрета необходимо указывать без домена, значение домена для доступа к хосту берется из столбца Домен таблицы Удаленные хосты.
Можно выбрать ресурс секрета в раскрывающемся списке или создать его с помощью кнопки
. Выбранный секрет можно изменить, нажав на кнопку
.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Получение событий с удаленной машины
Условия для получения событий с удаленной машины Windows с агентом KUMA:
- Для запуска агента KUMA на удаленной машине необходимо использовать учетную запись с правами Log on as a service.
- Для получения событий от агента KUMA необходимо использовать учетную запись с правами Event Log Readers. Для серверов домена может быть создана одна такая учетная запись, чтобы через групповую политику ее права на чтение логов можно было распространить на все серверы и рабочие станции домена.
- На удаленных машинах Windows необходимо открыть следующие TCP-порты 135, 445, 49152-65535.
- На удаленных машинах требуется запустить следующие службы:
- Remote Procedure Call (RPC)
- RPC Endpoint Mapper
Тип wec
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, wec.
- URL (обязательно) – URL создаваемого коллектора, например
kuma-collector.example.com:7221
.При создании коллектора для получения данных с помощью Windows Event Collector автоматически создается агент, который будет получать необходимые данные на удаленной машине и перенаправлять их в сервис коллектора. В поле URL требуется указать адрес этого коллектора. URL известен заранее, если вы знаете, на каком сервере планируете установить сервис, но это поле можно заполнить и после завершения мастера установки, скопировав данные из раздела Ресурсы → Активные сервисы.
- Описание – описание ресурса: до 256 символов Юникода.
- Журналы Windows (обязательно) – в этом раскрывающемся списке необходимо выбрать названия журналов Windows, которые требуется получить. По умолчанию в списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами, введя их название в поле Журналы Windows, а затем нажав ENTER. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов.
Преднастроенные журналы:
- Application
- ForwardedEvents
- Security
- System
- HardwareEvents
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
- Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
Для запуска агента KUMA на удаленной машине необходимо использовать учетную запись с правами Log on as a service.
Для получения событий необходимо использовать учетную запись с правами Event Log Readers. Для серверов домена может быть создана одна такая учетная запись, чтобы через групповую политику ее права на чтение логов можно было распространить на все серверы и рабочие станции домена.
В началоТип snmp
Для обработки событий, полученных по SNMP, необходимо использовать нормализатор типа json.
Доступен для Windows- и Linux-агентов. Поддерживаемые версии протокола:
- snmpV1
- snmpV2
- snmpV3
При создании этого типа коннектора вам требуется указать значения для следующих параметров:
- Закладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, snmp.
- Версия SNMP (обязательно) – в этом раскрывающемся списке можно выбрать версию используемого протокола.
- Хост (обязательно) – имя хоста или его IP-адрес. Доступные форматы: hostname, IPv4, IPv6.
- Порт (обязательно) – порт для подключения к хосту. Обычно используются значения 161 или 162.
С помощью параметров Версия SNMP, Хост и Порт определяется одно подключение к SNMP-ресурсу. Таких подключений в одном коннекторе можно создать несколько, добавляя новые с помощью кнопки SNMP-ресурс. Удалить подключения можно с помощью кнопки
.
- Секрет (обязательно) – раскрывающийся список для выбора ресурса секрета, в котором хранятся учетные данные для подключения через Simple Network Management Protocol. Тип секрета должен соответствовать версии SNMP. При необходимости секрет можно создать в окне создания коннектора с помощью кнопки
. Выбранный секрет можно изменить, нажав на кнопку
.
- В таблице Данные источника можно задать правила именования получаемых данных, по которым идентификаторы объектов OID будут преобразовываться в ключи, с которыми сможет взаимодействовать нормализатор. Доступные столбцы таблицы:
- Название параметра (обязательно) – произвольное название для типа данных. Например, "Имя узла" или "Время работы узла".
- OID (обязательно) – уникальный идентификатор, который определяет, где искать требуемые данные на источнике событий. Например, "1.3.6.1.2.1.1.5".
- Ключ (обязательно) – уникальный идентификатор, возвращается в ответ на запрос к устройству со значением запрошенного параметра. Например, "sysName". К этому ключу можно обращаться при нормализации данных.
- Описание – описание ресурса: до 256 символов Юникода.
- Закладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию:
UTF-8
. - Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: