Коннектор, тип tcp

Коннекторы с типом tcp используются для пассивного получения событий по протоколу TCP при работе с агентами Windows и Linux. Доступные параметры коннектора с типом tcp описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – tcp.

Обязательный параметр.

Теги

 

URL

URL-адрес, с которым требуется установить связь. Вы можете ввести URL-адрес в одном из следующих форматов:

  • <имя хоста>:<номер порта>;
  • <IPv4-адрес>:<номер порта>;
  • <IPv6-адрес>:<номер порта>;
  • :<номер порта>.

Обязательный параметр.

Auditd

Переключатель, включающий механизм auditd, который группирует полученные от коннектора строки событий auditd в одно событие auditd.

Если вы включили этот переключатель, вы не можете выбрать значение в раскрывающемся списке Разделитель, так как для механизма auditd автоматически выбирается значение \n.

Если вы включили этот переключатель в параметрах коннектора агента, вам нужно выбрать значение \n в раскрывающемся списке Разделитель в параметрах коннектора коллектора, в который агент отправляет события.

Максимальный размер сгруппированного события auditd составляет примерно 4 174 304 символов.

Разделитель

Символ, определяющий границу между событиями:

  • \n;
  • \t;
  • \0.

Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию этот переключатель выключен.

Размер буфера

Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

TTL буфера событий

Время жизни буфера для строк событий auditd в миллисекундах. Строки событий auditd попадают в коллектор KUMA и накапливаются в буфере. Это позволяет сгруппировать несколько строк событий auditd в одно событие auditd.

Отсчет времени жизни буфера начинается при получении первой строки события auditd или при истечении предыдущего времени жизни буфера. Доступные значения: от 50 до 30 000. Значение по умолчанию: 2000.

Это поле доступно, если вы включили переключатель Auditd на вкладке Основные параметры.

Строки событий auditd, накопленные в буфере, хранятся в оперативной памяти сервера. Мы рекомендуем с осторожностью увеличивать размер буфера, так как это может привести к использованию слишком большого количества оперативной памяти сервера коллектором KUMA. Вы можете просмотреть в метриках KUMA, сколько оперативной памяти сервера использует коллектор KUMA.

Если вы хотите, чтобы время жизни буфера составляло более 30 000 миллисекунд, мы рекомендуем использовать другой транспорт доставки событий auditd. Например, вы можете использовать агента или предварительно накапливать события auditd в файле, после чего обрабатывать файл коллектором KUMA.

Заголовок транспорта

Регулярное выражение для событий auditd, по которому определяются строки событий auditd. Вы можете использовать значение по умолчанию или изменить его.

Регулярное выражение должно содержать группы record_type_name, record_type_value и event_sequence_number. Если многострочное событие auditd содержит префикс, для первой строки события auditd префикс сохраняется, а для последующих – отбрасывается.

Вы можете вернуться регулярному выражению для событий auditd по умолчанию, нажав на кнопку Установить значение по умолчанию.

Режим TLS

Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:

  • Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
  • Включено – использовать шифрование TLS, но без верификации сертификатов.
  • С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.
  • Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения в раскрывающемся списке Нестандартный CA укажите секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

    Как создать сертификат, подписанный центром сертификации?

    Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку x509: certificate signed by unknown authority.

  • Нестандартный PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать PFX-сертификат из хранилища, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

    Как создать PFX-секрет?

Сжатие

Раскрывающийся список, позволяющий настроить использование сжатия Snappy:

  • Выключено. Это значение выбрано по умолчанию.
  • С помощью Snappy.

В начало