Коннектор, тип wmi

Коннекторы с типом wmi используются для получения данных с помощью Windows Management Instrumentation при работе с агентами Windows. Доступные параметры коннектора с типом wmi описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – wmi. Обязательный параметр.
Теги
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
URL	URL-адрес коллектора, который вы создали для получения данных с помощью Windows Management Instrumentation, например `kuma-collector.example.com:7221`. При создании коллектора автоматически создается агент, который будет получать данные на удаленном устройстве и перенаправлять их в сервис коллектора. Если вы знаете, на каком сервере будет установлен сервис коллектора, URL-адрес известен заранее. Вы можете ввести URL-адрес коллектора в поле URL после завершения мастера установки. Для этого вам нужно предварительно скопировать URL-адрес коллектора в разделе Ресурсы → Активные сервисы. Обязательный параметр.
Учетные данные по умолчанию	Нет значения. Вам нужно указать учетные данные для подключения к хостам в таблице Удаленные хосты.
Удаленные хосты	Параметры удаленных устройств Windows, к которым требуется установить подключение: Сервер – IP-адрес или имя устройства, с которого необходимо принимать данные, например `machine-1`. Обязательный параметр. Домен – название домена, в котором расположено удаленное устройство. Например, `example.com`. Обязательный параметр. Тип журналов – название журналов Windows, которые требуется получить. По умолчанию в этом раскрывающемся списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами. Для этого введите название пользовательских журналов в поле Журналы Windows, после чего нажмите на клавишу `ENTER`. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов. Журналы, доступные по умолчанию: Application. ForwardedEvents. Security. System. HardwareEvents. Если в одном из подключений WMI используется хотя бы один журнал с неверным названием, агент, использующий коннектор, не будет получать события из всех журналов данного подключения, даже если названия остальных журналов указаны верно. При этом подключения WMI-агента, в которых все названия журналов указаны правильно, будет работать правильно. Секрет – учетные данные для доступа к удаленному устройству Windows с правами на чтение журналов. Если оставить этот раскрывающийся список пустым, будут использоваться учетные данные из секрета, выбранного в раскрывающемся списке Учетные данные, используемые по умолчанию. Логин в секрете необходимо указывать без домена, значение домена для доступа к хосту берется из столбца Домен таблицы Удаленные хосты. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать. Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша . Как создать секрет? Чтобы создать секрет: В поле Название введите название секрета. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору. При необходимости в поле Описание введите описание секрета. Нажмите на кнопку Создать. Секрет будет добавлен и отобразится в раскрывающемся списке Секрет. Вы можете добавить несколько удаленных устройств Windows или удалить удаленное устройство Windows. Для добавления удаленного устройства Windows нажмите на кнопку + Добавить. Для удаления удаленного устройства Windows установите рядом с ним флажок и нажмите на кнопку Удалить.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию этот переключатель выключен.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.
Режим TLS	Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения: Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию. Включено – использовать шифрование TLS, но без верификации сертификатов. С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.
Сжатие	Раскрывающийся список, позволяющий настроить использование сжатия Snappy: Выключено. Это значение выбрано по умолчанию. С помощью Snappy.

При изменении коннектора этого типа параметры Режим TLS и Сжатие видны и доступны как на коннекторе-ресурсе, так и на коллекторе. Если вы используете коннектор этого типа на коллекторе, значения параметров Режим TLS и Сжатие передаются в точку назначения автоматически созданных агентов.

Получение событий с удаленного устройства

Условия для получения событий с удаленного устройства Windows с агентом KUMA:

Для запуска агента KUMA на удаленном устройстве вам нужно использовать учетную запись с правами Log on as a service.
Для получения событий от агента KUMA вам нужно использовать учетную запись с правами Event Log Readers. Для серверов домена может быть создана одна такая учетная запись, чтобы через групповую политику ее права на чтение логов можно было распространить на все серверы и рабочие станции домена.
На удаленных устройствах Windows необходимо открыть следующие TCP-порты 135, 445, 49152-65535.
На удаленных устройствах требуется запустить следующие службы:
- Remote Procedure Call (RPC)
- RPC Endpoint Mapper

В начало