Коннектор, тип wmi

Коннекторы с типом wmi используются для получения данных с помощью Windows Management Instrumentation при работе с агентами Windows. Доступные параметры коннектора с типом wmi описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора – wmi. Обязательный параметр.
Описание	Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.
URL	URL-адрес коллектора, который вы создали для получения данных с помощью Windows Management Instrumentation, например `kuma-collector.example.com:7221`. При создании коллектора автоматически создается агент, который будет получать данные на удаленном устройстве и перенаправлять их в сервис коллектора. Если вы знаете, на каком сервере будет установлен сервис коллектора, URL-адрес известен заранее. Вы можете ввести URL-адрес коллектора в поле URL после завершения мастера установки. Для этого вам нужно предварительно скопировать URL-адрес коллектора в разделе Ресурсы → Активные сервисы. Обязательный параметр.
Учетные данные по умолчанию	Вам нужно указать учетные данные для подключения к хостам, которые можно использовать по умолчанию в таблице Удаленные хосты. Поле является обязательным, если в таблице Удаленные хосты не указан секрет хотя бы для одного хоста.
Удаленные хосты	Параметры удаленных устройств Windows, к которым требуется установить подключение: Сервер – IP-адрес или имя устройства, с которого необходимо принимать данные, например `machine-1`. Обязательный параметр. Домен – название домена, в котором расположено удаленное устройство. Например, `example.com`. Обязательный параметр. Тип журналов – название журналов Windows, которые требуется получить. По умолчанию в этом раскрывающемся списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами. Для этого введите название пользовательских журналов в поле Журналы Windows, после чего нажмите на клавишу `ENTER`. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов. Журналы, доступные по умолчанию: Application. ForwardedEvents. Security. System. HardwareEvents. Если в одном из подключений WMI используется хотя бы один журнал с неверным названием, агент, использующий коннектор, не будет получать события из всех журналов данного подключения, даже если названия остальных журналов указаны верно. При этом подключения WMI-агента, в которых все названия журналов указаны правильно, будет работать правильно. Необязательный параметр. Секрет – учетные данные для доступа к удаленному Windows-устройству с правами на чтение журналов. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите Создать. При создании секрета в поле Пользователь не требуется указывать домен для доступа к хосту, поскольку используется значение, указанное в поле Домен в таблице Удаленные хосты. Если вы хотите изменить параметры существующего секрета, нажмите на значок карандаша . Если оставить в этом поле значение по умолчанию, для подключения к удаленным Windows-устройствам будут использоваться учетные данные, указанные в поле Учетные данные, используемые по умолчанию. Как создать секрет? Чтобы создать секрет: В поле Название введите название секрета. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору. При необходимости в поле Описание введите описание секрета. Нажмите на кнопку Создать. Секрет будет добавлен и отобразится в раскрывающемся списке Секрет. Вы можете добавить несколько удаленных устройств Windows или удалить удаленное устройство Windows. Для добавления удаленного устройства Windows нажмите на кнопку + Добавить. Для удаления удаленного устройства Windows установите рядом с ним флажок и нажмите на кнопку Удалить.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.
Кодировка символов	Кодировка символов. По умолчанию выбрано значение UTF-8.
Режим TLS	Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения: Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию. Включено – использовать шифрование TLS, но без верификации сертификатов. С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.
Сжатие	Раскрывающийся список, позволяющий настроить использование сжатия Snappy: Выключено. Это значение выбрано по умолчанию. С помощью Snappy.

При изменении коннектора этого типа параметры Режим TLS и Сжатие видны и доступны как на коннекторе-ресурсе, так и на коллекторе. Если вы используете коннектор этого типа на коллекторе, значения параметров Режим TLS и Сжатие передаются в точку назначения автоматически созданных агентов.

Получение событий с удаленного устройства

Условия для получения событий с удаленного устройства Windows с агентом KUMA:

Для запуска агента KUMA на удаленном устройстве вам нужно использовать учетную запись с правами Log on as a service.
Для получения событий от агента KUMA вам нужно использовать учетную запись с правами Event Log Readers. Для серверов домена может быть создана одна такая учетная запись, чтобы через групповую политику ее права на чтение логов можно было распространить на все серверы и рабочие станции домена.
На удаленных устройствах Windows необходимо открыть следующие TCP-порты 135, 445, 49152-65535.
На удаленных устройствах требуется запустить следующие службы:
- Remote Procedure Call (RPC)
- RPC Endpoint Mapper

В начало