При создании этого типа коннектора вам требуется указать значения для следующих параметров:
Вкладка Основные параметры:
Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.
Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
Тип (обязательно) – тип коннектора, wec.
URL (обязательно) – URL создаваемого коллектора, например kuma-collector.example.com:7221.
При создании коллектора для получения данных с помощью Windows Event Collector автоматически создается агент, который будет получать необходимые данные на удаленном устройстве и перенаправлять их в сервис коллектора. В поле URL требуется указать адрес этого коллектора. URL известен заранее, если вы знаете, на каком сервере планируете установить сервис, но это поле можно заполнить и после завершения мастера установки, скопировав данные из раздела Ресурсы → Активные сервисы.
Описание – описание ресурса: до 4000 символов в кодировке Unicode.
Журналы Windows (обязательно) – в этом раскрывающемся списке необходимо выбрать названия журналов Windows, которые требуется получить. По умолчанию в списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами, введя их название в поле Журналы Windows, а затем нажав ENTER. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов.
Преднастроенные журналы:
Application
ForwardedEvents
Security
System
HardwareEvents
Если неверно указать название хотя бы одного журнала, в этом случае агент, использующий коннектор, не будет получать события из всех журналов, даже если названия остальных журналов указаны верно.
Вкладка Дополнительные параметры:
Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию: UTF-8.
Отладка – переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. По умолчанию положение Выключено.
Режим TLS – режим шифрования TLS с использованием сертификатов в формате pem x509:
Выключено (по умолчанию) – не использовать шифрование TLS.
Включено – использовать шифрование, но без верификации сертификатов.
С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
При изменении коннектора этого типа параметры Режим TLS и Сжатие видны и доступны как на коннекторе-ресурсе, так и на коллекторе. Если вы используете коннектор этого типа на коллекторе, значения параметров Режим TLS и Сжатие передаются в точку назначения автоматически созданных агентов.
Для запуска агента KUMA на удаленном устройстве необходимо использовать сервисную учетную запись с правами Log on as a service. Для получения событий из журнала ОС сервисная учётная запись также должна обладать правами Event Log Readers.
Вы можете создать одну учетную запись с правами Log on as a service и Event Log Readers, а затем права этой учетной записи на чтение журналов распространить на все серверы и рабочие станции домена с помощью групповой политики.
Мы рекомендуем запретить для сервисной учётной записи возможность интерактивного входа.