Kaspersky Unified Monitoring and Analysis Platform
3.2
Русский

Содержание

[Topic 233592]

Коннектор, тип tcp

Коннекторы с типом tcp используются для пассивного получения событий по протоколу TCP при работе с агентами Windows и Linux. Доступные параметры коннектора с типом tcp описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – tcp.

Обязательный параметр.

URL

URL-адрес, с которым требуется установить связь. Вы можете ввести URL-адрес в одном из следующих форматов:

  • <имя хоста>:<номер порта>;
  • <IPv4-адрес>:<номер порта>;
  • <IPv6-адрес>:<номер порта>;
  • :<номер порта>.

Обязательный параметр.

Auditd

Переключатель, включающий механизм auditd, который группирует полученные от коннектора строки событий auditd в одно событие auditd.

Если вы включили этот переключатель, вы не можете выбрать значение в раскрывающемся списке Разделитель, так как для механизма auditd автоматически выбирается значение \n.

Если вы включили этот переключатель в параметрах коннектора агента, вам нужно выбрать значение \n в раскрывающемся списке Разделитель в параметрах коннектора коллектора, в который агент отправляет события.

Максимальный размер сгруппированного события auditd составляет примерно 4 174 304 символов.

KUMA классифицирует события Auditd согласно алгоритму. Например, для обработки получены следующие записи:

type=LOGIN msg=audit(1712820601.957:21458): pid=4987 uid=0 subj=0:63:0:0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=2348 res=1

type=SYSCALL msg=audit(1712820601.957:21458): arch=c000003e syscall=1 success=yes exit=1 a0=7 a1=7ffc9a07ba50 a2=1 a3=0 items=0 ppid=429 pid=4987 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=2348 comm="cron" exe="/usr/sbin/cron" subj=0:63:0:0 key=(null)

type=PROCTITLE msg=audit(1712820601.957:21458): proctitle=2F7573722F7362696E2F43524F4E002D66

Согласно алгоритму в данном случае мы получим одно однострочное событие с типом LOGIN, так как тип LOGIN имеет код 1006 и он меньше AUDIT_FIRST_EVENT равного 1300, и одно многострочное событие с SYSCALL и PROCTITLE.

Разделитель

Символ, определяющий границу между событиями:

  • \n;
  • \t;
  • \0.

Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Размер буфера

Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

TTL буфера событий

Время жизни буфера для строк событий auditd в миллисекундах. Строки событий auditd попадают в коллектор KUMA и накапливаются в буфере. Это позволяет сгруппировать несколько строк событий auditd в одно событие auditd.

Отсчет времени жизни буфера начинается при получении первой строки события auditd или при истечении предыдущего времени жизни буфера. Доступные значения: от 50 до 30 000. Значение по умолчанию: 2000.

Это поле доступно, если вы включили переключатель Auditd на вкладке Основные параметры.

Строки событий auditd, накопленные в буфере, хранятся в оперативной памяти сервера. Мы рекомендуем с осторожностью увеличивать размер буфера, так как это может привести к использованию слишком большого количества оперативной памяти сервера коллектором KUMA. Вы можете просмотреть в метриках KUMA, сколько оперативной памяти сервера использует коллектор KUMA.

Если вы хотите, чтобы время жизни буфера составляло более 30 000 миллисекунд, мы рекомендуем использовать другой транспорт доставки событий auditd. Например, вы можете использовать агента или предварительно накапливать события auditd в файле, после чего обрабатывать файл коллектором KUMA.

Заголовок транспорта

Регулярное выражение для событий auditd, по которому определяются строки событий auditd. Вы можете использовать значение по умолчанию или изменить его.

Регулярное выражение должно содержать группы record_type_name, record_type_value и event_sequence_number. Если многострочное событие auditd содержит префикс, для первой строки события auditd префикс сохраняется, а для последующих – отбрасывается.

Вы можете вернуться регулярному выражению для событий auditd по умолчанию, нажав на кнопку Установить значение по умолчанию.

Режим TLS

Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:

  • Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
  • Включено – использовать шифрование TLS, но без верификации сертификатов.
  • С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.
  • Нестандартный PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать PFX-сертификат из хранилища, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша.

    Как создать PFX-секрет?

    Чтобы создать PFX-секрет:

    1. В поле Название введите название PFX-секрета.
    2. Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом.
    3. В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата.
    4. Нажмите на кнопку Создать.

    PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет.

Сжатие

Раскрывающийся список, позволяющий настроить использование сжатия Snappy:

  • Выключено. Это значение выбрано по умолчанию.
  • С помощью Snappy.

В начало
[Topic 220739]

Коннектор, тип udp

Коннекторы с типом upd используются для пассивного получения событий по протоколу UDP при работе с агентами Windows и Linux. Доступные параметры коннектора с типом udp описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – udp.

Обязательный параметр.

URL

URL-адрес, с которым требуется установить связь. Вы можете ввести URL-адрес в одном из следующих форматов:

  • <имя хоста>:<номер порта>;
  • <IPv4-адрес>:<номер порта>;
  • <IPv6-адрес>:<номер порта>;
  • :<номер порта>.

Обязательный параметр.

Auditd

Переключатель, включающий механизм auditd, который группирует полученные от коннектора строки событий auditd в одно событие auditd.

Если вы включили этот переключатель, вы не можете выбрать значение в раскрывающемся списке Разделитель, так как для механизма auditd автоматически выбирается значение \n.

Если вы включили этот переключатель в параметрах коннектора агента, вам нужно выбрать значение \n в раскрывающемся списке Разделитель в параметрах коннектора коллектора, в который агент отправляет события.

Максимальный размер сгруппированного события auditd составляет примерно 4 174 304 символов.

KUMA классифицирует события Auditd согласно алгоритму. Например, для обработки получены следующие записи:

type=LOGIN msg=audit(1712820601.957:21458): pid=4987 uid=0 subj=0:63:0:0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=2348 res=1

type=SYSCALL msg=audit(1712820601.957:21458): arch=c000003e syscall=1 success=yes exit=1 a0=7 a1=7ffc9a07ba50 a2=1 a3=0 items=0 ppid=429 pid=4987 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=2348 comm="cron" exe="/usr/sbin/cron" subj=0:63:0:0 key=(null)

type=PROCTITLE msg=audit(1712820601.957:21458): proctitle=2F7573722F7362696E2F43524F4E002D66

Согласно алгоритму в данном случае мы получим одно однострочное событие с типом LOGIN, так как тип LOGIN имеет код 1006 и он меньше AUDIT_FIRST_EVENT равного 1300, и одно многострочное событие с SYSCALL и PROCTITLE.

Разделитель

Символ, определяющий границу между событиями:

  • \n;
  • \t;
  • \0.

Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Размер буфера

Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).

Количество обработчиков

Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.

Допускается указать целое положительное число не больше 999.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

TTL буфера событий

Время жизни буфера для строк событий auditd в миллисекундах. Строки событий auditd попадают в коллектор KUMA и накапливаются в буфере. Это позволяет сгруппировать несколько строк событий auditd в одно событие auditd.

Отсчет времени жизни буфера начинается при получении первой строки события auditd или при истечении предыдущего времени жизни буфера. Доступные значения: от 50 до 30 000. Значение по умолчанию: 2000.

Это поле доступно, если вы включили переключатель Auditd на вкладке Основные параметры.

Строки событий auditd, накопленные в буфере, хранятся в оперативной памяти сервера. Мы рекомендуем с осторожностью увеличивать размер буфера, так как это может привести к использованию слишком большого количества оперативной памяти сервера коллектором KUMA. Вы можете просмотреть в метриках KUMA, сколько оперативной памяти сервера использует коллектор KUMA.

Если вы хотите, чтобы время жизни буфера составляло более 30 000 миллисекунд, мы рекомендуем использовать другой транспорт доставки событий auditd. Например, вы можете использовать агента или предварительно накапливать события auditd в файле, после чего обрабатывать файл коллектором KUMA.

Заголовок транспорта

Регулярное выражение для событий auditd, по которому определяются строки событий auditd. Вы можете использовать значение по умолчанию или изменить его.

Регулярное выражение должно содержать группы record_type_name, record_type_value и event_sequence_number. Если многострочное событие auditd содержит префикс, для первой строки события auditd префикс сохраняется, а для последующих – отбрасывается.

Вы можете вернуться регулярному выражению для событий auditd по умолчанию, нажав на кнопку Установить значение по умолчанию.

Сжатие

Раскрывающийся список, позволяющий настроить использование сжатия Snappy:

  • Выключено. Это значение выбрано по умолчанию.
  • С помощью Snappy.

В начало
[Topic 220740]

Коннектор, тип netflow

Коннекторы с типом netflow используются для пассивного получения событий в формате NetFlow. Доступные параметры коннектора с типом netflow описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – netflow.

Обязательный параметр.

URL

URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов:

  • <имя хоста>:<номер порта>;
  • <IPv4-адрес>:<номер порта>;
  • <IPv6-адрес><номер порта>.

    IPv6-адреса можно указать в формате [<IPv6-адрес>%<интерфейс>:<номер порта>, например [fe80::5054:ff:fe4d:ba0c%eth0]:4222.

Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления cross-black.

Обязательный параметр.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Размер буфера

Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).

Количество обработчиков

Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.

Допускается указать целое положительное число не больше 999.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

В начало
[Topic 220741]

Коннектор, тип sflow

Коннекторы с типом sflow используются для пассивного получения событий в формате sFlow. Для sFlow поддерживаются только структуры, описанные в sFlow version 5. Доступные параметры коннектора с типом sflow описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – sflow.

Обязательный параметр.

URL

URL-адрес, с которым требуется установить связь. Вы можете ввести URL-адрес в одном из следующих форматов:

  • <имя хоста>:<номер порта>;
  • <IPv4-адрес>:<номер порта>;
  • <IPv6-адрес>:<номер порта>;
  • :<номер порта>.

Обязательный параметр.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Размер буфера

Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).

Количество обработчиков

Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.

Допускается указать целое положительное число не больше 999.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

В начало
[Topic 233206]

Коннектор, тип nats-jetstream

Коннекторы с типом nats-jetstream используются для взаимодействия с брокером сообщений NATS при работе с агентами Windows и Linux. Доступные параметры коннектора с типом nats-jetstream описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – nats-jetsream.

Обязательный параметр.

URL

URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов:

  • <имя хоста>:<номер порта>;
  • <IPv4-адрес>:<номер порта>;
  • <IPv6-адрес><номер порта>.

    IPv6-адреса можно указать в формате [<IPv6-адрес>%<интерфейс>:<номер порта>, например [fe80::5054:ff:fe4d:ba0c%eth0]:4222.

Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления cross-black.

Обязательный параметр.

Авторизация

Тип авторизации при подключении к URL-адресу, указанному в поле URL:

  • Выключена. Это значение выбрано по умолчанию.
  • Обычная. При выборе этого значения в раскрывающемся списке Секрет укажите секрет, содержащий данные учетной записи пользователя для авторизации при подключении к точке назначения. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

    Как создать секрет?

    Чтобы создать секрет:

    1. В поле Название введите название секрета.
    2. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
    3. При необходимости в поле Описание введите описание секрета.
    4. Нажмите на кнопку Создать.

    Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.

Тема

Тема сообщений NATS. Символы вводятся в кодировке Unicode.

Обязательный параметр.

Идентификатор группы

Значение параметра GroupID для сообщений NATS. Максимальная длина значения: до 255 символов в кодировке Unicode. Значение по умолчанию: default.

Разделитель

Символ, определяющий границу между событиями:

  • \n;
  • \t;
  • \0.

Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Размер буфера

Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).

Количество обработчиков

Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.

Допускается указать целое положительное число не больше 999.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

Режим TLS

Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:

  • Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
  • Включено – использовать шифрование TLS, но без верификации сертификатов.

    С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.

  • Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения в раскрывающемся списке Нестандартный CA укажите секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

    Как создать сертификат, подписанный центром сертификации?

    Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL).

    Чтобы создать сертификат, подписанный центром сертификации:

    1. Создайте ключ, который будет использоваться центром сертификации, например:

      openssl genrsa -out ca.key 2048

    2. Создайте сертификат для созданного ключа, например:

      openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

    3. Создайте приватный ключ и запрос на его подписание в центре сертификации, например:

      openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

    4. Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную subjectAltName доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например:

      openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

    5. Загрузите созданный сертификат server.crt в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate.

    Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку x509: certificate signed by unknown authority.

  • Нестандартный PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

    Как создать PFX-секрет?

    Чтобы создать PFX-секрет:

    1. В поле Название введите название PFX-секрета.
    2. Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом.
    3. В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата.
    4. Нажмите на кнопку Создать.

    PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет.

Сжатие

Раскрывающийся список, позволяющий настроить использование сжатия Snappy:

  • Выключено. Это значение выбрано по умолчанию.
  • С помощью Snappy.

В начало
[Topic 220742]

Коннектор, тип kafka

Развернуть всё | Свернуть всё

Коннекторы с типом kafka используются для коммуникации с шиной данных Apache Kafka при работе с агентами Windows и Linux. Доступные параметры коннектора с типом kafka описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – kafka.

Обязательный параметр.

URL

URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов:

  • <имя хоста>:<номер порта>;
  • <IPv4-адрес>:<номер порта>;
  • <IPv6-адрес><номер порта>.

    IPv6-адреса можно указать в формате [<IPv6-адрес>%<интерфейс>:<номер порта>, например [fe80::5054:ff:fe4d:ba0c%eth0]:4222.

Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления cross-black.

Обязательный параметр.

Авторизация

Тип авторизации при подключении к URL-адресу, указанному в поле URL:

  • Выключена. Это значение выбрано по умолчанию.
  • Обычная. При выборе этого значения в раскрывающемся списке Секрет укажите секрет, содержащий данные учетной записи пользователя для авторизации при подключении к точке назначения. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

    Как создать секрет?

    Чтобы создать секрет:

    1. В поле Название введите название секрета.
    2. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
    3. При необходимости в поле Описание введите описание секрета.
    4. Нажмите на кнопку Создать.

    Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.

  • PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать PFX-сертификат из хранилища, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

    Как создать PFX-секрет?

    Чтобы создать PFX-секрет:

    1. В поле Название введите название PFX-секрета.
    2. Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом.
    3. В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата.
    4. Нажмите на кнопку Создать.

    PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет.

Топик

Тема сообщений Kafka. Максимальная длина темы составляет до 255 символов. Вы можете использовать следующие символы: a–z, A–Z, 0–9, ".", "_", "-".

Обязательный параметр.

Идентификатор группы

Значение параметра GroupID для сообщений Kafka. Максимальная длина значения: до 255 символов. Вы можете использовать символы a–z, A–Z, 0–9, ".", "_", "-".

Разделитель

Символ, определяющий границу между событиями:

  • \n;
  • \t;
  • \0.

Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Количество обработчиков

Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.

Допускается указать целое положительное число не больше 999.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

Режим TLS

Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:

  • Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
  • Включено – использовать шифрование TLS, но без верификации сертификатов.
  • С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.
  • Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения в раскрывающемся списке Нестандартный CA укажите секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

    Как создать сертификат, подписанный центром сертификации?

    Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL).

    Чтобы создать сертификат, подписанный центром сертификации:

    1. Создайте ключ, который будет использоваться центром сертификации, например:

      openssl genrsa -out ca.key 2048

    2. Создайте сертификат для созданного ключа, например:

      openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

    3. Создайте приватный ключ и запрос на его подписание в центре сертификации, например:

      openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

    4. Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную subjectAltName доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например:

      openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

    5. Загрузите созданный сертификат server.crt в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate.

    Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку x509: certificate signed by unknown authority.

Размер одного сообщения в запросе

Размер одного сообщения в запросе в байтах. Значение по умолчанию:16 МБ.

Максимальное время ожидания одного сообщения

Время ожидания одного сообщения в секундах. Значение по умолчанию: 5 секунд.

Время ожидания подключения

 

Время ожидания чтения

 

Время ожидания записи

 

Интервал обновления состояния группы

 

Время сессии

 

Максимальное время обработки одного сообщения

 

Включить автокоммит

 

Интервал автокоммита

 

В начало
[Topic 220744]

Коннектор, тип kata/edr

Коннекторы с типом kata/edr используются для получения данных KEDR по API. Доступные параметры коннектора с типом kata/edr описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – kata/edr.

Обязательный параметр.

URL

URL-адрес, с которым требуется установить связь. Поддерживаются следующие форматы URL-адресов:

  • <имя хоста>:<номер порта>;
  • <IPv4-адрес>:<номер порта>;
  • <IPv6-адрес><номер порта>.

    IPv6-адреса можно указать в формате [<IPv6-адрес>%<интерфейс>:<номер порта>, например [fe80::5054:ff:fe4d:ba0c%eth0]:4222.

Вы можете добавить несколько URL-адресов и удалить URL-адрес. KUMA не позволяет сохранить ресурс или сервис если в поле URL есть знак табуляции или пробел. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления cross-black.

Обязательный параметр.

Секрет

Секрет, в котором хранятся учетные данные для подключения к серверу KATA/EDR. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.

Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

Как создать секрет?

Чтобы создать секрет:

  1. В поле Название введите название секрета.
  2. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
  3. При необходимости в поле Описание введите описание секрета.
  4. Нажмите на кнопку Создать.

Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.

Обязательный параметр.

Внешний ID

Идентификатор для внешних систем. KUMA автоматически генерирует идентификатор и указывает его в этом поле.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. Мы рекомендуем применять конвертацию, только если в полях нормализованного события отображаются недопустимые символы. По умолчанию значение не выбрано.

Максимальное количество событий

Максимальное количество событий в одном запросе. По умолчанию используется значение, указанное на сервере KATA/EDR.

Время ожидания получения событий

Время ожидания получения событий от сервера KATA/EDR в секундах. Значение по умолчанию: 0 – используется значение, указанное на сервере KATA/EDR.

Время ожидания ответа

Время ожидания ответа от сервера KATA/EDR в секундах. Значение по умолчанию: 0 – 1800 секунд.

Фильтр KEDRQL

Фильтр запросов к серверу KATA/EDR. Подробнее о языке запросов см. в Справке KEDR.

В начало
[Topic 268052]

Коннектор, тип http

Коннекторы с типом http используются для получения событий по протоколу HTTP при работе с агентами Windows и Linux. Доступные параметры коннектора с типом http описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – http.

Обязательный параметр.

URL

URL-адрес, с которым требуется установить связь. Вы можете ввести URL-адрес в одном из следующих форматов:

  • <имя хоста>:<номер порта>;
  • <IPv4-адрес>:<номер порта>;
  • <IPv6-адрес>:<номер порта>;
  • :<номер порта>.

Обязательный параметр.

Разделитель

Символ, определяющий границу между событиями:

  • \n;
  • \t;
  • \0.

Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

Режим TLS

Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:

  • Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
  • Включено – использовать шифрование TLS, но без верификации сертификатов.
  • С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.
  • Нестандартный PFX – использовать шифрование TLS с PFX-секретом. Вам нужно сформировать PFX-сертификат с закрытым ключом в формате PKCS#12-контейнера во внешнем центре сертификации, экспортировать PFX-сертификат из хранилища, после чего загрузить PFX-сертификат в веб-интерфейс KUMA в виде PFX-секрета. При выборе этого значения в раскрывающемся списке PFX секрет укажите PFX-секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий PFX-секрет или создать новый PFX-секрет. Для создания нового PFX-секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша.

    Как создать PFX-секрет?

    Чтобы создать PFX-секрет:

    1. В поле Название введите название PFX-секрета.
    2. Нажмите на кнопку Загрузить PFX и выберите файл в формате PKCS#12-контейнера, в который вы экспортировали PFX-сертификат с закрытым ключом.
    3. В поле Пароль введите пароль для защиты PFX-сертификата, указанный в мастере экспорта PFX-сертификата.
    4. Нажмите на кнопку Создать.

    PFX-секрет будет создан и отобразится в раскрывающемся списке PFX секрет.

В начало
[Topic 220745]

Коннектор, тип sql

Развернуть всё | Свернуть всё

Коннекторы с типом sql используются для выборки данных из Систем Управления Базами Данных (СУБД). KUMA поддерживает работу с несколькими типами баз данных. При создании коннектора с типом sql вам нужно указать значения для общих параметров коннектора и отдельных параметров подключения к базе данных. Доступные параметры коннектора с типом sql описаны в таблицах ниже.

Программа поддерживает работу со следующими типами баз данных SQL:

  • SQLite.
  • MariaDB 10.5 и выше.
  • MsSQL.
  • MySQL 5.7 и выше.
  • PostgreSQL.
  • Cockroach.
  • Oracle.
  • Firebird.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – sql.

Обязательный параметр.

Запрос по умолчанию

SQL-запрос, который выполняется при подключении к базе данных.

Обязательный параметр.

Переподключаться к БД каждый раз при отправке запроса

Переключатель, включающий переключение коннектора к базе данных при отправке запроса. По умолчанию этот переключатель выключен.

Интервал запросов, сек.

Интервал выполнения SQL-запросов в секундах. Значение по умолчанию: 10 секунд.

Соединение

Параметры подключения к базе данных:

  • Тип базы данных – тип базы данных для подключения. При выборе типа базы данных в поле URL отображается префикс, соответствующий протоколу взаимодействия. Например, для типа базы данных ClickHouse в поле URL отображается префикс clickhouse://.
  • Секрет отдельно – флажок, позволяющий просматривать информацию о подключении.
  • URL – URL-адрес подключения. Вы сможете просматривать информацию о подключении и вам не придется повторно создавать большое количество подключений при изменении пароля учетной записи, которую вы использовали для подключений.

    При создании подключений, если информация о подключении задана в URL-адресе, могут неправильно обрабатываться строки с учетными данными, содержащими специальные символы. Если при создании подключения возникает ошибка, но вы уверены в том, что указали правильные значения параметров, укажите специальные символы в процентной кодировке.

    Коды специальных символов

    !

    #

    $

    %

    &

    '

    (

    )

    *

    +

    %21

    %23

    %24

    %25

    %26

    %27

    %28

    %29

    %2A

    %2B

    ,

    /

    :

    ;

    =

    ?

    @

    [

    ]

    \

    %2C

    %2F

    %3A

    %3B

    %3D

    %3F

    %40

    %5B

    %5D

    %5C

    Следующие специальные символы не поддерживаются в паролях доступа к базам SQL: пробел, [, ], :, /, #, %, \.

    Если вы установили флажок Секрет отдельно, учетные данные задаются в секрете и кодируются автоматически. В этом случае кодирование специальных символов не требуется.

    Если вы установили флажок Секрет отдельно, вы можете выбрать существующий URL-адрес или создать новый URL-адрес. Для создания нового URL-адреса выберите значение Создать.

    Если вы хотите изменить параметры существующего URL-адреса, нажмите рядом с ним на значок карандаша edit-pencil.

  • Секрет – секрет urls, в котором хранится список URL-адресов для подключения к базе данных. Это поле отображается, если вы установили флажок Секрет отдельно.
  • Столбец идентификатора – название столбца, содержащего идентификатор для каждой строки таблицы.

    Обязательный параметр.

  • Начальное значение идентификатора – значение в столбце идентификатора для определения строки, с которой требуется начать считывание данных из SQL-таблицы.
  • Запрос – дополнительный SQL-запрос, который выполняется вместо SQL-запроса по умолчанию.
  • Интервал запросов, сек – интервал выполнения SQL-запросов в секундах. Указанный интервал используется вместо интервала, указанного по умолчанию для коннектора. Значение по умолчанию: 10 секунд.

Вы можете добавить несколько подключений или удалить подключение. Для добавления подключения нажмите на кнопку + Добавить подключение. Для удаления подключения нажмите рядом с ним на значок удаления cross-black.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

KUMA конвертирует ответы SQL в кодировку UTF-8. Вы можете настроить SQL-сервер на отправку ответов в кодировке UTF-8 или выбрать их кодировку на стороне KUMA.

В рамках одного коннектора вы можете создать подключение для нескольких поддерживаемых баз данных. Если коллектор с коннектором типа sql не удаётся запустить, вам нужно проверить, пуст ли state-файл /opt/kaspersky/kuma/collector/<идентификатор коллектора>/sql/state-<идентификатор файла>. Если state-файл пуст, вам нужно его удалить и перезапустить коллектор.

Чтобы создать подключение для нескольких баз данных SQL:

  1. Нажмите на кнопку Добавить подключение.
  2. Задайте значение для параметров URL, Столбец идентификатора, Начальное значение идентификатора, Запрос, Интервал запросов, сек.
  3. Повторите шаги 1–2 для каждого требуемого подключения.

Поддерживаемые типы SQL и особенности их использования

Поддерживаются следующие типы SQL:

  • MSSQL.

    Например:

    • sqlserver://{user}:{password}@{server:port}/{instance_name}?database={database}

    Мы рекомендуем использовать этот вариант URL.

    • sqlserver://{user}:{password}@{server}?database={database}

    В качестве плейсхолдера в SQL-запросе используются символы @p1.

    Если вы хотите подключиться с доменными учетными данными, укажите имя учетной записи в формате <домен>%5C<пользователь>. Например: sqlserver://domain%5Cuser:password@ksc.example.com:1433/SQLEXPRESS?database=KAV.

  • MySQL/MariaDB.

    Например:

    mysql://{user}:{password}@tcp({server}:{port})/{database}

    В качестве плейсхолдера в SQL-запросе используются символ ?.

  • PostgreSQL.

    Например: postgres://{user}:{password}@{server}/{database}?sslmode=disable

    В качестве плейсхолдера в SQL-запросе используются символы $1.

  • CockroachDB.

    Например:

    postgres://{user}:{password}@{server}:{port}/{database}?sslmode=disable

    В качестве плейсхолдера в SQL-запросе используются символы $1.

  • SQLite3.

    Например:

    sqlite3://file:{file_path}

    В качестве плейсхолдера в SQL-запросе используется знак вопроса: ?.

    При обращении к SQLite3, если начальное значение идентификатора используется в формате datetime, вам нужно добавить преобразование даты с помощью функции sqlite datetime в SQL-запрос. Например:

    select * from connections where datetime(login_time) > datetime(?, 'utc') order by login_time

    В этом примере connections – это таблица SQLite, а значение переменной ? берется из поля Начальное значение идентификатора, и его требуется указывать в формате {<дата>}T{<время>}Z, например 2021-01-01T00:10:00Z).

  • Oracle DB.

    Начиная с версии 2.1.3 KUMA использует новый драйвер для подключения к oracle. При обновлении KUMA переименует секрет для подключения в oracle-deprecated и коннектор продолжит работу. Если после запуска коллектора с типом драйвера oracle-deprecated не удается получить события, создайте новый секрет с драйвером oracle и используйте его для подключения. Мы рекомендуем использовать новый драйвер.

    Пример URL секрета с новым драйвером oracle:

    oracle://{user}:{password}@{server}:{port}/{service_name}

    oracle://{user}:{password}@{server}:{port}/?SID={SID_VALUE}

    Если время выполнения запроса превышает 30 секунд. драйвер oracle прерывает SQL-запрос и в журнале коллектора появится ошибка user requested cancel of current operation. Для увеличения времени выполнения SQL-запроса укажите в строке подключения значение параметра timeout в секундах, например:

    oracle://{user}:{password}@{server}:{port}/{service_name}?timeout=300

    Пример URL секрета с прежним драйвером oracle-deprecated:

    oracle-deprecated://{user}/{password}@{server}:{port}/{service_name}

    В качестве плейсхолдера в SQL-запросе используется переменная :val.

    При обращении к Oracle DB, если начальное значение идентификатора используется в формате datetime, требуется учитывать тип поля в базе данных и при необходимости добавить дополнительные преобразования строки со временем в SQL-запросе для обеспечения правильной работы SQL-коннектора. Например, если в базе создана таблица Connections, в которой есть поле login_time, возможны следующие преобразования:

    • Если у поля login_time тип TIMESTAMP, в зависимости от параметров базы данных в поле login_time может быть указано значение в формате YYYY-MM-DD HH24:MI:SS, например 2021-01-01 00:00:00. В этом случае вам нужно указать значение 2021-01-01T00:00:00Z в поле Начальное значение идентификатора, а в SQL-запросе произвести преобразование с помощью функции to_timestamp, например:

      select * from connections where login_time > to_timestamp(:val, 'YYYY-MM-DD"T"HH24:MI:SS"Z"')

    • Если у поля login_time тип TIMESTAMP WITH TIME ZONE, в зависимости от параметров базы данных в поле login_time может быть указано значение в формате YYYY-MM-DD"T"HH24:MI:SSTZH:TZM, например 2021-01-01T00:00:00+03:00. В этом случае вам нужно указать значение 2021-01-01T00:00:00+03:00 в поле Начальное значение идентификатора, а в SQL-запросе произвести преобразование с помощью функции to_timestamp_tz, например:

      select * from connections_tz where login_time > to_timestamp_tz(:val, 'YYYY-MM-DD"T"HH24:MI:SSTZH:TZM')

      Подробнее о функциях to_timestamp и to_timestamp_tz см. в официальной документации Oracle.

    Для обращения к Oracle DB вам нужно установить пакет Astra Linux libaio1.

  • Firebird SQL.

    Например:

    firebirdsql://{user}:{password}@{server}:{port}/{database}

    В качестве плейсхолдера в SQL-запросе используется знак вопроса: ?.

    Если возникает проблема подключения к firebird на Windows, используйте полный путь до файла с базой данных, например:

    firebirdsql://{user}:{password}@{server}:{port}/C:\Users\user\firebird\db.FDB

  • ClickHouse.

    Например:

    clickhouse://{user}:{password}@{server}:{port}/{database}

    В качестве плейсхолдера в SQL-запросе используется знак вопроса: ?.

    KUMA поддерживает работу со следующими типами данных:

    • Данные, которые можно привести к строкам (например, строки, численные значения и BLOB-объекты), отображаются в виде строк.
    • Массивы данных и карты отображаются в формате JSON или с помощью встроенного механизма go fmt.Sprintf("%v",v) показываются оптимальным доступным образом.

    Подключение к ClickHouse может осуществляться двумя способами:

    • Без использования учетных данных: необходимо ввести URL-адрес clickhouse://host:port/database.
    • С учетными данными: требуется использовать URL-адрес clickhouse://user:password@host:port/database.

    При использовании шифрования TLS по умолчанию коннектор работает только по порту 9440. Если шифрование TLS не используется, по умолчанию коннектор работает с ClickHouse только по порту 9000.

    Коннектор не работает по протоколу http.

    Если на сервере с ClickHouse настроен режим шифрования TLS, а в параметрах коннектора в раскрывающемся списке Режим TLS выбрано Выключено или наоборот, соединение с базой данных не будет установлено.

    Режим TLS используется только если указан драйвер ClickHouse.

    Если вы хотите подключиться к ClickHouse KUMA, вам нужно в параметрах коннектора с типом SQL указать тип секрета PublicPki, который содержит закрытый ключ PEM, закодированный в base64, и открытый ключ.

    В параметрах коннектора с типом SQL для типа соединения ClickHouse вам нужно выбрать Выключено в раскрывающемся списке Режим TLS. Это значение недопустимо указывать, если для аутентификации используется сертификат. Если в раскрывающемся списке Режим TLS вы выбираете Нестандартный CA, в поле Столбец идентификатора вам нужно указать ID секрета типа certificate. Вам также нужно выбрать одно из следующих значений в раскрывающемся списке Тип авторизации:

    • Выключено. При выборе этого значения вам нужно оставить пустым значение в поле Столбец идентификатора.
    • Обычная. Вам нужно выбрать это значение, если установлен флажок Секрет отдельно и в поле Столбец идентификатора указан ID секрета типа credentials.
    • PublicPki. Вам нужно выбрать это значение, если установлен флажок Секрет отдельно и в поле Столбец идентификатора указан ID секрета типа PublicPki.

    Если в начальном значении идентификатора есть указание времени (datetime), в запросе необходимо ввести переменную для преобразования времени ( parseDateTimeBestEffort). Например, если время указано как 2021-01-01 00:10:00, то запрос будет следующим:

    select connections, username, host, login_time from connections where login_time > parseDateTimeBestEffort(?) order by login_time

В SQL-запросах поддерживается последовательный запрос сведений из базы данных. Например, если в поле Запрос указать SQL-запрос select * from <название таблицы с данными> where id > <плейсхолдер>, при первом обращении к таблице в качестве значения плейсхолдера будет использоваться значение поля Начальное значение идентификатора. При этом в сервисе, в котором используется SQL-коннектор, сохраняется идентификатор последней прочитанной записи, и во время следующего обращения к базе данных в качестве значения плейсхолдера в запросе будет использоваться идентификатор этой записи.

В строку запроса рекомендуется добавлять команду order by, после которой указывается поле для сортировки. Например, select * from table_name where id > ? order by id.

Примеры SQL-запросов

SQLite, Firebird, MySQL, MariaDB, ClickHouse – select * from table_name where id > ? order by id

MsSQL – select * from table_name where id > @p1 order by id

PostgreSQL, Cockroach – select * from table_name where id > $1 order by id

Oracle – select * from table_name where id > :val order by id

В начало
[Topic 220746]

Коннектор, тип file

Развернуть всё | Свернуть всё

Коннекторы с типом file используются для получения данных из текстовых файлов при работе с агентами Windows и Linux. Одна строка текстового файла считается одним событием. В качестве разделителя строк используется \n.

Если при создании коллектора на шаге Транспорт мастера установки вы указали коннектор с типом file, на шаге Парсинг событий в таблице Сопоставление вы можете передать в поле события KUMA название обрабатываемого коллектором файла или путь к файлу. Для этого в столбце Исходные данные укажите одно из следующих значений:

  • $kuma_fileSourceName – передать в поле события KUMA название обрабатываемого коллектором файла.
  • $kuma_fileSourcePath – передать в поле события KUMA путь к обрабатываемому коллектором файлу.

Когда вы используете коннектор с типом file, новые переменные в нормализаторе будут работать только с точками назначения с типом internal.

Для чтения Windows-файлов вам нужно создать коннектор с типом file и установить агент на Windows вручную. В одном Windows-агенте вы можете настроить несколько соединений разного типа, но тип file должен быть один. Windows-агент не должен читать свои файлы в папке, где установлен агент.

Мы не рекомендуем запускать агент под учетной записью администратора; необходимо, чтобы права чтения на папки/файлы были настроены для учетной записи агента. Мы не рекомендуем ставить агент на важные системы, лучше пересылать журналы и читать их на отдельных хостах с агентом.

Для каждого файла, с которым взаимодействует коннектор с типом file, создается файл состояния (states.ini) с параметрами offset, dev, inode и filename. Файл состояния позволяет коннектору при перечитывании файла возобновлять чтение с места, где коннектор остановился в последний раз, а не начинать чтение заново. Существуют следующие особенности перечитывания файлов:

  • Если параметр inode в файле состояния изменится, при перечитывании файла, которому соответствует файл состояния, коннектор начнет чтение заново. При удалении и повторном создании файла параметр inode в соответствующем файле состояния может не измениться. В этом случае при перечитывании файла коннектор возобновит чтение на основании параметра offset.
  • Если файл был обрезан или уменьшился его размер, при перечитывании файла коннектор начнет чтение заново.
  • Если файл был переименован, при перечитывании файла коннектор возобновит чтение с места, где коннектор остановился в последний раз.
  • Если директория с файлом была перемонтирована, при перечитывании файла коннектор возобновит чтение с места, где коннектор остановился в последний раз. Вы можете указать путь к файлам, с которыми взаимодействует коннектор, при настройке коннектора в поле Путь к файлу.

Доступные параметры коннектора с типом file описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – file.

Обязательный параметр.

Путь к файлу

Полный путь к файлу, с которым коннектор выполняет взаимодействие. Например, /var/log/*som?[1-9].log или с:\folder\logs.*. Недопустимо указывать следующие пути:

  • `(?i)^[a-zA-Z]:\\Program Files`.
  • `(?i)^[a-zA-Z]:\\Program Files \(x86\)`.
  • `(?i)^[a-zA-Z]:\\Windows`.
  • `(?i)^[a-zA-Z]:\\ProgramData\\Kaspersky Lab\\KUMA`.

Шаблоны масок для файлов и директорий

Маски:

  • '*' – соответствует любой последовательности символов;
  • '[' [ '^' ] { <диапазон символов> } ']' – класс символов (не должен быть пустым);
  • '?' – соответствует любому одиночному символу.

Диапазоны символов:

  • [0-9] – числа;
  • [a-zA-Z] – буквы латинского алфавита.

Примеры:

  • /var/log/*som?[1-9].log
  • /mnt/dns_logs/*/dns.log
  • /mnt/proxy/access*.log

Ограничения при использовании префиксов к путям файлов

Префиксы, которые невозможно использовать при указании путей к файлам:

  • /*
  • /bin
  • /boot
  • /dev
  • /etc
  • /home
  • /lib
  • /lib64
  • /proc
  • /root
  • /run
  • /sys
  • /tmp
  • /usr/*
  • /usr/bin/
  • /usr/local/*
  • /usr/local/sbin/
  • /usr/local/bin/
  • /usr/sbin/
  • /usr/lib/
  • /usr/lib64/
  • /var/*
  • /var/lib/
  • /var/run/
  • /opt/kaspersky/kuma/

Файлы по указанным ниже путям доступны:

  • /opt/kaspersky/kuma/clickhouse/logs/
  • /opt/kaspersky/kuma/mongodb/log/
  • /opt/kaspersky/kuma/victoria-metrics/log/

Ограничение количества отслеживаемых файлов по маске

Количество одновременно отслеживаемых файлов по маске может быть ограничено параметром Ядра max_user_watches. Для просмотра значения параметра выполните команду:

cat /proc/sys/fs/inotify/max_user_watches

Если количество файлов для отслеживания превышает значение параметра max_user_watches, коллектор больше не сможет считывать события из файлов и в журнале коллектора появится следующая ошибка:

Failed to add files for watching {"error": "no space left on device"}

Для продолжения правильной работы коллектора вы можете настроить правильную ротацию файлов, чтобы количество файлов не превышало значение параметра max_user_watches, или увеличить значение max_user_watches.

Для увеличения значения параметра выполните команду:

sysctl fs.inotify.max_user_watches=<количество файлов>

sysctl -p

Вы можете добавить значение параметра max_user_watches в sysctl.conf, чтобы значение сохранялось всегда.

После того, как вы увеличите значение параметра max_user_watches, коллектор успешно продолжит работу.

Обязательный параметр.

Время ожидания изменений, сек

Время в секундах, в течение которого файл не должен обновляться, чтобы KUMA выполнила с ним действие, указанное в раскрывающемся списке Действие после таймаута. Значение по умолчанию: 0 – если файл не обновляется, KUMA не выполняет с ним никакого действия.

Введенное значение не должно быть меньше значения, которое вы ввели на вкладке Дополнительные параметры в поле Интервал запросов, мс.

Действие после таймаута

Действие, которое KUMA выполняет с файлом по прошествии времени, указанного в поле Время ожидания изменений, сек:

  • Ничего не делать. Значение по умолчанию.
  • Добавление суффикса – добавить к названию файла расширение .kuma_processed и не обрабатывать файл даже при его обновлении.
  • Удаление – удалить файл.

Auditd

Переключатель, включающий механизм auditd, который группирует полученные от коннектора строки событий auditd в одно событие auditd.

Если вы включили этот переключатель, вы не можете выбрать значение в раскрывающемся списке Разделитель, так как для механизма auditd автоматически выбирается значение \n.

Если вы включили этот переключатель в параметрах коннектора агента, вам нужно выбрать значение \n в раскрывающемся списке Разделитель в параметрах коннектора коллектора, в который агент отправляет события.

Максимальный размер сгруппированного события auditd составляет примерно 4 174 304 символов.

KUMA классифицирует события Auditd согласно алгоритму. Например, для обработки получены следующие записи:

type=LOGIN msg=audit(1712820601.957:21458): pid=4987 uid=0 subj=0:63:0:0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=2348 res=1

type=SYSCALL msg=audit(1712820601.957:21458): arch=c000003e syscall=1 success=yes exit=1 a0=7 a1=7ffc9a07ba50 a2=1 a3=0 items=0 ppid=429 pid=4987 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=2348 comm="cron" exe="/usr/sbin/cron" subj=0:63:0:0 key=(null)

type=PROCTITLE msg=audit(1712820601.957:21458): proctitle=2F7573722F7362696E2F43524F4E002D66

Согласно алгоритму в данном случае мы получим одно однострочное событие с типом LOGIN, так как тип LOGIN имеет код 1006 и он меньше AUDIT_FIRST_EVENT равного 1300, и одно многострочное событие с SYSCALL и PROCTITLE.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Размер буфера

Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).

Количество обработчиков

Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.

Допускается указать целое положительное число не больше 999.

Интервал запросов, мс.

Интервал в миллисекундах, с которым коннектор перечитывает файлы в директории. Значение по умолчанию: 0 – коннектор перечитывает файлы в директории каждые 700 миллисекунд. Вам нужно выбрать в раскрывающемся списке Режим опроса файла/папки режим, в котором коннектор перечитывает файлы в директории.

Введенное значение не должно быть меньше значения, которое вы ввели на вкладке Основные параметры в поле Время ожидания изменений, сек.

Мы рекомендуем ввести значение меньше, чем значение, которое вы ввели в поле TTL буфера событий, так как это может негативно сказаться на работе функции Auditd.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

TTL буфера событий

Время жизни буфера для строк событий auditd в миллисекундах. Строки событий auditd попадают в коллектор KUMA и накапливаются в буфере. Это позволяет сгруппировать несколько строк событий auditd в одно событие auditd.

Отсчет времени жизни буфера начинается при получении первой строки события auditd или при истечении предыдущего времени жизни буфера. Доступные значения: от 700 до 30 000. Значение по умолчанию: 2000.

Это поле доступно, если вы включили переключатель Auditd на вкладке Основные параметры.

Строки событий auditd, накопленные в буфере, хранятся в оперативной памяти сервера. Мы рекомендуем с осторожностью увеличивать размер буфера, так как это может привести к использованию слишком большого количества оперативной памяти сервера коллектором KUMA. Вы можете просмотреть в метриках KUMA, сколько оперативной памяти сервера использует коллектор KUMA.

Если вы хотите, чтобы время жизни буфера составляло более 30 000 миллисекунд, мы рекомендуем использовать другой транспорт доставки событий auditd. Например, вы можете использовать агента или предварительно накапливать события auditd в файле, после чего обрабатывать файл коллектором KUMA.

Заголовок транспорта

Регулярное выражение для событий auditd, по которому определяются строки событий auditd. Вы можете использовать значение по умолчанию или изменить его.

Регулярное выражение должно содержать группы record_type_name, record_type_value и event_sequence_number. Если многострочное событие auditd содержит префикс, для первой строки события auditd префикс сохраняется, а для последующих – отбрасывается.

Вы можете вернуться регулярному выражению для событий auditd по умолчанию, нажав на кнопку Установить значение по умолчанию.

В начало
[Topic 220748]

Коннектор, тип 1c-xml

Развернуть всё | Свернуть всё

Коннекторы с типом 1c-xml используются для получения данных из журналов регистрации программы 1С при работе с агентами Linux. При обработке коннектором многострочные события преобразовываются в однострочные.

Если при создании коллектора на шаге Транспорт мастера установки вы указали коннектор с типом 1c-xml, на шаге Парсинг событий в таблице Сопоставление вы можете передать в поле события KUMA название обрабатываемого коллектором файла или путь к файлу. Для этого в столбце Исходные данные укажите одно из следующих значений:

  • $kuma_fileSourceName – передать в поле события KUMA название обрабатываемого коллектором файла.
  • $kuma_fileSourcePath – передать в поле события KUMA путь к обрабатываемому коллектором файлу.

Когда вы используете коннектор с типом 1c-xml, новые переменные в нормализаторе будут работать только с точками назначения с типом internal.

Доступные параметры коннектора с типом 1с-xml описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – 1c-xml.

Обязательный параметр.

Путь к директории

Полный путь к директории с файлами, с которыми требуется выполнять взаимодействие, например /var/log/1c/logs/.

Ограничения при использовании префиксов к путям файлов

Префиксы, которые невозможно использовать при указании путей к файлам:

  • /*
  • /bin
  • /boot
  • /dev
  • /etc
  • /home
  • /lib
  • /lib64
  • /proc
  • /root
  • /run
  • /sys
  • /tmp
  • /usr/*
  • /usr/bin/
  • /usr/local/*
  • /usr/local/sbin/
  • /usr/local/bin/
  • /usr/sbin/
  • /usr/lib/
  • /usr/lib64/
  • /var/*
  • /var/lib/
  • /var/run/
  • /opt/kaspersky/kuma/

Файлы по указанным ниже путям доступны:

  • /opt/kaspersky/kuma/clickhouse/logs/
  • /opt/kaspersky/kuma/mongodb/log/
  • /opt/kaspersky/kuma/victoria-metrics/log/

Обязательный параметр.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Размер буфера

Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).

Режим опроса файла/папки

Режим, в котором коннектор перечитывает файлы в директории:

  • Отслеживать изменения – коннектор перечитывает файлы в директории с интервалом в миллисекундах, указанным в поле Интервал запросов, мс., если файлы не обновляются. Значение по умолчанию.

    Например, если файлы постоянно обновляются, а в поле Интервал запросов, мс. вы ввели 5000, коннектор будет перечитывать файлы постоянно, а не с интервалом в 5000 миллисекунд. Если файлы не обновляются, коннектор будет перечитывать их с интервалом в 5000 миллисекунд.

  • Отслеживать периодически – коннектор перечитывает файлы в директории с интервалом в миллисекундах, указанным в поле Интервал запросов, мс., вне зависимости от того, обновляются файлы или нет.

Интервал запросов, мс.

Интервал в миллисекундах, с которым коннектор перечитывает файлы в директории. Значение по умолчанию: 0 – коннектор перечитывает файлы в директории каждые 700 миллисекунд. Вам нужно выбрать в раскрывающемся списке Режим опроса файла/папки режим, в котором коннектор перечитывает файлы в директории.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

Схема работы коннектора:

  1. Происходит поиск всех файлов с журналами 1C с расширением XML внутри указанной директории. Журналы помещаются в директорию или вручную, или через приложение, написанное на языке 1С, например, с помощью функции ВыгрузитьЖурналРегистрации(). Коннектор поддерживает журналы, полученные только таким образом. Подробнее о том, как получить журналы 1С, см. в официальной документации 1С.
  2. Файлы сортируются по возрастанию времени последнего изменения и отбрасываются все файлы, измененные раньше, чем последний прочитанный.

    Сведения об обработанных файлах хранятся в файле /<рабочая директория коллектора>/1c_xml_connector/state.ini и имеют следующий формат: "offset=<число>\ndev=<число>\ninode=<число>".

  3. В каждом непрочитанном файле определяются события.
  4. События из файла по очереди принимаются на обработку, при этом многострочные события преобразовываются в однострочные события.

Ограничения коннектора:

  • Установка коллектора с коннектором 1c-xml на ОС Windows не поддерживается. Для обеспечения передачи файлов с журналами 1С для обработки коллектором KUMA выполните следующие действия:
    1. На сервере Windows предоставьте доступ для чтения по сети к папке с журналами 1С.
    2. На сервере Linux примонтируйте сетевую папку с журналами 1С на сервере Linux (cм. список поддерживаемых ОС).
    3. На сервере Linux установите коллектор, который будет обрабатывать файлы с журналами 1С из примонтированной сетевой папки.
  • Не читаются файлы с неправильным форматом событий. Например, если теги события в файле на русском языке, коллектор не прочитает такие события.

    Пример правильного XML-файла с событием.

    <?xml version="1.0" encoding="UTF-8"?>

    <v8e:EventLog xmlns: v8e="http://v8.1c.ru/eventLog"

    xmlns:xs="http://www.w3.org/2001/XMLSchema"

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

    <v8e:Event>

    <v8e:Level>Information</v8e:Level>

    <v8e:Date>2022-12-07T01:55:44+03:00</v8e:Date>

    <v8eApplicationName>generator.go</v8e:ApplicationName>

    <v8e:ApplicationPresentation>generator.go</v8e:ApplicationPresentation>

    <v8e:Event>Test event type: Count test</v8e:Event>

    <v8e:EventPresentation></v8e:Event Presentation>

    <v8e:User>abcd_1234</v8e:User>

    <v8e:UserName>TestUser</v8e:UserName>

    <v8e:Computer>Test OC</v8e:Computer>

    <v8e:Metadata></v8e:Metadata>

    <v8e:MetadataPresentation></v8e:MetadataPresentation>

    <v8e:Comment></v8e:Comment>

    <v8e:Data>

    <v8e:Name></v8e:Name>

    <v8e:CurrentOSUser></v8e:CurrentOSUser>

    </v8e:Data>

    <v8e:DataPresentation></v8e:DataPresentation>

    <v8e:TransactionStatus>NotApplicable</v8e:TransactionStatus>

    <v8e:TransactionID></v8e:TransactionID>

    <v8e:Connection>0</v8e:Connection>

    <v8e:Session></v8e:Session>

    <v8e:ServerName>kuma-test</v8e:ServerName>

    <v8e:Port>80</v8e:Port>

    <v8e:SyncPort>0</v8e:SyncPort>

    </v8e:Event>

    </v8e:EventLog>

    Пример обработанного события.

    XML_processed_event_example

  • Если дополнить уже прочитанный коннектором файл новыми событиями и если этот файл не является последним прочитанным файлом в директории, все события из файла будут обработаны заново.
В начало
[Topic 244776]

Коннектор, тип 1c-log

Коннекторы с типом 1c-log используются для получения данных из технологических журналов программы 1С при работе с агентами Linux. В качестве разделителя строк используется \n. Из многострочной записи о событии коннектор принимает только первую строку.

Если при создании коллектора на шаге Транспорт мастера установки вы указали коннектор с типом 1c-log, на шаге Парсинг событий в таблице Сопоставление вы можете передать в поле события KUMA название обрабатываемого коллектором файла или путь к файлу. Для этого в столбце Исходные данные укажите одно из следующих значений:

  • $kuma_fileSourceName – передать в поле события KUMA название обрабатываемого коллектором файла.
  • $kuma_fileSourcePath – передать в поле события KUMA путь к обрабатываемому коллектором файлу.

Когда вы используете коннектор с типом 1c-log, новые переменные в нормализаторе будут работать только с точками назначения с типом internal.

Доступные параметры коннектора с типом 1с-log описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – 1c-log.

Обязательный параметр.

Путь к директории

Полный путь к директории с файлами, с которыми требуется выполнять взаимодействие, например /var/log/1c/logs/.

Ограничения при использовании префиксов к путям файлов

Префиксы, которые невозможно использовать при указании путей к файлам:

  • /*
  • /bin
  • /boot
  • /dev
  • /etc
  • /home
  • /lib
  • /lib64
  • /proc
  • /root
  • /run
  • /sys
  • /tmp
  • /usr/*
  • /usr/bin/
  • /usr/local/*
  • /usr/local/sbin/
  • /usr/local/bin/
  • /usr/sbin/
  • /usr/lib/
  • /usr/lib64/
  • /var/*
  • /var/lib/
  • /var/run/
  • /opt/kaspersky/kuma/

Файлы по указанным ниже путям доступны:

  • /opt/kaspersky/kuma/clickhouse/logs/
  • /opt/kaspersky/kuma/mongodb/log/
  • /opt/kaspersky/kuma/victoria-metrics/log/

Обязательный параметр.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Размер буфера

Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).

Режим опроса файла/папки

Режим, в котором коннектор перечитывает файлы в директории:

  • Отслеживать изменения – коннектор перечитывает файлы в директории с интервалом в миллисекундах, указанным в поле Интервал запросов, мс., если файлы не обновляются. Значение по умолчанию.

    Например, если файлы постоянно обновляются, а в поле Интервал запросов, мс. вы ввели 5000, коннектор будет перечитывать файлы постоянно, а не с интервалом в 5000 миллисекунд. Если файлы не обновляются, коннектор будет перечитывать их с интервалом в 5000 миллисекунд.

  • Отслеживать периодически – коннектор перечитывает файлы в директории с интервалом в миллисекундах, указанным в поле Интервал запросов, мс., вне зависимости от того, обновляются файлы или нет.

Интервал запросов, мс.

Интервал в миллисекундах, с которым коннектор перечитывает файлы в директории. Значение по умолчанию: 0 – коннектор перечитывает файлы в директории каждые 700 миллисекунд. Вам нужно выбрать в раскрывающемся списке Режим опроса файла/папки режим, в котором коннектор перечитывает файлы в директории.

Кодировка символов

Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).

Схема работы коннектора:

  1. Происходит поиск всех файлов технологических журналов 1C. Требования к файлам журналов:
    • Файлы с расширением LOG создаются в директории журналов (по умолчанию /var/log/1c/logs/) в поддиректории каждого процесса.

      Пример поддерживаемый структуры технологических журналов 1c

      1c-log-fileStructure

    • События записываются в файл в течение часа, после чего создается следующий файл журнала.
    • Название файлов имеет следующий формат: <ГГ><ММ><ДД><ЧЧ>.log. Например, 22111418.log – файл, созданный в 2022 году, в 11 месяце, 14 числа в 18 часов.
    • Каждое событие начинается с времени события в формате <мм>:<cc>.<микросекунды>-<длительность в микросекундах>.
  2. Отбрасываются уже обработанные файлы. Сведения об обработанных файлах хранятся в файле /<рабочая директория коллектора>/1c_log_connector/state.json.
  3. Принимаются на обработку новые события, при этом время события приводится к формату RFC3339.
  4. Обрабатывается следующий в очереди файл.

Ограничения коннектора:

  • Установка коллектора с коннектором 1c-log на ОС Windows не поддерживается. Для обеспечения передачи файлов с журналами 1С для обработки коллектором KUMA выполните следующие действия:
    1. На сервере Windows предоставьте доступ для чтения по сети к папке с журналами 1С.
    2. На сервере Linux примонтируйте сетевую папку с журналами 1С на сервере Linux (cм. список поддерживаемых ОС).
    3. На сервере Linux установите коллектор, который будет обрабатывать файлы с журналами 1С из примонтированной сетевой папки.
  • Из многострочной записи о событии на обработку принимается только первая строка.
  • Нормализатор обрабатывает только следующие типы событий:
    • ADMIN.
    • ATTN.
    • CALL.
    • CLSTR.
    • CONN.
    • DBMSSQL.
    • DBMSSQLCONN.
    • DBV8DBENG.
    • EXCP.
    • EXCPCNTX.
    • HASP.
    • LEAKS.
    • LIC.
    • MEM.
    • PROC.
    • SCALL.
    • SCOM.
    • SDBL.
    • SESN.
    • SINTEG.
    • SRVC.
    • TLOCK.
    • TTIMEOUT.
    • VRSREQUEST.
    • VRSRESPONSE.
В начало
[Topic 244775]

[2.0] Коннектор, тип diode

Коннекторы с типом diode используются для однонаправленной передачи данных в промышленных ICS-сетях с помощью диода данных. Доступные параметры коннектора с типом diode описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – diode.

Обязательный параметр.

Директория с событиями от диода данных

Полный путь к директории на сервере коллектора KUMA, в которую диод данных перемещает файлы с событиями из изолированного сегмента сети. После считывания коннектором файлы удаляются из директории. Максимальная длина пути: до 255 символов в кодировке Unicode.

Ограничения при использовании префиксов к путям

Префиксы, которые невозможно использовать при указании путей к файлам:

  • /*
  • /bin
  • /boot
  • /dev
  • /etc
  • /home
  • /lib
  • /lib64
  • /proc
  • /root
  • /run
  • /sys
  • /tmp
  • /usr/*
  • /usr/bin/
  • /usr/local/*
  • /usr/local/sbin/
  • /usr/local/bin/
  • /usr/sbin/
  • /usr/lib/
  • /usr/lib64/
  • /var/*
  • /var/lib/
  • /var/run/
  • /opt/kaspersky/kuma/

Файлы по указанным ниже путям доступны:

  • /opt/kaspersky/kuma/clickhouse/logs/
  • /opt/kaspersky/kuma/mongodb/log/
  • /opt/kaspersky/kuma/victoria-metrics/log/

Обязательный параметр.

Разделитель

Символ, определяющий границу между событиями:

  • \n;
  • \t;
  • \0.

Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.

Вам нужно выбрать одинаковое значение в раскрывающемся списке Разделитель в параметрах коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Количество обработчиков

Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.

Допускается указать целое положительное число не больше 999.

Интервал запросов, сек.

Интервал в секундах для считывания файлов из директории с событиями от диода данных. Значение по умолчанию: 2 секунды.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

Сжатие

Раскрывающийся список, позволяющий настроить использование сжатия Snappy:

  • Выключено. Это значение выбрано по умолчанию.
  • С помощью Snappy.

Вам нужно выбрать одинаковое значение в раскрывающемся списке Snappy в параметрах коннектора и точки назначения, используемых для передачи событий из изолированного сегмента сети с помощью диода данных.

В начало
[Topic 232912]

Коннектор, тип ftp

Коннекторы с типом ftp используются для получения данных по протоколу File Transfer Protocol при работе с агентами Windows и Linux. Доступные параметры коннектора с типом ftp описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – ftp.

Обязательный параметр.

URL

URL-адрес файла или маски файлов, начинающийся со схемы 'ftp://'. Для маски файлов вы можете использовать символы * ? [...].

Шаблоны масок для файлов

Маски:

  • '*' – соответствует любой последовательности символов;
  • '[' [ '^' ] { <диапазон символов> } ']' – класс символов (не должен быть пустым);
  • '?' – соответствует любому одиночному символу.

Диапазоны символов:

  • [0-9] – числа;
  • [a-zA-Z] – буквы латинского алфавита.

Примеры:

  • /var/log/*som?[1-9].log
  • /mnt/dns_logs/*/dns.log
  • /mnt/proxy/access*.log

Если URL-адрес не содержит номер порта FTP-сервера, автоматически указывается номер порта 21.

Обязательный параметр.

Секрет

 

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

В начало
[Topic 220749]

Коннектор, тип nfs

Коннекторы с типом nfs используются для получения данных по протоколу Network File System при работе с агентами Windows и Linux. Доступные параметры коннектора с типом nfs описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – nfs.

Обязательный параметр.

URL

Путь до удаленной директории в формате nfs://<имя хоста>/<путь>.

Обязательный параметр.

Маска имени файла

Маска, по которой фильтруются файлы с событиями. Допустимо использование масок "*", "?", "[...]".

Интервал запросов, сек.

Интервал опроса в секундах. Промежуток времени, через который перечитываются файлы с удаленной системы. Значение по умолчанию: 0.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

В начало
[Topic 220750]

Коннектор, тип vmware

Коннекторы с типом vmware используются для получения данных VMware vCenter по API. Доступные параметры коннектора с типом vmware описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – vmware.

Обязательный параметр.

URL

URL-адрес API VMware. Вам нужно указать имя хоста и номер порта в URL-адресе. Вы можете указать только один URL-адрес.

Обязательный параметр.

Учетные данные VMware

Секрет, где хранится логин и пароль для подключения к API VMware. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.

Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

Как создать секрет?

Чтобы создать секрет:

  1. В поле Название введите название секрета.
  2. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
  3. При необходимости в поле Описание введите описание секрета.
  4. Нажмите на кнопку Создать.

Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.

Обязательный параметр.

Время ожидания, сек

Время ожидания в секундах между запросом, который не вернул события, и новым запросом. Значение по умолчанию: 5 секунд. Если вы указываете 0, используется значение по умолчанию.

Количество запрашиваемых событий

Количество запрашиваемых событий из API VMware за один запрос. Значение по умолчанию: 100. Максимальное значение: 1000.

Начальная временная метка

Дата и время, начиная с которого события будут считываться из API VMware. По умолчанию события считываются из API VMware с момента запуска коллектора. При запуске после остановки коллектора, считывание событий будет происходить с последней сохраненной даты.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

Режим TLS

Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:

  • Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
  • Включено – использовать шифрование TLS, но без верификации сертификатов.
  • Нестандартный CA – использовать шифрование TLS с верификацией сертификата, подписанного центром сертификации. При выборе этого значения в раскрывающемся списке Нестандартный CA укажите секрет с сертификатом, подписанным центром сертификации. Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

    Как создать сертификат, подписанный центром сертификации?

    Вы можете создать сертификат, подписанный центром сертификации, на сервере Ядра KUMA (в примерах команд ниже используется OpenSSL).

    Чтобы создать сертификат, подписанный центром сертификации:

    1. Создайте ключ, который будет использоваться центром сертификации, например:

      openssl genrsa -out ca.key 2048

    2. Создайте сертификат для созданного ключа, например:

      openssl req -new -x509 -days 365 -key ca.key -subj "/CN=<общее имя хоста центра сертификации>" -out ca.crt

    3. Создайте приватный ключ и запрос на его подписание в центре сертификации, например:

      openssl req -newkey rsa:2048 -nodes -keyout server.key -subj "/CN=<общее имя хоста сервера KUMA>" -out server.csr

    4. Создайте сертификат, подписанный центром сертификации. Вам нужно включить в переменную subjectAltName доменные имена или IP-адреса сервера, для которого вы создаете сертификат, например:

      openssl x509 -req -extfile <(printf "subjectAltName=DNS:domain1.ru,DNS:domain2.com,IP:192.168.0.1") -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

    5. Загрузите созданный сертификат server.crt в веб-интерфейсе KUMA в секрет с типом certificate, после чего в раскрывающемся списке Нестандартный CA выберите секрет с типом certificate.

    Для использования сертификатов KUMA на сторонних устройствах вам нужно изменить расширение файла сертификата с CERT на CRT. В противном случае вы можете получить ошибку x509: certificate signed by unknown authority.

В начало
[Topic 268029]

Коннектор, тип wmi

Коннекторы с типом wmi используются для получения данных с помощью Windows Management Instrumentation при работе с агентами Windows. Доступные параметры коннектора с типом wmi описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – wmi.

Обязательный параметр.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

URL

URL-адрес коллектора, который вы создали для получения данных с помощью Windows Management Instrumentation, например kuma-collector.example.com:7221.

При создании коллектора автоматически создается агент, который будет получать данные на удаленном устройстве и перенаправлять их в сервис коллектора. Если вы знаете, на каком сервере будет установлен сервис коллектора, URL-адрес известен заранее. Вы можете ввести URL-адрес коллектора в поле URL после завершения мастера установки. Для этого вам нужно предварительно скопировать URL-адрес коллектора в разделе Ресурсы Активные сервисы.

Обязательный параметр.

Учетные данные по умолчанию

Нет значения. Вам нужно указать учетные данные для подключения к хостам в таблице Удаленные хосты.

Удаленные хосты

Параметры удаленных устройств Windows, к которым требуется установить подключение:

  • Сервер – IP-адрес или имя устройства, с которого необходимо принимать данные, например machine-1.

    Обязательный параметр.

  • Домен – название домена, в котором расположено удаленное устройство. Например, example.com.

    Обязательный параметр.

  • Тип журналов – название журналов Windows, которые требуется получить. По умолчанию в этом раскрывающемся списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами. Для этого введите название пользовательских журналов в поле Журналы Windows, после чего нажмите на клавишу ENTER. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов.

    Журналы, доступные по умолчанию:

    • Application.
    • ForwardedEvents.
    • Security.
    • System.
    • HardwareEvents.

    Если в одном из подключений WMI используется хотя бы один журнал с неверным названием, агент, использующий коннектор, не будет получать события из всех журналов данного подключения, даже если названия остальных журналов указаны верно. При этом подключения WMI-агента, в которых все названия журналов указаны правильно, будет работать правильно.

  • Секрет – учетные данные для доступа к удаленному устройству Windows с правами на чтение журналов. Если оставить этот раскрывающийся список пустым, будут использоваться учетные данные из секрета, выбранного в раскрывающемся списке Учетные данные, используемые по умолчанию. Логин в секрете необходимо указывать без домена, значение домена для доступа к хосту берется из столбца Домен таблицы Удаленные хосты.

    Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

    Как создать секрет?

    Чтобы создать секрет:

    1. В поле Название введите название секрета.
    2. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
    3. При необходимости в поле Описание введите описание секрета.
    4. Нажмите на кнопку Создать.

    Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.

Вы можете добавить несколько удаленных устройств Windows или удалить удаленное устройство Windows. Для добавления удаленного устройства Windows нажмите на кнопку + Добавить. Для удаления удаленного устройства Windows установите рядом с ним флажок и нажмите на кнопку Удалить.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

Режим TLS

Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:

  • Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
  • Включено – использовать шифрование TLS, но без верификации сертификатов.
  • С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.

Сжатие

Раскрывающийся список, позволяющий настроить использование сжатия Snappy:

  • Выключено. Это значение выбрано по умолчанию.
  • С помощью Snappy.

При изменении коннектора этого типа параметры Режим TLS и Сжатие видны и доступны как на коннекторе-ресурсе, так и на коллекторе. Если вы используете коннектор этого типа на коллекторе, значения параметров Режим TLS и Сжатие передаются в точку назначения автоматически созданных агентов.

Получение событий с удаленного устройства

Условия для получения событий с удаленного устройства Windows с агентом KUMA:

  • Для запуска агента KUMA на удаленном устройстве вам нужно использовать учетную запись с правами Log on as a service.
  • Для получения событий от агента KUMA вам нужно использовать учетную запись с правами Event Log Readers. Для серверов домена может быть создана одна такая учетная запись, чтобы через групповую политику ее права на чтение логов можно было распространить на все серверы и рабочие станции домена.
  • На удаленных устройствах Windows необходимо открыть следующие TCP-порты 135, 445, 49152-65535.
  • На удаленных устройствах требуется запустить следующие службы:
    • Remote Procedure Call (RPC)
    • RPC Endpoint Mapper
В начало
[Topic 220751]

Коннектор, тип wec

Коннекторы с типом wec используются для получения данных с помощью Windows Event Forwarding (WEF) и Windows Event Collector (WEC) или локальных журналов ОС хоста под управлением Windows при работе с агентами Windows. Доступные параметры коннектора с типом wec описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – wec.

Обязательный параметр.

URL

URL-адрес коллектора, который вы создали для получения данных с помощью Windows Event Collector, например kuma-collector.example.com:7221.

При создании коллектора автоматически создается агент, который будет получать данные на удаленном устройстве и перенаправлять их в сервис коллектора. Если вы знаете, на каком сервере будет установлен сервис коллектора, URL-адрес известен заранее. Вы можете ввести URL-адрес коллектора в поле URL после завершения мастера установки. Для этого вам нужно предварительно скопировать URL-адрес коллектора в разделе Ресурсы Активные сервисы.

Обязательный параметр.

Журналы Windows

Названия журналов Windows, которые требуется получить. По умолчанию в этом раскрывающемся списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами. Для этого введите название пользовательских журналов в поле Журналы Windows, после чего нажмите на клавишу ENTER. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов.

Преднастроенные журналы:

  • Application.
  • ForwardedEvents.
  • Security.
  • System.
  • HardwareEvents.

Если неверно указать название хотя бы одного журнала, в этом случае агент, использующий коннектор, не будет получать события из всех журналов, даже если названия остальных журналов указаны верно.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

Режим TLS

Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:

  • Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
  • Включено – использовать шифрование TLS, но без верификации сертификатов.
  • С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.

Сжатие

Раскрывающийся список, позволяющий настроить использование сжатия Snappy:

  • Выключено. Это значение выбрано по умолчанию.
  • С помощью Snappy.

При изменении коннектора этого типа параметры Режим TLS и Сжатие видны и доступны как на коннекторе-ресурсе, так и на коллекторе. Если вы используете коннектор этого типа на коллекторе, значения параметров Режим TLS и Сжатие передаются в точку назначения автоматически созданных агентов.

Для запуска агента KUMA на удаленном устройстве вам нужно использовать сервисную учетную запись с правами Log on as a service. Для получения событий из журнала ОС сервисная учётная запись также должна обладать правами Event Log Readers.

Вы можете создать одну учетную запись с правами Log on as a service и Event Log Readers, а затем права этой учетной записи на чтение журналов распространить на все серверы и рабочие станции домена с помощью групповой политики.

Мы рекомендуем запретить для сервисной учётной записи возможность интерактивного входа.

В начало
[Topic 220752]

Коннектор, тип snmp

Коннекторы с типом snmp используются для получения данных с помощью Simple Network Management Protocol при работе с агентами Windows и Linux. Для обработки событий, полученных по протоколу SNMP, вам нужно использовать нормализатор с типом json. Поддерживаемые версии протокола SNMP:

  • snmpV1.
  • snmpV2.
  • snmpV3.

Доступные параметры коннектора с типом wec описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – snmp.

Обязательный параметр.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

SNMP-ресурс

Параметры подключения к SNMP-ресурсу:

  • Версия SNMP – версия используемого протокола SNMP.

    Обязательный параметр.

  • Хост – имя или IP-адрес хоста. Доступные форматы:
    • <имя хоста>;
    • <IPv4-адрес>;
    • <IPv6-адрес>.

    Обязательный параметр.

  • Порт – Номер порта для подключения к хосту. Как правило используется значение 161 или 162.

    Обязательный параметр.

  • Секрет – секрет, в котором хранятся учетные данные для подключения через Simple Network Management Protocol. Тип секрета должен соответствовать версии SNMP.

    Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

    Как создать секрет?

    Чтобы создать секрет:

    1. В поле Название введите название секрета.
    2. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
    3. При необходимости в поле Описание введите описание секрета.
    4. Нажмите на кнопку Создать.

    Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.

    Обязательный параметр.

Вы можете добавить несколько подключений к SNMP-ресурсам или удалить подключение к SNMP-ресурсу. Для добавления подключения к SNMP-ресурсу нажмите на кнопку + SNMP-ресурс. Для удаления подключения к SNMP-ресурсу нажмите рядом с ним на значок удаления cross-black.

Параметры

Правила именования получаемых данных, по которым идентификаторы объектов OID будут преобразовываться в ключи, с которыми сможет взаимодействовать нормализатор. Доступные параметры:

  • Название параметра – название для типа данных, например Имя узла или Время работы узла.

    Обязательный параметр.

  • OID – уникальный идентификатор, который определяет, где искать требуемые данные на источнике событий, например 1.3.6.1.2.1.1.5.

    Обязательный параметр.

  • Ключ – уникальный идентификатор, который возвращается в ответ на запрос к устройству со значением запрошенного параметра, например sysName. Вы можете обращаться к ключу при нормализации данных.

    Обязательный параметр.

  • MAC-адрес – если этот флажок установлен, KUMA правильно производит декодирование данных, где OID содержит данные о MAC-адресе в формате OctetString. После декодирования MAC-адрес будет преобразован в формат «Строка» вида XX:XX:XX:XX:XX:XX.

Вы можете выполнить следующие действия с правилами:

  • Добавить несколько правил. Для добавления правила нажмите на кнопку + Добавить.
  • Удалить правила. Для удаления правила установите рядом с ним флажок и нажмите на кнопку Удалить.
  • Очистить параметры правил. Для этого нажмите на кнопку Очистить значения.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

В начало
[Topic 220753]

[2.0.1] Коннектор, тип snmp-trap

Коннекторы с типом snmp-trap используются для пассивного приема событий с помощью ловушек SNMP (англ. SNMP traps) при работе с агентами Windows и Linux. В коннекторе события snmp-trap принимаются и подготавливаются к нормализации путем сопоставления идентификаторов SNMP-объектов с временными ключами. Затем сообщение необходимо передать в JSON-нормализатор, где временные ключи будут сопоставлены с полями KUMA и будет создано событие. Для обработки событий, полученных по SNMP, вам нужно использовать нормализатор с типом json. Поддерживаемые версии протокола SNMP:

  • snmpV1.
  • snmpV2.

Доступные параметры коннектора с типом snmp-trap описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – snmp-trap.

Обязательный параметр.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

SNMP-ресурс

Параметры соединения для получения событий snmp-trap:

  • Версия SNMP – версия используемого протокола SNMP:
    • snmpV1;
    • snmpV2.

    Например, Windows по умолчанию использует версию протокола SNMP snmpV2.

    Обязательный параметр.

  • URL – URL-адрес для получения событий SNMP trap. Вы можете ввести URL-адрес в одном из следующих форматов:
    • <имя хоста>:<номер порта>;
    • <IPv4-адрес>:<номер порта>;
    • <IPv6-адрес>:<номер порта>;
    • :<номер порта>.

    Обязательный параметр.

Вы можете добавить несколько соединений или удалить соединение. Для добавления соединения нажмите на кнопку + SNMP-ресурс. Для удаления SNMP-ресурса нажмите рядом с ним на значок удаления cross-black..

Параметры

Правила именования получаемых данных, по которым идентификаторы объектов OID будут преобразовываться в ключи, с которыми сможет взаимодействовать нормализатор. Доступные параметры:

  • Название параметра – название для типа данных, например Имя узла или Время работы узла.

    Обязательный параметр.

  • OID – уникальный идентификатор, который определяет, где искать требуемые данные на источнике событий, например 1.3.6.1.2.1.1.5.

    Обязательный параметр.

  • Ключ – уникальный идентификатор, который возвращается в ответ на запрос к устройству со значением запрошенного параметра, например sysName. Вы можете обращаться к ключу при нормализации данных.

    Обязательный параметр.

  • MAC-адрес – если этот флажок установлен, KUMA правильно производит декодирование данных, где OID содержит данные о MAC-адресе в формате OctetString. После декодирования MAC-адрес будет преобразован в формат «Строка» вида XX:XX:XX:XX:XX:XX.

Вы можете выполнить следующие действия с правилами:

  • Добавить несколько правил. Для добавления правила нажмите на кнопку + Добавить.
  • Удалить правила. Для удаления правила установите рядом с ним флажок и нажмите на кнопку Удалить.
  • Очистить параметры правил. Для этого нажмите на кнопку Очистить значения.
  • Заполнить таблицу сопоставлениями для значений OID, поступающих в журналах WinEventLog. Для этого нажмите на кнопку Применить значения OID для WinEventLog.

    Если в поступающих событиях необходимо определить и нормализовать больше данных, дополните таблицу строками с перечнем OID-объектов и их ключей.

    Данные обрабатываются по принципу списка разрешенных: объекты, которые не указаны в таблице, не будут переданы в нормализатор для дальнейшей обработки.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

При получении событий snmp-trap из Windows с русской локализацией мы рекомендуем изменить кодировку символов в коннекторе с типом snmp-trap на Windows 1251, если в событии получены недопустимые символы.

В этом разделе

Настройка источника SNMP-trap сообщений для Windows
В начало
[Topic 239700]

Настройка источника SNMP-trap сообщений для Windows

Настройка устройства Windows для отправки SNMP-trap сообщений в коллектор KUMA происходит в несколько этапов:

  1. Настройка и запуск служб SNMP и SNMP Trap
  2. Настройка службы Event to Trap Translator

События от источника SNMP-trap сообщений должен принимать коллектор KUMA, в котором используется коннектор типа snmp-trap и нормализатор типа json.

В этом разделе

Настройка и запуск служб SNMP и SNMP Trap

Настройка службы Event to Trap Translator
В начало
[Topic 239863]

Настройка и запуск служб SNMP и SNMP Trap

Чтобы настроить и запустить службы SNMP и SNMP Trap в Windows 10:

  1. Откройте раздел SettingsAppsApps and featuresOptional featuresAdd featureSimple Network Management Protocol (SNMP) и нажмите Install.
  2. Дождитесь завершения установки и перезагрузите компьютер.
  3. Убедитесь, что служба SNMP запущена. Если какие-то из перечисленных ниже служб не запущены, включите их:
    • ServicesSNMP Service.
    • ServicesSNMP Trap.
  4. Нажмите правой кнопкой мыши на службе ServicesSNMP Service, в контекстном меню выберите Properties и задайте следующие параметры:
    • На вкладке Log On установите флажок Local System account.
    • На вкладке Agent заполните поля Contact (например, укажите User-win10) и Location (например, укажите ekaterinburg).
    • На вкладке Traps:
      • В поле Community Name введите community public и нажмите Add to list.
      • В поле Trap destination нажмите Add, укажите IP-адрес или хост сервера KUMA, на котором развернут коллектор, ожидающий SNMP-события, и нажмите Add.
    • На вкладке Security:
      • Установите флажок Send authentication trap.
      • В таблице Accepted community names нажмите Add, а затем введите Community Name public, указав в качестве Community rights значение READ WRITE.
      • Установите флажок Accept SNMP packets from any hosts.
  5. Нажмите Apply и подтвердите выбор.
  6. Нажмите правой кнопкой мыши на службу ServicesSNMP Service и выберите Restart.

Чтобы настроить и запустить службы SNMP и SNMP Trap в Windows XP:

  1. Откройте раздел StartControl PanelAdd or Remove ProgramsAdd/Remove Windows ComponentsManagement and Monitoring ToolsDetails.
  2. Выберите Simple Network Management Protocol и WMI SNMP Provider, затем нажмите OKNext.
  3. Дождитесь завершения установки и перезагрузите компьютер.
  4. Убедитесь, что служба SNMP запущена. Если какие-то из перечисленных ниже служб не запущены, включите их, выбрав для параметра Startup type значение Automatic:
    • ServicesSNMP Service.
    • ServicesSNMP Trap.
  5. Нажмите правой кнопкой мыши на службе ServicesSNMP Service, в контекстном меню выберите Properties и задайте следующие параметры:
    • На вкладке Log On установите флажок Local System account.
    • На вкладке Agent заполните поля Contact (например, укажите User-win10) и Location (например, укажите ekaterinburg).
    • На вкладке Traps:
      • В поле Community Name введите community public и нажмите Add to list.
      • В поле Trap destination нажмите Add, укажите IP-адрес или хост сервера KUMA, на котором развернут коллектор, ожидающий SNMP-события, и нажмите Add.
    • На вкладке Security:
      • Установите флажок Send authentication trap.
      • В таблице Accepted community names нажмите Add, а затем введите Community Name public, указав в качестве Community rights значение READ WRITE.
      • Установите флажок Accept SNMP packets from any hosts.
  6. Нажмите Apply и подтвердите выбор.
  7. Нажмите правой кнопкой мыши на службу ServicesSNMP Service и выберите Restart.

Изменение порта службы snmptrap

При необходимости вы можете изменить порт службы snmptrap.

Чтобы изменить порт службы snmptrap:

  1. Откройте папку C:\Windows\System32\drivers\etc.
  2. Откройте файл services с помощью программы Notepad от имени администратора.
  3. В разделе файла service name для службы snmptrap укажите порт коннектора snmp-trap, добавленный в коллектор KUMA.
  4. Сохраните файл.
  5. Откройте панель управления и выберите Administrative ToolsServices.
  6. Нажмите на службу SNMP Service правой кнопкой мыши и выберите Restart.
В начало
[Topic 239864]

Настройка службы Event to Trap Translator

Чтобы настроить службу Event to Trap Translator, с помощью которой события Windows переводятся в SNMP-trap сообщения:

  1. Наберите в командной строке evntwin и нажмите Enter.
  2. В переключателе Configuration type выберите Custom, а затем нажмите на кнопку Edit.
  3. В блоке параметров Event sources найдите и добавьте с помощью кнопки Add события, которые вы хотите отправить в коллектор KUMA с установленным коннектором SNMP Trap.
  4. Нажмите на кнопку Settings, в открывшемся окне установите флажок Don't apply throttle и нажмите OK.
  5. Нажмите Apply и подтвердите выбор.
В начало
[Topic 239865]

Коннектор, тип elastic

Коннекторы с типом elastic используются для получения данных Elasticsearch. Поддерживается работа с Elasticsearch версии 7.0.0. Доступные параметры коннектора с типом elsatic описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – elastic.

Обязательный параметр.

Соединение

Параметры подключения к серверу Elasticsearch:

  • URL – URL-адрес сервера Elasticsearch. Вы можете добавить несколько URL-адресов или удалить URL-адрес. Для добавления URL-адреса нажмите на кнопку + Добавить. Для удаления URL-адреса нажмите рядом с ним на значок удаления cross-black.

    Обязательный параметр.

  • Индекс – имя индекса в Elasticsearch.

    Обязательный параметр.

  • Запрос – запрос в Elasticsearch. Мы рекомендуем указывать в запросе параметр size для предотвращения проблем с производительностью KUMA и Elasticsearch, а также параметр sort для направления сортировки.

    Для параметра sort в запросе возможны значения: asc, desc или пользовательское направление сортировки по конкретным полям в соответствии с синтаксисом Elasticsearch. Для сортировки по конкретному полю рекомендуется также указывать параметр "missing" : "_first" рядом с параметром "order" для предотвращения ошибок в случаях, когда это поле отсутствует в каком-либо документе. Например, "sort": { "DestinationDnsDomain.keyword": {"order": "desc", "missing" : "_first" } }. Подробнее о сортировке см. в документации Elasticsearch.

    Пример запроса:

    "query" : { "match_all" : {} }, "size" : 25, "sort": {"_doc" : "asc"}

    Обязательный параметр.

  • Учетные данные Elsatic – секрет, в котором хранятся учетные данные для подключения к серверу Elasticsearch.

    Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

    Как создать секрет?

    Чтобы создать секрет:

    1. В поле Название введите название секрета.
    2. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
    3. При необходимости в поле Описание введите описание секрета.
    4. Нажмите на кнопку Создать.

    Секрет будет добавлен и отобразится в раскрывающемся списке Секрет.

  • Elastic fingerprint – секрет, в котором хранятся секреты типа fingerprint для подключения к серверу Elasticsearch и секреты типа certificate для использования CA сертификата.

    Вы можете выбрать существующий секрет или создать новый секрет. Для создания нового секрета выберите значение Создать.

    Если вы хотите изменить параметры существующего секрета, нажмите рядом с ним на значок карандаша edit-pencil.

  • Интервал запросов, сек – интервал выполнения между запросами к серверу Elasticsearch в секундах в случае, если в предыдущем запросе отсутствовали события. Если Elasticsearch содержал события в момент выполнения запроса, коннектор будет получать события до момента, пока не будут получены все доступные события из Elasticsearch.

Вы можете добавить несколько подключений к серверу Elasticsearch или удалить подключение к серверу Elasticsearch. Для добавления подключения к серверу Elasticsearch нажмите на кнопку + Добавить подключение. Для удаления подключения к серверу Elasticsearch нажмите рядом с ним на значок удаления cross-black.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

В начало
[Topic 273544]

Коннектор, тип etw

Коннекторы с типом etw используются для получения расширенных журналов DNS-серверов. Доступные параметры коннектора с типом etw описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – etw.

Обязательный параметр.

URL

URL-адрес DNS-сервера.

Обязательный параметр.

Имя сессии

Имя сессии, которое соответствует ETW-провайдеру Microsoft-Windows-DNSServer {EB79061A-A566-4698-9119-3ED2807060E7}.

Если в коннекторе с типом etw имя сессии указано неправильно, указан неправильный провайдер в сессии или указан неправильный режим отправки событий (для правильной отправки событий на стороне Windows Server должен быть указан режим Real time или File and Real time), от агента не будут поступать события, в журнале агента на Windows будет зарегистрирована ошибка, а статус агента будет зеленым. При этом попытки получить события каждые 60 сек не будет. Если вы изменяете параметры сессии на стороне Windows, вам нужно перезапустить агент etw и/или сессию, чтобы изменения были применены.

Подробнее о настройке параметров сессии на стороне Windows для получения событий DNS-сервера, см. в разделе Настройка получения событий DNS-сервера с помощью агента ETW.

Обязательный параметр.

Извлекать информацию о событии

Переключатель, включающий извлечение минимального количества данных о событии, которое возможно без необходимости скачивать сторонние метаданные с диска. Такой способ позволяет сэкономить CPU на машине с агентом. По умолчанию этот переключатель включен и извлекаются все данные о событии.

Извлекать свойства события

Переключатель, включающий извлечение свойств событий. Если этот переключатель выключен, свойства события не будут извлечены и это позволит сэкономить CPU на машине с агентом. По умолчанию этот переключатель включен и свойства события извлекаются. Вы можете включить переключатель Извлекать свойства события, только если включен переключатель Извлекать информацию о событии.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

Режим TLS

Режим шифрования TLS. При использовании шифрования TLS вы не можете указать IP-адрес в поле URL на вкладке Основные параметры. Доступные значения:

  • Выключено – не использовать шифрование TLS. Это значение выбрано по умолчанию.
  • Включено – использовать шифрование TLS, но без верификации сертификатов.
  • С верификацией – использовать шифрование TLS с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и помещаются на сервер Ядра KUMA в директорию /opt/kaspersky/kuma/core/certificates.

Сжатие

Раскрывающийся список, позволяющий настроить использование сжатия Snappy:

  • Выключено. Это значение выбрано по умолчанию.
  • С помощью Snappy.

При изменении коннектора этого типа параметры Режим TLS и Сжатие видны и доступны как на коннекторе-ресурсе, так и на коллекторе. Если вы используете коннектор этого типа на коллекторе, значения параметров Режим TLS и Сжатие передаются в точку назначения автоматически созданных агентов.

В начало
[Topic 275982]