1. Откройте KUMA, перейдите в Ресурсы → Коллекторы и нажмите Добавить.
2. Введите название коллектора в одноименном поле в разделе Подключение источников.

3. Перейдите в раздел Транспорт и выберите wec в раскрывающемся списке Тип на вкладке Основные параметры.
4. Укажите в поле URL сервер и порт, на который установлен коллектор KUMA и будут поступать события от агента.
   Например, collector01.some.local:5125.
5. Выберите в поле Журналы Windows журналы, которые будут перенаправляться агентом KUMA на коллектор KUMA.
   Например, WEC-Authentication, WEC-Service, WEC2-Registry.

6. Перейдите в раздел Парсинг событий и выберите [OOTB] Microsoft Product в раскрывающемся списке Нормализатор на вкладке Схема нормализации.

7. Перейдите в раздел Маршрутизация, нажмите Добавить и добавьте хранилище и коррелятор, на которые будут поступать события.
   Например:
   • Хранилище storage: тип — storage, URL — storage01.some.local:7221 и storage02.some.local:7221.
   • Коррелятор correlator: тип — correlator, URL — correlator01.some.local:7231.
8. Перейдите в раздел Проверка параметров и нажмите Сохранить и создать сервис.

9. Скопируйте в текстовый файл сгенерированную команду для установки коллектора и агента.

10. Добавьте в начало команд sudo и выполните их на сервере с ролью Коллектор.

Пример:

11. Перейдите в раздел Ресурсы → Активные сервисы и убедитесь, что создан сервис коллектора с зеленым статусом и агента KUMA с красным статусом.
    Статус агента красный, так как он еще не установлен на WEC сервере.

1. Откройте директорию /home/ka/kuma-ansible-installer/roles/kuma/files.
   Ваша домашняя директория может отличаться.
2. Скопируйте из директории инсталляционный файл kuma.exe.
3. Скопируйте файл kuma.exe на WEC сервер.

Если с сервера, на котором будет развернут агент, будут считываться события из журналов Windows, выполните инструкцию ниже. Если нет, перейдите к шагу 3.

4. Зайдите на устройство, на котором будет развернут агент.
5. Откройте Управление компьютером.
6. Перейдите в Локальные пользователи и группы → Группы и откройте группу Читатели журнала событий.

7. Нажмите Добавить, укажите SOME\wec_agent в поле Введите имена выбираемых объектов и нажмите OK.
8. Нажмите OK.

1. Зайдите на устройство, на котором будет развернут агент.
2. Откройте Редактор локальной групповой политики.
3. Перейдите в Конфигурация компьютера → Конфигурация Windows → Параметры безопасности.
4. Перейдите в Локальные политики → Назначение прав пользователей и откройте политику Вход в качестве службы.
5. Нажмите Добавить пользователя или группу, укажите SOME\wec_agent в поле Введите имена выбираемых объектов и нажмите OK.
6. Нажмите OK.

1. Перейдите в каталог со скопированным инсталляционным файлом kuma.exe.
2. Проверьте, что выполнены шаги 2 и 3.
3. Выполните команду, чтобы установить агент.

Пример команды:

4. Откройте KUMA и перейдите в Ресурсы → Активные сервисы.
5. Убедитесь, что статус агента стал зеленым.

6. Поставьте флажок у коллектора WEC Collector и нажмите Перейти к событиям, чтобы проверить поступление событий.