Как создать коллектор типа http в Kaspersky Unified Monitoring and Analysis Platform для сбора событий через WMI агенты
Статья обновлена: 01 июля 2024
ID: 16042
Показать приложения и версии, для которых применима статья
- Kaspersky Unified Monitoring and Analysis Platform 3.2;
- Kaspersky Unified Monitoring and Analysis Platform 3.0.3;
- Kaspersky Unified Monitoring and Analysis Platform 3.0.2.
Следуйте инструкции ниже, если вам необходимо настроить получение событий с небольшого количества устройств (ПЭВМ или серверов), на которых нельзя развернуть агенты Kaspersky Unified Monitoring and Analysis Platform (далее KUMA).
События будут собираться с выделенного сервера с помощью подключения через WMI к исходному устройству по типу соединения устройство–агент–коллектор.
Шаг 1. Создайте коллектор для сбора событий с Windows–устройств
- Откройте KUMA, перейдите в Ресурсы → Коллекторы и нажмите Добавить.
- Введите название коллектора в одноименном поле в разделе Подключение источников.
- Перейдите в раздел Транспорт и выберите http в раскрывающемся списке Тип на вкладке Основные параметры.
- Выберите \0 в раскрывающемся списке Разделитель.
- Укажите в поле URL сервер и порт, на который установлен коллектор KUMA и будут поступать события от агента.
Например, collector01.some.local:5145.
- Перейдите в раздел Парсинг событий и на вкладке Схемы парсинга выберите Добавить парсинг событий.
- Выберите [OOTB] Microsoft Product в раскрывающемся списке Нормализатор и нажмите ОК.
- Перейдите в раздел Маршрутизация, нажмите Добавить и добавьте хранилище и коррелятор, на которые будут поступать события.
Например:- Хранилище storage: тип — storage, URL — storage01.some.local:7221 и storage02.some.local:7221.
- Коррелятор correlator: тип — correlator, URL — correlator01.some.local:7231.
- Перейдите в раздел Проверка параметров и нажмите Сохранить и создать сервис.
- Скопируйте сгенерированную команду для установки коллектора.
- Добавьте в начало команды sudo и выполните ее на сервере с ролью Коллектор.
# sudo /opt/kaspersky/kuma/kuma collector --core <адрес сервера, где должен получить свои параметры коллектор> --id <идентификатор устанавливаемого сервиса> --api.port <порт> --install
Пример:
# sudo /opt/kaspersky/kuma/kuma collector --core https://kuma.some.local:7210 --id f12aad3b-4d56-789c-12b3-4e5d6a7890b1 --api.port 7240 --install
После выполнения команды в списке сервисов появится WMI Collector с зеленым статусом.
Шаг 2. Создайте агент для сбора событий с удаленных устройств с помощью WMI
- Откройте KUMA, перейдите в Ресурсы → Агенты и нажмите Добавить.
- Введите название агента в поле Название на вкладке Общие параметры.
- Перейдите на вкладку Подключение №1 → Основные параметры и укажите название коннектора в поле Название в блоке Коннектор.
- Выберите wmi в раскрывающемся списке Тип.
- Выберите учетную запись, под которой агент будет подключаться к удаленным Windows–устройствам, в раскрывающемся списке Учетные данные по умолчанию.
- Укажите в блоке Удаленные хосты устройство, к которому будет подключаться коннектор, и типы журналов, которые будут считываться.
- Нажмите Добавить и повторите пункт 6 для других устройств.
- Перейдите к блоку Точки назначения и укажите WMI Collector в поле Название.
- Выберите http в раскрывающемся списке Тип.
- Укажите сервер и порт, на который будут приходить события от агента на коллектор, в поле URL.
Шаг 3. Создайте сервис
- Перейдите в Ресурсы → Активные сервисы и нажмите Добавить сервис.
- Поставьте флажок у ранее созданного агента WMI Agent и нажмите Создать сервис.
В списке сервисов появится новый сервис WMI Agent с красным статусом.
- Выберите Копировать идентификатор в контекстном меню сервиса WMI Agent.
- Откройте директорию /home/ka/kuma-ansible-installer/roles/kuma/files.
Ваша домашняя директория может отличаться. - Скопируйте из директории инсталляционный файл kuma.exe.
Шаг 4. Подготовьте сервер к установке агента
Если с сервера, на котором будет развернут агент, будут считываться события из журналов Windows, выполните инструкцию ниже. Если нет, перейдите к шагу 5.
- Зайдите на устройство, на котором будет развернут агент.
- Откройте Управление компьютером.
- Перейдите в Локальные пользователи и группы → Группы и откройте группу Читатели журнала событий.
- Нажмите Добавить, укажите SOME\wmi_agent в поле Введите имена выбираемых объектов и нажмите OK.
- Нажмите OK.
Шаг 5. Добавьте учетную запись wmi_agent в политику
Учетную запись необходимо добавить в политику только на том сервере, где установлен агент.
- Зайдите на устройство, на котором будет развернут агент.
- Откройте Редактор локальной групповой политики.
- Перейдите в Конфигурация компьютера → Конфигурация Windows → Параметры безопасности.
- Перейдите в Локальные политики → Назначение прав пользователей и откройте политику Вход в качестве службы.
- Нажмите Добавить пользователя или группу, укажите SOME\wmi_agent в поле Введите имена выбираемых объектов и нажмите OK.
- Нажмите OK.
Шаг 6. Настройте источники
Добавьте в группу Читатели журнала событий учетную запись из настроек коннектора на все Windows–устройства, с которых будет выполняться сбор событий:
- Зайдите на устройство.
- Откройте Управление компьютером.
- Перейдите в Локальные пользователи и группы → Группы и откройте группу Читатели журнала событий.
- Нажмите Добавить, укажите SOME\wmi_agent в поле Введите имена выбираемых объектов и нажмите OK.
- Нажмите OK.
- Повторите пункты 1-5 для остальных устройств, с которых нужно собирать события.
- Убедитесь по инструкции, что на серверах запущена и доступна служба RPC.
Пример команды:
netsh advfirewall firewall add rule name="KUMA Agent" dir=in action=allow protocol=TCP localport=135,445,49152-65535 remoteip=10.68.76.131
Где значение remoteip — адрес сервера с установленным агентом, с которого будет выполняться подключение для сбора событий.
Шаг 7. Установите агент на сервер
- Перейдите в каталог со скопированным инсталляционным файлом kuma.exe.
- Проверьте, что выполнены шаги 4, 5, 6.
- Выполните команду, чтобы установить агент.
kuma agent --core https://<полное доменное имя сервера ядра KUMA>:<порт, используемый сервером ядра KUMA для внутренних коммуникаций (по умолчанию — 7210)> --id <идентификатор сервиса агента, созданного в KUMA> --user <домен и имя пользователя, под которым будет работать агент> --install
Пример:
kuma agent --core https://kuma.some.local:7210 --id df1234f5-f6af-78e9-aad1-23456b78c912 --user some\wmi_agent --install
- Откройте KUMA и перейдите в Ресурсы → Активные сервисы.
- Убедитесь, что статус агента стал зеленым.
- Поставьте флажок у коллектора WMI Collector и нажмите Перейти к событиям, чтобы проверить поступление событий.
