Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

Управление Kaspersky Unified Monitoring and Analysis Platform

Руководство администратора

Настройка источников событий

Настройка получения событий DNS-сервера с помощью коннектора ETW

Kaspersky Symphony XDR: Single Management Platform
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Настройка получения событий DNS-сервера с помощью коннектора ETW

27 августа 2024

ID 282860

Скачать PDF

Коннектор Event Tracing for Windows (далее также коннектор ETW) – это механизм регистрации событий, генерируемых программами и драйверами на DNS-сервере. Коннектор ETW можно использовать для устранения ошибок во время разработки или для поиска вредоносной активности.

Влияние коннектора ETW на производительность DNS-сервера незначительно. Например, DNS-сервер, работающий на современном оборудовании и получающий до 100 000 запросов в секунду (QPS), может испытывать снижение производительности на 5% при использовании коннектора ETW. Если DNS-сервер получает до 50 000 запросов в секунду, снижения производительности не наблюдается. Рекомендуется контролировать производительность DNS-сервера при использовании коннектора ETW, независимо от количества запросов в секунду.

По умолчанию вы можете использовать коннектор ETW для устройств с версией операционной системой Windows Server 2016 и выше. Коннектор ETW также поддерживается Windows Server 2012 R2, если установлено обновление для ведения журнала событий и аудита изменений. Обновление доступно на сайте технической поддержки Microsoft.

Коннектор ETW состоит из следующих компонентов:

  • Поставщики генерируют события и отправляют их коннектору ETW. Например, в качестве поставщиков могут выступать ядра Windows или драйверы устройств. При работе с кодом разработчикам нужно указать, какие события поставщики должны отправлять коннектору ETW. Событие может представлять выполнение функции, которую разработчик считает важной, например, функции, которая разрешает доступ к диспетчеру учетных записей безопасности (SAM).
  • Потребители получают события, сгенерированные поставщиками, от коннектора ETW и используют эти события. Например, роль потребителя может выполнять KUMA.
  • Контроллеры управляют взаимодействием между поставщиками и потребителями. Например, контроллерами могут быть утилиты Logman или Wevtutil. Поставщики регистрируются в контроллере для отправки событий потребителям. Контроллер может включать или выключать поставщика. Если поставщик выключен, он не генерирует события.

    Контроллеры используют сеансы трассировки для связи между поставщиками и потребителями. Сеансы трассировки также используются для фильтрации данных по указанным параметрам, так как потребителям могут потребоваться другие события.

Настройка получения событий DNS-сервера с помощью коннектора ETW состоит из следующих этапов:

  1. Настройка на стороне Windows.
  2. Создание коллектора KUMA.

    При создании коллектора KUMA выполните следующие действия:

    1. На шаге 2 мастера установки коллектора:
      1. В раскрывающемся списке Тип выберите тип коннектора tcp. Вы также можете указать тип коннектора http и другие типы коннектора с проверкой для безопасной передачи.
      2. В поле URL введите полное доменное имя и номер порта, на котором коллектор KUMA будет прослушивать соединение от агента KUMA. Вы можете указать любой незанятый номер порта.
      3. В поле Разделитель введите \n.
    2. На шаге 3 мастера установки коллектора в раскрывающемся списке Нормализатор выберите нормализатор. Рекомендуется выбрать предопределенный расширенный нормализатор для событий Windows [OOTB] Microsoft DNS ETW logs json.
    3. На шаге 7 мастера установки коллектора добавьте тип точки назначения Хранилища для хранения событий. Если вы планируете использовать корреляцию событий, вам также нужно добавить точку назначения с типом Коррелятор.
    4. На шаге 8 мастера установки коллектора нажмите на кнопку Создать и сохранить сервис и скопируйте команду установки коллектора KUMA на сервер в нижней части окна.
  3. Установка коллектора KUMA на сервере.

    Выполните следующие действия:

    1. Подключитесь к интерфейсу командной строки KUMA, используя учетную запись пользователя с правами root.
    2. Установите коллектор KUMA, выполнив команду, которую вы скопировали на шаге 8 мастера установки коллектора.
    3. Если вы хотите добавить порт коллектора KUMA в исключения сетевого экрана и обновить параметры сетевого экрана, выполните следующие команды:
      1. firewall-cmd --add-port=<collector port number>/tcp --permanent
      2. firewall-cmd --reload

    Коллектор KUMA установлен и статус службы коллектора KUMA изменен на зеленый в Консоли KUMA.

  4. Создание агента KUMA.

    При создании агента KUMA выполните следующие действия:

    1. Перейдите на вкладку Подключение 1.
    2. В разделе Коннектор в раскрывающемся списке Коннектор выберите Создать и укажите следующие параметры:
      1. В раскрывающемся списке Тип выберите тип коннектора etw.
      2. В поле Имя сеанса введите имя поставщика, которое вы указали при настройке получения событий DNS-сервера с помощью коннектора ETW на стороне Windows.
    3. В разделе Точка назначения в раскрывающемся списке Точка назначения выберите Создать и укажите следующие параметры:
      1. В раскрывающемся списке Тип выберите тип точки назначения tcp.
      2. В поле URL введите полное доменное имя и номер порта, на котором коллектор KUMA будет прослушивать соединение от агента KUMA. Значение должно соответствовать значению, которое вы указали на шаге 2 мастера установки коллектора.
    4. Перейдите на вкладку Дополнительные параметры и в поле Размер дискового буфера введите 1073741824.
  5. Создание сервиса агента KUMA.

    Вам нужно скопировать идентификатор созданного сервиса агента KUMA. Для этого выберите в контекстном меню сервиса агента KUMA пункт Копировать идентификатор.

  6. Создание учетной записи для агента KUMA.

    Создайте доменную или локальную учетную запись пользователя Windows для запуска агента KUMA и чтения журнала событий. Вам нужно добавить созданную учетную запись пользователя в группу Пользователи журнала производительности и предоставить ей право Вход в качестве службы.

  7. Установка агента KUMA на сервере Windows.

    Вам необходимо установить агент KUMA на сервер Windows, который будет получать события от поставщика. Для этого выполните следующие действия:

    1. Добавьте FQDN-имя сервера Ядра KUMA в файл hosts на сервере Windows или на DNS-сервере.
    2. Создайте папку C:\Users\<имя пользователя>\Desktop\KUMA на сервере Windows.
    3. Скопируйте файл kuma.exe из архива инсталляционного пакета KUMA в папку C:\Users\<имя пользователя>\Desktop\KUMA.
    4. Запустите командный интерпретатор от имени администратора.
    5. Перейдите в папку C:\Users\<имя пользователя>\Desktop\KUMA и выполните следующую команду:

      C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <идентификатор сервиса агента KUMA>

      В Консоли KUMA в разделе Ресурсы → Активные службы убедитесь, что сервис агента KUMA запущен, статус сервиса зеленый и отмените команду.

    6. Запустите установку агента KUMA одним из следующих способов:
      • Если вы хотите запустить установку агента KUMA с использованием доменной учетной записи пользователя, выполните следующую команду:

        C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <идентификатор сервиса агента KUMA> –-user <домен>\<имя учетной записи пользователя агента KUMA> --install

      • Если вы хотите запустить установку агента KUMA с использованием локальной учетной записи пользователя, выполните следующую команду:

        C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --core https://<DOMAIN-NAME-KUMA-CORE-Server>:7210 --id <идентификатор сервиса агента KUMA> –-user <имя учетной записи пользователя агента KUMA> --install

      Вам нужно ввести пароль учетной записи пользователя агента KUMA.

    Сервис агента KUMA <идентификатор сервиса агента KUMA> установлен на сервере Windows. Если в Консоли KUMA в разделе Ресурсы → Активные сервисы, сервис агента KUMA не запущен и имеет красный статус, необходимо убедиться, что доступен порт 7210 и порт коллектора Windows в направлении от агент KUMA к коллектору KUMA.

    Чтобы удалить сервис агента KUMA на сервере Windows, выполните следующую команду:

    C:\Users\<имя пользователя>\Desktop\KUMA>kuma.exe agent --id <идентификатор сервиса агента KUMA> --uninstall

  8. Проверка поступления событий DNS-сервера в коллектор KUMA.

    Вы можете проверить правильность настройки получения событий DNS-сервера с помощью коннектора ETW в разделе Поиск связанных событий Консоли KUMA.

В этом разделе

Конфигурация на стороне Windows

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!