Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

Управление Kaspersky Unified Monitoring and Analysis Platform

Руководство администратора

Настройка источников событий

Настройка получения событий DNS-сервера с помощью коннектора ETW

Конфигурация на стороне Windows

Kaspersky Symphony XDR: Single Management Platform
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Конфигурация на стороне Windows

27 августа 2024

ID 282889

Скачать PDF

Чтобы настроить прием событий DNS-сервера с помощью коннектора ETW на стороне Windows:

  1. Запустите программу Просмотр событий, выполнив следующую команду:

    eventvwr.msc

  2. В открывшемся окне перейдите в папку Журналы приложений и служб → Microsoft → Windows → DNS-сервер.
  3. В контекстном меню папки DNS-Server выберите пункт Вид → Отобразить аналитический и отладочный журналы.

    Windows_1

    Отобразятся журнал событий отладки Audit и журнал событий Analytical.

  4. Настройте аналитический журнал событий:
    1. В контекстном меню журнала событий Analytical выберите пункт Свойства.

      Windows_2

    2. В открывшемся окне убедитесь, что в поле Максимальный размер журнала (КБ) указано значение 1048576.

      Windows_3

    3. Установите флажок Включить ведение журнала и в окне подтверждения нажмите на кнопку ОК.

      Windows_4

      Параметры аналитического журнала событий должны быть настроены следующим образом:

      Windows_5

    4. Нажмите на кнопку Применить, а затем нажмите на кнопку ОК.

    Откроется окно с ошибкой.

    Windows_6

    Если включена ротация аналитического журнала, события не отображаются. Чтобы просмотреть события, в панели Действия нажмите на кнопку Остановить журнал.

    Windows_7

  5. Запустите Управление компьютером от имени администратора.
  6. В открывшемся окне перейдите в папку Служебные программы → Производительность → Сеансы отслеживания событий запуска.

    Windows_8

  7. Создание поставщика:
    1. В контекстном меню папки Сеансы отслеживания событий запуска выберите пункт Создать → Группа сборщиков данных.

      Windows_9

    2. В открывшемся окне введите имя поставщика и нажмите на кнопку Далее.

      Windows_10

    3. Нажмите на кнопку Добавить и в открывшемся окне выберите поставщика Microsoft-Windows-DNSServer.

      Windows_12

      Агент KUMA с коннектором ETW работает только с System.Provider.Guid: {EB79061A-A566-4698-9119-3ED2807060E7} - Microsoft-Windows-DNSServer.

    4. Нажмите на кнопку Далее, а затем нажмите на кнопку Готово.
  8. В контекстном меню созданного провайдера выберите пункт Запустить как сеанс отслеживания событий.

    Windows_13

  9. Перейдите в папку Сеансы отслеживания событий.

    Отобразятся сеансы отслеживания событий.

  10. В контекстном меню созданного сеанса отслеживания событий выберите пункт Свойства.
  11. В открывшемся окне выберите вкладку Сеансы отслеживания и в раскрывающемся списке Режим потока выберите Режим реального времени.

    Windows_15

  12. Нажмите на кнопку Применить, а затем нажмите на кнопку ОК.

Получение событий DNS-сервера с помощью коннектора ETW настроено.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!