Имя сессии (обязательно) – можно указать только одно имя сессии, которое соответствует ETW-провайдеру Microsoft-Windows-DNSServer {EB79061A-A566-4698-9119-3ED2807060E7}.
Если в коннекторе типа etw имя сессии указано некорректно, указан не тот провайдер в сессии или указан неверный способ, в каком режиме отправлять события (для корректной отправки событий на стороне Windows Server должен быть указан режим Real time или File and Real time), от агента не будут поступать события, в журнале агента на Windows будет зарегистрирована ошибка, а статус агента будет зеленым. При этом попытки получить события каждые 60 сек не будет. Если вы изменяете параметры сессии на стороне Windows, следует перезапустить агент etw и/или сессию, чтобы изменения были применены.
Извлекать информацию о событии – если переключатель установлен в неактивном положении, будет извлечено минимальное количество данных о событии, которое возможно без необходимости скачивать сторонние метаданные с диска. Такой способ позволяет сэкономить CPU на машине с агентом. Значение по умолчанию Активен – извлекаются все данные о событии.
Извлекать свойства события – если переключатель установлен в неактивном положении, свойства события не будут извлечены и это позволит сэкономить CPU на машине с агентом. Значение по умолчанию Активен – извлекаются свойства события. Переключатель Извлекать свойства события можно использовать, только когда переключатель Извлекать информацию о событии в состоянии Активен.
Описание – описание ресурса: до 4000 символов в кодировке Unicode.
Вкладка Дополнительные параметры:
Отладка – переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. По умолчанию положение Выключено.
Кодировка символов – используется для указания исходной кодировки в UTF-8. Мы рекомендуем изменять значение этого параметра только в том случае, если в полях нормализаванного события отображаются нечитаемые символы. По умолчанию значение не задано.
Режим TLS – режим шифрования TLS с использованием сертификатов в формате pem x509:
Выключено (по умолчанию) – не использовать шифрование TLS.
Включено – использовать шифрование, но без верификации сертификатов.
С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
Сжатие – можно использовать сжатие Snappy. По умолчанию сжатие Выключено.
При изменении коннектора этого типа параметры Режим TLS и Сжатие видны и доступны как на коннекторе-ресурсе, так и на коллекторе. Если вы используете коннектор этого типа на коллекторе, значения параметров Режим TLS и Сжатие передаются в точку назначения автоматически созданных агентов.