В KES для Windows, начиная с версии 12.6, есть возможность отправлять события из журналов Windows в коллектор KUMA. Это позволяет получить в KUMA события из журналов Windows (поддерживается ограниченный набор EventID продуктов компании Microsoft) со всех хостов, на которых установлен KES для Windows версии 12.6, без установки агентов KUMA на эти хосты. Чтобы активировать функционал, необходимо:
Настройка получения событий состоит из следующих этапов:
В KUMA должно быть настроено получение обновлений через серверы обновлений Лаборатории Касперского.
Нажмите Импорт ресурсов и выберите [OOTB] Microsoft Products via KES WIN в списке доступных к установке нормализаторов.
Для получения событий Windows на шаге Транспорт выберите TCP или UDP и укажите номер порта, который будет прослушивать коллектор, на шаге Парсинг событий выберите нормализатор [OOTB] Microsoft Products via KES WIN. На шаге Фильтрация событий выберите фильтр [OOTB] Microsoft Products via KES WIN - Event filter for collector.
Если в вашей лицензии не было ключа активации функционала оправки журналов Windows в коллектор KUMA, направьте в техническую поддержку письмо следующего содержания: «У нас приобретена лицензия KUMA и используется KES для Windows версии 12.6. Мы планируем активировать функционал отправки журналов Windows в коллектор KUMA. Просим предоставить файл ключа для активации соответствующего функционала». Новым пользователям KUMA не требуется писать запрос в техническую поддержку, поскольку новым пользователям будет предоставлено 2 ключа с лицензиями для KUMA и для активирования функционала KES для Windows.
В ответ на письмо вам будет предоставлен файл ключа.
Файл ключа, активирующий функционал отправки событий Windows в коллекторы KUMA, необходимо импортировать в KSC и распространить по конечным устройствам KES в соответствии с инструкцией. Также необходимо в политике KES добавить адреса серверов KUMA и настроить сетевые параметры подключения.
Вы можете проверить, что настройка сервера источника событий Windows выполнена правильно, в разделе веб-интерфейса KUMA Поиск связанных событий.
Перечень передаваемых KES для Windows событий продуктов компании Microsoft приведён в следующей таблице:
Журнал событий |
Идентификатор события |
---|---|
DNS Server |
150 |
DNS Server |
770 |
MSExchange Management |
1 |
Security |
4781 |
Security |
6416 |
Security |
1100 |
Security |
1102 / 517 |
Security |
1104 |
Security |
1108 |
Security |
4610 / 514 |
Security |
4611 |
Security |
4614 / 518 |
Security |
4616 / 520 |
Security |
4622 |
Security |
4624 / 528 / 540 |
Security |
4625 / 529 |
Security |
4648 / 552 |
Security |
4649 |
Security |
4662 |
Security |
4663 |
Security |
4672 / 576 |
Security |
4696 |
Security |
4697 / 601 |
Security |
4698 / 602 |
Security |
4702 |
Security |
4704 / 608 |
Security |
4706 |
Security |
4713/617 |
Security |
4715 |
Security |
4717 / 621 |
Security |
4719 / 612 |
Security |
4720 / 624 |
Security |
4722 / 626 |
Security |
4723 / 627 |
Security |
4724 / 628 |
Security |
4725 / 629 |
Security |
4726 / 630 |
Security |
4727 |
Security |
4728 / 632 |
Security |
4729 / 633 |
Security |
4732 / 636 |
Security |
4733 / 637 |
Security |
4738 / 642 |
Security |
4739/643 |
Security |
4740 / 644 |
Security |
4741 |
Security |
4742 / 646 |
Security |
4756 / 660 |
Security |
4757 / 661 |
Security |
4765 |
Security |
4766 |
Security |
4767 |
Security |
4768 / 672 |
Security |
4769 / 673 |
Security |
4770 |
Security |
4771 / 675 |
Security |
4775 |
Security |
4776 / 680 |
Security |
4778 / 682 |
Security |
4780 / 684 |
Security |
4794 |
Security |
4798 |
Security |
4817 |
Security |
4876 / 4877 |
Security |
4882 |
Security |
4885 |
Security |
4886 |
Security |
4887 |
Security |
4890 |
Security |
4891 |
Security |
4898 |
Security |
4899 |
Security |
4900 |
Security |
4902 |
Security |
4904 |
Security |
4905 |
Security |
4928 |
Security |
4946 |
Security |
4947 |
Security |
4948 |
Security |
4949 |
Security |
4950 |
Security |
4964 |
Security |
5025 |
Security |
5136 |
Security |
5137 |
Security |
5138 |
Security |
5139 |
Security |
5141 |
Security |
5142 |
Security |
5143 |
Security |
5144 |
Security |
5145 |
Security |
5148 |
Security |
5155 |
Security |
5376 |
Security |
5377 |
Security |
5632 |
Security |
5888 |
Security |
5889 |
Security |
5890 |
Security |
676 |
System |
1 |
System |
104 |
System |
1056 |
System |
12 |
System |
13 |
System |
6011 |
System |
7040 |
System |
7045 |
System, Source Netlogon |
5723 |
System, Source Netlogon |
5805 |
Terminal-Services-RemoteConnectionManager |
1149 |
Terminal-Services-RemoteConnectionManager |
1152 |
Terminal-Services-RemoteConnectionManager |
20523 |
Terminal-Services-RemoteConnectionManager |
258 |
Terminal-Services-RemoteConnectionManager |
261 |
Windows PowerShell |
400 |
Windows PowerShell |
500 |
Windows PowerShell |
501 |
Windows PowerShell |
800 |
Application, Source ESENT |
301 |
Application, Source ESENT |
302 |
Application, Source ESENT |
325 |
Application, Source ESENT |
326 |
Application, Source ESENT |
327 |
Application, Source ESENT |
2001 |
Application, Source ESENT |
2003 |
Application, Source ESENT |
2005 |
Application, Source ESENT |
2006 |
Application, Source ESENT |
216 |
Application |
1000 |
Application |
1002 |
Application |
1 / 2 |