Настройка коллектора KUMA для получения событий с устройств Windows
После завершения настройки политики аудита на устройствах, а также создания подписок на события и предоставления всех необходимых прав, требуется создать коллектор в веб-интерфейсе KUMA для событий с устройств Windows.
Подробнее о процедуре создания коллектора KUMA см. в разделе Создание коллектора.
Для получения событий от устройств Windows в мастере установки коллектора KUMA укажите следующие параметры коллектора:
- На шаге Транспорт укажите следующие параметры:
- В поле Коннектор выберите Создать.
- В поле Тип выберите http.
- В поле Разделитель выберите \0.
- На вкладке Дополнительные параметры в поле Режим TLS выберите С верификацией.
- На шаге Парсинг событий нажмите на кнопку Добавить парсинг событий.
- В открывшемся окне Основной парсинг событий в поле Нормализатор выберите [OOTB] Windows Extended v.1.0 и нажмите ОК.
- На шаге Маршрутизация добавьте следующие точки назначения:
- Хранилище. Для отправки обработанных событий в хранилище.
- Коррелятор. Для отправки обработанных событий в коррелятор.
Если точки назначения Хранилище и Коррелятор не добавлены, создайте их
- На шаге Проверка параметров нажмите Сохранить и создать сервис.
- Скопируйте появившуюся команду для установки коллектора KUMA.
В начало