Тип file

Тип коннектора file используется для получения данных из любого текстового файла. Одна строка файла считается одним событием. Разделители между строк: \n. Коннектор этого типа доступен для Linux-агентов и для Windows-агентов.

Для чтения Windows-файлов вам нужно создать коннектор типа file и установить агент на Windows вручную. В одном Windows-агенте вы можете настроить несколько соединений разного типа, но тип file должен быть один. Windows-агент не должен читать свои файлы в папке, где агент установлен.

Мы не рекомендуем запускать агент под учетной записью администратора; необходимо, чтобы права чтения на папки/файлы были настроены для учетной записи агента. Мы не рекомендуем ставить агент на важные системы, лучше пересылать журналы и читать их на отдельных хостах с агентом.

Доступные параметры коннектора с типом file описаны в таблицах ниже.

Вкладка Основные параметры

Параметр	Описание
Название	Уникальное имя ресурса. Максимальная длина имени: до 128 символов в кодировке Unicode. Обязательный параметр.
Тенант	Название тенанта, которому принадлежит ресурс. Обязательный параметр.
Тип	Тип коннектора. Вам нужно выбрать file. Обязательный параметр.
Путь к файлу	Полный путь к файлу, с которым требуется выполнять взаимодействие. Например, `/var/log/som?[1-9].log или с:\folder\logs.`. Недопустимо указывать следующие пути: `(?i)^[a-zA-Z]:\\Program Files`. `(?i)^[a-zA-Z]:\\Program Files \(x86\)`. `(?i)^[a-zA-Z]:\\Windows`. `(?i)^[a-zA-Z]:\\ProgramData\\Kaspersky Lab\\KUMA`. Шаблоны масок для файлов и директорий Маски: `''` – соответствует любой последовательности символов; `'[' [ '^' ] { <диапазон символов> } ']'` – класс символов (не должен быть пустым); `'?'` – соответствует любому одиночному символу. Диапазоны символов: `[0-9]` – числа; `[a-zA-Z]` – буквы латинского алфавита. Примеры: `/var/log/som?[1-9].log` `/mnt/dns_logs//dns.log` `/mnt/proxy/access.log` Ограничения при использовании префиксов к путям файлов Префиксы, которые невозможно использовать при указании путей к файлам: `/` `/bin` `/boot` `/dev` `/etc` `/home` `/lib` `/lib64` `/proc` `/root` `/run` `/sys` `/tmp` `/usr/` `/usr/bin/` `/usr/local/` `/usr/local/sbin/` `/usr/local/bin/` `/usr/sbin/` `/usr/lib/` `/usr/lib64/` `/var/` `/var/lib/` `/var/run/` `/opt/kaspersky/kuma/` Файлы по указанным ниже путям доступны: `/opt/kaspersky/kuma/clickhouse/logs/` `/opt/kaspersky/kuma/mongodb/log/` `/opt/kaspersky/kuma/victoria-metrics/log/` Ограничение количества отслеживаемых файлов по маске Количество одновременно отслеживаемых файлов по маске может быть ограничено параметром Ядра `max_user_watches`. Для просмотра значения параметра выполните команду: `cat /proc/sys/fs/inotify/max_user_watches` Если количество файлов для отслеживания превышает значение параметра `max_user_watches`, коллектор больше не сможет считывать события из файлов и в журнале коллектора появится следующая ошибка: `Failed to add files for watching {"error": "no space left on device"}` Для продолжения правильной работы коллектора вы можете настроить правильную ротацию файлов, чтобы количество файлов не превышало значение параметра `max_user_watches`, или увеличить значение `max_user_watches`. Для увеличения значения параметра выполните команду: `sysctl fs.inotify.max_user_watches=<количество файлов>` `sysctl -p` Вы можете добавить значение параметра `max_user_watches` в sysctl.conf, чтобы значение сохранялось всегда. После того, как вы увеличите значение параметра `max_user_watches`, коллектор успешно продолжит работу. Обязательный параметр.
Auditd	Использование механизма auditd, который группирует полученные от коннектора строки событий auditd в одно событие auditd. Если вы включили переключатель, вы не можете выбрать значение в раскрывающемся списке Разделитель, так как для механизма auditd автоматически выбирается \n. Если вы включили переключатель параметрах коннектора агента, вам нужно выбрать \n в раскрывающемся списке Разделитель в параметрах коннектора коллектора, в который агент отправляет события. Максимальный размер сгруппированного события auditd составляет примерно 4 174 304 символов.
Для Windows	Получение событий журнала Windows event log c Windows-агента. Для включения переключателя вам нужно включить переключатель Auditd. По умолчанию переключатель выключен.
Описание	Описание ресурса. Максимальная длина описания: до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр	Описание
Отладка	Логирование ресурса. По умолчанию переключатель выключен.
Размер буфера	Размер буфера коннектора в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера коннектора по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера коннектора: 67 108 864 байта (64 МБ).
Количество обработчиков	Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.
Интервал запросов, мс.	Интервал в миллисекундах, с которым коннектор будет перечитывать файлы в директории. Интервал применяется, только если в файле нет изменений. Например, если файл постоянно изменяется, а в поле Интервал запросов, мс. вы ввели `5000`, файлы в директории будут перечитываться не с интервалом в 5 секунд, а постоянно. Если в файле нет изменений, файлы в директории будут перечитываться с интервалом в 5 секунд. Значение по умолчанию: `0` – 700 мс. Мы рекомендуем вводить в поле Интервал запросов, мс. значение меньше, чем значение, введенное в поле TTL буфера событий, так как это может негативно сказаться на работе функции Auditd.
Кодировка символов	Кодировка символов. Значение по умолчанию: `UTF-8`.
TTL буфера событий	Время жизни буфера для строк событий auditd в миллисекундах. Строки событий auditd попадают в коллектор KUMA и накапливаются в буфере. Это позволяет сгруппировать несколько строк событий auditd в одно событие auditd. Отсчет времени жизни буфера начинается при получении первой строки события auditd или при истечении предыдущего времени жизни буфера. Доступные значения: от 700 до 30 000. Значение по умолчанию: `2000`. Поле доступно, если вы включили переключатель Auditd на вкладке Основные параметры. Строки событий auditd, накопленные в буфере, хранятся в оперативной памяти сервера. Мы рекомендуем с осторожностью увеличивать размер буфера, так как это может привести к использованию слишком большого количества оперативной памяти сервера коллектором KUMA. Вы можете просмотреть в метриках KUMA, сколько оперативной памяти сервера использует коллектор KUMA. Если вы хотите, чтобы время жизни буфера составляло более 30 000 миллисекунд, мы рекомендуем использовать другой транспорт доставки событий auditd. Например, вы можете использовать агента или предварительно накапливать события auditd в файле, после чего обрабатывать файл коллектором KUMA.
Заголовок транспорта	Регулярное выражение для событий auditd, по которому определяются строки событий auditd. Вы можете использовать значение по умолчанию или изменить его. Регулярное выражение должно содержать группы `record_type_name`, `record_type_value` и `event_sequence_number`. Если многострочное событие auditd содержит префикс, для первой строки события auditd префикс сохраняется, а для последующих – отбрасывается. Вы можете вернуться регулярному выражению для событий auditd по умолчанию, нажав на кнопку Установить значение по умолчанию.

В начало