Передача в KUMA событий с машин Windows

Для передачи событий с машин Windows в KUMA используется связка агента и коллектора KUMA. Передача данных организована следующим образом:

1. Установленный на машине агент KUMA получает события Windows:
   • с помощью коннектора WEC: агент получает события, поступающие на хост по подписке (subscription), и журналы сервера.
   • с помощью коннектора WMI: агент подключается к удаленным серверам, указанным в конфигурации, и получает события.
   • с помощью коннектора ETW: агент использует для подключения к DNS-серверу имя сессии и провайдера, указанные в параметрах коннектора, и получает события.
2. Агент без предварительной обработки передает события коллектору KUMA, указанному в точке назначения.

   Можно настроить агент таким образом, чтобы разные журналы отправлялись в разные коллекторы.

3. Коллектор принимает события от агента, выполняет полный цикл обработки события и отправляет обработанные события в точку назначения.

Получение событий с агента WEC рекомендуется при использовании централизованного получения событий c хостов Windows с помощью технологии Windows Event Forwarding (WEF). Агент необходимо установить на сервер, который выполняет сбор событий, он будет выполнять роль Windows Event Collector (WEC). Мы не рекомендуем устанавливать агенты KUMA на каждый конечный хост, с которого планируется получать события.

Процесс настройки получения событий c использованием агента WEC подробно описан в приложении Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC).

Подробнее о технологии Windows Event Forwarding см. в официальной документации Microsoft.

Получение событий с помощью агента WMI рекомендуется использовать в следующих случаях:

• Если отсутствует возможность использовать технологию WEF для реализации централизованного сбора событий, одновременно с этим запрещена установка стороннего ПО на сервере-источнике событий (например, агент KUMA).
• Если необходимо выполнить сбор событий с небольшого количества хостов - не более 500 хостов для одного агента KUMA.

Агент ETW используется только для получения событий из журналов Windows DNS-серверов.

Для подключения журналов Windows в качестве источника событий рекомендуется использовать мастер «Подключить источник». При использовании мастера в процессе создания коллектора с коннекторами типами WEC и WMI автоматически создаются агенты для приема событий Windows. Также ресурсы, необходимые для сбора событий Windows, можно создать вручную.

Создание и установка агента и коллектора для получения событий Windows происходит в несколько этапов:

1. Создание набора ресурсов агента.

   Коннектор агента:

   При создании агента на вкладке Подключение необходимо создать или выбрать коннектор типа WEC, WMI или ETW.

   Если хотя бы одно название журнала Windows указано в коннекторе типа WEC или WMI с ошибкой, или недоступен сервер WMI, агент будет получать события из всех перечисленных в коннекторе журналов Windows, кроме проблемного. При этом статус агента будет зеленый. Попытки получить события будут повторяться каждые 60 секунд, сообщения об ошибке будут добавляться в журнал сервиса.

   Точка назначения агента:

   Тип точки назначения агента зависит от используемого вами способа передачи данных: nats-jetstream, tcp, http, diode, kafka, file.

   В качестве разделителя в точке назначения необходимо использовать значение \0.

   Дополнительные параметры точки назначения агента (например, разделитель, сжатие и режим TLS) должны совпадать с дополнительными параметрами коннектора коллектора, с которым вы хотите связать агент.

2. Создание сервиса агента в веб-интерфейсе KUMA.
3. Установка агента KUMA на машине Windows, с которой вы хотите получать события Windows.

   Перед установкой убедитесь, что компоненты системы имеют доступ к сети и откройте необходимые сетевые порты:

   • Порт 7210, протокол TCP: от сервера с коллекторами к Ядру.
   • Порт 7210, протокол TCP: от сервера агента к Ядру.
   • Порт, настроенный при создании коннектора в поле URL: от сервера агента к серверу с коллектором.
4. Создание и установка коллектора KUMA.

   При создании набора ресурсов коллектора на шаге Транспорт необходимо создать или выбрать существующий коннектор, с помощью которого коллектор будет получать события от агента. Тип коннектора должен совпадать с типом точки назначения агента.

   Дополнительные параметры коннектора, такие как разделитель, сжатие и режим TLS, должны совпадать с дополнительными параметрами точки назначения агента, с которой вы хотите связать агент.

В начало