service-url

URL-адрес для подключения компонента Collector к компоненту MapApp.

Да.

Действующий URL-адрес до 256 символов в формате: <протокол>://<доменное имя или IP-адрес> или <протокол>://<доменное имя или IP-адрес>:<порт> (если используется нестандартный порт).

log-poll-interval

Интервал получения событий из журнала, в секундах.

Да.

От 1 до 300.

log-level

Уровень журналирования для отладки.

Да.

• DEBUG – записывать все события.
• INFO – записывать только сообщения о запуске компонента и ошибках.

max-batch-limit

Максимальное количество событий, которые могут быть отправлены за один раз. Если событий больше, они делятся на несколько частей и каждая часть отправляется отдельно.

Да.

От 1 до 100000.

ram-storage-limit

Максимальное количество событий, которое может храниться в оперативной памяти, если служба недоступна.

Да.

От 1000 до 1000000.

filter-domain-list

Список доменов для фильтрации событий, которые передаются в MapApp.

Нет.

Нет значения.

include

Список доменов, события от которых нужно передавать.

Нет.

Список доменов.

exclude

Список доменов, события от которых не нужно передавать.

Нет.

filter-ip-ranges

Список IP-адресов для фильтрации событий, которые передаются в MapApp.

Нет.

Нет значения.

include

Список IP-адресов, события от которых нужно передавать.

Нет.

Список IP-адресов в формате CIDR.

exclude

Список IP-адресов, события от которых не нужно передавать.

Нет.

filter-accounts

Список условий для фильтрации событий, которые передаются в MapApp, по именам пользователей.

Нет.

Нет значения.

include

Условия имен пользователей, события от которых нужно передавать.

Нет.

Допускаются следующие условия:

• starts-with – имя пользователя начинается с указанной строки. Не более 256 символов.
• ends-with – имя пользователя заканчивается указанной строкой. Не более 256 символов.
• комбинация starts-with и ends-with – имя пользователя начинается и заканчивается указанными строками.
• exact – имя пользователя должно точно совпадать с указанной строкой.

exclude

Условия имен пользователей, события от которых не нужно передавать.

Нет.

event-codes

Список кодов для типов событий, которые необходимо отслеживать.

Да.

Одно или несколько из следующих значений: 4768, 4769, 4770, 4624.

dc

Список контроллеров домена, к которым будет обращаться компонент Collector, и параметры подключения к ним.

Да.

Нет значения.

Необходимо указать хотя бы один контроллер домена и все обязательные параметры для подключения к нему.

address

IP-адрес или DNS-имя контроллера.

Да.

IP-адрес или DNS-имя.

port

Порт, на котором работает WinRM.

Да.

От 1 до 65535. Рекомендуется указывать 5985 или 5986.

timeout

Время, по истечению которого подключение к контроллеру домена будет прервано, в секундах.

Нет.

Целое число больше 0. По умолчанию 60.

timezone

Часовой пояс в формате GMT.

Да.

От GMT-14 до GMT+12. Возможно указать в формате GMT±<число> или GMT±<число>:<число>.

trust-ca-cert

Путь к корневому сертификату, которым подписан сертификат сервера.

Да.

Путь к файлу.

user-cert

Путь к файлу сертификата компонента Collector.

Да.

Путь к файлу.

user-cert-key

Путь к файлу ключа, которым подписан сертификат компонента Collector.

Да.

Путь к файлу.