###############################################################################
# Параметры сети
###############################################################################
service-url: "https://<FQDN компонента MapApp>:8443/api/event"
###############################################################################
# Параметры работы с журналами
###############################################################################
log-poll-interval: 4
log-level: "DEBUG"
max-batch-limit: 1000
ram-storage-limit: 1000
###############################################################################
# Параметры фильтрации
###############################################################################
filter-domain-list:
include:
- "test.domain.local"
exclude:
- "test2.domain.local"
filter-ip-ranges:
include:
- "192.168.0.0/24"
- "192.168.1.0/24"
- "10.10.0.0/16"
- "172.17.10.0/23"
exclude:
- "192.168.1.10/32"
- "10.10.0.10/32"
- "127.0.0.1/32"
filter-accounts:
include:
# Включить события от пользователей, имена которых начинается с "adm"
# Примеры совпадений: "adm", "admin", "administrator", "adm-buh"
# Не подходят: "badm", "superadmin"
- starts-with: "adm"
# Включить события от пользователей, имена которых заканчиваются на "mgr"
# Примеры совпадений: "usermgr", "supermgr"
# Не подходят: "manager"
- ends-with: "mgr"
# Включить события только от пользователя с точным именем "buh"
# Другие варианты не подходят
- exact: "buh"
# Включить события от пользователей, имена которых одновременно начинаются на "pet" и заканчивается на "ov"
# Примеры совпадений: "petrov", "pet-ov", "pet66ov"
# Не подходят: "petrova" (заканчивается на "ova"), "apetrov" (начинается на "ape")
- starts-with: "pet"
ends-with: "ov"
exclude:
# Исключить события от пользователей, имена которых заканчиваются на "test"
# Примеры: "usertest", "admintest"
- ends-with: "test"
# Исключить события от пользователя с точным именем "admin", даже если "adm" включен в include
- exact: "admin"
# Исключить события от пользователей, имена которых начинаются на "tmp_"
# Пример: "tmp_user", "tmp_file"
- starts-with: "tmp_"
# Исключить события от пользователей, имена которых одновременно начинаются на "pe" и заканчивается на "ov"
# Примеры совпадений: "peov", "petrov", "pe-123-ov"
# Вы может использовать это правило, чтобы блокировать схожие имена, включая часть, которая может пересекаться с include, но "starts-with" здесь короче — "pe"
- starts-with: "pe"
ends-with: "ov"
###############################################################################
# Параметры событий
###############################################################################
event-codes: [ 4624,4768,4769,4770 ]
###############################################################################
# Параметры подключения
###############################################################################
dc:
- address: "<адрес контроллера домена>"
timezone: "GMT+3"
user-cert: "/uaws/ssl/uawsuser_key.pem"
user-cert-key: "/uaws/ssl/uawsuser.pem"
trust-ca-cert: "/uaws/ssl/ca.pem"
|
|
|
|
|
Параметр
|
Описание
|
Обязательный
|
Допустимые значения
|
service-url
|
URL-адрес для подключения компонента Collector к компоненту MapApp.
|
Да.
|
Действующий URL-адрес до 256 символов в формате: <протокол>://<доменное имя или IP-адрес> или <протокол>://<доменное имя или IP-адрес>:<порт> (если используется нестандартный порт).
|
log-poll-interval
|
Интервал получения событий из журнала, в секундах.
|
Да.
|
От 1 до 300.
|
log-level
|
Уровень журналирования для отладки.
|
Да.
|
DEBUG – записывать все события.INFO – записывать только сообщения о запуске компонента и ошибках.
|
max-batch-limit
|
Максимальное количество событий, которые могут быть отправлены за один раз. Если событий больше, они делятся на несколько частей и каждая часть отправляется отдельно.
|
Да.
|
От 1 до 100000.
|
ram-storage-limit
|
Максимальное количество событий, которое может храниться в оперативной памяти, если служба недоступна.
|
Да.
|
От 1000 до 1000000.
|
filter-domain-list
|
Список доменов для фильтрации событий, которые передаются в MapApp.
|
Нет.
|
Нет значения.
|
|
include
|
Список доменов, события от которых нужно передавать.
|
Нет.
|
Список доменов.
|
|
exclude
|
Список доменов, события от которых не нужно передавать.
|
Нет.
|
filter-ip-ranges
|
Список IP-адресов для фильтрации событий, которые передаются в MapApp.
|
Нет.
|
Нет значения.
|
|
include
|
Список IP-адресов, события от которых нужно передавать.
|
Нет.
|
Список IP-адресов в формате CIDR.
|
|
exclude
|
Список IP-адресов, события от которых не нужно передавать.
|
Нет.
|
filter-accounts
|
Список условий для фильтрации событий, которые передаются в MapApp, по именам пользователей.
|
Нет.
|
Нет значения.
|
|
include
|
Условия имен пользователей, события от которых нужно передавать.
|
Нет.
|
Допускаются следующие условия:
starts-with – имя пользователя начинается с указанной строки. Не более 256 символов.ends-with – имя пользователя заканчивается указанной строкой. Не более 256 символов.- комбинация
starts-with и ends-with – имя пользователя начинается и заканчивается указанными строками. exact – имя пользователя должно точно совпадать с указанной строкой.
|
|
exclude
|
Условия имен пользователей, события от которых не нужно передавать.
|
Нет.
|
event-codes
|
Список кодов для типов событий, которые необходимо обрабатывать.
|
Да.
|
Одно или несколько из следующих значений: 4768, 4769, 4770, 4624.
|
dc
|
Список контроллеров домена, к которым будет обращаться компонент Collector через WinRM, и параметры подключения к ним.
|
Да.
|
Нет значения.
Необходимо указать хотя бы один контроллер домена и все обязательные параметры для подключения к нему.
|
|
address
|
IP-адрес или DNS-имя контроллера.
|
Да.
|
IP-адрес или DNS-имя.
|
|
port
|
Порт, на котором работает WinRM.
|
Да.
|
От 1 до 65535. Рекомендуется указывать 5985 или 5986.
|
|
timeout
|
Время, по истечению которого подключение к контроллеру домена будет прервано, в секундах.
|
Нет.
|
Целое число больше 0. По умолчанию 60.
|
|
timezone
|
Часовой пояс в формате GMT.
|
Да.
|
От GMT-14 до GMT+12. Возможно указать в формате GMT±<число> или GMT±<число>:<число>.
|
|
trust-ca-cert
|
Путь к корневому сертификату, которым подписан сертификат сервера.
|
Да.
|
Путь к файлу.
|
|
user-cert
|
Путь к файлу сертификата компонента Collector.
|
Да.
|
Путь к файлу.
|
|
user-cert-key
|
Путь к файлу ключа, которым подписан сертификат компонента Collector.
|
Да.
|
Путь к файлу.
|