Импорт событий из базы Kaspersky Single Management Platform

В KUMA можно получать события из SQL-базы Kaspersky Single Management Platform. Получение событий производится с помощью коллектора, в котором используются следующие ресурсы:

Предустановленный коннектор [OOTB] KSC MSSQL или [OOTB] KSC MySQL.
Предустановленный нормализатор [OOTB] KSC from SQL.

Настройка импорта событий из Kaspersky Single Management Platform состоит из следующих шагов:

Создание копии предустановленного коннектора.
Параметры предустановленного коннектора недоступны для редактирования, поэтому для настройки параметров подключения к серверу базы данных требуется создать копию предустановленного коннектора.
Создание коллектора:
- В веб-интерфейсе.
- На сервере.

Чтобы настроить импорт событий из Kaspersky Single Management Platform:

Создайте копию предустановленного коннектора, соответствующего типу базы данных Kaspersky Single Management Platform:
1. В консоли KUMA в разделе Ресурсы → Коннекторы найдите в структуре папок нужный предустановленный коннектор, установите флажок рядом с этим коннектором и нажмите Дублировать.
2. В открывшемся окне Создание коннектора на вкладке Основные параметры в поле Запрос по умолчанию при необходимости замените имя базы данных KAV на имя используемой вами базы данных Kaspersky Single Management Platform.
  Пример запроса к SQL-базе Kaspersky Single Management Platform
  
  SELECT ev.event_id AS externalId, ev.severity AS severity, ev.task_display_name AS taskDisplayName,
  
          ev.product_name AS product_name, ev.product_version AS product_version,
  
           ev.event_type As deviceEventClassId, ev.event_type_display_name As event_subcode, ev.descr As msg,
  
  CASE
  
          WHEN ev.rise_time is not NULL THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.rise_time )
  
              ELSE ev.rise_time
  
          END
  
      AS endTime,
  
      CASE
  
          WHEN ev.registration_time is not NULL
  
              THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),ev.registration_time )
  
              ELSE ev.registration_time
  
          END
  
      AS kscRegistrationTime,
  
      cast(ev.par7 as varchar(4000)) as sourceUserName,
  
      hs.wstrWinName as dHost,
  
      hs.wstrWinDomain as strNtDom, serv.wstrWinName As kscName,
  
          CAST(hs.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +
  
      CAST(hs.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +
  
      CAST(hs.nIp / 256 % 256 AS VARCHAR) + '.' +
  
      CAST(hs.nIp % 256 AS VARCHAR) AS sourceAddress,
  
      serv.wstrWinDomain as kscNtDomain,
  
          CAST(serv.nIp / 256 / 256 / 256 % 256 AS VARCHAR) + '.' +
  
      CAST(serv.nIp / 256 / 256 % 256 AS VARCHAR) + '.' +
  
      CAST(serv.nIp / 256 % 256 AS VARCHAR) + '.' +
  
      CAST(serv.nIp % 256 AS VARCHAR) AS kscIP,
  
      CASE
  
      WHEN virus.tmVirusFoundTime is not NULL
  
              THEN DATEADD(hour,DATEDIFF(hour,GETUTCDATE(),GETDATE()),virus.tmVirusFoundTime )
  
              ELSE ev.registration_time
  
          END
  
      AS virusTime,
  
      virus.wstrObject As filePath,
  
      virus.wstrVirusName as virusName,
  
      virus.result_ev as result
  
  FROM KAV.dbo.ev_event as ev
  
  LEFT JOIN KAV.dbo.v_akpub_host as hs ON ev.nHostId = hs.nId
  
  INNER JOIN KAV.dbo.v_akpub_host As serv ON serv.nId = 1
  
  Left Join KAV.dbo.rpt_viract_index as Virus on ev.event_id = virus.nEventVirus
  
  where registration_time >= DATEADD(minute, -191, GetDate())
3. Установите курсор в поле URL и в раскрывшемся списке в строке используемого секрета нажмите на значок .
4. В открывшемся окне Секрет в поле URL укажите адрес для подключения к серверу в следующем формате:
  sqlserver://user:password@kscdb.example.com:1433/database
  
  где:
  - user – учетная запись с правами public и db_datareader к нужной базе данных;
  - password – пароль учетной записи;
  - kscdb.example.com:1433 – адрес и порт сервера базы данных;
  - database – название базы данных Kaspersky Single Management Platform. По умолчанию – KAV.
  Нажмите Сохранить.
5. В окне Создание коннектора в разделе Подключение в поле Запрос при необходимости замените имя базы данных KAV на имя используемой вами базы данных Kaspersky Single Management Platform.
  Это действие нужно выполнять, если вы планируете использовать столбец идентификатора, к которому относится запрос.
  
  Нажмите Сохранить.
Установите коллектор в веб-интерфейсе:
1. Запустите мастер установки коллектора одним из следующих способов:
  - В консоли Kaspersky Single Management Platform в разделе Ресурсы нажмите Подключить источник.
  - В консоли Kaspersky Single Management Platform в разделе Ресурсы → Коллекторы нажмите Добавить коллектор.
2. На шаге 1 Подключение источников в мастере установки укажите название коллектора и выберите тенант.
3. На шаге 2 Транспорт в мастере установки выберите созданную на шаге 1 копию коннектора.
4. На шаге 3 Парсинг событий в мастере установки на вкладке Схемы парсинга нажмите Добавить парсинг событий.
5. В открывшемся окне Основной парсинг событий на вкладке Схема нормализации в раскрывающемся списке Нормализатор выберите [OOTB] KSC from SQL и нажмите OK.
6. При необходимости укажите остальные параметры в соответствии с вашими требованиями к коллектору. Для импорта событий настройка параметров на остальных шагах мастера установки не обязательна.
7. На шаге 8 Проверка параметров в мастере установки нажмите Сохранить и создать сервис.
  В нижней части окна отобразится команда, которая понадобится для установки коллектора на сервере. Скопируйте эту команду.
8. Закройте мастер установки коллектора, нажав Сохранить коллектор.
Установите коллектор на сервере.
Для этого на сервере, предназначенном для получения событий Kaspersky Single Management Platform, выполните команду, скопированную после создания коллектора в веб-интерфейсе.

В результате коллектор будет установлен и сможет принимать события из SQL-базы Kaspersky Single Management Platform.

Вы можете просмотреть события Kaspersky Single Management Platform в разделе консоли События.

В начало