Тип file

Развернуть все | Свернуть все

Тип file используется для получения данных из любого текстового файла. Одна строка файла считается одним событием. Разделители между строк: \n. Этот тип коннектора доступен для агентов Linux и Windows.

Для чтения файлов Windows необходимо создать коннектор типа "file" и вручную установить агент на устройстве под управлением Windows. В одном Windows-агенте вы можете настроить несколько подключений разных типов, но должно быть только одно подключение типа "file". Windows-агент не должен читать свои файлы в папке, в которой установлен агент. Коннектор будет работать даже с файловой системой FAT. Если диск дефрагментирован, коннектор повторно считывает все файлы, поскольку все индексные дескрипторы файлов сбрасываются.

Не рекомендуется запускать агент под учетной записью администратора. Права на чтение для папок и файлов должны быть настроены для учетной записи пользователя агента. Не рекомендуется устанавливать агент на важные системы. Предпочтительнее отправлять журналы событий и читать их на выделенных устройствах с помощью агента.

При создании этого типа коннектора вам требуется указать значения следующих параметров:

• Вкладка Основные параметры:
  • Название (обязательно) – уникальное имя для этого типа ресурса. Имя должно содержать от 1 до 128 символов Юникода.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – тип коннектора, file.
  • Путь к файлу (обязательно) – полный путь к файлу, с которым требуется выполнять взаимодействие. Например, /var/log/*som?[1-9].log or с:\folder\logs.*. Следующие пути недопустимы:
    • `(?i)^[a-zA-Z]:\\Program Files`
    • `(?i)^[a-zA-Z]:\\Program Files \(x86\)`
    • `(?i)^[a-zA-Z]:\\Windows`
    • `(?i)^[a-zA-Z]:\\ProgramData\\Kaspersky Lab\\KUMA`

    Шаблоны масок для файлов и директорий

    Маски:

    • '*' – соответствует любой последовательности символов;
    • '[' [ '^' ] { диапазон символов } ']' – класс символов (не должен быть пустым);
    • '?' – соответствует любому одиночному символу.

    Диапазоны символов:

    • [0-9] – числа;
    • [a-zA-Z] – буквы латинского алфавита.

    Примеры:

    • /var/log/*som?[1-9].log
    • /mnt/dns_logs/*/dns.log
    • /mnt/proxy/access*.log

    Ограничения при использовании префиксов к путям файлов

    Префиксы, которые невозможно использовать при указании путей к файлам:

    • /*
    • /bin
    • /boot
    • /dev
    • /etc
    • /home
    • /lib
    • /lib64
    • /proc
    • /root
    • /run
    • /sys
    • /tmp
    • /usr/*
    • /usr/bin/
    • /usr/local/*
    • /usr/local/sbin/
    • /usr/local/bin/
    • /usr/sbin/
    • /usr/lib/
    • /usr/lib64/
    • /var/*
    • /var/lib/
    • /var/run/
    • /opt/kaspersky/kuma/

    Файлы по указанным ниже путям доступны:

    • /opt/kaspersky/kuma/clickhouse/logs/
    • /opt/kaspersky/kuma/mongodb/log/
    • /opt/kaspersky/kuma/victoria-metrics/log/

    Ограничение количества отслеживаемых файлов по маске

    Количество одновременно отслеживаемых файлов по маске может быть ограничено параметром Ядра max_user_watches. Чтобы просмотреть значение параметра, выполните команду:

    cat /proc/sys/fs/inotify/max_user_watches

    Если количество файлов для отслеживания превышает значение параметра max_user_watches, коллектор больше не сможет считывать события из файлов и в журнале коллектора появится следующая ошибка:

    Failed to add files for watching {"error": "no space left on device"}

    Чтобы коллектор продолжил корректно работать, вы можете настроить правильную ротацию файлов, чтобы количество файлов не превышало значение параметра max_user_watches, или увеличить значение max_user_watches.

    Чтобы увеличить значение параметра:

    sysctl fs.inotify.max_user_watches=<количество файлов>

    sysctl -p

    Также вы можете добавить значение параметра max_user_watches в sysctl.conf, чтобы значение сохранялось всегда.

    После того, как вы увеличите значение параметра max_user_watches, коллектор успешно продолжит работу.

  • Auditd – переключатель механизма, который группирует записи журнала событий auditd, полученные от коннектора, в одно событие. Auditd поддерживает только разделитель \n. Если переключатель включен, поле Разделитель недоступно. Если в коннекторе агента включен переключатель Auditd, в коннекторе коллектора, которому агент отправляет события, должен быть установлен разделитель \n.
  • Для Windows – переключатель, который включает получение журнала событий Windows от Windows-агента. В этом случае переключатель Auditd должен быть выключен. По умолчанию переключатель Для Windows выключен.
  • Описание – описание ресурса: до 4000 символов Юникода.
• Вкладка Дополнительные параметры:
  • Отладка – переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. По умолчанию положение Выключено.
  • Размер буфера – параметр, который позволяет указать размер буфера в байтах для накопления событий в оперативной памяти перед их отправкой на хранение или для дальнейшей обработки.

    Значение по умолчанию – 1 048 576 байт (1 МБ).

    Возможные значения: положительное целое число, меньшее или равное 67 108 864 байта (64 МБ).

  • Количество обработчиков – параметр, который используется для задания количества служб, обрабатывающих очередь. Вы можете определить количество обработчиков по формуле: (<количество ядер процессора>/2)+2.
  • Период опроса, мс – параметр, позволяющий установить период, по истечении которого коннектор повторно считывает директорию с файлами. Значение указано в миллисекундах. Коннектор ожидает указанное время, если в файле нет изменений. Если файл постоянно изменяется и интервал опроса равен 5000 миллисекунд, пятисекундный интервал для повторного чтения файлов в директории не соблюдается, а вместо этого они постоянно перечитываются. Если в файле нет изменений, коннектор ждет пять секунд. Если в веб-интерфейсе задано значение 0, используется значение по умолчанию – 700 мс. Рекомендуется установить значение для параметра Период опроса ниже значения параметра TTL буфера событий. Иначе это может отрицательно повлиять на параметр Auditd.
  • Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию – UTF-8.
  • TTL буфера событий – время жизни буфера для группировки записей в одно событие auditd. Поле доступно, если переключатель Auditd включен. Обратный отсчет начинается с момента получения первой строки события или сразу после истечения предыдущего TTL. Возможные значения: от 700 мс до 3000 мс. По умолчанию указано значение 2000 мс.
  • Заголовок транспорта – для событий auditd необходимо указать регулярное выражение, которое используется для определения частей журнала событий auditd. Вы можете использовать значение по умолчанию или изменить его. Регулярное выражение должно содержать группы record_type_name, record_type_value и event_sequence_number. Если многострочное событие auditd содержит префикс, то префикс сохраняется для первой записи, а для следующих записей префикс опускается.

    Вы можете вернуться к исходному значению, нажав на кнопку Установить значение по умолчанию.

В начало