Тип wmi
При создании этого типа коннектора вам требуется указать значения следующих параметров:
- Вкладка Основные параметры:
- Название (обязательно) – уникальное имя для этого типа ресурса. Имя должно содержать от 1 до 128 символов Юникода.
- Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
- Тип (обязательно) – тип коннектора, wmi.
- URL (обязательно) – URL создаваемого коллектора, например
kuma-collector.example.com:7221.При создании коллектора для получения данных с помощью Windows Management Instrumentation автоматически создается агент, который будет получать необходимые данные на удаленном устройстве и перенаправлять их в сервис коллектора. В поле URL требуется указать адрес этого коллектора. URL-адрес известен заранее, если вы уже знаете, на каком сервере вы планируете установить службу. Это поле также можно заполнить после завершения работы мастера установки, скопировав данные URL в разделе Ресурсы → Активные службы.
- Описание – описание ресурса: до 4000 символов Юникода.
- Учетные данные по умолчанию – раскрывающийся список, в котором выбирать значение не требуется. Учетные данные для подключения к устройствам необходимо указывать в таблице Удаленные устройства (см. ниже).
- В таблице Удаленные устройства перечисляются удаленные активы Windows, к которым требуется установить подключение. Доступные столбцы:
- Устройство (обязательно) – IP-адрес или имя устройства, с которого необходимо принимать данные. Например,
machine-1. - Домен (обязательно) – название домена, в котором расположено удаленное устройство. Например,
example.com. - Тип журналов – раскрывающийся список для выбора названия журналов Windows, которые требуется получить. По умолчанию в списке отображаются только предварительно настроенные журналы, но вы можете расширить список пользовательскими журналами, введя их название в поле Журналы Windows, а затем нажав ENTER. Конфигурация сервисов и ресурсов KUMA может потребовать дополнительных изменений для правильной обработки настраиваемых журналов.
Журналы, доступные по умолчанию:
- Application
- ForwardedEvents
- Security
- Операционная система
- HardwareEvents
Если в одном из подключений WMI используется хотя бы один журнал с неверным названием, в этом случае агент, использующий коннектор, не будет получать события из всех журналов данного подключения, даже если названия остальных журналов указаны верно. При этом подключения WMI-агента, в которых все названия журналов указаны правильно, будет работать корректно.
- Секрет – учетные данные для доступа к удаленному активу Windows с правами на чтение журналов. Если оставить это поле пустым, то будут использоваться учетные данные из секрета, выбранного в раскрывающемся списке Учетные данные, используемые по умолчанию. Учетная запись в секрете должна быть указана без домена. Значение домена для доступа к устройству берется из столбца Домен таблицы Удаленные устройства.
Вы можете выбрать ресурс секрета в раскрывающемся списке или создать его, нажав на значок плюса (
). Выбранный секрет можно изменить, нажав на значок карандаша (
).
- Устройство (обязательно) – IP-адрес или имя устройства, с которого необходимо принимать данные. Например,
- Вкладка Дополнительные параметры:
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию –
UTF-8. - Отладка – переключатель, с помощью которого можно указать, будет ли включено логирование ресурса. По умолчанию положение Выключено.
- Кодировка символов – параметр для установки кодировки символов. Значение по умолчанию –
Получение событий с удаленного устройства
Условия для получения событий с удаленного устройства Windows с агентом KUMA:
- Для запуска агента KUMA на удаленном устройстве необходимо использовать учетную запись с правами Вход в качестве службы.
- Для получения событий от агента KUMA необходимо использовать учетную запись с правами Event Log Readers. Для серверов домена может быть создана одна такая учетная запись, чтобы через групповую политику ее права на чтение логов можно было распространить на все серверы и рабочие станции домена.
- На удаленных устройствах Windows необходимо открыть следующие TCP-порты 135, 445, 49152-65535.
- На удаленных устройствах требуется запустить следующие службы:
- Remote Procedure Call (RPC)
- RPC Endpoint Mapper