Описание

Предназначены для определения круга устройств UserGate, на которые отправляется информация о найденных агентом UserID пользователях. Для добавления профиля необходимо нажать кнопку Добавить и настроить профиль.

UserID-агент для AD- и WEC-серверов — это программный компонент, который устанавливается на сервере-контроллере домена или на сервере WEC (Windows Event Collector). Агент считывает необходимую для идентификации пользователя информацию из журналов безопасности Windows и пересылает ее в формате syslog в коллектор UserID на устройствах UserGate Log Anаlyzer или UserGate NGFW.

Основные свойства 

Основные функции UserID-агента для AD- и WEC-серверов:

• Работа в качестве сервиса.

• Настройка параметров работы через файл конфигурации.

• Чтение журналов безопасности Windows и отправка событий на UserID-коллектор через syslog.

• Ведение файла журнала и его ротация. Возможность включить режим отладки журналирования.

Установка

UserID-агент для AD- и WEC-серверов поставляется в формате установочного файла.

Для установки агента:

1. Скачайте последнюю версию агента с официального сайта UserGate.

2. Распакуйте архив и запустите установочный файл *.msi.

3. После завершения инсталляции перейдите в рабочую папку агента (по умолчанию: C:\Program Files (x86)\UserGate\useridagent) и отредактируйте файл конфигурации useridagent.cfg, добавив параметры вашей сети. Подробнее о параметрах и формате файла конфигурации — в разделе «Настройка».

4. Перезапустите сервис UserIDAgent через встроенное приложение Services (Службы Windows).

Удалить агент можно через панель управления:

1. Нажмите комбинацию клавиш Win + R и выполните команду control.

2. В панели управления перейдите в раздел Программы ➜ Программы и компоненты.

3. Найдите в списке нужное приложение и нажмите Удалить.

Настройка

Вы можете настроить следующие параметры конфигурационного файла:

• EventFileNames — имена журналов для чтения. Значение по умолчанию: Security.

• MaxLogSize — максимальный размер файла журнала в МБ. Значение по умолчанию: 10.

• EventIDs — номера событий для пересылки. Например, 4624,4634 (ID событий входа в сеть и выхода из сети).

• DebugLogs — включение или отключение режима отладки. 0 — журналируются основные события, 1 — журналируется расширенный список событий. Значение по умолчанию: 1.

• UserExclude — список пользователей, для которых события не должны собираться.

• NetworkList — список подсетей, в которых собираются события UserID. 

• GatewayList — список шлюзов (узлы UserGate Log Analyzer, UserGate NGFW), на которые отправляются найденные события.

Синтаксис конфигурационного файла:

• Разделителем между параметрами в списках является символ запятой, пробелы после запятой игнорируются.

• Строки, начинающиеся с символов: «;» и «#», являются комментариями.

• Раздел [default] является необязательным, однако при его использовании раздел должен сохранять указанное название. Перечень подсетей и шлюзов следует указывать в других разделах, названия которых могут быть произвольными. Новый раздел начинается со строки, содержащей символ «[».

• В файле конфигурации должен быть минимум один раздел с одним маршрутом и одним шлюзом.

Пример конфигурации:

[default]
MaxLogSize=10
EventIDs=4634, 4624
EventFileNames=Security
DebugLogs=1
UserExclude=adm_,sys_
[net1]
NetworkList=192.168.30.0/24,172.30.250.0/24
GatewayList=192.168.45.1:514,192.168.45.2:514
[net2]
NetworkList=192.168.200.0/24,10.10.0.0/16
GatewayList=192.168.45.4:514,192.168.45.5:514

Пример минимальной конфигурации:

[net1]
NetworkList=192.168.30.0/24
GatewayList=192.168.45.1

Журналирование

UserID-агент записывает информацию о событиях в файл uidagent.log, размер которого контролируется параметром MaxLogSize. При достижении лимита:

• текущий файл журнала сохраняется с расширением *.bak, заменяя предыдущую версию файла;

• начинается запись нового файла журнала.

Для хранения всех записей работы сервиса рекомендуется настроить внешнее копирование файлов журнала с помощью специализированных сервисов.