UserID агент для AD/WEC

ID статьи: 1573
Последнее обновление: 11 ноя, 2024
Documentation:
Product: NGFW, LogAn
Version: 7.2.x
Technology: Identification and Authentication

UserID агент для AD/WEC устанавливается на контроллер домена (AD) или сервер WEC (Windows Event Collector). Агент читает необходимую для идентификации пользователя информацию из журналов безопасности Windows и пересылает её в формате syslog на коллектор UserID на устройстве UserGate.

Основные свойства 

Основные свойства UserID агента для AD/WEC:

  • Работа в качестве сервиса.

  • Настройка параметров работы через файл конфигурации.

  • Ведение лог-файла и его ротация (возможность включить/выключить дебаг-режим).

  • Чтение журналов и отправка данных пользователей на UserID-коллектор через syslog.

Настройка

Параметры конфигурационного файла:

  • EventFileNames — имена журналов для чтения, через запятую. По умолчанию: Security.

  • MaxLogSize — максимальный размер лог-файла, мегабайты. По умолчанию: 10.

  • ServerAddress — адреса и порты серверов. Например, server1:port1,server2:port2.

  • EventIDs — номера событий для пересылки. Например, 4624,4634 (ID событий логина и логаута).

  • DebugLogs — Включение/отключение режима дебаг. 0 — писать основные события в журнал, 1 — писать расширенный журнал. По умолчанию: 1.

Синтаксис конфигурационного файла:

  • Разделитель между параметрами — запятая.

  • Строки, начинающиеся с символов: ';', '#', '[' игнорируются, пробелы рядом с запятой также игнорируются.

 Пример конфигурации:

ServerAddress=192.168.30.254:514
MaxLogSize=10
EventIDs=4634, 4624
EventFileNames=Security
DebugLogs=1

Установка

Для установки агента достаточно скопировать файл useridagent.exe в любое место на сервере и рядом сохранить файл конфигурации useridagent.cfg. 

Установка службы для работы в фоновом режиме из-под системного аккаунта:

useridagent.exe /installservice

Запуск службы:

net start UserIDAgent

Остановка службы:

net stop UserIDAgent

Удаление службы:

useridagent.exe /uninstallservice

Журналирование

Агент будет записывать информацию о событиях в текстовый файл размера, не превышающего значения параметра конфигурации MaxLogSize. Лог-файл создаётся в том же каталоге, где находится исполняемый файл. При превышении установленного максимального размера активный лог-файл переименовывается в файл *.bak с затиранием старого архива. Активный лог-файл начинает записываться заново. При необходимости хранить все логи работы сервиса нужно внешними средствами обеспечить копирование и хранение логов в другом каталоге. 

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 1573
Последнее обновление: 11 ноя, 2024
Ревизия: 12
Просмотры: 100
Комментарии: 0