UserID-агент для AD/WEC

UserID-агент для AD/WEC устанавливается на сервер-контроллер домена или сервер WEC (Windows Event Collector). Агент считывает необходимую для идентификации пользователя информацию из журналов безопасности Windows и пересылает ее в формате syslog в коллектор UserID на устройстве UserGate LogAn.

Основные свойства 

Основные функции UserID-агента для AD/WEC:

• работа в качестве сервиса;

• настройка параметров работы через файл конфигурации;

• чтение журналов безопасности Windows и отправка данных пользователей на UserID-коллектор через syslog;

• ведение файла журнала и его ротация. Возможность включить или отключить режим отладки журналирования.

Установка

UserID-агент для AD/WEC поставляется в формате установочного файла.

Для установки UserID-агента:

1. Скачайте последнюю версию UserID-агента с официального сайта UserGate.

2. Распакуйте архив и запустите установочный файл *.msi.

3. После завершения инсталляции перейдите в рабочую папку агента (по умолчанию: C:\Program Files (x86)\UserGate\useridagent) и отредактируйте файл конфигурации useridagent.cfg, добавив параметры вашей сети. Подробнее о параметрах и формате файла конфигурации — в разделе «Настройка».

4. Перезапустите сервис UserIDAgent через встроенное приложение Services (Службы Windows).

Настройка

Вы можете настроить следующие параметры конфигурационного файла:

• EventFileNames — имена журналов для чтения. Значение по умолчанию: Security.

• MaxLogSize — максимальный размер файла журнала в МБ. Значение по умолчанию: 10.

• EventIDs — номера событий для пересылки. Например, 4624,4634 (ID событий входа в сеть и выхода из сети).

• DebugLogs — включение или отключение режима отладки. 0 — журналируются основные события, 1 — журналируется расширенный список событий. Значение по умолчанию: 1.

• UserExclude — список пользователей, для которых события не должны собираться.

• NetworkList — список подсетей, в которых собираются события UserID. 

• GatewayList — список шлюзов (серверов LogAn), на которые отправляются найденные события. 

Синтаксис конфигурационного файла:

• Разделителем между параметрами в списках является символ запятой, пробелы после запятой игнорируются.

• Строки, начинающиеся с символов: «;» и «#», являются комментариями.

• Раздел [default] является необязательным, однако при его использовании раздел должен сохранять указанное название. Перечень подсетей и шлюзов следует указывать в других разделах, названия которых могут быть произвольными. Новый раздел начинается со строки, содержащей символ «[».

• В файле конфигурации должен быть минимум один раздел с одним маршрутом и одним шлюзом.

Пример конфигурации:

[default]
MaxLogSize=10
EventIDs=4634, 4624
EventFileNames=Security
DebugLogs=1
UserExclude=adm_,sys_
[net1]
NetworkList=192.168.30.0/24,172.30.250.0/24
GatewayList=192.168.45.1:514,192.168.45.2:514
[net2]
NetworkList=192.168.200.0/24,10.10.0.0/16
GatewayList=192.168.45.4:514,192.168.45.5:514

Пример минимальной конфигурации:

[net1]
NetworkList=192.168.30.0/24
GatewayList=192.168.45.1

Журналирование

UserID-агент записывает информацию о событиях в файл uidagent.log, размер которого контролируется параметром MaxLogSize. При достижении лимита:

• текущий файл журнала сохраняется с расширением *.bak, заменяя предыдущую версию файла;

• начинается запись нового файла журнала.

Для хранения всех записей работы сервиса рекомендуется настроить внешнее копирование файлов журнала с помощью специализированных сервисов.