База знаний

База Знаний

Документация

...

Общие сведения

UserGate 6.x

UserGate 7.x

Быстрый старт

NGFW 7.0.1 Руководство администратора

Management Center 7.0.1 Руководство администратора

Log Analyzer 7.0.1 Руководство администратора

NGFW 7.1.x Руководство администратора

Management Center 7.1.x Руководство администратора

Log Analyzer 7.1.x Руководство администратора

Введение

Лицензирование LogAn

Первоначальная настройка

Офлайн операции с сервером

Настройка LogAn

Настройка сети

Пользователи и устройства

UserID

Профили редистрибуции

UserID агент для AD/WEC

Сенсоры

Сборщик логов

Библиотеки

Диагностика и мониторинг

Журналы и отчеты

Интерфейс командной строки (CLI)

Дашборд

Техническая поддержка

ADMIN

Избранные

Приложения

UserGate SIEM 7.1.x Руководство администратора

Описание версий

Аппаратные платформы

Часто задаваемые вопросы

UserID агент для AD/WEC

ID статьи: 1577

Последнее обновление: 11 ноя, 2024

Содержание:

Documentation:

Product: NGFW, LogAn

Version: 7.2.x

Technology: Identification and Authentication

UserID агент для AD/WEC устанавливается на контроллер домена (AD) или сервер WEC (Windows Event Collector). Агент читает необходимую для идентификации пользователя информацию из журналов безопасности Windows и пересылает её в формате syslog на коллектор UserID на устройстве UserGate.

Основные свойства агента

Основные свойства UserID агента для AD/WEC:

Работа в качестве сервиса.
Настройка параметров работы через файл конфигурации.
Ведение лог-файла и его ротация (возможность включить/выключить дебаг-режим).
Чтение журналов и отправка данных пользователей на UserID-коллектор через syslog.

Настройка

Параметры конфигурационного файла:

EventFileNames — имена журналов для чтения, через запятую. По умолчанию: Security.
MaxLogSize — максимальный размер лог-файла, мегабайты. По умолчанию: 10.
ServerAddress — адреса и порты серверов. Например, server1:port1,server2:port2.
EventIDs — номера событий для пересылки. Например, 4624,4634 (ID событий логина и логаута).
DebugLogs — Включение/отключение режима дебаг. 0 — писать основные события в журнал, 1 — писать расширенный журнал. По умолчанию: 1.

Синтаксис конфигурационного файла:

Разделитель между параметрами — запятая.
Строки, начинающиеся с символов: ';', '#', '[' игнорируются, пробелы рядом с запятой также игнорируются.

Пример конфигурации:

ServerAddress=192.168.30.254:514
MaxLogSize=10
EventIDs=4634, 4624
EventFileNames=Security
DebugLogs=1

Установка

Для установки агента достаточно скопировать файл useridagent.exe в любое место на сервере и рядом сохранить файл конфигурации useridagent.cfg.

Установка службы для работы в фоновом режиме из-под системного аккаунта:

useridagent.exe /installservice

Запуск службы:

net start UserIDAgent

Остановка службы:

net stop UserIDAgent

Удаление службы:

useridagent.exe /uninstallservice

Журналирование

Агент будет записывать информацию о событиях в текстовый файл размера, не превышающего значения параметра конфигурации MaxLogSize. Лог-файл создаётся в том же каталоге, где находится исполняемый файл. При превышении установленного максимального размера активный лог-файл переименовывается в файл *.bak с затиранием старого архива. Активный лог-файл начинает записываться заново. При необходимости хранить все логи работы сервиса нужно внешними средствами обеспечить копирование и хранение логов в другом каталоге.