UserID-агент для AD- и WEC-серверов — это программный компонент, который устанавливается на сервере-контроллере домена или на сервере WEC (Windows Event Collector). Агент считывает необходимую для идентификации пользователя информацию из журналов безопасности Windows и пересылает ее в формате syslog в коллектор UserID на устройствах UserGate Log Anаlyzer или UserGate SWG.

Основные функции UserID-агента для AD- и WEC-серверов:

Работа в качестве сервиса.
Настройка параметров работы через файл конфигурации.
Чтение журналов безопасности Windows и отправка событий на UserID-коллектор через syslog.
Ведение файла журнала и его ротация. Возможность включить режим отладки журналирования.

Для работы агента в качестве источника данных в сценарии аутентификации с помощью UserID необходимо:

1. Установить и настроить UserID-агент для AD- и WEC-серверов.

2. Настроить сбор информации об аутентификации пользователей на UserGate Log Analyser или на UserGate SWG в зависимости от варианта интеграции.

3. Настроить работу функции UserID на UserGate Log Analyzer или на UserGate SWG.

Установка и настройка агента

UserID-агент для AD- и WEC-серверов поставляется в формате установочного файла.

Для установки агента:

1. Скачайте последнюю версию агента с официального сайта UserGate.

2. Распакуйте архив и запустите установочный файл *.msi.

3. После завершения инсталляции перейдите в рабочую папку агента (по умолчанию: C:\Program Files (x86)\UserGate\useridagent) и отредактируйте файл конфигурации useridagent.cfg, добавив параметры вашей сети. Подробнее о параметрах и формате файла конфигурации — в разделе «Настройка».

4. Перезапустите сервис UserIDAgent через встроенное приложение Services (Службы Windows).

Удалить агент можно через панель управления:

1. Нажмите комбинацию клавиш Win + R и выполните команду control.

2. В панели управления перейдите в раздел Программы ➜ Программы и компоненты.

3. Найдите в списке нужное приложение и нажмите Удалить.

Настройка

Чтобы настроить агент, отредактируйте его конфигурационный файл. Вы можете изменить или добавить следующие параметры:

EventFileNames — имена журналов для чтения. Значение по умолчанию: Security.
MaxLogSize — максимальный размер файла журнала в МБ. Значение по умолчанию: 10.
EventIDs — номера событий для пересылки. Например, 4624,4634 (ID событий входа в сеть и выхода из сети).
DebugLogs — включение или отключение режима отладки. 0 — журналируются основные события, 1 — журналируется расширенный список событий. Значение по умолчанию: 1.
UserExclude — список пользователей, для которых события не должны собираться.
NetworkList — список подсетей, в которых собираются события UserID.
GatewayList — список шлюзов (узлы UserGate Log Analyzer, UserGate SWG), на которые отправляются найденные события.

Синтаксис конфигурационного файла:

Разделителем между параметрами в списках является символ запятой, пробелы после запятой игнорируются.
Строки, начинающиеся с символов: «;» и «#», являются комментариями.
Раздел [default] является необязательным, однако при его использовании раздел должен сохранять указанное название. Перечень подсетей и шлюзов следует указывать в других разделах, названия которых могут быть произвольными. Новый раздел начинается со строки, содержащей символ «[».
В файле конфигурации должен быть минимум один раздел с одним маршрутом и одним шлюзом.

Пример конфигурации:

[default]
MaxLogSize=10
EventIDs=4634, 4624
EventFileNames=Security
DebugLogs=1
UserExclude=adm_,sys_
[net1]
NetworkList=192.168.30.0/24,172.30.250.0/24
GatewayList=192.168.45.1:514,192.168.45.2:514
[net2]
NetworkList=192.168.200.0/24,10.10.0.0/16
GatewayList=192.168.45.4:514,192.168.45.5:514

Пример минимальной конфигурации:

[net1]
NetworkList=192.168.30.0/24
GatewayList=192.168.45.1

Журналирование

UserID-агент записывает информацию о событиях в файл uidagent.log, размер которого контролируется параметром MaxLogSize. При достижении лимита:

текущий файл журнала сохраняется с расширением *.bak, заменяя предыдущую версию файла;
начинается запись нового файла журнала.

Для хранения всех записей работы сервиса рекомендуется настроить внешнее копирование файлов журнала с помощью специализированных сервисов.

Интеграция с UserGate SWG

Для получения информации об аутентификации пользователей выполните настройку следующих параметров на UserGate SWG:

1. Активируйте сервис UserID syslog collector в параметрах контроля доступа зоны, в которой находится UserID агент для AD- и WEC-серверов. Подробнее о настройке зон — в разделе «Настройка зон».

2. Настройте параметры аутентификации для UserID-агента в домене для получения информации о группах, в которых зарегистрирован найденный в журналах syslog пользователь:

Создайте сервер аутентификации на основе LDAP-коннектора для UserID-агента. Подробнее о создании и настройке серверов аутентификации — в разделе «Серверы аутентификации».
Создайте профиль аутентификации для UserID-агента. Подробнее о создании и настройке профилей аутентификации — в разделе «Профили аутентификации».

3. Создайте коннектор UserID-агента в соответствии с методом получения данных аутентификации.

Коннектор UserID-агента в веб-консоли UserGate SWG создается в разделе Настройки ➜ Пользователи и устройства ➜ UserID-агент коннекторы. Нажмите Добавить и выберите тип создаваемого коннектора: Отправитель syslog. Укажите параметры коннектора:

На вкладке Общие:
- Включено — включение или отключение получения журналов от источника данных.
- Название — название источника данных.
- Описание — описание источника данных.
- Адрес сервера — адрес узла, с которого UserGate SWG будет получать события по протоколу syslog.
- Домен по умолчанию — название домена, который используется для поиска найденных в журналах syslog пользователей.
- Часовой пояс — часовой пояс, установленный на источнике. При работе с AD- и WEC-серверами через UserID-агент в syslog-коннекторе всегда используется часовой пояс UTC. Этот параметр не зависит от настроек часового пояса на контроллере домена.
- Профиль аутентификации — профиль аутентификации, с помощью которого UserID-агент обращается к контроллеру домена по LDAP-протоколу для получения информации о группах, в которых зарегистрирован найденный в журналах syslog пользователь.
- Время жизни аутентифицированного пользователя (сек.) — период времени, по истечении которого сессия пользователя будет завершена, то есть информация о нем будет удалена из кеш-памяти на UserGate SWG. Значение по умолчанию: 2700 секунд (45 минут).
На вкладке Фильтры выберите фильтры для поиска необходимых записей журнала. Фильтры создаются и настраиваются в разделе Настройки ➜ Библиотеки ➜ Syslog фильтры UserID-агента. Подробнее — в разделе «Syslog фильтры UserID-агента».

Параметры сервера syslog на UserGate SWG можно посмотреть или изменить в разделе Настройки ➜ Пользователи и устройства ➜ Свойства агента UserID.

О настройке функции UserID на UserGate SWG — в разделе «UserID».

Интеграция с UserGate Log Analyzer

Благодаря интеграции источника данных об аутентификации пользователей с UserGate Log Analyzer функцию UserID можно масштабировать на другие устройства сети. Принцип работы UserID на устройстве UserGate Log Analyzer аналогичен принципу работы на UserGate SWG. Найденные в собранных данных события отправляются на другие UserGate SWG в соответствии с политикой UserID Sharing на основании настроенных профилей редистрибуции. На UserGate SWG отправляются только GUID пользователя, его IP-адрес и список идентификаторов групп, участником которых он является. Такая архитектура позволяет использовать один или несколько серверов UserGate Log Analyzer для централизованного сбора информации о пользователях с различных источников и далее централизованно и избирательно распространять эту информацию на узлы UserGate SWG в корпоративной сети.

Для получения информации об аутентификации пользователей выполните настройку следующих параметров на на UserGate Log Analyzer:

1. Активируйте сервис Сборщик логов в параметрах контроля доступа зоны, в которой находится UserID агент для AD- и WEC-серверов. Подробнее о настройке зон — в разделе «Настройка зон».

2. Создайте каталог пользователей для организации доступа UserGate LogAn к серверу AD. Доступ к AD позволяет при необходимости обновлять информацию об имени пользователя в журналах, импортированных из различных сенсоров. Подробнее о создании и настройке серверов аутентификации — в разделе «Каталоги пользователей».

3. Создайте коннектор UserID-агента в соответствии с методом получения данных аутентификации.

Коннектор UserID-агента в веб-консоли UserGate Log Analyzer создается в разделе Настройки ➜ Пользователи и устройства ➜ UserID-агент коннекторы. Нажмите Добавить и выберите тип создаваемого коннектора: Отправитель syslog. Укажите параметры коннектора:

На вкладке Общие:
- Включено — включение или отключение получения журналов от источника данных.
- Название — название источника данных.
- Описание — описание источника данных.
- Адрес сервера — адрес узла, с которого UserGate Log Analyzer будет получать события по протоколу syslog.
- Домен по умолчанию — название домена, который используется для поиска найденных в журналах syslog пользователей.
- Часовой пояс — часовой пояс, установленный на источнике. При использовании UserID-агента для AD- и WEC-серверов в syslog-коннекторе всегда должно быть время в часовом поясе UTC независимо от настроек времени на контроллере домена.
- Время жизни аутентифицированного пользователя (сек.) — период времени, по истечении которого сессия пользователя будет завершена, то есть информация о нем будет удалена из кеш-памяти на UserGate SWG. Значение по умолчанию: 2700 секунд (45 минут).
- Профиль редистрибуции UserID — профиль для определения круга устройств UserGate SWG, на которые отправляется информация о найденных UserID-агентом пользователях.
На вкладке Фильтры выберите фильтры для поиска необходимых записей журнала. Фильтры создаются и настраиваются в разделе Настройки ➜ Библиотеки ➜ Syslog фильтры UserID-агента. Подробнее — в разделе «Syslog фильтры UserID-агента».
На вкладке Каталоги пользователей выбираются каталоги, в которых происходит поиск пользователя, найденного в логах syslog.