IIS

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка DHCPIIS сервера

~~Передача~~1. ~~событий~~Откройте издиспетчер MSслужб ~~DHCP~~IIS и перейдите в ~~KUMA~~настройки ~~осуществляется~~требуемого ~~путем~~сайта

~~чтения~~

2. В разделе IIS выберите "Ведение журнала". Задайте формат журнала "IIS" и укажите папку для хранения логов. После выполнения настроек в окне "Действия" нажмите применить.

Формат логов должен быть именно IIS для возможности использования коробочного нормализатора
Подробнее про данный формат логов: https://learn.microsoft.com/en-us/windows/win32/http/iis-logging

3. По умолчанию лог ~~файлов~~IIS ~~DHCP.~~

будет

~~Откройте оснастку DHCP и убедитесь, что для DHCP сервера включено логирование.~~

~~События DHCP сервера пишутся~~записан в папку C:\Windows\system32\dhcp\inetpub\logs\LogFiles. Для данной папки необходимо включить общий доступ на чтение.

~~После предоставления общего доступа у папки должен быть статус~~ ~~Shared~~.

Монтирование папки в KUMA

Для чтения файла логов коллектором KUMA необходимо примонтировать папку содержащую логи ~~DHCP~~IIS сервера на сервер коллектора KUMA.

1. Для начала необходимо установить утилиту cifs, если она еще не установлена.

yum install -y cifs-utils

2. Далее необходимо создать файл с учетными данными пользователя для доступа к общей папке /root/.~~dhcp-~~iis-secret со следующим содержимым:

username=<имя пользователя с правами на чтение папки>
password=<пароль пользователя>
domain=<домен, в случае доменного пользователя>

3. Далее нужно создать папку на сервере коллектора KUMA, куда будет примонтирована папка с логами DNS сервера.

mkdir /mnt/dhcpiis

4. Далее в конец файла /etc/fstab необходимо добавить строку

\\<путь к общей папке сервера> <путь монтирования> cifs credentials=<файл с учетными данными>,cache=none 0 0

Пример:

\\dc-01.sales.iis.demo.lab\dhcp /mnt/dhcpiis cifs credentials=/root/.dhcp-secretiis-secret,cache=none 0 0

5. Далее необходимо примонтировать общую папку командой:

mount -a

Для проверки успешности монтирования можно выполнить следующую команду:

ls /mnt/dhcpiis

В6. ~~выводе~~Убедитесь, ~~консоли~~что ~~должны~~у ~~присутствовать~~пользователя ~~файлы~~kuma ~~логов~~есть ~~DHCP сервера с правами~~права на чтение ~~для~~файлов ~~всех~~логов ~~пользователей~~
из данной директории, а также возможность просматривать директории по пути к логам.

Альтернативно, можно назначить пользователя kuma владельцем примонтированной папки:

chown -R kuma:kuma /mnt/iis

Создание коллектора KUMA

Для создания коллектора KUMA необходимо в веб-консоли KUMA перейти на вкладку Ресурсы – Коллекторы и нажать на кнопку Добавить коллектор. Также можно на вкладке Ресурсы выбрать пункт Подключить источник. В обоих случая откроется мастер подключения источников событий.

На первом шаге мастера необходимо выбрать Тенант, которому будет принадлежать коллектор и также задать Имя коллектора.

На втором шаге мастера необходимо выбрать тип подключения file и указать маску пути для файлов логов ~~DHCP~~IIS сервера.

На третьем шаге мастера необходимо выбрать предустановленный нормализатор [OOTB] MSIIS ~~DHCP~~Log ~~file~~File Format. В случае отсутствия указанного нормализатора, обратитесь к своему менеджеру для его получения.

Шаги мастера с четвертого по шестой можно пропустить, либо заполнить позднее по своему усмотрению.

На седьмом шаге мастера необходимо указать точки назначения типа Хранилище, если требуется сохранение событий в БД и типа Коррелятор, если требуется корреляция событий.

На последнем шаге мастера необходимо нажать на кнопку Сохранить и создать сервис, после чего скопировать появившуюся команду для дальнейшей установки сервиса коллектора.

В результате на вкладке Ресурсы – Активные сервисы появится созданный сервис коллектора.

Установка коллектора KUMA

Для установки сервиса коллектора необходимо подключиться к консоли сервера коллектора KUMA.
~~Перед выполнением установки рекомендуется выполнить команду, скопированную на предыдущем шаге,~~ ~~без ключа --install~~.

~~В случае отсутствия ошибок и изменения статуса коллектора в веб-интерфейсе KUMA на~~ ~~зеленый~~~~, необходимо темринировать выполнение команды и перейти к установке.~~

Для установки сервиса коллектора необходимо выполнить скопированную ~~команду~~ ~~с ключом --install~~.команду.

В результате статус коллектора в веб-интерфейсе KUMA изменится на зеленый.

Для ~~проверки поступления~~поиска событий ~~выберите~~IIS ~~соответствующий~~можно ~~коллектор~~использовать ~~(галочка~~следующий ~~слева)~~запрос

SELECT нажмите* наFROM кнопку`events` ПерейтиWHERE кDeviceProduct событиям.= В'IIS' открывшемсяORDER окнеBY событияTimestamp приDESC нажатииLIMIT на250

~~значок~~

~~лупы должны появиться события DHCP сервера.~~