Skip to main content

IIS

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Настройка DHCPIIS сервера

Передача1. событий из MS DHCP в KUMA осуществляется путем чтения лог файлов DHCP.

Откройте одиспетчер служб IIS и перейдите в настройки требуемого DHCPсайта

image.png

2. В разделе IIS выберите "Ведение журнала". Задайте формат журнала "IIS" и убедкажитесь, чтопапку для DHCP сервехра включненоия логов. После выполнения настроек в окне "Действия" нажмите применить.

image.png

Формат логов должен быть именно IIS для возможности использования коробочного нормализатора
Подробне.
е про данный формат логов: https://learn.microsoft.com/en-us/windows/win32/http/iis-logging 

image.png

3.

СПо умолчанию лог IIS быудетия DHCP серверза пишутсяан в папку C:\Windows\system32\dhcp\inetpub\logs\LogFiles. Для данной папки необходимо включить общий доступ на чтение.

image.pngimage.png

После предоставления общего доступа у папки должен быть статус Shared.

image.pngimage.png

Монтирование папки в KUMA

Для чтения файла логов коллектором KUMA необходимо примонтировать папку содержащую логи DHCPIIS сервера на сервер коллектора KUMA.

1. Для начала необходимо установить утилиту cifs, если она еще не установлена.

yum install -y cifs-utils

2. Далее необходимо создать файл с учетными данными пользователя для доступа к общей папке /root/.dhcp-iis-secret со следующим содержимым:

username=<имя пользователя с правами на чтение папки>
password=<пароль пользователя>
domain=<домен, в случае доменного пользователя>

3. Далее нужно создать папку на сервере коллектора KUMA, куда будет примонтирована папка с логами DNS сервера.

mkdir /mnt/dhcpiis

4. Далее в конец файла /etc/fstab необходимо добавить строку

\\<путь к общей папке сервера> <путь монтирования> cifs credentials=<файл с учетными данными>,cache=none 0 0

Пример:

\\dc-01.sales.iis.demo.lab\dhcp /mnt/dhcpiis cifs credentials=/root/.dhcp-secretiis-secret,cache=none 0 0

5. Далее необходимо примонтировать общую папку командой: 

mount -a

Для проверки успешности монтирования можно выполнить следующую команду: 

ls /mnt/dhcpiis

В6. вывоУбедите консоли должны присутствовать файлы логов DHCP сервера с правами на, чтениео для всеху пользователя kuma есть права на чтение фай
лов логов из данной директории, а также возможность просматривать директории по пути к логам.

image.pngАльтернативно, можно назначить пользователя kuma владельцем примонтированной папки:

chown -R kuma:kuma /mnt/iis

Создание коллектора KUMA

Для создания коллектора KUMA необходимо в веб-консоли KUMA перейти на вкладку Ресурсы – Коллекторы и нажать на кнопку Добавить коллектор. Также можно на вкладке Ресурсы выбрать пункт Подключить источник. В обоих случая откроется мастер подключения источников событий.

На первом шаге мастера необходимо выбрать Тенант, которому будет принадлежать коллектор и также задать Имя коллектора.

image.pngimage.png

На втором шаге мастера необходимо выбрать тип подключения file и указать маску пути для файлов логов DHCPIIS сервера. 

image.pngimage.png


На третьем шаге мастера необходимо выбрать предустановленный нормализатор [OOTB] MSIIS DHCPLog fileFile Format. В случае отсутствия указанного нормализатора, обратитесь к своему менеджеру для его получения.

image.pngimage.png


Шаги мастера с четвертого по шестой можно пропустить, либо заполнить позднее по своему усмотрению.

На седьмом шаге мастера необходимо указать точки назначения типа Хранилище, если требуется сохранение событий в БД и типа Коррелятор, если требуется корреляция событий.

image.png


На последнем шаге мастера необходимо нажать на кнопку Сохранить и создать сервис, после чего скопировать появившуюся команду для дальнейшей установки сервиса коллектора.

image.png

В результате на вкладке Ресурсы – Активные сервисы появится созданный сервис коллектора.

image.png

Установка коллектора KUMA

Для установки сервиса коллектора необходимо подключиться к консоли сервера коллектора KUMA.
Перед выполнением установки рекомендуется выполнить команду, скопированную на предыдущем шаге, без ключа --install.

image.png

В случае отсутствия ошибок и изменения статуса коллектора в веб-интерфейсе KUMA на зеленый, необходимо темринировать выполнение команды и перейти к установке.

Для установки сервиса коллектора необходимо выполнить скопированную команду с ключом --install.

image.png

В результате статус коллектора в веб-интерфейсе KUMA изменится на зеленый.

image.png

Для провериски поступленияа событий IIS можно использовыбериатеь соотвлетствдующий коллектор (гзалочка слева) и нажмите на кнопку Перейти к событиям. В открывшемся окне события приос

нажатии
SELECT на* значокFROM лупы`events` должныWHERE появитьсяDeviceProduct события= DHCP'IIS' сервера.ORDER BY Timestamp DESC LIMIT 250

 

Back to top