# KLMS

<p class="callout info">Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.</p>

<p class="callout info">Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254786.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254786.htm)</p>

### Настройка передачи событий KLMS в KUMA

Чтобы настроить передачу событий KLMS в KUMA:

1\. Подключитесь к серверу KLMS по проколу SSH под учетной записью с правами администратора перейдите в меню Technical Support Mode.

2\. С помощью утилиты `klms-control` выгрузите настройки в файл `settings.xml`:

```bash
sudo /opt/kaspersky/klms/bin/klms-control --get-settings EventLogger -n -f /tmp/settings.xml
```

3\. Убедитесь, что параметры файла `/tmp/settings.xml `имеют следующие значения, при необходимости внесите изменения:

```xml
<siemSettings>
<enabled>1</enabled>
<facility>Local1</facility>
```

4\. Примените настройки с помощью следующей команды:

```bash
sudo /opt/kaspersky/klms/bin/klms-control --set-settings EventLogger -n -f /tmp/settings.xml
```

5\. Для отправки событий по протоколу UDP внесите следующие изменения в конфигурационный файл `/etc/rsyslog.conf`.

```bash
$WorkDirectory /var/lib/rsyslog
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local1.* @<IP-адрес коллектора KUMA>:<порт коллектора>
```

Если вы хотите отправлять события по протоколу TCP, последняя строчка должна выглядеть следующим образом:

```bash
local1.* @@<IP-адрес коллектора KUMA>:<порт коллектора>
```

6\. Сохраните внесённые изменения.

7\. Перезапустите сервис rsyslog с помощью следующей команды:

```bash
sudo systemctl restart rsyslog.service
```

---

### Настройка KUMA

После того как параметры передачи событий настроены, требуется создать коллектор в веб-интерфейсе KUMA для событий KLMS.

1\. На шаге **Транспорт** укажите тип и порт в соответствии с настройками на стороне KLMS.

2\. На шаге **Парсинг** событий выберите нормализатор **\[OOTB\] KLMS syslog CEF**.

3\. На шаге **Маршрутизация** проверьте, что в набор ресурсов коллектора добавлены следующие точки назначения:

**- Хранилище**. Для отправки обработанных событий в хранилище.  
**- Коррелятор**. Для отправки обработанных событий в коррелятор.  
Если точки назначения **Хранилище** и **Коррелятор** не добавлены, создайте их.

4\. На шаге **Проверка параметров** нажмите **Сохранить и создать сервис**.

5\. Скопируйте появившуюся команду для установки коллектора KUMA.

---

### Полезные ссылки

Настройка получения событий KLMS (онлайн-справка KUMA): [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254786.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/254786.htm)