Пересылка многострочных XML-файлов 1C при помощи Linux-агента
Зачастую, создание файловых информационных ресурсов на хостах компании недопустимо в связи с действующими требованиями департамента информационной безопасности. В связи с этим, использование стандартного коллектора 1с-xml, который бы смог вычитывать события через примонтированную шару к серверу коллектора реализовать не возможно.
- Настройка коллеткора и агента KUMA для нормализации многострочных XML-файлов 1C
Конфигурация коллектора
Конфигурация агентаНазвание поля Значение поля Описание Collector name [xml][1C] - Multiline Название коллектора Transport → Kind tcp Тип Transport → URL :5180 Локальный порт, который слушает коллектор Event parsing → Name [OOTB] 1C EventJournal Normalizer Нормализатор для многострочных xml-файлов 1C
Название поля Значение поля Описание Agent name [xml][1C] - Multiline Название агента Config → Connector → Name local - 1C-XML Название коннектора Config → Connector → Kind 1c-xml Тип Config → Connector → URL /opt/1c Директория с xml-файлов 1C Destinations → Connector → Name 1C-XML Название точки назначения Destinations → Connector → Kind tcp Тип Destinations → Connector → URL <KUMA-FQDN>:5180 Сервер и порт коллектора для приема журналов 1C 
- Установка Linux-агента на хост для сбора XML-журналов 1C
Для разового запуска можно воспользоваться следующей командой:
Для автоматизации процесс сбора событий необходимо установить агент в качестве службы.sudo /opt/kaspersky/kuma/kuma agent --core https://<KUMA-FQDN>:7210 --id <ID> --wd /opt/kaspersky/agent/<ID>
Так же можно воспользоваться утилитой supervisor. Конфигурация файла 1с.conf расположенного в директории /etc/supervisor/conf.d приведена ниже:
Для применения конфигурации перезагружаем службу:[program:agent_5f45aee7-655c-4014-aacd-07e4548de8ae] command=sudo /opt/kaspersky/kuma/kuma agent --core https://<KUMA-FQDN>:7210 --id <ID> --wd /opt/kaspersky/agent/<ID> autostart=true autorestart=true
Просмотреть статус и наличие ошибок можно следующей командой:sudo systemctl restart supervisor
sudo supervisorctl status - Проверка получения событий
В Web-интерфейсе KUMA выбираем коллектор и переходим к событиям (Recources → Collector → Go to events). На основном экране появятся нормализованные события 1C полученные с Linux-агента.
