Пересылка многострочныхXML-файлов 1C с помощью Linux-агента
Зачастую создание файловых информационных ресурсов на хостах компании недопустимо с точки зрения действующих требований департамента информационной безопасности. В связи с этим использование стандартного коллектора 1с-xml с возможностью вычитки события через примонтированную шару к серверу коллектора реализовать не возможно.
1. Настройка коллектора и агента KUMA для нормализации многострочных XML-файлов 1C
Конфигурация коллектора
Название поля | Значение поля | Описание |
Collector name | [xml][1C] - Multiline | Название коллектора |
Transport → Kind | tcp | Тип |
Transport → URL | :5180 | Локальный порт, который слушает коллектор |
Event parsing → Name | [OOTB] 1C EventJournal Normalizer | Нормализатор для многострочных XML-файлов 1C |
Конфигурация агента
Название поля | Значение поля | Описание |
Agent name | [xml][1C] - Multiline | Название агента |
Config → Connector → Name | local - 1C-XML | Название коннектора |
Config → Connector → Kind | 1c-xml | Тип |
Config → Connector → URL | /opt/1c | Директория xml-файлов 1C |
Config→ Destinations → Name | 1C-XML | Название точки назначения |
Config→ Destinations → Kind | tcp | Тип |
Config→ Destinations → URL | <KUMA-FQDN>:5180 | Сервер и порт коллектора для приема журналов 1C |
2. Установка Linux-агента на хост для сбора XML-журналов 1C
Для разового запуска воспользуйтесь следующей командой:
sudo /opt/kaspersky/kuma/kuma agent --core https://<KUMA-FQDN>:7210 --id <ID> --wd /opt/kaspersky/agent/<ID>
Для автоматизации процесса сбора событий установите агент в качестве службы.
Также можно воспользоваться утилитой supervisor. Для этого создайте конфигурационный файл (например, 1с.conf) в директории /etc/supervisor/conf.d/ со следующими настройками:
[program:agent_5f45aee7-655c-4014-aacd-07e4548de8ae]
command=sudo /opt/kaspersky/kuma/kuma agent --core https://<KUMA-FQDN>:7210 --id <ID> --wd /opt/kaspersky/agent/<ID>
autostart=true
autorestart=true
Для применения конфигурации перезагрузите службу:
sudo systemctl restart supervisor
Просмотреть статус и наличие ошибок можно с помощью следующей команды:
sudo supervisorctl status
3. Проверка получения событий
В веб-интерфейсе KUMA выберите коллектор и перейдите к событиям (Resources → Collector → Go to events). На основном экране появятся нормализованные события 1C, полученные с Linux-агента.