Skip to main content

Пересылка многострочных XML-файлов 1C с помощью Linux-агента

Зачастую создание файловых информационных ресурсов на хостах компании недопустимо с точки зрения действующих требований департамента информационной безопасности. В связи с этим использование стандартного коллектора
1с-xml с возможностью вычитки события через примонтированную шару к серверу коллектора шару реализовать невозможно.

1. Настройка коллектора и агента KUMA для нормализации многострочных XML-файлов 1C

Конфигурация коллектора

Название поля Значение поля Описание
Collector name [xml][1C] - Multiline Название коллектора
Transport Kind tcp Тип
Transport URL :5180 Локальный порт, который слушает коллектор
Event parsing Name [OOTB] 1C EventJournal Normalizer Нормализатор для многострочных XML-файлов 1C

Конфигурация агента

Название поля Значение поля Описание
Agent name [xml][1C] - Multiline Название агента
Config Connector Name local - 1C-XML Название коннектора
Config Connector Kind 1c-xml Тип
Config Connector URL /opt/1c Директория xml-файлов 1C
Config Destinations Name 1C-XML Название точки назначения
Config Destinations Kind tcp Тип
Config Destinations URL <KUMA-FQDN>:5180 Сервер и порт коллектора для приема журналов 1C

image.png


2. Установка Linux-агента на хост для сбора XML-журналов 1C

Для разового запуска воспользуйтесь следующей командой:

sudo /opt/kaspersky/kuma/kuma agent --core https://<KUMA-FQDN>:7210 --id <ID> --wd /opt/kaspersky/agent/<ID>

Для автоматизации процесса сбора событий установите агент в качестве службы.
Также можно воспользоваться утилитой supervisor. Для этого создайте конфигурационный файл (например, 1с.conf) в директории /etc/supervisor/conf.d/ со следующими настройками:

[program:agent_5f45aee7-655c-4014-aacd-07e4548de8ae]
command=sudo /opt/kaspersky/kuma/kuma agent --core https://<KUMA-FQDN>:7210 --id <ID> --wd /opt/kaspersky/agent/<ID>
autostart=true
autorestart=true

Для применения конфигурации перезагрузите службу:

sudo systemctl restart supervisor

Просмотреть статус и наличие ошибок можно с помощью следующей команды:

sudo supervisorctl status

3. Проверка получения событий

В веб-интерфейсе KUMA выберите коллектор и перейдите к событиям (Resources Collector Go to events). На основном экране появятся нормализованные события 1C, полученные с Linux-агента.

image.png