Настройка конфигурации группы агентов

Конфигурация группы агентов позволяет задать политики отслеживания действий на агентах в рамках группы.

Доступные операции над конфигурацией группы агентов:

Просмотр конфигурации группы
Настройка конфигурации группы

Просмотр конфигурации группы

Чтобы просмотреть текущую конфигурацию группы агентов:

Перейдите в раздел Агенты → Группы агентов. Система отобразит сведения об имеющихся группах агентов.
Нажмите на строку группы в списке. Система отобразит в правой части экрана карточку этой группы агентов с подробной информацией о ней.
Нажмите на кнопку Конфигурация в нижней части карточки. Откроется страница настройки конфигурации выбранной группы.

Вы также можете открыть страницу конфигурации при создании группы на базе агента, создании пустой группы, а также дублировании группы путем установки флажка Перейти к конфигурации.

Панель инструментов страницы включает в себя следующие компоненты:

Кнопка позволяет удалить выбранную группу агентов.
Кнопка позволяет создать копию выбранной группы агентов.

На рабочей области страницы отображаются параметры настройки конфигурации, которые сгруппированы по разделам, расположенным слева. Рядом с параметрами конфигурации присутствуют переключатели, позволяющие их активировать.

При активации параметров отображаются их настройки, а также кнопки для сохранения заданных настроек или отмены несохраненных изменений.

Настройка конфигурации группы

Чтобы настроить конфигурацию группы агентов:

Перейдите в раздел Агенты → Группы агентов. Система отобразит сведения об имеющихся группах агентов.
Нажмите на строку группы в списке. Система отобразит в правой части экрана карточку этой группы агентов с подробной информацией о ней.

Нажмите на кнопку Конфигурация в нижней части карточки. Откроется страница настройки конфигурации выбранной группы.

Задайте настройки конфигурации группы агентов.

Конфигурацию группы агентов следует настраивать аккуратно. Неправильная настройка конфигурации может привести к избыточной нагрузке на агентах и существенно увеличить количество передаваемых событий.

В системе доступна настройка следующих параметров:

Автоназначение — автоматическое назначение группы агенту.
Пользователи и процессы:
- Вход/выход пользователей — отслеживание начала и окончания сеансов пользователей.
- Создание процессов — отслеживание процессов, запущенных пользователями и системой.
- Добавление или изменение сервисов — отслеживание изменений в файлах сервисов.
- Управление пользователями — отслеживание действий по управлению пользователями.
Чтение файлов — сбор данных журнала из файлов и событий Windows.
WatchDog — отслеживание процессов на агенте.
Доступ к объектам — отслеживание действий с объектами в указанных путях.

После настройки любого параметра необходимо нажать кнопку Сохранить.

Если в описании параметра указаны названия ОС, включенный параметр будет применен именно к ним.
Если в описании параметра не указаны названия ОС, включенный параметр будет применен ко всем ОС.

Автоназначение

Позволяет указать выражение на языке преобразования данных VRL, определяющее условия автоматического назначения группы агенту.

Чтобы использовать автоназначение:

Установите переключатель Автоназначение в активное положение. Отобразится поле для ввода VRL-выражения.
Укажите выражение на языке VRL, по которому группа будет автоматически назначаться агентам. В выражении необходимо обращаться к полям сообщений об инвентарной информации, которые агенты отправляют в менеджер.
Нажмите на кнопку Сохранить.

Система будет сопоставлять заданное выражение с инвентарными сведениями, собранными с хоста агента. При совпадении данных агент будет включен в текущую группу.

Автоматическое назначение группы происходит только при регистрации новых агентов. Для уже существующих в системе агентов автоназначение не выполняется.

Если инвентарные сведения будут удовлетворять выражению сразу в нескольких группах агентов, система включит агент во все эти группы.

Пример автоназначения группы

Пример выражения для автоматического добавления в группу всех агентов, установленных на хостах с ОС Linux:
```
.os_info.os_type == 'OS_TYPE_LINUX'
```
Пример выражения для автоматического добавления в группу всех агентов, установленных на хосте host.example.com:
```
.os_info.hostname == "host.example.com"
```

Пользователи и процессы

Параметры раздела Пользователи и процессы:

Вход/выход пользователей (Linux/macOS)
Создание процессов (Linux/macOS)
Добавление или изменение сервисов (Linux)
Управление пользователями (Linux/macOS)

Вход/выход пользователей (Linux/macOS)

Этот параметр отслеживает начало и окончание сеансов пользователей в системе.

Параметр работает в ОС Linux и macOS.

Чтобы включить параметр, установите переключатель Вход/выход пользователей (Linux/macOS) в активное положение и нажмите на кнопку Сохранить.

Создание процессов (Linux/macOS)

Этот параметр отслеживает процессы, запущенные пользователями или системой.

Параметр работает в ОС Linux и macOS.

Чтобы включить параметр, установите переключатель Создание процессов (Linux/macOS) в активное положение и нажмите на кнопку Сохранить.

Добавление или изменение сервисов (Linux)

Этот параметр отслеживает добавление и изменение сервисных файлов .systemd, .timer и rc.

Параметр работает в ОС Linux.

Чтобы включить параметр, установите переключатель Добавление или изменение сервисов (Linux) в активное положение и нажмите на кнопку Сохранить.

Управление пользователями (Linux/macOS)

Этот параметр отслеживает изменения пользователей, групп пользователей, прав sudo и настроек окружения (bashrc).

Параметр работает в ОС Linux и macOS.

Чтобы включить параметр, установите переключатель Управление пользователями (Linux) в активное положение и нажмите на кнопку Сохранить.

Чтение файлов

Этот параметр используется для настройки сбора данных журнала из файлов и событий ОС.

Значимые события (например, ошибки при работе приложений) записываются системой, под которой работает агент, в специальные журналы событий. Также данные можно собирать из файлов в системе агента.

При настройке параметра требуется указать, каким способом и по какому пути агенты текущей группы должны собирать данные.

Чтобы настроить параметр:

Установите переключатель Чтение файлов в активное положение. Система отобразит настройки сбора данных журнала.
Задайте настройки сбора данных.
Нажмите на кнопку Сохранить. Система сохранит заданные настройки сбора данных с агентов.

Добавление настройки сбора данных

Чтобы добавить настройку сбора данных в параметре Чтение файлов:

Нажмите на кнопку Добавить настройку (). Отобразится строка с набором полей для настройки нового типа журнала.
Выберите тип журнала из выпадающего списка и задайте его настройки.

Доступные типы журналов:
- audit — используется для событий из инструмента Linux Audit Daemon (auditd). Объединяет последовательные журналы с одинаковым идентификатором в одно событие.
- eventchannel — используется для журналов событий Windows, получает события в формате JSON, контролирует все каналы, указанные в файле конфигурации, и показывает все включенные в них поля. Может использоваться для мониторинга стандартных журналов событий Windows, а также журналов приложений и служб.
  
  При выборе этого типа становятся доступны следующие настройки:
  Имя журнала — имя журнала событий Windows.
  
  Фильтр — запрос на языке XPath, позволяющий указать критерии, по которым будут отфильтрованы собираемые данные.
  
  Примеры XPath-запросов для фильтрации
  
  Для сбора только событий с идентификатором 5145:
  
  [System[EventID = 5145]]
  
  Для сбора всех событий, кроме событий с идентификатором 5145 или 5196:
  
  [System[(EventID!=5145 and EventID!=5196)]]
- eventfile — используется для сбора событий Windows из файлов формата EVTX.
  
  При выборе этого типа становятся доступна настройка Фильтр — запрос на языке XPath, позволяющий указать критерии, по которым будут отфильтрованы собираемые данные.
  Примеры XPath-запросов для фильтрации
  Для сбора только событий с идентификатором 5145:
  
  [System[EventID = 5145]]
  
  Для сбора всех событий, кроме событий с идентификатором 5145 или 5196:
  
  [System[(EventID!=5145 and EventID!=5196)]]
- eventlog — используется для классического формата журнала событий Windows.
- syslog — используется для простых текстовых файлов в формате, подобном системному журналу.
Для каждого типа журнала, кроме eventchannel, нужно указать путь, используемый системой при сборе данных на агенте, в поле Путь.

Удаление настройки сбора данных

Чтобы удалить настройки журнала, нажмите на кнопку trash справа от его строки настроек.

WatchDog

Этот параметр запускает встроенный функционал WatchDog, позволяющий:

автоматически перезапускать агент в случае его остановки;
предотвращать несанкционированное завершение работы агента;
информировать менеджер о попытках остановки или завершения контролируемых процессов.

Чтобы включить и настроить параметр:

Установите переключатель WatchDog в активное положение.
По умолчанию при активации WatchDog операции остановки и перезапуска агента могут выполняться без ограничений.

Чтобы остановка или перезапуск агента происходили по паролю, установите флажок Пароль и введите необходимый пароль в появившемся поле. Пароль может содержать:
- строчные латинские буквы (a—z);
- заглавные латинские буквы (A—Z);
- цифры (0—9);
- специальные символы:
  
  ~"!@#$%^&*_-+=`(){}[]:;'<>,.?/|\
Нажмите на кнопку Сохранить. Система сохранит заданные настройки WatchDog.

Доступ к объектам (Linux)

Этот параметр отслеживает действия с объектами в указанных путях. Отслеживаются чтение, запись и запуск объектов, а также изменение прав доступа к ним.

Политика работает в ОС Linux.

Чтобы включить и настроить параметр:

Установите переключатель Доступ к объектам (Linux) в активное положение.
Задайте перечень путей к объектам. Для этого:
1. Укажите путь и задайте права доступа к объектам, хранящимся по этому пути, посредством установки соответствующих флажков:
  - w (Writing) — запись;
  - r (Reading) — чтение;
  - x (Execution) — выполнение;
  - a (Attributes) — атрибуты.
2. Чтобы добавить следующий путь, нажмите на кнопку Добавить путь (). Появится строка настройки нового пути.
3. Чтобы удалить ненужные пути, нажмите на кнопку справа от их строк.
Задайте при необходимости шаблоны исключений в секции Исключения:
- По пути — исключают из рассмотрения указанные пути.
- По имени файлов — исключают из рассмотрения файлы с указанными именами.
- По пути родительского процесса — исключают из рассмотрения указанные пути родительского процесса.
При задании шаблонов исключений поддерживается использование символа-подстановки (*). Например, исключение по имени файлов вида *.log позволит исключить из рассмотрения все файлы с расширением .log.
Нажмите на кнопку Сохранить. Система сохранит заданные настройки доступа к объектам.

Была ли полезна эта страница?

Обратная связь