Устранение общих неполадок
11 апреля 2024
ID 171563
В этом разделе приведена информация, с помощью которой можно решить возможные проблемы при использовании Kaspersky CyberTrace.
Если при использовании Kaspersky CyberTrace возникли проблемы, проверьте, выполняются ли следующие условия:
- Сервис CyberTrace запущен.
Windows: проверьте статус сервиса из командной строки с помощью команды
sc query cybertrace
.Linux: проверьте статус службы из терминала с помощью команды
systemctl status cybertrace.service
. - На сервере CyberTrace достаточно свободного места на диске и оперативной памяти.
- Веб-страница https://wlinfo.kaspersky.com доступна с сервера CyberTrace.
Для проверки этой веб-страницы как в Windows, так и в Linux используется следующая команда:
curl -v --cert /opt/kaspersky/ktfs/dmz/feeds.pem [--proxy user:password@proxy-server.com:3128] https://wlinfo.kaspersky.com/api/v1.0/feeds
В результате этой проверки может быть получен список доступных потоков данных об угрозах в соответствии со сертификатом, например:
{
"name": "TI Demo Botnet C&C URL Data Feed",
"updates":
{"href": "https://wlinfo.kaspersky.com/api/v1.0/feeds/85/updates"},
"license":
{"expires": "2024-02-19T00:00:00"}
}
Если результат содержит ошибку, отправьте вывод этой команды в Службу технической поддержки.
- Источник событий (SIEM) доступен с сервера CyberTrace.
- Веб-интерфейс:
Выберите вкладку Settings > Service. В разделе Service sends events to, в поле ввода IP address введите IP-адрес SIEM, а в поле ввода Port введите порт SIEM.
- В конфигурационном файле
kl_feed_service.conf
(это необходимо проверить, только если сервис CyberTrace не запускается):Windows:
\Kaspersky Lab\Kaspersky CyberTrace\bin\kl_feed_service.conf
Linux:
opt/kaspersky/ktfs/etc/kl_feed_service.conf
Ниже приведен пример настроек из конфигурационного файла:
<OutputSettings>
<ConnectionString>127.0.0.1:9998</ConnectionString>
</OutputSettings>
Проверьте порт, используемый источником для подключения к CyberTrace.
Убедитесь, что во встроенном сетевом экране правильно настроен порт для получения событий из источника в CyberTrace.
Убедитесь, что во встроенном сетевом экране на стороне SIEM правильно настроен порт для получения обнаружений киберугроз из CyberTrace.
- Веб-интерфейс:
Если проблема не решена, обратитесь в Службу технической поддержки и приложите следующие данные:
- Конфигурационный файл CyberTrace для Windows:
\Kaspersky Lab\Kaspersky CyberTrace\bin\kl_feed_service.conf
- Конфигурационный файл CyberTrace для Linux:
opt/kaspersky/ktfs/etc/kl_feed_service.conf
Получить конфигурационный файл можно двумя способами:
- Если доступен веб-интерфейс, выберите Settings>Service>Export configuration files.
- Если сервис CyberTrace запустить не удается, скопируйте файлы из каталогов и укажите пути для соответствующих операционных систем.
- Файлы журнала CyberTrace уровня debug
Дополнительные сведения приведены в разделах Настройка журналов и Журнал Kaspersky CyberTrace Service.
Важно понимать, что в Службу технической поддержки будут отправлены файлы журнала отладки, содержащие полные входящие события.
- Скриншоты, иллюстрирующие проблему.
- Результаты запуска скрипта
collect.sh
.Запуск скрипта
collect.sh
создает отчет, содержащий всю основную диагностическую информацию, собранную с сервера.Перед отправкой отчета в Службу технической поддержки удалите из него всю конфиденциальную информацию.
Подробные указания о создании отчета приведены по адресу https://support.kaspersky.ru/15732.