Устранение общих неполадок

В этом разделе приведена информация, с помощью которой можно решить возможные проблемы при использовании Kaspersky CyberTrace.

Если при использовании Kaspersky CyberTrace возникли проблемы, проверьте, выполняются ли следующие условия:

• Сервис CyberTrace запущен.

  Windows: проверьте статус сервиса из командной строки с помощью команды sc query cybertrace.

  Linux: проверьте статус службы из терминала с помощью команды systemctl status cybertrace.service.

• На сервере CyberTrace достаточно свободного места на диске и оперативной памяти.
• Веб-страница https://wlinfo.kaspersky.com доступна с сервера CyberTrace.

  Для проверки этой веб-страницы как в Windows, так и в Linux используется следующая команда: 
  curl -v --cert /opt/kaspersky/ktfs/dmz/feeds.pem [--proxy user:password@proxy-server.com:3128] https://wlinfo.kaspersky.com/api/v1.0/feeds

  В результате этой проверки может быть получен список доступных потоков данных об угрозах в соответствии со сертификатом, например:

  { "name": "TI Demo Botnet C&C URL Data Feed", "updates": {"href": "https://wlinfo.kaspersky.com/api/v1.0/feeds/85/updates"}, "license": {"expires": "2024-02-19T00:00:00"} }

  Если результат содержит ошибку, отправьте вывод этой команды в Службу технической поддержки.

• Источник событий (SIEM) доступен с сервера CyberTrace.
  • Веб-интерфейс:

    Выберите вкладку Settings > Service. В разделе Service sends events to, в поле ввода IP address введите IP-адрес SIEM, а в поле ввода Port введите порт SIEM.

  • В конфигурационном файле kl_feed_service.conf (это необходимо проверить, только если сервис CyberTrace не запускается):

    Windows: \Kaspersky Lab\Kaspersky CyberTrace\bin\kl_feed_service.conf

    Linux: opt/kaspersky/ktfs/etc/kl_feed_service.conf

    Ниже приведен пример настроек из конфигурационного файла:

  <OutputSettings> <ConnectionString>127.0.0.1:9998</ConnectionString> </OutputSettings>

  Проверьте порт, используемый источником для подключения к CyberTrace.

  Убедитесь, что во встроенном сетевом экране правильно настроен порт для получения событий из источника в CyberTrace.

  Убедитесь, что во встроенном сетевом экране на стороне SIEM правильно настроен порт для получения обнаружений киберугроз из CyberTrace.

Если проблема не решена, обратитесь в Службу технической поддержки и приложите следующие данные:

• Конфигурационный файл CyberTrace для Windows: \Kaspersky Lab\Kaspersky CyberTrace\bin\kl_feed_service.conf
• Конфигурационный файл CyberTrace для Linux: opt/kaspersky/ktfs/etc/kl_feed_service.conf

  Получить конфигурационный файл можно двумя способами:

  • Если доступен веб-интерфейс, выберите Settings>Service>Export configuration files.
  • Если сервис CyberTrace запустить не удается, скопируйте файлы из каталогов и укажите пути для соответствующих операционных систем.
• Файлы журнала CyberTrace уровня debug

  Дополнительные сведения приведены в разделах Настройка журналов и Журнал Kaspersky CyberTrace Service.

  Важно понимать, что в Службу технической поддержки будут отправлены файлы журнала отладки, содержащие полные входящие события.

• Скриншоты, иллюстрирующие проблему.
• Результаты запуска скрипта collect.sh.

  Запуск скрипта collect.sh создает отчет, содержащий всю основную диагностическую информацию, собранную с сервера.

  Перед отправкой отчета в Службу технической поддержки удалите из него всю конфиденциальную информацию.

  Подробные указания о создании отчета приведены по адресу https://support.kaspersky.ru/15732.