Сервисы KUMA

Сервисы – это основные компоненты KUMA, с помощью которых осуществляется работа с событиями: получение, обработка, анализ и хранение. Каждый сервис состоит из двух частей, работающих вместе:

• Одна часть сервиса создается внутри веб-интерфейса KUMA на основе набора ресурсов для сервисов.
• Вторая часть сервиса устанавливается в сетевой инфраструктуре, где развернута система KUMA, в качестве одного из ее компонентов. Серверная часть сервиса может состоять из нескольких экземпляров: например, сервисы одного и того же агента или хранилища могут быть установлены сразу на нескольких машинах.

  В серверной части сервисы KUMA располагаются в директории /opt/kaspersky/kuma.

Между собой части сервисов соединены с помощью идентификатора сервисов.

Типы сервисов:

• Коллекторы – используются для получения события и конвертации их в формат KUMA.
• Корреляторы – используются для анализа событий и поиска заданных закономерностей.
• Хранилища – используются для хранения событий.
• Агенты – используются для получения событий на удаленных устройствах и пересылки их в коллекторы KUMA.

В веб-интерфейсе KUMA сервисы отображаются в разделе Ресурсы → Активные сервисы в виде таблицы. Таблицу сервисов можно обновить с помощью кнопки Обновить и сортировать по столбцам, нажимая на активные заголовки.

Столбцы таблицы:

• Тип – вид сервиса: агент, коллектор, коррелятор, хранилище.
• Название – название сервиса. При нажатии на название сервиса открываются его настройки.
• Версия – версия сервиса.
• Тенант – название тенанта, которому принадлежит сервис.
• Полное доменное имя – доменное имя сервера, на котором установлен сервис.
• IP-адрес – IP-адрес сервера, на котором установлен сервис.
• Порт API – номер порта для внутренних коммуникаций.
• Статус – статус сервиса:
  • Зеленый – сервис работает.
  • Красный – сервис не работает.
  • Желтый – этот статус применяется только к сервисам хранилища и означает, что нет соединения с узлами ClickHouse. Причина указывается в журнале сервиса, если было включено логирование.
• Время работы – как долго сервис работает.

С помощью кнопки Добавить сервис можно создавать новые сервисы на основе существующих наборов ресурсов для сервисов. В этом окне также можно перезапустить сервис или удалить его сертификат, скопировать идентификатор сервиса или удалить сервис. Кроме того, в этом разделе можно просмотреть разделы хранилищ и активные листы корреляторов.

Сервисы можно изменить, нажав на них в разделе Ресурсы → Активные сервисы. При этом открывается окно с набором ресурсов, на основе которых они были созданы. Сервис меняется путем изменения параметров набора ресурсов. Изменения сохраняются с помощью кнопки Сохранить и вступают в силу после перезапуска сервиса.

Если вы, меняя параметры набора ресурсов коллектора, измените или удалите преобразования в подключенном к нему нормализаторе, правки не сохранятся, а сам ресурс нормализатора может быть поврежден. При необходимости изменить преобразования в нормализаторе, который уже является частью сервиса, вносите правки непосредственно в ресурс нормализатора в разделе веб-интерфейса Ресурсы → Нормализаторы.

В этом разделе справки Инструменты сервисов Наборы ресурсов для сервисов Создание коллектора Создание коррелятора Создание агента Создание хранилища

В начало