Управление KUMA

В этом разделе описываются общие параметры KUMA.

Вход в веб-интерфейс программы

Чтобы войти в веб-интерфейс программы:

1. В браузере введите следующий адрес:

   https://<IP-адрес или FQDN сервера Ядра KUMA>:7220

   Откроется страница авторизации веб-интерфейса с запросом на ввод логина и пароля учетной записи.

2. В поле Логин введите логин учетной записи.
3. В поле Пароль введите пароль указанной учетной записи.
4. Нажмите на кнопку Логин.

Откроется главное окно веб-интерфейса программы.

В режиме мультитенантности при первом входе в веб-интерфейс программы пользователю отображаются данные только для тех тенантов, которые были выбраны для него при создании его учетной записи.

Чтобы выйти из веб-интерфейса программы,

откройте веб-интерфейс KUMA, в левом нижнем углу окна нажмите на имя учетной записи пользователя и в открывшемся меню учетной записи нажмите на кнопку Выход.

Просмотр метрик KUMA

Полная информация о рабочих характеристиках Ядра, коллекторов, корреляторов и хранилищ KUMA доступна в разделе Метрики веб-интерфейса KUMA. При выборе этого раздела открывается автоматически обновляемый портал Grafana, развернутый во время установки Ядра KUMA.

Логин и пароль Grafana по умолчанию: admin и admin.

Доступные показатели метрик

Показатели коллекторов:

• IO (Ввод-вывод) – метрики, относящиеся к вводу и выводу сервиса.
  • Processing EPS (Обрабатываемые события в секунду) – количество обрабатываемых событий в секунду.
  • Processing Latency (Время обработки события) – время, необходимое для обработки одного события (отображается медиана).
  • Output EPS (Вывод событий) – количество событий, отправляемых в точку назначения за секунду.
  • Output Latency (Задержка вывода) – время, необходимое для отправки пакета событий в пункт назначения и получения от него ответа (отображается медиана).
  • Output Errors (Ошибки вывода) – количество ошибок при отправке пакетов событий в пункт назначения в секунду. Сетевые ошибки и ошибки записи в дисковый буфер отображаются отдельно.
  • Output Event Loss (Потеря событий) – количество потерянных событий в секунду. События могут быть потеряны из-за сетевых ошибок или ошибок записи в дисковый буфер. События также теряются, если место назначения ответило кодом ошибки (например, если запрос был недействительным).
• Normalization (Нормализация) – показатели, относящиеся к нормализаторам.
  • Raw & Normalized event size (Размер сырых и нормализованных событий) – размер необработанного события и размер нормализованного события (отображается медиана).
  • Errors (Ошибки) – количество ошибок нормализации в секунду.
• Filtration (Фильтрация) – показатели, относящиеся к фильтрам.
  • EPS (События, обрабатываемые в секунду) – количество событий, отклоняемых Коллектором за секунду. Коллектор отклоняет события только в том случае, если пользователь добавил ресурс фильтра в конфигурацию сервиса коллектора.
• Aggregation (Агрегация) – показатели, относящиеся к правилам агрегации.
  • EPS (События, обрабатываемые в секунду) – количество событий, полученных и созданных правилом агрегации за секунду. Этот показатель помогает определить эффективность правил агрегации.
  • Buckets (Контейнеры) – количество контейнеров в правиле агрегации.
• Enrichment (Обогащение) – показатели, относящиеся к правилам обогащения.
  • Cache RPS (Запросы к кешу в секунду) – количество запросов к локальному кешу в секунду.
  • Source RPS (Запросы к источнику в секунду) – количество запросов к источнику обогащения (например, к словарю).
  • Source Latency (Задержка источника) – время, необходимое для отправки запроса к источнику обогащения и получения от него ответа (отображается медиана).
  • Queue (Очередь) – размер очереди запросов на обогащение. Эта метрика помогает найти "узкие места" в правилах обогащения.
  • Errors (Ошибки) – количество ошибок запроса источника обогащения в секунду.

Показатели корреляторов

• IO (Ввод-вывод) – метрики, относящиеся к вводу и выводу сервиса.
  • Processing EPS (Обрабатываемые события в секунду) – количество обрабатываемых событий в секунду.
  • Processing Latency (Время обработки события) – время, необходимое для обработки одного события (отображается медиана).
  • Output EPS (Вывод событий) – количество событий, отправляемых в точку назначения за секунду.
  • Output Latency (Задержка вывода) – время, необходимое для отправки пакета событий в пункт назначения и получения от него ответа (отображается медиана).
  • Output Errors (Ошибки вывода) – количество ошибок при отправке пакетов событий в пункт назначения в секунду. Сетевые ошибки и ошибки записи в дисковый буфер отображаются отдельно.
  • Output Event Loss (Потеря событий) – количество потерянных событий в секунду. События могут быть потеряны из-за сетевых ошибок или ошибок записи в дисковый буфер. События также теряются, если место назначения ответило кодом ошибки (например, если запрос был недействительным).
• Correlation (Корреляция) – показатели, относящиеся к правилам корреляции.
  • EPS (События, обрабатываемые в секунду) – количество корреляционных событий, создаваемых за секунду.
  • Buckets (Контейнеры) – количество контейнеров в правиле корреляции (только для правил корреляции стандартного типа).
• Active Lists (Активные листы) – показатели, относящиеся к активным листам.
  • RPS (Запросы в секунду) – количество запросов (и их тип) к активному листу в секунду.
  • Records (Записи) – количество записей в активном листе.
  • WAL Size (Размер журнала Write-Ahead-Log) – размер журнала упреждающей записи. Эта метрика помогает определить размер активного листа.

Показатели хранилища

• IO (Ввод-вывод) – метрики, относящиеся к вводу и выводу сервиса.
  • RPS (Запросы в секунду) – количество запросов к Хранилищу в секунду.
  • Latency (Задержка) – время проксирования одного запроса к узлу ClickHouse (отображается медиана).

Показатели Ядра

• IO (Ввод-вывод) – метрики, относящиеся к вводу и выводу сервиса.
  • RPS (Запросы в секунду) – количество запросов к Ядру в секунду.
  • Latency (Задержка) – время обработки одного запроса (отображается медиана).
  • Errors (Ошибки) – количество ошибок запросов в секунду.
• Notification Feed (Фид уведомлений) – показатели, относящиеся к активности пользователей.
  • Subscriptions (Подписки) – количество клиентов, подключенных к Ядру через SSE для получения сообщений сервера в реальном времени. Это число обычно коррелирует с количеством клиентов, использующих веб-интерфейс KUMA.
  • Errors (Ошибки) – количество ошибок отправки сообщений в секунду.
• Schedulers (Планировщики) – показатели, относящиеся к задачам Ядра.
  • Active (Активные) – количество повторяющихся активных системных задач. Задачи, созданные пользователем, игнорируются.
  • Latency (Задержка) – время обработки одного запроса (отображается медиана).
  • Position (Позиция) – позиция (отметка времени) задачи создания алерта. Следующее сканирование ClickHouse на предмет корреляционных событий начнется с этой позиции.
  • Errors (Ошибки) – количество ошибок задач в секунду.

Метрики, общие для всех сервисов

• Process (Процесс) – общие метрики процесса.
  • CPU (ЦП) – загрузка ЦП.
  • Memory (Память) – использование RAM (RSS).
  • DISK IOPS (Операции чтения/записи диска) – количество операций чтения / записи на диск в секунду.
  • DISK BPS (Считанные/записанные байты диска) – количество байтов, считываемых / записываемых на диск в секунду.
  • Network BPS (Байты, принятые/переданные по сети) – количество байтов, полученных / отправленных в секунду.
  • Network Packet Loss (Потеря пакетов) – количество сетевых пакетов, потерянных в секунду.
  • GC Latency (Задержка сборщика мусора) – время цикла сборщика мусора GO (Garbage Collector), отображается медиана.
  • Goroutines (Гоурутины) – количество активных гоурутин. Это число отличается от количества потоков.
• OS (ОС) – показатели, относящиеся к операционной системе.
  • Load (Нагрузка) – средняя нагрузка.
  • CPU (ЦП) – загрузка ЦП.
  • Memory (Память) – использование RAM (RSS).
  • Disk (Диск) – использование дискового пространства.

Срок хранения метрик

По умолчанию данные о работе KUMA хранятся 3 месяца. Этот срок можно изменить.

Чтобы изменить срок хранения метрик KUMA:

1. Войдите в ОС сервера, на котором установлено Ядро KUMA.
2. В файле /etc/systemd/system/multi-user.target.wants/kuma-victoria-metrics.service в параметре ExecStart измените флаг --retentionPeriod=<срок хранения метрик в месяцах>, подставив нужный срок. Например, --retentionPeriod=4 означает, что метрики будут храниться 4 месяца.
3. Перезапустите KUMA, выполнив последовательно следующие команды:
   1. systemctl daemon-reload
   2. systemctl restart kuma-victoria-metrics

Срок хранения метрик изменен.

Работа с задачами KUMA

При работе в веб-интерфейсе программы вы можете выполнять различные операции с помощью задач. Например, вы можете выполнить импорт активов или экспортировать информацию о событиях KUMA в TSV-файл.

Просмотр таблицы задач

Таблица задач содержит список созданных задач и находится в разделе Диспетчер задач окна веб-интерфейса программы. Вы можете просматривать задачи, созданные вами (текущим пользователем).

Пользователь с ролью главного администратора может просматривать задачи всех пользователей.

В таблице задач содержится следующая информация:

• Статус – статус задачи. Задаче может быть присвоен один из следующих статусов:
  • Мигает зеленая точка – задача активна.
  • Завершено – задача выполнена.
  • Отмена – задача отменена пользователем.
  • Ошибка – задача не была завершена из-за ошибки. Сообщение об ошибке отображается при наведении курсора мыши на значок восклицательного знака.
• Задача – тип задачи. В программе доступны следующие типы задач:
  • Экспорт событий – экспорт событий KUMA.
  • Threat Lookup – запрос данных с портала Kaspersky Threat Intelligence Portal.
  • Ретроспективная проверка – задание на воспроизведение событий.
  • Импорт активов KSC – импорт данных об активах с серверов Kaspersky Security Center.
  • Импорт учетных записей – импорт данных о пользователях из Active Directory.
  • Импорт активов KICS for Networks – импорт данных об активах из KICS for Networks.
• Создал – пользователь, создавший задачу. Если задача создана автоматически, в столбце указано Задача по расписанию.

  Этот столбец отображается только для пользователей с ролями главный администратор и администратор.

• Создана – время создания задачи.
• Последнее обновление – время обновления задачи.
• Тенант – название тенанта, в котором была запущена задача.

Отображаемый формат даты:

• Английская локализация: ГГГГ-ММ-ДД.
• Русская локализация: ДД.ММ.ГГГГ.

Настройка отображения таблицы задач

Вы можете настроить отображение столбцов, а также порядок их следования в таблице задач.

Чтобы настроить отображение и порядок следования столбцов в таблице задач:

1. В веб-интерфейсе KUMA выберите раздел Диспетчер задач.

   Отобразится таблица задач.

2. В заголовочной части таблицы нажмите на кнопку .
3. В отобразившемся окне выполните следующие действия:
   • Если вы хотите включить отображение столбца в таблице, установите флажок рядом с названием того параметра, который должен отображаться в таблице.
   • Если вы не хотите, чтобы параметр отображался в таблице, снимите флажок.

   Должен быть установлен хотя бы один флажок.

4. Если вы хотите сбросить настройки, нажмите на ссылку По умолчанию.
5. Если вы хотите изменить порядок отображения столбцов в таблице, наведите курсор мыши на название столбца, зажмите левую клавишу мыши и перетащите столбец в нужное место.

Отображение столбцов в таблице задач будет настроено.

Просмотр результата выполнения задачи

Чтобы просмотреть результат выполнения задачи:

1. В веб-интерфейсе KUMA выберите раздел Диспетчер задач.

   Отобразится таблица задач.

2. Нажмите на ссылку с типом задачи в столбце Задача.

   Отобразится список доступных для этого типа задач операций.

3. Выберите Показать результат.

Откроется окно с результатом выполнения задачи.

Повторный запуск задачи

Чтобы перезапустить задачу:

1. В веб-интерфейсе KUMA выберите раздел Диспетчер задач.

   Отобразится таблица задач.

2. Нажмите на ссылку с типом задачи в столбце Задача.

   Отобразится список доступных для этого типа задач операций.

3. Выберите Перезапустить.

Задача будет запущена повторно.

Подключение к SMTP-серверу

В KUMA можно настроить отправку уведомлений по электронной почте с помощью SMTP-сервера. Пользователи будут получать уведомления, если в настройках их профиля установлен флажок Получать уведомления по почте.

Для обработки уведомлений KUMA можно добавить только один SMTP-сервер. Управление подключением к SMTP-серверу осуществляется в разделе веб-интерфейса KUMA Параметры → Общие → Параметры подключения к SMTP-серверу.

Чтобы настроить подключение к SMTP-серверу:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Общие.
2. В блоке параметров Параметры подключения к SMTP-серверу измените необходимые параметры:
   • Выключено – установите этот флажок, если хотите отключить подключение к SMTP-серверу.
   • Адрес сервера (обязательно) – адрес SMTP-сервера в одном из следующих форматов: hostname, IPv4, IPv6.
   • Порт (обязательно) – порт подключения к почтовому серверу. Значение должно быть целым числом от 1 до 65 535.
   • От кого (обязательно) – адрес электронной почты отправителя сообщения. Например, kuma@company.com.
   • Псевдоним сервера Ядра KUMA – отличное от FQDN название сервера Ядра KUMA, которое используется в вашей сети.
   • При необходимости в раскрывающемся списке Секрет выберите ресурс секрета типа credentials, в котором записаны учетные данные для подключения к SMTP-серверу.

     Добавить секрет

     1. Если вы создали секрет ранее, выберите его в раскрывающемся списке Секрет.

        Если ранее не было добавлено ни одного секрета, в раскрывающемся списке отобразится Нет данных.

     2. Если вы хотите добавить новый секрет, справа от списка Секрет нажмите на кнопку .

        Откроется окно Секрет.

     3. В поле Название введите название, под которым секрет будет отображаться в списке доступных.
     4. В полях Пользователь и Пароль введите данные учетной записи, под которой агент будет подключаться к коннектору.
     5. Если требуется, в поле Описание добавьте любую дополнительную информацию о секрете.
     6. Нажмите на кнопку Сохранить.

     Секрет будет добавлен и отобразится в списке Секрет.

   • Выберите периодичность уведомлений в раскрывающемся списке Регулярность уведомлений мониторинга.
   • Включите переключатель Выключить уведомления мониторинга, если не хотите получать уведомления о состоянии источников событий. По умолчанию переключатель выключен.
3. Нажмите Сохранить.

Соединение с SMTP-сервером настроено, пользователи могут получать сообщения электронной почты от KUMA.

Онлайн-справка KUMA

Онлайн-справка доступна на сайте "Лаборатории Касперского".

Онлайн-справка предоставляет информацию по следующим темам:

• Подготовка к установке и установка KUMA.
• Настройка и использование KUMA.

Чтобы открыть онлайн-справку для KUMA,

войдите в веб-интерфейс KUMA, в левом нижнем углу окна нажмите имя учетной записи пользователя и в открывшемся меню нажмите на кнопку Справка.

Журналы KUMA

Некоторые сервисы и ресурсы KUMA могут регистрировать информацию, связанную с их работой. Эта функция включается с помощью флажка или выпадающего списка Отладка в параметрах сервиса или ресурса.

Журналы хранятся на машине, на которой установлен требуемый сервис или сервис, использующий требуемый ресурс:

• Журналы на машинах Linux можно просмотреть с помощью команды journalctl в консоли Linux.

  Примеры:

  • journalctl -u kuma-collector * kuma-correlator * -f – вернет последние журналы из коллекторов и корреляторов, установленных на сервере, где была выполнена команда.
  • journalctl -u kuma-collector-<идентификатор сервиса> – вернет последние журналы определенного корректора, установленного на сервере, где была выполнена команда.
• Журналы на машинах Windows можно просмотреть в файле %PROGRAMDATA%\Kaspersky Lab\KUMA\<идентификатор агента>\agent.log. Работа агентов на машинах Windows журналируется всегда, если им присвоены права logon as a service, однако при установленном флажке Отладка данные указываются более подробно.

Сервисы, где доступно ведение журнала:

• Корреляторы
• Коллекторы
• Агенты

Ресурсы, где доступно ведение журнала:

• Коннекторы
• Правила обогащения
• Точки назначения

Журнал на машинах Windows пополняется в течение месяца. По истечении месяца журнал архивируется, а события начинают записываться в новый журнал. Одновременно на сервере хранится не более трех заархивированных журналов. При появлении нового архива журнала, если архивов становится больше трех, самый старый архив удаляется.

Резервное копирование KUMA

KUMA позволяет выполнять резервное копирование базы данных Ядра KUMA и сертификатов. Резервное копирование осуществляется с помощью исполняемого файла /opt/kaspersky/kuma/kuma.

Восстановление данных из резервной копии доступно только при сохранении версии KUMA.

Чтобы выполнить резервное копирование:

1. Войдите в ОС сервера, на котором установлено Ядро KUMA.
2. Выполните следующую команду:

   sudo /opt/kaspersky/kuma/kuma tools backup --dst <путь к директории для резервной копии> --certificates

   Флаг --certificates не является обязательным и используется для резервного копирования сертификатов.

Резервная копия создана.

Чтобы восстановить данные из резервной копии:

1. Войдите в ОС сервера, на котором установлено Ядро KUMA.
2. Остановите Ядро KUMA, выполнив следующую команду:

   sudo systemctl stop kuma-core

3. Выполните следующую команду:

   sudo /opt/kaspersky/kuma/kuma tools restore --src <путь к директории с резервной копией> --certificates

   Флаг --certificates не является обязательным и используется для восстановления сертификатов.

4. Запустите KUMA, выполнив следую команду:

   sudo systemctl start kuma-core

5. Пересоздайте сервисы, используя восстановленные наборы ресурсов для сервисов.

Данные восстановлены из резервной копии.

Что делать при сбоях в работе KUMA после восстановления данных из резервной копии

Резервное копирование коллекторов не требуется, за исключением коллекторов с SQL-подключением. При восстановлении таких коллекторов следует вернуть к исходному начальное значение идентификатора.

Уведомления KUMA

Стандартные уведомления

В KUMA можно настроить отправку уведомлений по электронной почте с помощью SMTP-сервера. Для этого необходимо настроить подключение к SMTP-серверу, а также установить флажок Получать уведомления по почте для пользователей, которым должны приходить уведомления.

KUMA автоматически уведомляет пользователей о следующих событиях:

• создан отчет (уведомление получают пользователи, перечисленные в параметрах расписания шаблона отчета);
• создан алерт (уведомление получают все пользователи);
• алерт назначен пользователю (уведомление получает пользователь, которому был назначен алерт);
• выполнена задача (уведомление получают пользователи, создавшие задачу).

Пользовательские уведомления

Вместо стандартных уведомлений KUMA о создании алертов можно рассылать уведомления на основании пользовательских шаблонов. Настройка пользовательских уведомлений взамен стандартных происходит по шагам:

• Создание ресурса шаблона электронной почты.
• Создание правила уведомления, в котором указываются правила корреляции и адреса электронной почты.

Когда по выбранным правилам корреляции будет создаваться алерт, на указанные адреса электронной почты будут отправляться уведомления, созданные на основе пользовательских шаблонов электронной почты. Стандартные уведомления KUMA о том же событии на указанные адреса отправлены не будут.