Инструменты сервисов

В этом разделе описываются инструменты по работе с сервисами, доступные в разделе веб-интерфейса KUMA Ресурсы → Активные сервисы.

Получение идентификатора сервиса

Идентификатор сервиса используется для связи частей сервиса – расположенных внутри KUMA и установленных в сетевой инфраструктуре – в единый комплекс. Идентификатор присваивается сервису при его создании в KUMA, а затем используется при установке сервиса на сервер.

Чтобы получить идентификатор сервиса:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с сервисом, идентификатор которого вы хотите получить, и нажмите Копировать идентификатор.

Идентификатор сервиса помещен в буфер. Его можно использовать, например, для установки сервиса на сервере.

Перезапуск сервиса

Чтобы перезапустить сервис:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с сервисом и выберите нужную опцию:
   • Обновить параметры – обновить конфигурацию работающего сервиса, не останавливая его. Например, так можно изменить настройки сопоставления полей или параметры точки назначения.
   • Перезапустить – остановить сервис и запустить его снова. Эта опция используется для изменения таких параметров, как порт или тип коннектора.

     Особенности перезапуска агентов KUMA:

     • Агент KUMA для Windows может быть перезагружен, как описано выше, только если он запущен на удаленном компьютере. Если сервис на удаленном компьютере неактивен, при попытке перезагрузки из KUMA вы получите сообщение об ошибке. В этом случае следует перезапустить сервис Агент KUMA для Windows на удаленном компьютере с Windows. Чтобы узнать, как перезапустить сервисы Windows, обратитесь к документации, относящейся к версии операционной системы вашего удаленного компьютера с Windows.
     • Агент KUMA для Linux при использовании этой опции останавливается. Для запуска агента необходимо выполнить команду, с помощью которой он был запущен.
   • Сбросить сертификат – удалить сертификаты, используемые сервисом для внутренней связи. Например, эту опцию можно использовать для обновления сертификата Ядра.

     Особенности удаления сертификатов для агентов Windows:

     • Если агент находится в зеленом статусе и вы выбрали Сбросить сертификат, KUMA удаляет действующий сертификат и создает новый, агент продолжает работу с новым сертификатом.
     • Если агент находится в красном статусе и вы выбрали Сбросить сертификат, KUMA выдаст ошибку о том, что агент не запущен. В папке установки агента %APPDATA%\kaspersky\kuma\<ID агента>\certficates следует вручную удалить файлы internal.cert и internal.key и вручную запустить агент. При запуске агента новый сертификат будет создан автоматически.

     Особенности удаления сертификатов для агентов Linux:

     1. Независимо от статуса агента необходимо применить опцию Сбросить сертификат через веб-интерфейс, чтобы удалить сертификат в базах.
     2. В папке установки агента /opt/kaspersky/agent/<ID агента>/certificates следует вручную удалить файлы internal.cert и internal.key.
     3. Поскольку опция Сбросить сертификат останавливает агент, для продолжения работы следует вручную запустить агент. При запуске агента новый сертификат будет создан автоматически.

Удаление сервиса

Перед удалением сервиса получите его идентификатор. Он потребуется, чтобы удалить сервис с сервера.

Чтобы удалить сервис:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с нужным сервисом и нажмите Удалить.

   Откроется окно подтверждения.

3. Нажмите ОК.

Сервис удален из KUMA.

Чтобы удалить сервис с сервера:

Удалите файл /usr/lib/systemd/system/kuma-<Тип сервиса: collector, correlator или storage >-<идентификатор сервиса>.service с сервера, на котором был установлен сервис.

Окно Разделы

Создав и установив сервис Хранилища, вы можете просмотреть его разделы в таблице Разделы.

Чтобы открыть таблицу Разделы:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с нужным хранилищем и нажмите Смотреть разделы.

Откроется таблица Разделы.

В таблице есть следующие столбцы:

• Тенант – название тенанта, которому принадлежат хранимые данные.
• Дата – дата создания раздела.
• Пространство – название раздела.
• Размер – размер раздела.
• События – количество хранимых событий.
• Истекает – дата, когда истекает срок действия раздела.

Вы можете удалять разделы.

Чтобы удалить раздел:

1. Откройте таблицу Разделы (см. выше).
2. Откройте раскрывающийся список слева от необходимого раздела.
3. Выберите Удалить.

   Откроется окно подтверждения.

4. Нажмите ОК.

Раздел удален.

Окно активных листов коррелятора

В таблице Активные листы коррелятора можно просмотреть список активных листов, которые использует определенный коррелятор.

Чтобы открыть таблицу Активные листы коррелятора:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с нужным коррелятором и нажмите Смотреть активные листы.

Откроется таблица Активные листы коррелятора.

В таблице есть следующие столбцы:

• Название – имя активного листа.
• Записи – количество записей в активном листе.
• Размер на диске – размер активного листа.
• Каталог – путь к активному листу на сервере коррелятора KUMA.

Активные листы можно просматривать, импортировать, экспортировать или очищать.

Чтобы просмотреть активный лист,

откройте таблицу Активные листы коррелятора (см. выше) и нажмите название требуемого активного листа.

Откроется таблица с содержимым активного листа. Если вы хотите просмотреть содержимое записи, нажмите на значение ее ключа (столбец Ключ). Если запись следует удалить, нажмите на значок . С помощью поля Поиск можно искать нужные записи.

Чтобы экспортировать активный лист:

1. Откройте таблицу Активные листы коррелятора (см. выше).
2. Откройте раскрывающийся список слева от необходимого активного листа.
3. Нажмите Экспортировать.

Активный лист будет загружен в формате JSON используя настройки вашего браузера. Название загруженного файла соответствует названию активного листа.

Чтобы импортировать данные в активный лист:

1. Откройте таблицу Активные листы коррелятора (см. выше).
2. Откройте раскрывающийся список слева от необходимого активного листа.
3. Нажмите Импортировать.

   Откроется окно импорта активного листа.

4. В поле Файл выберите файл, который требуется импортировать.
5. В раскрывающемся списке Формат выберите формат файла:
   • csv
   • tsv
   • internal
6. В поле Ключевое поле введите название столбца с ключами записей активного листа.
7. Нажмите Импортировать.

Данные из файла импортированы в активный лист.

Поиск связанных событий

Вы можете искать события, обработанные определенным коррелятором или коллектором.

Чтобы найти события, относящиеся к коррелятору или коллектору:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с нужным коррелятором или коллектором и нажмите Перейти к событиям.

   Откроется новая закладка браузера с открытым разделом KUMA События.

3. Чтобы найти события, нажмите на значок .

Отобразится таблица с событиями, отобранными по поисковому выражению ServiceID = <идентификатор выбранного сервиса>.