Журналы KUMA

По умолчанию для всех компонентов KUMA в журнале регистрируются только ошибки. Чтобы получать детализированные данные в журналах, следует настроить в параметрах компонента режим Отладка.

Журнал пополняется в течение 30 дней или пока он не достигнет размера 1 ГБ. По истечении 30 дней журнал архивируется и события начинают записываться в новый журнал. Архивы хранятся в папке с журналами. Одновременно на сервере хранится не более трех заархивированных журналов. При появлении нового архива журнала, если архивов становится больше трех, самый старый архив удаляется. Также удаляются архивы с журналами старше 365 дней.

Режим Отладка доступен для следующих компонентов:

Ядро

Как включить: в веб-интерфейсе KUMA в разделе ПараметрыОбщиеПараметры ЯдраОтладка.

Где хранятся: в директории установки Ядра. Например, /opt/kaspersky/kuma/core/log/core.

Если KUMA установлена в отказоустойчивой конфигурации, см. раздел Просмотр журналов Ядра в Kubernetes.

 

Сервисы:

  • Хранилище
  • Корреляторы
  • Коллекторы
  • Агенты

Как включить: в параметрах сервиса с помощью флажка или раскрывающегося списка Отладка.

Где хранятся: в директории установки сервиса. Например, /opt/kaspersky/kuma/<имя сервиса>/log/<имя сервиса>. Журналы сервисов можно скачать в веб-интерфейсе KUMA в разделе РесурсыАктивные сервисы, выбрав нужный сервис и нажав на кнопку Журнал.

Журналы на машинах Linux можно просмотреть с помощью команды journalctl и tail. Например:

  • Хранилище. Чтобы вернуть последние журналы из хранилища, установленного на сервере, выполните следующую команду:

    journalctl -f -u kuma-storage-<идентификатор хранилища>

  • Корреляторы. Чтобы вернуть последние журналы из корреляторов, установленных на сервере, выполните следующую команду:

    journalctl -f -u kuma-correlator-<идентификатор коррелятора>

  • Коллекторы. Чтобы вернуть последние журналы определенного коллектора, установленного на сервере, выполните следующую команду:

    journalctl -f -u kuma-collector-<идентификатор коллектора>

  • Агенты. Чтобы вернуть последние журналы агента, установленного на сервере, выполните следующую команду:

    tail -f /opt/kaspersky/agent/<идентификатор агента>/log/agent

    Работа агентов на машинах Windows журналируется всегда, если им присвоены права logon as a service, однако при установленном флажке Отладка данные указываются более подробно. Журналы агентов на машинах Windows можно просмотреть в файле %PROGRAMDATA%\Kaspersky Lab\KUMA\<идентификатор агента>\agent.log. Журналы агентов на машинах Linux хранятся в директории установки агента.

Ресурсы:

  • Коннекторы
  • Точки назначения
  • Правила обогащения

Как включить: в параметрах сервиса, к которому привязан ресурс, с помощью флажка или раскрывающегося списка Отладка.

Где хранятся: журналы хранятся на машине, на которой установлен сервис, использующий требуемый ресурс. Детализированные данные для ресурсов можно посмотреть в журнале сервиса, к которому привязан ресурс.

Просмотр журналов Ядра в Kubernetes

Файлы журналов Ядра архивируются, по достижении 100 Мб записывается новый журнал. Одновременно хранится не более пяти файлов. При появлении нового журнала, если файлов становится больше пяти, самый старый файл удаляется.

На рабочих узлах можно просмотреть журналы контейнеров и подов, размещенных на этих узлах, в файловой системе узла.
Например:
/var/log/pods/kuma_core-deployment-<UID>/core/*.log
/var/log/pods/kuma_core-deployment-<UID>/mongodb/*.log

Чтобы просмотреть журналы всех контейнеров пода core:

k0s kubectl logs -l app=core --all-containers -n kuma

Чтобы просмотреть журнал определенного контейнера:

k0s kubectl logs -l app=core -c <имя_контейнера> -n kuma

Чтобы включить просмотр журналов в реальном времени, добавьте ключ -f:

k0s kubectl logs -f -l app=core --all-containers -n kuma

Чтобы просмотреть журналы "предыдущего" пода, который был замещен новым, например, при восстановлении после критической ошибки или после повторного развертывания, добавьте ключ --previous:

k0s kubectl logs -l app=core -c core -n kuma --previous

Для доступа к журналам с других хостов, не входящих в кластер, необходим файл k0s-kubeconfig.yml с реквизитами доступа, который создается при установке KUMA, и локально установленная утилита управления кластером kubectl.
Контроллер кластера или балансировщик трафика, указанные в параметре server файла k0s-kubeconfig.yml, должны быть доступны по сети.

Путь к файлу необходимо экспортировать в переменную: 
export KUBECONFIG=/<путь к файлу>/k0s-kubeconfig.yml

Для просмотра журналов можно использовать kubeclt, например:

kubectl logs -l app=core -c mongodb -n kuma

В начало