Инструменты сервисов

В этом разделе описываются инструменты по работе с сервисами, доступные в разделе веб-интерфейса KUMA Ресурсы → Активные сервисы.

Получение идентификатора сервиса

Идентификатор сервиса используется для связи частей сервиса – расположенных внутри KUMA и установленных в сетевой инфраструктуре – в единый комплекс. Идентификатор присваивается сервису при его создании в KUMA, а затем используется при установке сервиса на сервер.

Чтобы получить идентификатор сервиса:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с сервисом, идентификатор которого вы хотите получить, и нажмите Копировать идентификатор.

Идентификатор сервиса помещен в буфер. Его можно использовать, например, для установки сервиса на сервере.

Перезапуск сервиса

Чтобы перезапустить сервис:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с сервисом и выберите нужную опцию:
   • Обновить параметры – обновить конфигурацию работающего сервиса, не останавливая его. Например, так можно изменить настройки сопоставления полей или параметры точки назначения.
   • Перезапустить – остановить сервис и запустить его снова. Эта опция используется для изменения таких параметров, как порт или тип коннектора.

     Особенности перезапуска агентов KUMA:

     • Агент KUMA для Windows может быть перезагружен, как описано выше, только если он запущен на удаленном компьютере. Если сервис на удаленном компьютере неактивен, при попытке перезагрузки из KUMA вы получите сообщение об ошибке. В этом случае следует перезапустить сервис Агент KUMA для Windows на удаленном компьютере с Windows. Чтобы узнать, как перезапустить сервисы Windows, обратитесь к документации, относящейся к версии операционной системы вашего удаленного компьютера с Windows.
     • Агент KUMA для Linux при использовании этой опции останавливается. Для запуска агента необходимо выполнить команду, с помощью которой он был запущен.
   • Сбросить сертификат – удалить сертификаты, используемые сервисом для внутренней связи. Например, эту опцию можно использовать для обновления сертификата Ядра.

     Особенности удаления сертификатов для агентов Windows:

     • Если агент находится в зеленом статусе и вы выбрали Сбросить сертификат, KUMA удаляет действующий сертификат и создает новый, агент продолжает работу с новым сертификатом.
     • Если агент находится в красном статусе и вы выбрали Сбросить сертификат, KUMA выдаст ошибку о том, что агент не запущен. В папке установки агента %APPDATA%\kaspersky\kuma\<ID агента>\certficates следует вручную удалить файлы internal.cert и internal.key и вручную запустить агент. При запуске агента новый сертификат будет создан автоматически.

     Особенности удаления сертификатов для агентов Linux:

     1. Независимо от статуса агента необходимо применить опцию Сбросить сертификат через веб-интерфейс, чтобы удалить сертификат в базах.
     2. В папке установки агента /opt/kaspersky/agent/<ID агента>/certificates следует вручную удалить файлы internal.cert и internal.key.
     3. Поскольку опция Сбросить сертификат останавливает агент, для продолжения работы следует вручную запустить агент. При запуске агента новый сертификат будет создан автоматически.

Удаление сервиса

Перед удалением сервиса получите его идентификатор. Идентификатор потребуется, чтобы удалить сервис с сервера.

Чтобы удалить сервис в веб-интерфейсе KUMA:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с нужным сервисом и нажмите Удалить.

   Откроется окно подтверждения.

3. Нажмите ОК.

Сервис удален из KUMA.

Чтобы удалить сервис с сервера, выполните следующую команду:

sudo /opt/kaspersky/kuma/kuma <collector/correlator/storage> --id <идентификатор сервиса> --uninstall

Сервис удален с сервера.

Окно Разделы

Создав и установив сервис хранилища, вы можете просмотреть его разделы в таблице Разделы.

Чтобы открыть таблицу Разделы:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с нужным хранилищем и нажмите Смотреть разделы.

Откроется таблица Разделы.

В таблице есть следующие столбцы:

• Тенант – название тенанта, которому принадлежат хранимые данные.
• Создан – дата создания раздела.
• Пространство – название раздела.
• Размер – размер раздела.
• События – количество хранимых событий.
• Переход к холодному хранению – дата, когда данные будут перенесены с кластеров ClickHouse на диски для холодного хранения.
• Окончание хранения – дата, когда истекает срок действия раздела. По достижении этого срока раздел и содержащиеся в нем события перестают быть доступны.

Вы можете удалять разделы.

Чтобы удалить раздел:

1. Откройте таблицу Разделы (см. выше).
2. Откройте раскрывающийся список слева от необходимого раздела.
3. Выберите Удалить.

   Откроется окно подтверждения.

4. Нажмите ОК.

Раздел удален. Разделы для событий аудита удалить невозможно.

Поиск связанных событий

Вы можете искать события, обработанные определенным коррелятором или коллектором.

Чтобы найти события, относящиеся к коррелятору или коллектору:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с нужным коррелятором или коллектором и нажмите Перейти к событиям.

   Откроется новая закладка браузера с открытым разделом KUMA События.

3. Чтобы найти события, нажмите на значок .

   Отобразится таблица с событиями, отобранными по поисковому выражению ServiceID = <идентификатор выбранного сервиса>.

Результаты поиска событий