Инструменты сервисов

В этом разделе описываются инструменты по работе с сервисами, доступные в разделе веб-интерфейса KUMA Ресурсы → Активные сервисы.

Получение идентификатора сервиса

Идентификатор сервиса используется для связи частей сервиса – расположенных внутри KUMA и установленных в сетевой инфраструктуре – в единый комплекс. Идентификатор присваивается сервису при его создании в KUMA, а затем используется при установке сервиса на сервер.

Чтобы получить идентификатор сервиса:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с сервисом, идентификатор которого вы хотите получить, и нажмите Копировать идентификатор.

Идентификатор сервиса помещен в буфер. Его можно использовать, например, для установки сервиса на сервере.

Остановка, запуск и проверка статуса сервиса

В ходе работы с KUMA может возникнуть необходимость в следующих операциях:

• Временно остановить сервис. Например, в процессе восстановления Ядра из резервной копии или если вы хотите отредактировать параметры сервиса, связанные с операционной системой.
• Запустить сервис.
• Проверить статус сервиса.

В таблице "Команды остановки, запуска и проверки статуса сервиса" представлены команды, которые могут быть полезны во время работы с KUMA.

Команды остановки, запуска и проверки статуса сервиса

Перезапуск сервиса

Чтобы перезапустить сервис:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с сервисом и выберите нужную опцию:
   • Обновить параметры – обновить конфигурацию работающего сервиса, не останавливая его. Например, так можно изменить настройки сопоставления полей или параметры точки назначения.
   • Перезапустить – остановить сервис и запустить его снова. Эта опция используется для изменения таких параметров, как порт или тип коннектора.

     Особенности перезапуска агентов KUMA:

     • Агент KUMA для Windows может быть перезагружен, как описано выше, только если он запущен на удаленном компьютере. Если сервис на удаленном компьютере неактивен, при попытке перезагрузки из KUMA вы получите сообщение об ошибке. В этом случае следует перезапустить сервис Агент KUMA для Windows на удаленном компьютере с Windows. Чтобы узнать, как перезапустить сервисы Windows, обратитесь к документации, относящейся к версии операционной системы вашего удаленного компьютера с Windows.
     • Агент KUMA для Linux при использовании этой опции останавливается. Для запуска агента необходимо выполнить команду, с помощью которой он был запущен.
   • Сбросить сертификат – удалить сертификаты, используемые сервисом для внутренней связи. Например, эту опцию можно использовать для обновления сертификата Ядра.

     Особенности удаления сертификатов для агентов Windows:

     • Если агент находится в зеленом статусе и вы выбрали Сбросить сертификат, KUMA удаляет действующий сертификат и создает новый, агент продолжает работу с новым сертификатом.
     • Если агент находится в красном статусе и вы выбрали Сбросить сертификат, KUMA выдаст ошибку о том, что агент не запущен. В папке установки агента %PROGRAMDATA%\Kaspersky Lab\KUMA\agent\<ID агента>\certificates следует вручную удалить файлы internal.cert и internal.key и вручную запустить агент. При запуске агента новый сертификат будет создан автоматически.

     Особенности удаления сертификатов для агентов Linux:

     1. Независимо от статуса агента необходимо применить опцию Сбросить сертификат через веб-интерфейс, чтобы удалить сертификат в базах.
     2. В папке установки агента /opt/kaspersky/agent/<ID агента>/certificates следует вручную удалить файлы internal.cert и internal.key.
     3. Поскольку опция Сбросить сертификат останавливает агент, для продолжения работы следует вручную запустить агент. При запуске агента новый сертификат будет создан автоматически.

Удаление сервиса

Перед удалением сервиса получите его идентификатор. Идентификатор потребуется, чтобы удалить сервис с сервера.

Чтобы удалить сервис в веб-интерфейсе KUMA:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с нужным сервисом и нажмите Удалить.

   Откроется окно подтверждения.

3. Нажмите ОК.

Сервис удален из KUMA.

Чтобы удалить сервис с сервера, выполните следующую команду:

sudo /opt/kaspersky/kuma/kuma <collector/correlator/storage> --id <идентификатор сервиса> --uninstall

Сервис удален с сервера.

Окно Разделы

Создав и установив сервис хранилища, вы можете просмотреть его разделы в таблице Разделы.

Чтобы открыть таблицу Разделы:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с нужным хранилищем и нажмите Смотреть разделы.

Откроется таблица Разделы.

В таблице есть следующие столбцы:

• Тенант – название тенанта, которому принадлежат хранимые данные.
• Создан – дата создания раздела.
• Пространство – название раздела.
• Размер – размер раздела.
• События – количество хранимых событий.
• Переход к холодному хранению – дата, когда данные будут перенесены с кластеров ClickHouse на диски для холодного хранения.
• Окончание хранения – дата, когда истекает срок действия раздела. По достижении этого срока раздел и содержащиеся в нем события перестают быть доступны.

Вы можете удалять разделы.

Чтобы удалить раздел:

1. Откройте таблицу Разделы (см. выше).
2. Откройте раскрывающийся список слева от необходимого раздела.
3. Выберите Удалить.

   Откроется окно подтверждения.

4. Нажмите ОК.

Раздел удален. Разделы для событий аудита удалить невозможно.

Поиск связанных событий

Вы можете искать события, обработанные определенным коррелятором или коллектором.

Чтобы найти события, относящиеся к коррелятору или коллектору:

1. Войдите в веб-интерфейс KUMA и откройте раздел Ресурсы → Активные сервисы.
2. Установите флажок рядом с нужным коррелятором или коллектором и нажмите Перейти к событиям.

   Откроется новая вкладка браузера с открытым разделом KUMA События.

3. Чтобы найти события, нажмите на значок .

   Отобразится таблица с событиями, отобранными по поисковому выражению ServiceID = <идентификатор выбранного сервиса>.

Результаты поиска событий

При поиске событий вы можете получить следующую ошибку о недоступности шарда:

Code: 279. DB::NetException: All connection tries failed. Log: \\n\\nTimeout exceeded while connecting to socket (host.example.com:port, connection timeout 1000 ms)\\nTimeout exceeded while connecting to socket (host.example.com:port, connection timeout 1000 ms)\\nTimeout exceeded while connecting to socket (host.example.com:port, connection timeout 1000 ms)\\n\\n: While executing Remote. (ALL_CONNECTION_TRIES_FAILED) (version 23.8.8.207)\\n\"}",

В этом случае вам нужно переопределить параметры ClickHouse в параметрах хранилища.

Чтобы переопределить параметры ClickHouse:

1. В веб-интерфейсе KUMA в разделе Ресурсы → Хранилища нажмите на ресурс хранилища, который вы хотите изменить.

   Откроется окно Редактирование хранилища.

2. Чтобы пропускать недоступные шарды при поиске, в поле Переопределение параметров ClickHouse вставьте следующие строки:

   <profiles>

   <default>

   <skip_unavailable_shards>1</skip_unavailable_shards>

   </default>

   </profiles>

3. Чтобы применить параметры ClickHouse, нажмите на кнопку Сохранить.
4. Перезапустите сервисы хранилища, зависящие от этого ресурса.

После этого ошибка о недоступности шарда будет устранена, и вы можете снова искать события, обработанные определенным коррелятором или коллектором.