Сервисы KUMA
Сервисы – это основные компоненты KUMA, с помощью которых система осуществляет работу с событиями: сервисы позволяют получить события из источников, чтобы в дальнейшем привести их к общему виду, удобному для поиска корреляций, а также для хранения и ручного анализа. Каждый сервис состоит из двух частей, работающих вместе:
- Одна часть сервиса создается внутри веб-интерфейса KUMA на основе набора ресурсов для сервисов.
- Вторая часть сервиса устанавливается в сетевой инфраструктуре, где развернута система KUMA, в качестве одного из ее компонентов. Серверная часть сервиса может состоять из нескольких экземпляров: например, сервисы одного и того же агента или хранилища могут быть установлены сразу на нескольких устройствах.
В серверной части сервисы KUMA располагаются в директории
/opt/kaspersky/kuma.При установке KUMA в отказоустойчивом варианте в кластере устанавливается только Ядро KUMA. Коллекторы, корреляторы и хранилища размещаются на хостах вне кластера Kubernetes.
Между собой части сервисов соединены с помощью идентификатора сервисов.
Типы сервисов:
- Хранилища – используются для хранения событий.
- Корреляторы – используются для анализа событий и поиска заданных закономерностей.
- Коллекторы – используются для получения события и конвертации их в формат KUMA.
- Агенты – используются для получения событий на удаленных устройствах и пересылки их в коллекторы KUMA.
В веб-интерфейсе KUMA сервисы отображаются в разделе Ресурсы → Активные сервисы в виде таблицы. Таблицу сервисов можно обновить с помощью кнопки Обновить и сортировать по столбцам, нажимая на активные заголовки. Также вы можете настроить отображение столбцов в таблице с помощью раскрывающегося списка, который вы можете вызвать, нажав на кнопку в виде шестеренки в верхнем правом углу. В раскрывающемся списке установите флажок рядом с названиями тех столбцов, которые вы хотите отображать в таблице. Вы можете оставить для отображения только один любой столбец из списка.
Максимальный размер таблицы не ограничен. Если вы хотите выбрать все сервисы, прокрутите таблицу до конца и установите флажок Выбрать все, таким образом все доступные в таблице сервисы будут выбраны.
Столбцы таблицы:
- Статус – статус сервиса:
- Зеленый – сервис работает и доступен с сервера Ядра.
- Красный – сервис не работает или не доступен с сервера Ядра.
- Желтый – этот статус применяется ко всем сервисам, кроме агента. Желтый статус означает, что сервис работает, но в журнале сервиса есть ошибки или для сервиса есть алерты от Victoria Metrics. Сообщение об ошибке можно просмотреть, если навести курсор мыши на статус сервиса в разделе Активные сервисы.
- Фиолетовый – этот статус применяется к работающим сервисам, у которых изменился конфигурационный файл в базе данных и при этом отсутствуют другие ошибки. Если у сервиса некорректный конфигурационный файл и есть ошибки, например от Victoria Metrics, статус сервиса будет желтым.
- Серый – если в удаленном тенанте был работающий сервис, который продолжает работать, на странице Активные сервисы он будет отображаться с серым статусом. Сервисы в сером статусе остаются после удаления тенанта, чтобы вы могли скопировать идентификатор и удалить сервисы на серверах. Удалить сервисы с серым статусом может только Главный администратор. При удалении тенанта сервисы этого тенанта привязываются к Главному тенанту.
- Тип – вид сервиса: агент, коллектор, коррелятор, хранилище, маршрутизатор событий.
- Название – название сервиса. При нажатии на название сервиса открываются его настройки.
- Версия – версия сервиса.
- Тенант – название тенанта, которому принадлежит сервис.
- Полное доменное имя – доменное имя сервера, на котором установлен сервис.
- IP-адрес – IP-адрес сервера, на котором установлен сервис.
- Порт API – номер порта для внутренних коммуникаций.
- Время работы – как долго сервис работает.
- Создан – дата и время создания сервиса.
В таблице предусмотрена сортировка данных по возрастанию и убыванию, а также по параметру Статус и по типу сервиса в столбце Тип. Вы можете отсортировать активные сервисы, вызвав контекстное меню правой кнопкой мыши и выбрав один или несколько статусов и тип.
С помощью кнопок в верхней части окна Сервисы можно выполнить следующие групповые действия:
- Добавить сервис
Вы можете создавать новые сервисы на основе существующих наборов ресурсов для сервисов. Мы не рекомендуем создавать сервисы вне основного тенанта без предварительного внимательного планирования межтенантных взаимодействий различных сервисов и пользователей.
- Обновить
Вы можете обновить список активных сервисов.
- Обновить параметры
Кнопка Обновить параметры не будет доступна, если среди сервисов, выбранных для групповых действий, есть сервис Ядра KUMA или какой-либо из выбранных сервисов находится в сером статусе. Чтобы кнопка Обновить параметры стала доступна для групповых действий, снимите флажок с сервиса Ядра KUMA и сервисов в сером статусе.
- Перезапустить
Для действий с отдельными сервисами воспользуйтесь контекстным меню, которое вы можете вызвать нажатием правой кнопки мыши. Доступны следующие действия:
- Сбросить сертификат
- Удалить
- Скачать журнал
Если вы хотите получать детализированные данные, настройте в параметрах сервиса режим Отладка.
- Копировать идентификатор сервиса
Идентификатор понадобится вам для установки, перезапуска, остановки или удаления сервиса.
- Перейти к событиям
- Смотреть активные листы
- Смотреть контекстные таблицы
- Смотреть разделы
Чтобы изменить сервис, выберите сервис в разделе Ресурсы → Активные сервисы. Откроется окно с набором ресурсов, на основе которых был создан сервис. Вы можете изменить параметры набора ресурсов и сохранить изменения. Чтобы применить сохраненные изменения, перезапустите сервис.
Если вы, меняя параметры набора ресурсов коллектора, измените или удалите преобразования в подключенном к нему нормализаторе, правки не сохранятся, а сам нормализатор может быть поврежден. При необходимости изменить преобразования в нормализаторе, который уже является частью сервиса, вносите правки непосредственно в нормализатор в разделе веб-интерфейса Ресурсы → Нормализаторы.