Условия хранения алертов и инцидентов определяются следующими критериями:
Сроком хранения. По умолчанию алерты и инциденты хранятся в KUMA в течение 365 дней, но этот срок можно изменить, изменив параметры запуска программы в файле /usr/lib/systemd/system/kuma-core.service на сервере Ядра KUMA. См. раздел Изменение срока хранения алертов и инцидентов ниже в этой статье.
Условиями удаления. По истечении заданного срока хранения при соблюдении ряда условий алерты и инциденты могут продолжать храниться. См. раздел Условия удаления алертов и инцидентов ниже в этой статье.
Ограничения на размер хранимого алерта отсутствуют.
Изменение срока хранения алертов и инцидентов
Вы можете изменить срок хранения алертов и инцидентов одним из следующих способов:
В веб-интерфейсе KUMA.
В консоли командной строки.
Чтобы изменить срок хранения алертов и инцидентов в веб-интерфесе KUMA:
В веб-интерфейсе KUMA перейдите в раздел Параметры → Другое → Общие.
В открывшемся окне Общие в группе параметров Свойства Ядра задайте значение параметра Срок хранения алертов, дни.
Срок хранения алертов и инцидентов изменен.
Чтобы изменить срок хранения алертов и инцидентов в консоли командной строки:
Войдите в ОС сервера, на котором установлено Ядро KUMA.
В файле /usr/lib/systemd/system/kuma-core.service измените следующую строку, подставив нужное количество дней:
ExecStart=/opt/kaspersky/kuma/kuma core --alerts.retention <количество дней, в течение которых требуется хранить алерты и инциденты> --external :7220 --internal :7210
Перезапустите KUMA, выполнив последовательно следующие команды:
systemctl daemon-reload
systemctl restart kuma-core
Срок хранения алертов и инцидентов изменен.
Условия удаления алертов и инцидентов
В KUMA приняты следующие условия удаления алертов и инцидентов:
Если алерт старше срока хранения, вне зависимости от статуса алерта его события удаляются.
Если алерт старше срока хранения, находится в статусе Закрыт и не привязан к инциденту, алерт удаляется.
Если алерт старше срока хранения (вне зависимости от статуса алерта) и привязан к инциденту, срок хранения которого еще не истек, события алерта удаляются, сам алерт без событий доступен для отображения и остается привязанным к инциденту без событий.
Если инцидент старше срока хранения, статус инцидента Закрыт и у него нет привязанных алертов, инцидент удаляется.
Если инцидент старше срока хранения, статус инцидента Закрыт и к нему привязаны только алерты старше срока хранения (статус алертов, привязанных к закрытому инциденту всегда Closed, incident closed), инцидент вместе со всеми алертами и событиями удаляются.
Если инцидент старше срока хранения (вне зависимости от статуса инцидента), и к нему привязаны алерты, срок хранения которых еще не истек, не удаляется ничего.
Если инцидент старше срока хранения, в статусе отличном от Закрыт, и к нему привязаны алерты с истекшим сроком хранения, инцидент не удаляется, алерты не удаляются, события алертов удаляются.
Пустые алерты (алерты без событий, срок хранения которых истек) должны быть удалены вместе с инцидентами, когда для инцидента наступят условия удаления по сроку хранения (инцидент в статусе Закрыт и его срок хранения истек).
Если инцидент старше срока хранения, статус инцидента Закрыт, к нему привязаны алерты старше срока хранения и алерты, срок хранения которых еще не истек, инцидент не удаляется; алерты, срок хранения которых еще не истек, не удаляются; события алертов, срок хранения которых подошел к концу, удаляются, а сами алерты остаются пустыми и привязанными к инциденту.
Условия независимы, ни один пункт не исключает другой.