Как диагностировать и устранить проблемы на EPP-агентах Kaspersky Managed Detection and Response
Показать приложения и версии, для которых применима статья
- Kaspersky Managed Detection and Response;
- Kaspersky Endpoint Security 12 для Windows;
- Kaspersky Endpoint Security 11 для Windows;
- Kaspersky Endpoint Security 12 для Linux;
- Kaspersky Endpoint Security 11 для Linux;
- Kaspersky Endpoint Security 12 для Mac;
- Kaspersky Endpoint Security 11 для Mac;
- Kaspersky Endpoint Agent;
- Kaspersky Security для виртуальных сред Легкий агент;
- Kaspersky Anti Targeted Attack Platform.
Эта статья поможет вам проанализировать файлы трассировки ЕРР-приложений, которые передают данные в Kaspersky Managed Detection and Response (далее MDR), чтобы выявить и решить возможные проблемы.
Какие файлы нужны для диагностики
- Файлы трассировки Kaspersky Endpoint Security для Windows (далее KESW), чаще всего нужен файл KES*SRV*.log
- Файлы трассировки Kaspersky Endpoint Security для Linux (далее KESL), чаще всего нужен файл kesl*.log
- Конфигурационный файл Kaspersky Managed Detection and Response (далее MDR).
Как диагностировать и устранить потери данных телеметрии
Диагностика
Откройте файлы трассировки в любом текстовом редакторе и найдите строки, содержащие «Errcount»:
- Если потерь данных нет, вы увидите значение 0. Пример:
15:34:21.177 231473 INF ksnclnt SetRouteStatus for service FR succeeded: address = dc1-file.ksn.kaspersky-labs.com Errcount: 0
21:24:09.344 2053788 INF ksnclnt SetRouteStatus for service FR succeeded: address = dc1-file.ksn.kaspersky-labs.com Errcount: 0 - Если есть частичные потери данных, вы увидите значение 0 в некоторых сообщениях и количество ошибок в других сообщениях. Пример:
12:11:22.180 0x1af4 INF ksnclnt SetRouteStatus for service P2P succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 0
12:11:35.196 0x18cc INF ksnclnt SetRouteStatus for service S succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 4
12:11:43.482 0x1c88 INF ksnclnt SetRouteStatus for service FR succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 0
12:12:06.456 0x1c88 INF ksnclnt SetRouteStatus for service S succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 6 - Если данные не поступают, вы увидите количество ошибок во всех сообщениях. Пример:
12:24:54.801 0x1540 INF ksnclnt SetRouteStatus for service FR succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 4
12:24:55.943 0x1af4 INF ksnclnt SetRouteStatus for service FR succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 6
12:24:56.853 0x1418 INF ksnclnt SetRouteStatus for service U succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 7
12:25:08.039 0xde4 INF ksnclnt SetRouteStatus for service I succeeded: address = hqkscrootsrv1.avp.ru; used ip = 10.73.19.11 Errcount: 4
Решение
- Убедитесь, что на устройствах разрешена работа сервиса MDR:
- Перейдите в папку, где расположены файлы трассировки KESW, и выполните команду:
grep -i "allowed services" KES*SRV*.log | tail -1Если работа сервиса разрешена, вы увидите:
kesl.2946448.2023-08-24T173006.log:2023.08.24 14:30:10.097 2946539 INF ksnclnt Ping: Allowed Services = {V, U, P2P, FR, S, MDR} - Перейдите в папку, где расположены файлы трассировки KESL, и выполните команду:
grep -ai 'allowed services' kesl* | tail -1Если работа сервиса разрешена, вы увидите:
KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:24:30.569 0x1540 INF ksnclnt Ping: Allowed Services = {U, S, P2P, CERTINFO, F, FR, I, MDR, V}
- Перейдите в папку, где расположены файлы трассировки KESW, и выполните команду:
- Проверьте по инструкциям ниже, что на устройствах включены все обязательные компоненты. Вы можете дополнительно включить рекомендованные компоненты, чтобы обогатить данные телеметрии:
- Инструкция для Kaspersky Endpoint Security для Windows.
- Инструкция для Kaspersky Endpoint Security для Linux.
- Инструкция для Kaspersky Endpoint Security для Mac.
- Инструкция для Kaspersky Security для виртуальных сред.
Если возникают потери телеметрии от Kaspersky Endpoint Agent или Kaspersky Anti Targeted Attack Platform, убедитесь, что интеграция с MDR настроена. - Убедитесь, что для устройств применена политика Managed Detection and Response:
- В настройках политики установлен флажок Managed detection and response и редактирование настройки заблокировано («замок» закрыт).
- Файл BLOB загружен и кнопка Удалить активна: инструкция для устройств с KESW и инструкция для устройств с KESL.
- В Kaspersky Security Center загружен конфигурационный файл Kaspersky Private Security Network.
- Разрешите на устройствах исходящий незашифрованный сетевой трафик на серверы «Лаборатории Касперского» для портов 443 и 1443 и отключите проверку трафика.
- Cледуйте рекомендациям по настройке устройств для стабильной передачи данных телеметрии.
Как диагностировать и устранить проблемы лицензирования
Диагностика
- Для KESW:
- Перейдите в папку, где расположены файлы трассировки KESW.
- Проверьте дату окончания действия лицензии с помощью команды:
grep -i "expiration date" KES*SRV*.log | head -1Пример:KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:10:11.665 0xe64 INF aveng klavsys: #41900993 expiration date: 2026-08-06T00-00-00Z (0x1DD25368624C000)
- Проверьте дату окончания действия лицензии в файле BLOB с помощью команды:
grep -i "MdrBlobKeeper::UpdateBlob" KES*SRV*.logПример:KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:10:01.531 0x53c INF bl [MdrBlobKeeper] mdr product::component::mdr::MdrBlobKeeper::UpdateBlob: new blob size: 2313, content: status: 0, version: 1, expirationDate: 2026-08-06T00:00:00.000Z, ignoreKpsn: true
- Для KESL:
- Перейдите в папку, где расположены файлы трассировки KESL.
- Проверьте дату окончания действия лицензии с помощью команды:
grep -ai 'expiration date' kesl* | tail -n 1Пример:kesl.2946448.2023-08-24T173006.log:2023.08.24 14:30:10.578 2946458 INF aveng klavsys: #41900993 expiration date: 2026-08-06T00-00-00Z (0x1DD25368624C000)
- Убедитесь, что статус файла BLOB активен, с помощью команды:
grep -ai 'Blob status' kesl* | tail -1Пример:kesl.2946448.2023-08-24T173006.log:2023.08.24 14:30:10.578 2946458 DBG mdr Blob status: Valid, version: 1, signerpk size: 550, payload size: 48
Решение
- Продлите лицензию, если срок ее действия истек.
- Обновите файл BLOB, если он недействителен или в нем указан неверный срок действия лицензии. Для этого:
- Заново скачайте архив конфигурационного файла MDR.
- Распакуйте архив, чтобы извлечь файл BLOB.
- Загрузите файл BLOB в свойствах политики по инструкции для устройств с KESW и инструкции для устройств с KESL.
- Распространите политику на устройства.
Как диагностировать и устранить дублирование идентификатора устройства
Проблема
Два устройства поочередно появляются и исчезают в консоли MDR.
Причина
Часто проблему вызывает одинаковый идентификатор на двух устройствах, например, на клонированных виртуальных машинах.
Диагностика
Чтобы убедиться, что причина в дублировании идентификаторов:
- Соберите файлы трассировки на обоих устройствах.
- Перейдите в папку, где расположены файлы трассировки.
- Сравните значения идентификаторов на устройствах:
- В трассировках KESW найдите значения Machine id или base machine id с помощью команды:
grep -i 'machine id' KES*SRV*.logПример:KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:10:11.665 0xe64 INF ksvla ksvla::virtual_machine::CurrentDevice::MachineId: Machine id: 06A3481D-D433-47F8-91AE-571B1734912B
KES.21.16.6.467.SRV_2024-05-13T150959.0001956_0001.log:12:10:11.665 0xe64 INF bl product::VirtualMachineInfoProvider::TryLoadBaseMachineIdFromPersistentCacheOrSaveDefult: base machine id (from persistent storage): 06A3481D-D433-47F8-91AE-571B1734912B - В трассировках KESL найдите значение Machine ID salt loaded from KVS с помощью команды:
grep -ai 'machine id' kesl*Пример:kesl.2053651.2023-08-12T002406.log:2023.08.11 21:24:09.442 2053671 INF aveng apsmdr: #51926414 Machine ID salt loaded from KVS: 62472cf2-4ac8-11de-2f18-5b186731a4d0
- В трассировках KESW найдите значения Machine id или base machine id с помощью команды:
Решение
Измените идентификатор на одном из устройств:
- Обратитесь в техническую поддержку «Лаборатории Касперского», чтобы получить патч для KESW 12.5, 12.4, 12.3 или 12.2.
- Переустановите KESL.
Что делать, если решение не помогло
Если проблема сохраняется, соберите диагностическую информацию и создайте запрос в техническую поддержку «Лаборатории Касперского» через Kaspersky CompanyAccount.