Сервисы KUMA

Сервисы – это основные компоненты KUMA, с помощью которых система осуществляет работу с событиями: сервисы позволяют получить события из источников, чтобы в дальнейшем привести их к общему виду, удобному для поиска корреляций, а также для хранения и ручного анализа. Каждый сервис состоит из двух частей, работающих вместе:

• Одна часть сервиса создается внутри веб-интерфейса KUMA на основе набора ресурсов для сервисов.
• Вторая часть сервиса устанавливается в сетевой инфраструктуре, где развернута система KUMA, в качестве одного из ее компонентов. Серверная часть сервиса может состоять из нескольких экземпляров: например, сервисы одного и того же агента или хранилища могут быть установлены сразу на нескольких устройствах.

  В серверной части сервисы KUMA располагаются в директории /opt/kaspersky/kuma.

  При установке KUMA в отказоустойчивом варианте в кластере устанавливается только Ядро KUMA. Коллекторы, корреляторы и хранилища размещаются на хостах вне кластера Kubernetes.

Между собой части сервисов соединены с помощью идентификатора сервисов.

Типы сервисов:

• Хранилища – используются для хранения событий.
• Корреляторы – используются для анализа событий и поиска заданных закономерностей.
• Коллекторы – используются для получения события и конвертации их в формат KUMA.
• Агенты – используются для получения событий на удаленных устройствах и пересылки их в коллекторы KUMA.

В веб-интерфейсе KUMA сервисы отображаются в разделе Ресурсы → Активные сервисы в виде таблицы. Таблицу сервисов можно обновить с помощью кнопки Обновить и сортировать по столбцам, нажимая на активные заголовки.

Столбцы таблицы:

• Статус – статус сервиса:
  • Зеленый – сервис работает.
  • Красный – сервис не работает.
  • Желтый – этот статус применяется только к сервисам хранилища и означает, что нет соединения с узлами ClickHouse. Причина указывается в журнале сервиса, если было включено логирование.

    Таблицу можно фильтровать по этому параметру.

• Тип – вид сервиса: агент, коллектор, коррелятор, хранилище.
• Название – название сервиса. При нажатии на название сервиса открываются его настройки.
• Версия – версия сервиса.
• Тенант – название тенанта, которому принадлежит сервис.
• Полное доменное имя – доменное имя сервера, на котором установлен сервис.
• IP-адрес – IP-адрес сервера, на котором установлен сервис.
• Порт API – номер порта для внутренних коммуникаций.
• Время работы – как долго сервис работает.
• Создан – дата и время создания сервиса.

С помощью кнопки Добавить сервис можно создавать новые сервисы на основе существующих наборов ресурсов для сервисов.

Мы не рекомендуем создавать сервисы вне основного тенанта без предварительного внимательного планирования межтенантных взаимодействий различных сервисов и пользователей.

С помощью кнопок в верхней части этого окна можно выполнить следующие действия:

• перезапустить сервис;
• удалить сертификат сервиса;
• скопировать идентификатор сервиса;
• удалить сервис;
• просмотреть разделы хранилищ;
• просмотреть активные листы корреляторов;
• скачать журнал сервиса.

Чтобы изменить сервис, выберите сервис в разделе Ресурсы → Активные сервисы. Откроется окно с набором ресурсов, на основе которых был создан сервис. Вы можете изменить параметры набора ресурсов и сохранить изменения. Чтобы применить сохраненные изменения, перезапустите сервис.

Если вы, меняя параметры набора ресурсов коллектора, измените или удалите преобразования в подключенном к нему нормализаторе, правки не сохранятся, а сам нормализатор может быть поврежден. При необходимости изменить преобразования в нормализаторе, который уже является частью сервиса, вносите правки непосредственно в нормализатор в разделе веб-интерфейса Ресурсы → Нормализаторы.