Решение проблем при работе с агентом Kaspersky Unified Monitoring and Analysis Platform
Показать приложения и версии, для которых применима статья
- Kaspersky Unified Monitoring and Analysis Platform 3.2;
- Kaspersky Unified Monitoring and Analysis Platform 3.0.3;
- Kaspersky Unified Monitoring and Analysis Platform 3.0.2.
При работе с агентом Kaspersky Unified Monitoring and Analysis Platform (далее KUMA) могут возникать проблемы с подключением к серверам, просмотром журналов и поступлением событий. В большинстве случаев эти проблемы вы можете устранить самостоятельно.
Ошибка «The RPC server is unavailable»
Проблема
Не удается подключиться к серверам. В файле логирования WMI-агента возникает ошибка «The RPC server is unavailable».
Причина
Сервис на конечном сервере недоступен или работает некорректно. В файле логирования есть информация, к какому именно серверу не удается подключиться.
В большинстве случаев проблема связана с межсетевым экраном на сервере или с фильтрацией на уровне сети.
Решение
Для корректной работы WMI от агента до серверов должны быть открыты порты:
- 135 / TCP;
- 445 / TCP;
- 49152-65535 / TCP.
Чтобы открыть нужные порты через интерфейс:
- Нажмите комбинацию клавиш Win+R, чтобы открыть окно Выполнить на сервере источника событий.
- Введите запрос wf.msc и нажмите OK.
Откроется окно Монитор брандмауэра Защитника Windows в режиме повышенной безопасности.
- Перейдите в раздел Правила для входящих подключений и нажмите Создать правило в панели Действия.
Откроется Мастер создания правила для нового входящего подключения.
- Введите значения:
- Тип правила: Для порта;
- Протоколы и порты: Протокол TCP;
- Определенные локальные порты: 135, 445, 49152-65535;
- Действие: Разрешить подключение (выбрано по умолчанию);
- Профиль: снимите флажки Частный и Публичный;
- Имя: укажите имя правила для нового входящего подключения.
- Нажмите Готово.
Чтобы открыть порты без использования интерфейса, запустите командную строку с правами администратора и введите команду:
В результате соединение между агентом и серверами восстановится.
Ошибка «Access is denied»
Проблема
Не удается подключиться к журналам событий. В файле логирования агента сбора событий возникает ошибка «Access is denied» и перечисляются журналы событий, к которым не удалось подключиться.
Причина
Учетная запись, под которой запущена служба на ОС Windows, не имеет необходимых разрешений.
Решение
Проверьте, что у учетной записи есть разрешения на интересующие вас журналы событий. Запустите PowerShell с правами администратора и введите команду:
Скрипт выведет список ваших доступов к указанному журналу событий из записей SDDL (Security Descriptor Definition Language).
Если для учетной записи нет разрешения на доступ к журналу событий, выдайте его.
События не поступают через WMI-агент
Проблема
События не поступают в KUMA через WMI-агент. Сервис WMI-агента и коллектор, который принимает события от WMI-агента, имеют зеленый статус. В журнале ошибок агента и коллектора нет ошибок.
Данные логирования установленного коллектора KUMA располагаются на сервере с ролью Коллектор в каталоге /opt/kaspersky/kuma/collector/<идентификатор коллектора>/log, в файле collector.
Причина
В большинстве случаев проблема связана с тем, что для точек назначения на стороне агента не выбран разделитель. Он должен совпадать с разделителем, который выбран на коллекторе, принимающем события от WMI-агента, и иметь значение — \0.
Решение
- Откройте Редактирование агента.
- Перейдите в блоке Точки назначения на вкладку Дополнительные параметры и выберите значение \0 в поле Разделитель.