# FAQ
Ниже вы можете найти ответы на часто задаваемые вопросы, а также задать свои в комментариях
---
##### **Q**: Где найти логи компонентов KUMA?
**A**: Логи всех компонентов находятся по пути `/opt/kaspersky/kuma///log/`
`` - collector, correlator, storage, agent
`` - id соответствующего сервиса
- Логи core
- KUMA до 3.0 `/opt/kaspersky/kuma/core/log/core`
- KUMA 3.0 `/opt/kaspersky/kuma/core/log/stdout.log` и `/opt/kaspersky/kuma/core/log/stderr.log`
- KUMA 3.2 `/opt/kaspersky/kuma/core/00000000-0000-0000-0000-000000000000/log/stdout.log` и `/opt/kaspersky/kuma/core/00000000-0000-0000-0000-000000000000/log/stderr.log`
- Логи агента Windows `C:\ProgramData\Kaspersky Lab\KUMA\agent\\agent.log`
- Логи mongodb `/opt/kaspersky/kuma/mongodb/log/mongod.log`
- Логи grafana `/opt/kaspersky/kuma/grafana/data/log/grafana.log`
---
##### **Q:** Как посмотреть id (идентификатор) сервиса?
**A:** В веб-интерфейсе перейти на вкладку **Ресурсы** - **Активные сервисы**. Поставить галочку слева от нужного сервиса и в верхней части интерфейса выбрать **Копировать идентификатор**. Идентификатор сервиса будет скопирован.
---
##### **Q:** Как отправить пример события на коллектор?
**A:** Можно воспользоваться утилитой nc (текстом и из файла):
```
nc <адрес коллектора> <порт коллектора> <<< "тестовое событие"
nc <адрес коллектора> <порт коллектора> < events.txt
```
Для отправки по udp нужно добавить к командам ключ `-u`
Также можно воспользоваться труЪ способом (для tcp и udp соответственно):
```
echo "тестовое событие" > /dev/tcp/<адрес коллектора>/<порт коллектора>
echo "тестовое событие" > /dev/udp/<адрес коллектора>/<порт коллектора>
```
Еще примеры - [**тут**](https://kb.kuma-community.ru/books/kuma-how-to/page/pervicnyi-trablsut-v-kuma-troubleshoot#bkmrk-%D0%9E%D1%82%D0%BF%D1%80%D0%B0%D0%B2%D0%BA%D0%B0-%D1%82%D0%B5%D1%81%D1%82%D0%BE%D0%B2%D0%BE%D0%B3%D0%BE-%D1%81).
---
##### **Q:** Как отправлять события на http-коллектор?
**A:** Для отправки события на http-коллектор используется POST запрос на URL `http://:/input`
Событие помещается в body запроса.
---
##### **Q:** Как открыть порт на межсетевом экране KUMA?
**A:** Используются стандартные команды межсетевых экранов
firewalld (для Oracle Linux):
```
firewall-cmd --add-port=7220/tcp --permanent
firewall-cmd --reload
```
ufw (для Astra Linux):
```
ufw allow 7220/tcp
ufw reload
```
---
##### **Q:** Как отредактировать файл hosts в Windows?
**A:** Запустите cmd.exe от имени администратора и выполните команду:
```cmd
notepad.exe %WINDIR%\System32\drivers\etc\hosts
```
Внесите изменения в файл и сохраните (`Ctrl + S`)
---
##### **Q:** Можно ли устанавливать несколько агентов на один сервер?
**A:** Официально, нет. Правильный способ - создавать сервис агента с несколькими Подключениями (Config's).
---
##### **Q:** Что указывать в URL udp/tcp коннектора?
**A:** Достаточно указать просто порт через двоеточие, например, `:5151`
---
##### **Q:** Сбор не стандартных журналов с Windows-агентом KUMA, на примере Powershell"
**A:** Если необходимо анализировать определенные журналы приложений, напишите имя журнала в выпадающем списке и нажмите Добавить.
[](https://kb.kuma-community.ru/uploads/images/gallery/2023-12/itEimage.png)
Пример, с Powershell, сначала смотрим в свойствах журнала в EventViewer полное название:
[](https://kb.kuma-community.ru/uploads/images/gallery/2023-12/Wnzimage.png)
Добавляем в агент:
[](https://kb.kuma-community.ru/uploads/images/gallery/2023-12/layimage.png)
---
##### **Q:** Ошибка Windows-агента при установке "No mapping between account names and security IDs was done."
**A:** Опечатка в логине пользователя, указанного в ключе `--user`
---
##### **Q:** Обновил KUMA до 2.1, не могу найти kuma-clickhouse.service, все пропало?
**A:** Начиная с версии 2.1 отдельного микросервиса kuma-clickhouse больше нет. Clickhouse теперь дочерний процесс сервиса kuma-storage-<id>
---
##### **Q:** Как работает механизм опроса хостов в коннекторе WMI в реализации агента kuma?
**A:** Агент обходит все серверы и пытается собрать с них логи. Если какой то сервер не доступен, агент запишет ошибку доступа в лог и перейдёт к следующему серверу в списке. К проблемному серверу в следующий раз придёт через 60 сек. И так до бесконечности. Если проблемный сервер оживет через 10 дней, то логи с него будут собираться автоматом. Это верно для версии 2.1.
---
##### **Q:** Как записать что-либо в поле Timestamp?
**A:** Никак. Для записи временных меток пользователем есть поля EndTime, StartTime и другие.
---
##### **Q:** Как в поиске по событиям указать, что поле должно быть непустым?
**A:** `!=''` для строковых полей и `!=0` для числовых. Пример:
```sql
SELECT * FROM `events` WHERE Name != '' AND SourcePort != 0
```
---
##### **Q:** Как посмотреть сколько места занимают партиции с данными за день?
**A:** Место можно посмотреть в вебе: **Активные сервисы** - **Хранилище** - **Смотреть разделы**
---
##### **Q:** Каким способом лучше всего собирать логи KSC?
**A:** Однозначного ответа нет: сбор из БД не требует дополнительной лицензии; сбор в формате CEF требует лицензию Расширенный и выше; сбор Syslog требует долгой настройки, как на стороне KSC, так и на стороне нормализатора.
---
##### **Q:** Где посмотреть список поддерживаемых источников / нормализаторов из коробки?
**A:** Онлайн-справка: [https://support.kaspersky.com/KUMA/2.1/ru-RU/255782.htm](https://support.kaspersky.com/KUMA/2.1/ru-RU/255782.htm)
---
##### **Q:** Как обратиться к полю Extra при использовании шаблонов?
**A:** С помощью конструкции `{{index .Extra "myField1"}}{{index .Extra "myField2"}}`
[](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/oznimage.png)
---
##### **Q:** Могут ли компоненты KUMA работать за NAT?
**A:** Да, начиная с версии 2.1 компоненты KUMA умеют находиться за NAT. Для этого при установке сервисов нужно указать дополнительные параметры:
```bash
--advertise.api.port string API port to be reported to Core
--advertise.fqdn string FQDN to be reported to Core
```
---
##### **Q:** Как в корреляции обратиться к служебным полям активного листа?
**A:** У активных листов есть следующие служебные поля:
- \_count (счетчик количества записей)
- \_created (время создания записи UnixTime, в наносекундах)
- \_updated (время обновления записи UnixTime, в наносекундах)
- \_expires (время окончания жизни записи UnixTime, в наносекундах)
- \_key (значение ключевой записи)
---
##### **Q:** В каком формате задается время в поиске событий по REST API?
**A:** Время задается в теле запроса в блоке period (в параметрах from и to). Для времени в UTC формат должен быть следующим:
**`YYYY-MM-DDThh:mm:ssZ`**
Пример:
```
2022-12-08T17:30:00Z
```
При необходимости, можно также указать таймзону в формате **`+/-hh:mm`** без пробела после времени и литеры **`Z`**
Пример:
```
2022-12-08T17:30:00+03:00
```
---
##### **Q:** Удалил сервис KUMA из веб-интерфейса, но забыл скопировать ID для удаления в консоли, как найти ID?
**A:** Можно в поиске событий выполнить запрос:
```sql
SELECT * FROM `events` WHERE DeviceAction = 'service deleted' AND Type=4 ORDER BY Timestamp DESC LIMIT 250
```
В результате поиска можно будет увидеть события удаления сервиса. ID сервиса будет в поле `DeviceExternalID`.
---