Skip to main content

FAQ

Ниже вы можете найти ответы на часто задаваемые вопросы, а также задать свои в комментариях


Q: Где найти логи компонентов KUMA?

A: Логи всех компонентов находятся по пути /opt/kaspersky/kuma/<component>/<id>/log/<component>

<component> - collector, correlator, storage, agent

<id> - id соответствующего сервиса

  • Логи core  /opt/kaspersky/kuma/core/log/core
  • Логи агента Windows  C:\ProgramData\Kaspersky Lab\KUMA\agent\<id>\agent.log
  • Логи mongodb  /opt/kaspersky/kuma/mongodb/log/mongod.log
  • Логи grafana  /opt/kaspersky/kuma/grafana/data/log/grafana.log

Q: Как посмотреть id (идентификатор) сервиса?

A: В веб-интерфейсе перейти на вкладку Ресурсы - Активные сервисы. Поставить галочку слева от нужного сервиса и в верхней части интерфейса выбрать Копировать идентификатор. Идентификатор сервиса будет скопирован.


Q: Как отправить пример события на коллектор?

A: Можно воспользоваться утилитой nc (текстом и из файла):

nc <адрес коллектора> <порт коллектора> <<< "тестовое событие"
nc <адрес коллектора> <порт коллектора> < events.txt

Для отправки по udp нужно добавить к командам ключ -u

Также можно воспользоваться труЪ способом (для tcp и udp соответственно):

echo "тестовое событие" > /dev/tcp/<адрес коллектора>/<порт коллектора>
echo "тестовое событие" > /dev/udp/<адрес коллектора>/<порт коллектора>

Q: Как отправлять события на http-коллектор?

A: Для отправки события на http-коллектор используется POST запрос на URL http://<collector ip/fqdn>:<port>/input
Событие помещается в body запроса.


Q: Как открыть порт на межсетевом экране KUMA?

A: Используются стандартные команды межсетевых экранов

firewalld (для Oracle Linux):

firewall-cmd --add-port=7220/tcp --permanent
firewall-cmd --reload

ufw (для Astra Linux):

ufw allow 7220/tcp

Q: Как отредактировать файл hosts в Windows?

A: Запустите cmd.exe от имени администратора и выполните команду:

notepad.exe %WINDIR%\System32\drivers\etc\hosts

Внесите изменения в файл и сохраните (Ctrl + S)


Q: Можно ли устанавливать несколько агентов на один сервер?

A: Официально, нет. Правильный способ - создавать сервис агента с несколькими Подключениями (Config's).


Q: Что указывать в URL udp/tcp коннектора?

A: Достаточно указать просто порт через двоеточие, например, :5151


Q: Ошибка Windows-агента при установке "No mapping between account names and security IDs was done."

A: Опечатка в логине пользователя, указанного в ключе --user


Q: Обновил KUMA до 2.1, не могу найти kuma-clickhouse.service, все пропало?

A: Начиная с версии 2.1 отдельного микросервиса kuma-clickhouse больше нет. Clickhouse теперь дочерний процесс сервиса kuma-storage-<id>


Q: Как работает механизм опроса хостов в коннекторе WMI в реализации агента kuma? 

A: Агент обходит все серверы и пытается собрать с них логи. Если какой то сервер не доступен, агент запишет ошибку доступа в лог и перейдёт к следующему серверу в списке. К проблемному серверу в следующий раз придёт через 60 сек. И так до бесконечности. Если проблемный сервер оживет через 10 дней, то логи с него будут собираться автоматом. Это верно для версии 2.1.


Q: Как записать что-либо в поле Timestamp?

A: Никак. Для записи временных меток пользователем есть поля EndTime, StartTime и другие.