Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.ru/kuma/4.2/231034](https://support.kaspersky.ru/kuma/4.2/231034)
Актуальные для развёртывания системы пакеты KUMA запросите у сотрудника Лаборатории Касперского.
Порядок обновления с предыдущих версий KUMA - [https://support.kaspersky.ru/kuma/4.2/222156](https://support.kaspersky.ru/kuma/4.2/222156)
Карта доступов для KUMA [https://support.kaspersky.ru/kuma/4.2/217770](https://support.kaspersky.ru/kuma/4.2/217770) **Дополнение:** Между шардами кластера хранилища необходимо также открывать порт **9000**, несмотря на то, что это не указано в таблице документации
--- ### Внешние доступы 1. В процессе развертывания KUMA не подключается к внешним URL 2. В процессе работы KUMA может подключаться ко внешним URL в следующих случаях: - обновление контента (получение правил корреляции, нормализаторов и т.п.) по следующим [адресам](https://support.kaspersky.ru/common/start/6105) (либо используйте офлайн обновление [ссылка)](https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/page/obnovlenie-resursov-s-pomoshhiu-kaspersky-update-utility-kuu) - обращение к KSN при наличии интеграции с KIRA или обнаружения DLL-Hijacking (требуется лицензия на модуль AI) по следующим адресам: [https://llm-gateway.ksn.kaspersky-labs.com](https://llm-gateway.ksn.kaspersky-labs.com/) и [https://dc1-file.ksn.kaspersky-labs.com](https://dc1-file.ksn.kaspersky-labs.com/) - обращение к TIP (Threat Intelligence Portal) порталу для обогащения (требуется лицензия на TIP портал, отдельный продукт) или получение фидов продуктом Cyber Trace по следующим адресам: [https://wlinfo.kaspersky.com](https://wlinfo.kaspersky.com/) Также, во всех перечисленных случаях необходим доступ до серверов инфраструктуры публичных ключей: [http://crl.kaspersky.com](http://crl.kaspersky.com/) и [http://ocsp.kaspersky.com](http://ocsp.kaspersky.com/) --- ### Подготовка целевой машины #### Дистрибутивы Oracle Linux 9.4: [https://yum.oracle.com/ISOS/OracleLinux/OL9/u4/x86\_64/OracleLinux-R9-U4-x86\_64-dvd.iso](https://yum.oracle.com/ISOS/OracleLinux/OL9/u4/x86_64/OracleLinux-R9-U4-x86_64-dvd.iso) Ubuntu LTS 22.04 (система работает наиболее производительно): [https://releases.ubuntu.com/jammy/](https://releases.ubuntu.com/jammy/) (cкачайте iso `...live-server-amd64.iso`) Astra Linux SE 1.7.5: Приобретается отдельно. Сайт производителя: [https://astralinux.ru/](https://astralinux.ru/) --- #### Разбивка диска - `/` и другие системные разделы - суммарно 16Гб - `/opt` - все остальное место - `/var/log` - 5Гб (не обязательно, но рекомендуется) --- #### Общие требования ##### Процессор Набор инструкций SSE4.2 (для работы ClickHouse) Инструкция AVX (для KUMA 3.2 для MongoDB) ##### Имя хоста В качестве имени хоста ОБЯЗАТЕЛЬНО использовать FQDN (полное доменное имя, в котором есть хотя бы 1 точка), например, `kuma-1.mydomain.local`. ```bash hostnamectl set-hostname kuma-1.mydomain.local ```При установке / обновлении на версию 3.2.х имя хоста НЕ должно начинаться с цифры
Имя хоста можно задать во время установки (зависит от инсталятора ОС), либо после.Настоятельно не рекомендуется изменять FQDN машин после установки KUMA, особенно на сервере с компонентом Core! Это приведет к невозможности проверки подлинности сертификатов и нарушит сетевое взаимодействие между компонентами KUMA. Для восстановления работоспособности потребуется перевыпуск сертификатов всех сервисов, а также изменение их конфигурации!
Зарегистрируйте целевые машины в DNS-зоне вашей организации. Для пилотных инсталляций, как альтернативу, можно использовать файл hosts. Для этого на каждой целевой машине укажите в файле hosts имена всех машин и их ip-адреса (включая адрес машины, на которой происходит настройка). ##### Синхронизация времени Настройте временную зону и синхронизацию системного времени с NTP-сервером на всех серверах KUMA. Это можно сделать во время установки ОС.Не создавайте на целевых машинах пользователя **kuma**! Он создается автоматически при установке продукта и наличие в системе пользователя с таким же именем может сделать вход в систему невозможным (придумайте другое имя).
Отключите SELinux на тех ОС, для которых это применимо (Oracle, Ubuntu).Требования к установке на различных ОС приведены в официальной документации: [https://support.kaspersky.com/help/KUMA/3.2/ru-RU/231034.htm](https://support.kaspersky.com/help/KUMA/3.2/ru-RU/231034.htm)
Убедитесь, что в рамках одной инсталляции KUMA на разных хостах не используются одновременно Python версии 3.6 и Python версии 3.10 и выше. Данное ограничение также распространяется на контрольный хост. Пример **НЕкорректной** конфигурации: *Контрольный хост — Python 3.11.13* *Целевые хосты — Python 3.6.8*
##### Oracle Linux Основные пакеты: - python3 (python 3.6 - 3.11) - netaddr - firewalld ```bash sudo yum install -y python3.6 python3-netaddr ``` Только для Oracle 9.x: - compat-openssl11 ```bash sudo yum install -y compat-openssl11 ``` Только для сервера Ядра (как правило, не требуются, если сервер установлен с GUI): - nss - gtk2 - atk - libnss3.so - libatk-1.0.so.0 - libxkbcommon - libdrm - at-spi2-atk - mesa-libgbm - alsa-lib - cups-libs - libXcomposite - libXdamage - libXrandr ```bash sudo yum install -y nss gtk2 atk libnss3.so libatk-1.0.so.0 libxkbcommon libdrm at-spi2-atk mesa-libgbm alsa-lib cups-libs libXcomposite libXdamage libXrandr ``` ##### Astra Linux Основные пакеты: - python3 (python 3.6 - 3.11) - python3-apt - curl - libcurl4 - netaddr - python3-cffi-backend ```bash sudo apt install -y python3 python3-apt curl libcurl4 python3-netaddr python3-cffi-backend ```Перед установкой KUMA рекомендуется проверить наличие в ОС сервиса ufw (обычно устанавливается по умолчанию, но встречаются инсталляции, в которых сервис отсутствует): systemctl status ufw Если сервис отсутствует, выполнить установку (рекомендуемый вариант). Нерекомендуемый вариант: в файле инвентаря изменить значение параметра no\_firewall\_actions c **false** на **true**
Только для сервера Ядра (как правило, не требуются, если сервер установлен с GUI): - libgtk2.0.0 - libnss3 - libatk-adaptor - libatk1.0-0 - libdrm-common - libgbm1 - libxkbcommon0 - libasound2 ```bash sudo apt install -y libgtk2.0.0 libnss3 libatk-adaptor libatk1.0-0 libdrm-common libgbm1 libxkbcommon0 libasound2 ``` Дополнительно требуется присвоить пользователю, под которым вы собираетесь установить KUMA необходимый уровень прав с помощью команды ниже ```bash sudo pdpl-user -i 63 <имя пользователя> ``` ##### Ubuntu Основные пакеты: - python3 (python 3.6 - 3.11) - python3-apt - curl - libcurl4 - openssl 1.1.1 - acl ```bash sudo apt install python3-apt curl libcurl4 acl ``` Для установки openssl 1.1.1 необходимо скачать пакет [libssl1.1\_1.1.1f-1ubuntu2\_amd64.deb](http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/) и установить его: ```bash sudo dpkg -i libssl1.1_1.1.1f-1ubuntu2_amd64.deb ``` Только для сервера Ядра (как правило, не требуются, если сервер установлен с GUI): - libatk1.0-0 - libgtk2.0-0 - libatk-bridge2.0-0 - libcups2 - libxcomposite-dev - libxdamage1 - libxrandr2 - libgbm-dev - libxkbcommon-x11-0 - libpangocairo-1.0-0 - libasound2 ``` sudo apt install libatk1.0-0 libgtk2.0-0 libatk-bridge2.0-0 libcups2 libxcomposite-dev libxdamage1 libxrandr2 libgbm-dev libxkbcommon-x11-0 libpangocairo-1.0-0 libasound2 ``` --- ### Требования для Хранилища и Keeper #### Процессор - с частотой от 2 ГГц; - с архитектурой x86\_64 и **поддержкой инструкций SSE 4.2**; - Рекомендуется использовать технологии Turbo Boost и Hyper-Threading (при наличии);ClickHouse работает более эффективно в конфигурациях с большим количеством ядер, но с более низкой тактовой частотой, чем в конфигурациях с меньшим количеством ядер и более высокой тактовой частотой. Например, 16 ядер с 2600 MHz предпочтительнее, чем 8 ядер с 3600 MHz.
#### ОЗУ Необходимый объём RAM зависит от Сложности запросов и Объёма данных, обрабатываемых в запросах. - Рекомендуемый объем оперативной памяти от 16 Гб (для объемов данных ~ 16 - 32 ТБ \[горячее хранение\]); - Рекомендуемый объем оперативной памяти от 32 Гб (для объемов данных ~ 32 - 48 ТБ); - Рекомендуемый объем оперативной памяти от 48 Гб (для объемов данных ~ 48 - 64 ТБ); - Рекомендуемый объем оперативной памяти от 64 Гб (для объемов данных ~ 64 - 80 ТБ); - Рекомендуемый объем оперативной памяти от 128 Гб (для объемов данных > 80 ТБ); *В идеальном случае: Количество Гб ОЗУ примерно равно количеству ТБ хранилища.*Приемы оптимизации - [**ссылка**](https://kb.kuma-community.ru/link/55#bkmrk-%C2%A0%D0%9C%D0%BE%D0%B6%D0%B5%D1%82-%D0%B1%D1%8B%D1%82%D1%8C-%D0%BF%D0%BE%D0%BB%D0%B5%D0%B7%D0%BD%D0%BE-)
#### ДискОтключайте файл подкачки (swap) в продуктовых средах.
Настоятельно рекомендуется использовать SSD (обычно ~ > 15k EPS) или HDD-рейд (SAS 10-15k RPM) в зависимости от нагрузки (до 15-25k EPS) и профиля использования системы, если не предполагается выполнение агрегационных SQL-запросов с большой глубиной.Пропускная способность диска является более важным фактором по сравнению с IOPS.
В случае использовании хранилищ в виде виртаульных машин на гипервизоре то необходимо использовать отдельные дисковые массивы для каждого из хранилищ. Также не желательно нахождение вместе с хранилищем других высоконагруженных сервисов на одном гипервизоре.
Файловая система **ext4** — самый надежный вариант. XFS тоже работает хорошо. Большинство других файловых систем также должны работать нормально. FAT-32 и exFAT не поддерживаются из-за отсутствия жестких ссылок. Работа на NFS, тоже не лучшая идея. Размер блока 64 КБ достаточен для большинства конфигураций RAID. Средний размер записи на сервере Clickhouse составляет примерно 1 МБ (1024 КБ), поэтому рекомендуемый размер страйпа (stripe) также составляет 1 МБ.При необходимости размер блока можно оптимизировать, установив его равным 1 МБ, разделенному на количество дисков без четности в RAID-массиве, так что каждая запись распараллеливается на всех доступных дисках без четности. Никогда не устанавливайте размер блока слишком маленьким или слишком большим.
Keeper более критичен к диску и требует от 1000 IOPS, в зависимости от нагрузки, идеально использовать тип носителя NVMe
#### Сеть - Keeper нужен IPv6, включите его в ОС, если он отключен; - По возможности, используйте сети 10G и более высокого класса, минимально подойдет 1G. - Пропускная способность сети критически важна для обработки распределенных запросов с большим количеством промежуточных данных. Также, скорость сети влияет на задержки в процессах репликации. - Сетевые задержки не должны превышать 150 мс.Keeper рекомендуется устанавливать на отдельные сервера, отдельно от ClickHouse (при возможности, обычно это ~ > 50k EPS), т.к. Keeper менее производителен при установке на одном узле с ClickHouse. Процессор и ОЗУ - по сайзингу.
--- ### Требования для Core / Collector / Correlator Требования к процессору (для KUMA от версии 3.2 для работы MongoDB требуется **наличие инструкций процессора AVX**) и ОЗУ по сайзингу, диски можно использовать любые HDD от 7,5k RPM от 0,5 ТБ.Любое новое обогащение или агрегация на коллекторе это ~+ 100-200 Мб к ОЗУ (учитывайте это при расчете)
Объем диска на ядре зависит от количества создавемых алертов, рекомендуется от 1 ТБ
--- ### Требования к отказоустойчивому ядру в кластере Kubernetes Требования к процессору и ОЗУ по сайзингу. #### ДискБыстрые диски являются наиболее важным фактором производительности и стабильности развертывания.
По возможности используйте диски SSD, в крайнем случе подойдет HDD RAID 10 (SAS 10-15k RPM); #### Сеть - Обычно 1GbE достаточно для обычных развертываний. Но если есть возможность, то 10GbE более предпочтительно; - Сетевые задержки не должны превышать 100 мс. # Обновление/Установка KUMA # Обновление/Установка KUMA версии от 2.1.ХИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.com/KUMA/2.1/ru-RU/217904.htm
Убедитесь, что все пункты из **[статьи подготовки](https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/page/podgotovka-os-pered-ustanovkoi-i-trebovaniia)** в системе соблюдены
При установке / обновлении на версию 3.2.х если имя хоста НЕ должно начинаться с цифры
1\. Создайте резервную копию ресурсов и сертификатов, см. [советующий раздел](https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/page/rezervnoe-kopirovanie-i-vosstanovlenie-kuma) в этой книге. 2\. Распакуйте архив (операции выполняются на ядре системы KUMA): ```bash tar -xvf kuma-ansible-installer-(ВЕРСИЯ).tar.gz ``` 3\. Перейдите в распакованную папку: ```bash cd kuma-ansible-installer ``` 4\. Добавить файл лицензии в папку kuma-ansible-installer/roles/kuma/files и переименовать на license.key: ```bash cp ПУТЬ_ДО_КЛЮЧА*.key roles/kuma/files/license.key ``` 5\. ВАЖНО! Регистр написания хостнеймов в inventory должен совпадать с выводом значения на хостах команды ```bash hostname -f ``` 6\. ВАЖНО! Хостнейм при команде `hostname -f` должен содержать хотя бы одну точку, пример: `kuma.local` 7\. Выполните команду копирования шаблона (либо подставьте ранее использованный файл single или distributed при обновлении, в случае первичной установки смотрите пример заполенения [**тут**](https://kb.kuma-community.ru/books/polzovatelskie-stati/page/obnovlenieustanovka-kuma-versii-do-20x-raspredelennaia-installiaciia)):В случае ручной правки файла старайтесь не добавлять лишних пробелов.
Официальная справка - [https://support.kaspersky.com/kuma/4.2/218011 ](https://support.kaspersky.ru/kuma/4.2/218011)
Если справка не помогла: После установки KUMA в активных сервисах служб хранилиша и keeper можно указать собственную конфигурацию работы кластера, чтобы убрать использование ipv6 по умолчанию необходимо добавить следующую конфигурацию в соответсвующем блоке: ```xmlВ случае, если при установке произошел сбой (НЕ обновлении), перед последующей установкой рекомендуется выполнить ./uninstall.sh <ваш\_инвентарь.yml>
Если деморесурсы не появились при первичной установке в активных сервисах рекомендуется ручаня установка сервисов - [подробнее](https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/chapter/ustanovka-komponentov-kuma-na-otdelnuiu-masinu)
# Установка KUMA с отказоустойчивым ядром - RAFTИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора. Официальная документация по данному разделу приведена в [Онлайн-справке](https://support.kaspersky.ru/help/KUMA/4.0/ru-RU/303366.htm) на продукт.
Кластер RAFT **поддерживается в KUMA с версии 4.0** и позволяет обеспечить доступность компонентов ядра KUMA, в случае сбоя работы одного из компонентов. Допустимо развертывать только нечетное количество сервисов Ядра KUMA. **Схема ядра в RAFT (хранилище представлено с двумя репликами, т.е. с копией данных)** [](https://kb.kuma-community.ru/uploads/images/gallery/2026-03/sxema-setevogo-vzaimodeistviia-kuma-4-raft-drawio.png) #### Теория В кластере Raft каждый из серверов в каждый момент времени находится в одном из трёх состояний: - Leader (лидер) – обрабатывает все клиентские запросы, является source of truth всех данных в логе, поддерживает лог фоловеров. - Follower (фоловер) – пассивный сервер, который только «слушает» новые записи в лог от лидера и редиректит все входящие запросы от клиентов на лидера. По сути, является hot-standby репликой лидера. - Candidate (кандидат) – специальное состояние сервера, возможное только во время выбора нового лидера. Во время нормальной работы в кластере только один сервер является лидером, все остальные – его фоловеры. Например, в случае 3 компонентов ядра из строя может выйти толкьо 1 компонент, для иного количества компонентов - пока работает формула **(n+1)/2**. Полезная ссылка для понимания механизма работы: [https://thesecretlivesofdata.com/raft/](https://thesecretlivesofdata.com/raft/) Сетевые задержки не должны превышать 150 мс. #### Расширение ядра до кластера в RaftСценарии установки с установкой Ядра в кластере Raft смотреть можно [тут](https://support.kaspersky.ru/help/KUMA/4.0/ru-RU/303370.htm)
Данный сценарий реализуется, если KUMA находится в инсталяции, где одно ядро (standalone). Для этого необходимо [подготовить](https://support.kaspersky.com/help/KUMA/3.4/ru-RU/231034.htm) дополнительные целевые машины для установки сервисов, а также на контрольной машинке настроить обмен SSH [ключами](https://support.kaspersky.ru/help/KUMA/4.0/ru-RU/222083.htm). После создать копию файла на контрольной машине (с которой предполагается развертывание) **expand.inventory.yml.template** из распакованного архива KUMA ```bash cp expand.inventory.yml.template expand.inventory.yml ``` Далее отредактировать файл **expand.inventory.yml** (разворачиваем дополнительные ядра 2 и 3):  В хостах указываем FQDN и проверяем их доступность с контрольной машины, а также на всех компонентах ядра должно быть единое время, настройте на всех машинах NTP. Далее на контрольной машине с доступом root из папки с распакованным установщиком (скриншот выше) выполните следующую команду для начала установки: ```bash ./expand.sh expand.inventory.yml ``` В результате выполнения команды на каждой целевой машине, указанной в файле инвентаря expand.inventory.yml, появятся файлы для создания и установки дополнительных сервисов Ядра KUMA, для этого проверьте **наличие директории /opt/kaspersky/kuma/kuma** В разделе **Ресурсы → Активные сервисы** нажмите **Добавить** и в раскрывающемся списке выберите **Добавить сервис Ядро.** #####  В открывшемся окне Добавить сервис Ядро укажите имя сервиса в поле Имя сервиса Ядро и нажмите Добавить. Добавленный сервис появится в списке Сервисы. #####  Установите флажок рядом с добавленным сервисом Ядра KUMA и на панели инструментов нажмите , в открывшемся меню нажмите Копировать идентификатор. Идентификатор сервиса Ядра KUMA понадобится для установки сервиса на сервере. Далее на целевой машине необходимо установить службу специальным образом: ```bash sudo /opt/kaspersky/kuma/kuma core --raft.joinНа каждом хосте может быть установлен только один сервис Ядра KUMA.
После успешной установки в веб-интерфейсе KUMA, вы увидеть статус сервисов **Вкл** ##### [](https://kb.kuma-community.ru/uploads/images/gallery/2025-08/1gsimage.png) Если ведущий узел выходит из строя, сервер будет следовать за новым ведущим, обеспечивая непрерывный доступ к интерфейсу SIEM или API.Журналы Ядра KUMA хранятся в директории /opt/kaspersky/kuma/core/<`идентификатор сервиса Ядра KUMA`>/log/core.
#### Установка балансировщика - nginx Установим балансировщик нагрузки nginx для удобства работы с кластером Raft, а именно обращение по единому hostname / IP-адресу.Когда одна из нод кластера отказывает, балансировщик перенаправляет запросы на активные ноды
Для установки балансировщика поднимем отдельный сервер и на него установим **nginx,** далее необходимо отредактировать файл `/etc/nginx/nginx.conf` и добавить конфиг в конец файла ```json stream { upstream raft_backend { server kuma-test.local:7220 max_fails=1 fail_timeout=5s; server kuma-core-2.local:7220 backup; server kuma-core-3.local:7220 backup; } server { listen 443; proxy_pass raft_backend; ssl_preread on; } } ``` Далее перезапустить сервис `systemctl restart nginx.service` Для проверки работоспособности отключаем сервис ядра на **kuma-test** командой `systemctl stop kuma-core-<идентификатор-ядра>.service.` В браузере вводим `https://В основу алгоритма Raft заложено понятие кворум - минимальное количество нод, необходимое для принятия решений, или большинство. При большинстве рабочих нод в кластере можно проводить голосование, выбирать лидера и принимать изменения
В нашем случае, если останется 1 живая нода - не сработает. Нода не образует кворум, а если захочет стать лидером, это никто не подтвердит. ##### Возможные ошибки кластера ядра: Если вы столкнулись с ошибками после установки балансировщика, примеры: ``` request dropped as the cluster is not ready failed to lookup: can't serve requests, not enough healthy nodes ``` Убедитесь, что у вас достаточное количество рабочих нод в кластере для его работы. #### Альтернатива балансировщику - установка keepalived В основу данного способа заложена интеграция виртуального IP-адреса (VIP) с использованием функции keepalived для предоставления единой точки доступа. Такая конфигурация обеспечивает автоматическое переключение между узлами при отказе. На каждом запускается скрипт для мониторинга состояния соответствующей службы ядра. Все узлы обслуживают веб-интерфейс через собственные полные доменные имена (FQDN), но VIP обеспечивает унифицированный и стабильный доступ, обеспечивая доступность без вмешательства пользователя. [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/iUWimage.png) Детализация демонстрационных машин [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/mdb2a55985b-9f21-43df-a1cf-00c60b34e330.png) Мы также рекомендуем предоставлять отдельный сервера для каждого компонента. После подготовки файла distributed.inventory.yml, необходимо сконфигурировать VIP для всех нод Установка Keepalived на все основные узлы: `dnf install -y keepalived` Для каждого узла требуется собственный скрипт для мониторинга локальной службы KUMA Core. Сохраните скрипт как `/etc/keepalived/check_kuma.sh.` Пример для Core1 (ksiem-core1): ```bash #!/bin/bash if systemctl is-active --quiet kuma-core-00000000-0000-0000-0000-000000000000; then exit 0 else exit 1 fi ``` Настройте имя службы для каждого узла (каждый имеет уникальное имя). Вы можете найти основную службу KUMA, выполнив команду на каждом узле: `systemctl list-units --type=service | grep kuma-core` Сделайте скрипт исполняемым: `chmod +x /etc/keepalived/check_kuma.sh` Далее настройте keepalived. Создайте или отредактируйте файл /etc/keepalived/keepalived.conf на каждом узле. Ниже представлена адаптированная конфигурация. **Core -1** ```json vrrp_script chk_kuma { script "/etc/keepalived/check_kuma.sh" interval 2 timeout 3 fall 2 rise 3 } vrrp_instance VI_1 { state MASTER interface ens34 #необходимо поменять в соотетсвии со своей конфигурацией virtual_router_id 51 priority 110 advert_int 1 authentication { auth_type PASS auth_pass secretpass } virtual_ipaddress { 192.168.100.200 } track_script { chk_kuma } } ``` **Core -2 ** ```json vrrp_script chk_kuma { script "/etc/keepalived/check_kuma.sh" interval 2 timeout 3 fall 2 rise 3 } vrrp_instance VI_1 { state BACKUP interface ens34 #поменяйте в соответcвии со своими параметрами virtual_router_id 51 priority 100 advert_int 1 authentication { auth_type PASS auth_pass secretpass } virtual_ipaddress { 192.168.100.200 } track_script { chk_kuma } } ``` **Core - 3** ```json vrrp_script chk_kuma { script "/etc/keepalived/check_kuma.sh" interval 2 timeout 3 fall 2 rise 3 } vrrp_instance VI_1 { state BACKUP interface ens34 #поменяйте в соответcвии со своими сетевыми параметрами virtual_router_id 51 priority 90 advert_int 1 authentication { auth_type PASS auth_pass secretpass } virtual_ipaddress { 192.168.100.200 } track_script { chk_kuma } } ``` Далее выполните команды ```bash systemctl enable keepalived systemctl start keepalived ``` Зайдите в веб-интерфейс KUMA через VIP FKDN (ksiem.demo.lab) активируйте KUMA и убедитесь, что все ноды сервисов установлены и их статус "зеленый" [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/Trtimage.png) #### Возможные проблемы ##### Проблема 1 Когда устанавливается сервис хранилища или другие ноды хранилища, необходимо указать все FQDN ядер в команде, ниже представлен пример того, как установить хранилище в Raft -е ( 2 replica и 3 keeper) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/QeHimage.png) ##### Проблема 2. Как коллектор и коррелятор будут работать в этом режиме? Когда вы создаете коллектор или коррелятор, все 3 ноды автоматически добавятся в скрипт, запустите этот скрипт на сервере (коллектора или коррелятора), в этом случае, если core1 упадет, то вы все равно будете иметь доступ к настройкам коррелятора или коллектора [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/J3uimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2025-09/7Yfimage.png) # Установка KUMA с отказоустойчивым ядром - Kubernetes Отказоустойчивость KUMA обеспечивается путем внедрения ядра KUMA в кластер Kubernetes, развернутый установщиком KUMA. В качестве распределённого блочного хранилища для кластера используется Longhorn. Схема: | Трафик KUMA core в отказоустойчивой конфигурации (трафик, в котором и источником и получателем выступают внешние сервисы KUMA здесь не рассматривается) | |||
| В таблице указаны инициатор соединения (источник) и назначение. Номер порта на инициаторе может быть динамическим. Обратный трафик в рамках установленного соединения не должен блокироваться | |||
| Источник | Назначение | Порт назначения | Тип |
| Внешние сервисы KUMA | Балансировщик нагрузки | 7209 | tcp |
| Внешние сервисы KUMA | Балансировщик нагрузки | 7210 | tcp |
| Внешние сервисы KUMA | Балансировщик нагрузки | 7220 | tcp |
| Внешние сервисы KUMA | Балансировщик нагрузки | 7222 | tcp |
| Внешние сервисы KUMA | Балансировщик нагрузки | 7223 | tcp |
| Рабочий узел | Балансировщик нагрузки | 6443 | tcp |
| Рабочий узел | Балансировщик нагрузки | 8132 | tcp |
| Управляющий узел | Балансировщик нагрузки | 6443 | tcp |
| Управляющий узел | Балансировщик нагрузки | 8132 | tcp |
| Управляющий узел | Балансировщик нагрузки | 9443 | tcp |
| Рабочий узел | Внешние сервисы KUMA | в зависимости от настроек при создании сервиса | tcp |
| Балансировщик нагрузки | Рабочий узел | 7209 | tcp |
| Балансировщик нагрузки | Рабочий узел | 7210 | tcp |
| Балансировщик нагрузки | Рабочий узел | 7220 | tcp |
| Балансировщик нагрузки | Рабочий узел | 7222 | tcp |
| Балансировщик нагрузки | Рабочий узел | 7223 | tcp |
| Внешние сервисы KUMA | Рабочий узел | 7209 | tcp |
| Внешние сервисы KUMA | Рабочий узел | 7210 | tcp |
| Внешние сервисы KUMA | Рабочий узел | 7220 | tcp |
| Внешние сервисы KUMA | Рабочий узел | 7222 | tcp |
| Внешние сервисы KUMA | Рабочий узел | 7223 | tcp |
| Рабочий узел | Рабочий узел | 179 | tcp |
| Рабочий узел | Рабочий узел | 9500 | tcp |
| Рабочий узел | Рабочий узел | 10250 | tcp |
| Рабочий узел | Рабочий узел | 51820 | udp |
| Рабочий узел | Рабочий узел | 51821 | udp |
| Управляющий узел | Рабочий узел | 10250 | tcp |
| Балансировщик нагрузки | Управляющий узел | 6443 | tcp |
| Балансировщик нагрузки | Управляющий узел | 8132 | tcp |
| Балансировщик нагрузки | Управляющий узел | 9443 | tcp |
| Рабочий узел | Управляющий узел | 6443 | tcp |
| Рабочий узел | Управляющий узел | 8132 | tcp |
| Рабочий узел | Управляющий узел | 10250 | tcp |
| Управляющий узел | Управляющий узел | 2380 | tcp |
| Управляющий узел | Управляющий узел | 6443 | tcp |
| Управляющий узел | Управляющий узел | 9443 | tcp |
| Управляющий узел | Управляющий узел | 10250 | tcp |
| Консоль управления кластером (CLI) | Балансировщик нагрузки | 6443 | tcp |
| Консоль управления кластером (CLI) | Управляющий узел | 6443 | tcp |
Минимальная конфигурация, на которую можно произвести установку - один контроллер, совмещенный с рабочим узлом. Данная конфигурация не обеспечивает отказоустойчивости core и служит для демонстрации возможностей/проверки программной среды.
Для реализации отказоустойчивости необходим выделенный контроллер кластера и минимум 2 рабочих узла. Если контроллер кластера содержит рабочую нагрузку и под (pod) с Core размещается на нем, то его отключение приведет к полной потере доступа к Core.
На всех компонентах ядра должно быть единое время, настройте на всех машинах NTP
На контроллерах кластера должен быть уникальный machine-id, это значит, что не рекомендуется клонирование машин с этой ролью, либо необходимо изменить ID на машинах до установки. **Внимание!** Допустимость данной операции должен определять администратор хоста с учётом возможного использования machine-id другими сервисами! `rm /etc/machine-id /var/lib/dbus/machine-id && dbus-uuidgen --ensure=/etc/machine-id && dbus-uuidgen --ensure && reboot`
1. В нашем случае мы будем использовать установку All-In-One хост kuma-1.local, один узел контроллера (хост kuma-2.local) и два рабочих узла (хост kuma-3.local и kuma-4.local), пример файла инвентаря: [https://box.kaspersky.com/f/bf06497b5b004dc3b1e5/](https://box.kaspersky.com/f/bf06497b5b004dc3b1e5/) Другие примеры инвентарей: [https://box.kaspersky.com/d/b397490dc08048acb671/](https://box.kaspersky.com/d/b397490dc08048acb671/) 2.При установке с нуля kuma\_core игнорируется, его заполнение нужно только для переноса ранее установленной коры без HA в кластер Kubernetes Т.е. kuma\_core должен быть равен одному из kuma\_worker, если у нас уже есть кума и мы тащим ее в кубер.
3. В распределенной установке kuma в секции инвентаря kuma\_core нужно указать хост, который есть в роли worker (один из двух) 4. ВАЖНО! Для успешной установки должны быть соблюдены следующие требования: - все машины кластера должны быть добавлены в `/etc/hosts`; - установлены пакеты в соответствии с: [https://support.kaspersky.com/help/KUMA/3.2/ru-RU/244399.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/244399.htm); - На Astra Linux на машине балансировщика нужно установить в дополнение пакету nginx еще один пакет **libnginx-mod-stream** - в `/var/lib/` должно быть не менее 32GB свободного места; 5. Значение переменных в инвентаре ansible: - `low_resources` – использовать минимальные ресурсы для разворачивания? Отсутсвует по умолчанию. (Достаточно ресурсов: 2 CPU 4 RAM, **НО при этом создается том хранения 4 Гб**, без этого параметра том создается 512 Гб) - для части инвентаря kuma\_k0s и переменных ansible\_host важно указывать IP адреса - `kuma_managed_lb: false` - если используется собственный (балансировщик организации, не KUMA) балансировщик, при этом указать FQDN этого балансировщика (для корректного формирования сертификата коры) - `no_firewall_actions: false` - инсталлятор будет пытаться открыть необходимые порты на МЭ данного хоста - Остальные значения переменных: [https://support.kaspersky.ru/help/KUMA/3.4/ru-RU/244406.htm](https://support.kaspersky.ru/help/KUMA/3.4/ru-RU/244406.htm) 6. Создайте резервную копию ресурсов и сертификатов, [см. советующий раздел в этой инструкции](https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/page/rezervnoe-kopirovanie-i-vosstanovlenie-kuma). 7. Распакуйте архив (операции выполняются на ядре системы KUMA): `tar -xvf kuma-ansible-installer-(ВЕРСИЯ).tar.gz` 8. Перейдите в распакованную папку: `cd kuma-ansible-installer` 9. Добавить файл лицензии в папку kuma-ansible-installer/roles/kuma/files и переименовать на license.key: `cp ПУТЬ_ДО_КЛЮЧА*.key roles/kuma/files/license.key` 10. Выполните команду копирования шаблона (пример заполненного файла в п. 0): `cp k0s.inventory.yml.template k0s.inventory.yml ` 11. ВАЖНО! Регистр написания хостнеймов в inventory должен совпадать с выводом значения на хостах команды `hostname -f` 12. ВАЖНО! Хостнейм при команде `hostname -f` должен содержать хотя бы одну точку, пример: kuma.local 13. Входим в ОС из-под суперпользователя (root), если это не было сделано ранее: `sudo -i` 14. Запустите установку: `./install.sh k0s.inventory.yml` 15. Зайдите на веб интерфейс ядра KUMA по одному из адресов рабочих узлов или балансировщика, например, в нашем случае это - [https://192.168.0.153:7220](https://192.168.0.153:7220) Учетные данные для входа по умолчанию: `admin / mustB3Ch@ng3d!` 16. Для начального администрирования кластера воспользуйтесь командами [**этого раздела**](https://kb.kuma-community.ru/books/kuma-how-to/page/pervicnyi-trablsut-v-kuma-troubleshoot#bkmrk-%D0%9C%D0%BE%D0%BD%D0%B8%D1%82%D0%BE%D1%80%D0%B8%D0%BD%D0%B3-%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%8B-%D1%8F%D0%B4).В случае, если при установке произошел сбой (НЕ обновлении), перед последующей установкой рекомендуется выполнить uninstall.sh и перезагрузить все узлы кластера. Если uninstall выполнить нельзя (идет миграция существующей установки в кластер), то перед повторной попыткой установки нужно вручную выполнить команду **sudo k0s reset** (если долгий reset, то **rm -rf /var/lib/k0s/containerd**, затем **k0s reset -d**) на всех узлах кластера и перезагрузить их
Перестроение между воркерами в кластере Kubernetes происходит с таймаутом ~ 5 мин
Отказоустойчивость балансировщиков, см. [**тут**](https://kb.kuma-community.ru/link/41#bkmrk-%C2%A0-3)
Для работы с кластером можно использовать команды и инструменты [**отсюда**](https://kb.kuma-community.ru/link/55#bkmrk-%D0%9C%D0%BE%D0%BD%D0%B8%D1%82%D0%BE%D1%80%D0%B8%D0%BD%D0%B3-%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%8B-%D1%8F%D0%B4)
Видео установки в конфигурации AiO-1LB-1CP-2W [**тут**](https://box.kaspersky.com/f/92f75a82224746dfa0f1/)
# Установка KUMA на ОС с установленным антивирусом В случае установки KUMA на ОС с установленным антивирусом необходимо в политике антивирусной защиты выставить исключение проверок средства защиты для папки: ``` /opt/kaspersky/kuma/* ``` Более гранулярный доступ описан в этой статье - [https://support.kaspersky.ru/kuma/4.2/230384](https://support.kaspersky.ru/kuma/3.2/230384) # Подготовка Astra Linux 1.7.х (с картинками)Пак автомной установки KUMA (офлайн пакеты для Astra) — [ссылка на mail.ru тк объем большой](https://cloud.mail.ru/public/B6cP/chPrUhXMR)
### Начало установки. Выбор языка и режим «Графическая установка». На скриншотах ниже показан пошаговый процесс установки с комментариями. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/bxjimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/FKKimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/NIXimage.png) Установщик Astra Linux позволяет ввести только короткое имя компьютера (short host name). Задать FQDN имя компьютера (long host name) возможно после установки ОС. Подробнее см. Примечание 1. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/XKAimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/w9zimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/AkOimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/jrLimage.png) Разметка дисков выполняется на усмотрение администратора ОС. Учитывайте пожалуйста пункты из [подготовки ОС](https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/page/podgotovka-os-pered-ustanovkoi-i-trebovaniia). Для целей демонстрационной установки выбран метод «Авто – использовать весь диск». [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/qImimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/1foimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/GXrimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/OtJimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/fk7image.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/wwCimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/hXNimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/tSkimage.png) Минимальная установка для сервера без графического интерфейса. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/BAcimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/4z3image.png) Выбор уровня защищенности согласно документации для используемого приложения. Для целей демонстрационной установки выбран уровень “Орел”. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/jF4image.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/5j0image.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/deAimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/eDPimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/P8Vimage.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/Mj8image.png) [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/ljvimage.png) ### Примечание 1 Сразу после установки ОС в минимальной конфигурации нет сети. И имя компьютера установлено в short host name. Для конфигурации сетевых параметров ОС можно применить один из способов: Пакет NetworkManager: - предоставляет утилиту nmtui для настройки параметров в псевдографическом интерфейсе консоли; - содержит инструмент nmcli для гибкой настройки в командной строке. Пакет ifupdown с настройками конфигурационного файла `/etc/network/interfaces` - будет удобен, если используется простая конфигурация с получением сетевого адреса по DHCP.[https://wiki.astralinux.ru/pages/viewpage.action?pageId=3277370](https://wiki.astralinux.ru/pages/viewpage.action?pageId=3277370) Во избежание конфликтов со службой networking служба NetworkManager НЕ РАБОТАЕТ с сетевыми интерфейсами, перечисленными в файле /etc/network/interfaces или в файлах в каталоге /etc/networking/interfaces.d/. По умолчанию в файле /etc/network/interfaces присутствует только интерфейс локальной петли (loopback).
#### Использование NetworkManager Сразу после установки ОС вы можете установить соответствующий пакет командой: ```bash sudo apt install network-manager ``` По умолчанию используется репозиторий установочного диска Astra Linux, который является активным в конфигурационном файле `/etc/apt/sources.list`. Публичные репозитории закомментированы. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/mXiimage.png) Чтобы приступить к настройке сетевых параметров в псевдографике выполните команду: `nmtui` [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/kF1image.png) Здесь вы можете изменить имя узла на FQDN, настроить сетевой интерфейс, проверить параметры ipv4 и ipv6. #### Использование конфигурационного файла interfaces. (сложнее) Если не требуется специальная настройка и параметры сети будут получены по DHCP. Открыть на редактирование: ```bash sudo nano /etc/network/interfaces ``` Добавить в файл комментарий, начинающийся с # (по желанию) и параметры ```bash # The eth0 network interface auto eth0 iface eth0 inet dhcp ``` Перезапустите службу сети: `sudo /etc/init.d/networking restart` Проверьте параметры сетевого интерфейса: `sudo ifconfig` Задайте имя компьютера в FQDN: ```bash hostname -f hostnamectl hostnamectl set-hostname app-server-01.example.com ``` [](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/Ki5image.png) Пропишите IP адрес и FQDN в файле /etc/hosts ```bash nano /etc/hosts ``` Текстовый файл hosts: ```bash 127.0.0.1 localhost 192.168.1.1 app-server-01.example.com # The following lines are desirable for IPv6 capable hosts ::1 localhost ip6-localhost ip6-loopback ff02::1 ip6-allnodes ff02::2 ip6-allrouters ``` статья будет в скором времени дополнена ... # Установка компонентов KUMA на отдельную машину # Установка службы хранилища (если этого не произошло при установке)Данная инструкция применима только в случае, если KUMA была успешно установлена, но служба хранилища не была развернута из демонстрационных ресурсах. Инструкция приведенная ниже подразумевает, что все действия и команды выполняются на серверах с размещенными файлами clickhouse и созданными учетными записями. В противном случае следует воспользоваться инструкцией: [https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/page/ustanovka-xranilishha-kuma](https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/page/ustanovka-xranilishha-kuma)
Создаем сервис хранилища перейдите в **Ресурсы – Хранилища** затем нажать на кнопку Добавить хранилище придумайте название и затем укажите количество дней хранения событий и событий аудита (от 365 дней срок хранения аудита) и узлы кластера (от версии 2.1) в соответствии с проведенной установкой, ниже пример для All-In-One установки (укажите fqdn хранилища): [](https://kb.kuma-community.ru/uploads/images/gallery/2023-10/u7Simage.png) затем нажмите **Сохранить**. Публикуем созданный сервис **Ресурсы – Активные сервисы** затем выбрать созданный ранее сервис и нажать на кнопку **Создать сервис**.В случае [кластера хранилищ](https://kb.kuma-community.ru/books/kuma-how-to/page/ustroistvo-klastera-xranilishha), опубликуйте этот же сервис по количеству отдельных машин хранилищ и keeper'ов
Скопируйте идентификатор сервиса: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-10/OGFimage.png) Зайдите по ssh на сервер где будет разворачиваться сервис хранилища и выполните команду (api.port 7230 можно использовать произвольный никем не занятый порт), сначала выполним проверку (без установки, ошибки приналичии будут отображаться в консоли):Сначала происходит установка keeper'ов, затем нод Clickhouse
У каждой из машин хранилищ и keeper'ов должен быть свой уникальный идентификатор
Устанавливаем службу хранилища: ``` /opt/kaspersky/kuma/kuma storage --id <ВАШ_ИДЕНТИФИКАТОР> --core https://В точке назначения в KUMA прописываются URL всех хранилищ, отдельно установленные машины с ролью keeper указывать НЕ нужно
Аналогичные действия понадобятся для установки остальных компонентов, только в интерфейсе будет доступна команда, которую необходимо будет выполнить для установки службы. Для удаления службы хранилища (если необходимо), можно использовать следующую команду: ``` /opt/kaspersky/kuma/kuma storage --id <ВАШ_ИДЕНТИФИКАТОР> --uninstall ``` # Установка коллектора/коррелятора Для установки дополнительного коллектора/коррелятора необходимо подготовить машину установив на нее поддерживаемую ОС и создав разделы в системе аналогично разделу «Подготовка» этой инструкции, а также другие компоненты KUMA должны быть доступны по сети от этой машины.С машины должен происходить резолв хостнеймов ядра и других компонентов, в случае отсутствия DNS пропишите IP в /etc/hosts. Доступы необходимы согласно **[этой](https://kb.kuma-community.ru/books/kuma-how-to/page/sxema-setevogo-vzaimodeistviia-kuma-arxitektura)** схеме.
1. Скопировать исполняемый файл kuma с любого из установленных компонентов KUMA (либо пакета установки `/kuma-ansible-installer/roles/kuma/files/kuma`), создайте идентичную структуру папок: - `/opt/kaspersky/kuma/kuma` 2. Создайте пользователя и группу kuma на новой машине: ```bash useradd -Mrs /usr/bin/false kuma ``` 3. Создайте структуру папок /opt/kaspersky/kuma/ на новой машине, добавьте папки correlator и collector. 4. Поменяйте владельца и группу исполняемого файла и всех подпапок и принимаете соглашение ```bash chmod +x /opt/kaspersky/kuma/kuma touch /opt/kaspersky/kuma/LICENSE chown kuma:kuma -R /opt/kaspersky/kuma/* /opt/kaspersky/kuma/kuma license ``` Далее процесс установки службы коллектора/коррелятора проходит аналогично стандартному процессу. [Пример с DNS коллектором.](https://kb.kuma-community.ru/books/podkliucenie-istocnikov/page/ms-dns#bkmrk-%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-%D0%BA%D0%BE%D0%BB%D0%BB%D0%B5%D0%BA%D1%82%D0%BE%D1%80%D0%B0)Начиная с версии KUMA 2.1.3 доступен отдельный плейбук и скрипт для централизованной установки компонентов на отдельные сервера. Подробнее по ссылке: [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/222160.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/222160.htm)
# Установка хранилища KUMA Для установки дополнительного хранилища или других компонентов необходимо подготовить машину установив на нее поддерживаемую ОС и создав разделы в системе аналогично [разделу «Подготовка»](https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/page/podgotovka-os-pered-ustanovkoi-i-trebovaniia) этой книги, а также другие компоненты KUMA должны быть доступны по сети от этой машины. Действия необходимо выполнять из машины откуда происходит(ла) централизованное разворачивание системы. Для актуальных версий (c 3.2) с помощью expand.inventory: Перейдите в папку установки `kuma-ansible-installer` ```bash cp expand.inventory.yml.template expand.inventory.yml ``` Отредактируйте файл expand.inventory.yml, пример установки хранилища на kuma-additional-storage-1.example.com ниже: ``` kuma: vars: ansible_connection: ssh ansible_user: root children: kuma_collector: kuma_correlator: kuma_storage: hosts: kuma-additional-storage-1.example.com: ``` Запустите начало установки, следующей командой: ```bash PYTHONPATH="$(pwd)/ansible/site-packages:${PYTHONPATH}" python3 ./ansible/bin/ansible-playbook -i expand.inventory.yml expand.inventory.playbook.yml ``` Для KUMA от 3.х: ```bash PYTHONPATH="$(pwd)/ansible/site-packages:${PYTHONPATH}" python3 ./ansible/bin/ansible-playbook -i expand.inventory.yml expand.playbook.yml ``` или ```bash ./expand.sh expand.inventory.yml ``` Для старых версий: - Для установки отдельного хранилища (вне кластера ClickHouse) заполните данными о новой машине файл `additional-storage-cluster.inventory.yml.template` из инвентаря (его можно взять [отсюда](https://box.kaspersky.com/d/6f90b674d46c4e04bb9f/)) из папки установки, поменяйте в скрипте установки install.sh плейбук (последняя строчка) с `install.playbook.yml` на `additional-storage-cluster.playbook.yml`, затем запустите установку. - Для установки хранилища входящий в состав кластера ClickHouse) дополните данными о новой машине файл инвентаря `distributed.inventory.yml` (который ранее использовался для разворачивания системы) из папки установки.В случае добавления нового сервера с репликой копирование данных начнется с текущего времени
# Установка агента Linux ### хорошо Создание и публикация сервиса агента 1\. Зайдите в веб-интерфейс KUMA и перейдите на вкладку **Ресурсы** – **Агенты**. 2\. Нажмите на кнопку **Добавить агент**. 3\. Задайте необходимые параметры для агента в соответствии с ограничениями Linux-агентов: [https://support.kaspersky.ru/help/KUMA/3.2/ru-RU/217776.htm](https://support.kaspersky.ru/help/KUMA/2.1/ru-RU/217776.htm) 4\. Сохраните созданный ресурс агента. 5\. Перейдите на вкладку **Ресурсы** – **Активные сервисы**. 6\. Нажмите на кнопку **Добавить сервис**, выберите созданный ресурс агента и нажмите на кнопку **Создать сервис**. 7\. Выберите галочкой созданный сервис агента и нажмите в верхней части экрана на кнопку **Копировать идентификатор**.Идентификатор будет скопирован в буфер обмена. Сохраните полученный таким образом идентификатор, он потребуется для дальнейшей установки сервиса агента.
--- ### Установка агента в качестве службыВ данном разделе под **<ID>** понимается значение идентификатора агента, который был скопирован в предыдущем разделе в п. 7. Под **<KUMA-FQDN>** понимается FQDN ядра KUMA.
1\. Если установка агента осуществляется на сервер, на котором уже установлены какие-либо компоненты KUMA, то шаги 2, 3, 5, 7 нужно пропустить. 2\. Скопируйте из дистрибутива KUMA файл `kuma-ansible-installer/roles/kuma/files/kuma` и переместите его на сервер для установки агента в любую директорию. 3\. Создайте пользователя для запуска агента следующей командой ```bash useradd -Mrs /usr/bin/false kuma ``` 4\. Создайте рабочую директорию для агента ```bash mkdir -p /opt/kaspersky/kuma/agent/С KUMA версии от 4.2 появилось создания точки назначения транспортом UDP
Для осуществления описанного способа передачи событий через диод используется пара destination и connector типа diode, destination на агенте и connector на коллекторе. Агент может иметь любые из возможных типов connector, а коллектор - любые из возможных destination. Агент при работе накапливает события в буфер. Как только буфер становится размером >=bufferSize (по умолчанию 64 Мб), или с момента предыдущей записи буфера в файл проходит > FlushInterval (по умолчанию 10 сек): - Агент записывает события в файл во временной директории, указанную пользователем - Агент переносит файл из временной папки в "Директорию, из которой диод данных получает события (Data diode source directory)" , попутно переименовывая файл. Название файла содержит sha256 хеш содержимого для возможности осуществления проверки целостности. [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/hlTimage.png) По умолчанию сжатие файлов не происходит, но его можно осуществлять, если выбрать в настройках destination данную опцию. В этом случае для корректной работы тот же алгоритм должен быть указан в соответствующем diode connector. При считывании (diode connector) sha256 хеш содержимого файла сравнивается с хешем из имени файла, при несоответствии файл удаляется и создается событие аудита.Ресурс точки назначения в агенте должен иметь тип diode. В этом ресурсе необходимо указать директорию, из которой диод данных будет перемещать файлы во внешний сегмент сети.
Для diode-агента невозможно выбрать коннекторы типа sql или netflow.
### Конфигурационный файл Конфигурацинный файл агента сохраняется в человекочитаемом виде для возможности добавления секретов вручную. Для избежания сохранения секретов в открытом виде, содержимое реальных секретов заменяется на шаблоны соответствующего типа секрета, также в конфигурационном файле генерируются шаблоны в местах, где это явно указано (см п. Шаблоны секретов). В ресурсах внутри агента, использующих секреты указан UUID секрета, содержимое секретов находится отдельно в поле secrets. Данные секретов можно заполнить вручную в конфигурационном файле, изменяя поля секретов. Далее в таблице описаны поля секрета. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/fUYimage.png) Конфигурационный файл скачивается из веб-интерфейся ядра KUMA в части настроек агента: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/S7qimage.png) --- ### Запуск агента (автономный агент)При установке агента его конфигурационный файл не должен находиться в директории, в которую устанавливается агент.
Необходимо при помощи списка контроля доступа (ACL) настроить права доступа к конфигурационному файлу так, чтобы доступ на чтение файла был только у пользователя, под которым будет работать агент.
TLS не работает, тк требуется подключение к ядру.
Справочная информация об установщике доступна по команде: `kuma.exe help agent` #### Linux Примите лицензионное соглашение: `/opt/kaspersky/kuma/kuma license` Для запуска агента требуется скопировать файл /opt/kaspersky/kuma/kuma с машины, где установлена KUMA на машину с linux, где будет запущен агент и запустить его: `./kuma agent --cfgИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Данный механизм работает с версии 3.4 KUMA, т.к именно в ней добавилась поддержка ключа --accept-eula
С сервера, на котором будем запускать скрипт понадобятся сетевые доступы к серверам по 5985/TCP для запуска команд и 445/TCP для передачи файлов, также права локального администратора на сервере.
За основу берем [скрипт](https://box.kaspersky.com/f/3494739491e64bdd91ad/) И заполняем в нём ключевые поля, а именно: ```powershell # Список серверов $servers = @("server1.domain.local", "server2.domain.local") # Задаем переменную версии $version = "3.4.1.53" # Локальный путь к файлу, который нужно скопировать $localFilePath = "C:\Temp\kuma.exe" # Путь на удаленном сервере, куда будет скопирован файл (если используется нестандартный путь для установки KUMA агента) $remoteFilePath = "C$\Program Files\Kaspersky Lab\KUMA\kuma.exe" ```Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [https://support.kaspersky.com/help/KUMA/2.1/ru-RU/222208.htm](https://support.kaspersky.com/help/KUMA/2.1/ru-RU/222208.htm)
### Резервное копирование и восстановление KUMA версии 2.1+ В связи с появлением возможности организации отказоустойчивого ядра в кластере kubernetes добавился новый механиз создания резервных копий ядра. Данный механизм использует API системы и в дальнейшем будет основным механизмом резервного копирования и восстановления. #### Создание резервной копии Ядра KUMA по APIдля KUMA от 4.0 и выше используйте API **v3**
Для создания **резервной копии ресурсов и сертификатов** необходимо отправить следующий API-запрос: **GET /api/v1/system/backup** В ответ на запрос возвращается архив tar.gz, содержащий резервную копию Ядра KUMA. На хосте, где установлено Ядро, резервная копия не сохраняется. Сертификаты включаются в состав резервной копии. Если операция выполнена успешно, создается событие аудита со следующими параметрами: DeviceAction = "Core backup created" SourceUserID = "<user-login>" *Пример команды для бэкапа через curl:* ```bash curl -k --header 'Authorization: BearerУ токена пользователя должны быть соответствующие права для выполнения бекапа
#### Восстановление Ядра KUMA из резервной копии по APIВосстановление данных из резервной копии доступно только при сохранении версии KUMA.
Необходим работающий сервис MongoDB.
С KUMA 4.0 путь к клиенту CH - /opt/kaspersky/kuma/storage/<ID Storage>/deps/clickhouse/bin/client.sh
#### Сохранение данных Сохранение данных за определенную дату в файл CSV: ```bash /opt/kaspersky/kuma/clickhouse/bin/client.sh -d kuma --multiline --query "SELECT * FROM events_local_v2 WHERE toDate(fromUnixTimestamp64Milli(Timestamp)) = toDate('2024-07-16') FORMAT CSVWithNames;" > click_events.csv ``` Сохранение данных за определенную дату в файл CSV с максимальным сжатием (cырой файл CSV 1.4 Гб (строк 5630119) - сжатый 72 Мб): ```bash /opt/kaspersky/kuma/clickhouse/bin/client.sh -d kuma --multiline --query "SELECT * FROM events_local_v2 WHERE toDate(fromUnixTimestamp64Milli(Timestamp)) = toDate('2024-07-16') FORMAT CSVWithNames;" | gzip -9 -c > click_events.csv.gz ``` Gzip подходит для небольших объемов информации, т.к. он однопоточный. Для **ускорения** рекомендуется использовать `pigz` либо zstd, они используют все доступные ядра процессора, обеспечивая значительное ускорение экспорта больших CSV-файлов по сравнению с gzip. Если он не установлен, то: ```bash sudo apt install pigz # Debian/Ubuntu sudo yum install pigz # RHEL/CentOS ``` Далее команда сохранения выглядит с pigz следующим образом: ```bash /opt/kaspersky/kuma/storage/c1114ebb-45e8-461c-a576-3a222dbfe3b2/deps/clickhouse/bin/client.sh \ -d kuma \ --multiline \ --query "SELECT * FROM events_local_v2 \ WHERE toDate(fromUnixTimestamp64Milli(Timestamp)) = toDate('2025-08-13') \ FORMAT CSVWithNames;" \ | pigz > click_events.csv.gz ``` команда сохранения выглядит с zstd следующим образом: ```bash /opt/kaspersky/kuma/storage/c1114ebb-45e8-461c-a576-3a222dbfe3b2/deps/clickhouse/bin/client.sh \ -d kuma \ --multiline \ --query "SELECT * FROM events_local_v2 \ WHERE toDate(fromUnixTimestamp64Milli(Timestamp)) = toDate('2025-08-13') \ FORMAT CSVWithNames;" \ | zstd -T0 -15 -v -o click_events.csv.zst ``` Сохранение данных за определенную дату по определенному промежутку в часах (время в UTC) в файл CSV с максимальным сжатием (с 10:00:00 до 11:00:00): ```bash /opt/kaspersky/kuma/clickhouse/bin/client.sh -d kuma --multiline --query "SELECT * FROM events_local_v2 WHERE toDateTime(fromUnixTimestamp64Milli(Timestamp)) > toDateTime('2024-07-16 10:00:00') AND toDateTime(fromUnixTimestamp64Milli(Timestamp)) < toDateTime('2024-07-16 11:00:00') FORMAT CSVWithNames;" | gzip -9 -c > click_events.csv.gz ``` #### Загрузка данных в хранилище Распаковать данные с сохранением архива: `gzip -dk click_events.csv.gz` Распаковать данные без сохранения архива: `gzip -d click_events.csv.gz` Если необходима замена TenantID для видимости событий в определенном тенанте, нужно в распакованном файле CSV заменить третье значение после запятой (столбцы CSV `"ID","Timestamp","TenantID","ServiceID","ServiceName"...`), пример команды (старый TenantID 746c6045-b929-4edd-8e1e-84ebe4a11880, новый TenantID 911c6045-b929-4edd-8e1e-84ebe4a11911): ```bash sed -i 's/746c6045-b929-4edd-8e1e-84ebe4a11880/911c6045-b929-4edd-8e1e-84ebe4a11911/g' click_events.csv ``` Загрузка событий из файла CSV в хранилище ClickHouse: ```bash /opt/kaspersky/kuma/clickhouse/bin/client.sh -d kuma --multiline --query "INSERT INTO events_local_v2 FORMAT CSV" < /root/click_events.csv ```В CSV файле не должно быть пустых строк, иначе будет ошибка: `Code: 27. DB::ParsingException: Cannot parse input: expected ',' before: '\n\n':`
--- ### С утилитой clickhouse-backup Для создания резервной копией можно воспользоваться утилитой clickhouse-backup. Исполняемый файл (clickhouse-backup-linux-amd64.tar.gz) для ОС Linux можно загрузить [**отсюда**](https://github.com/Altinity/clickhouse-backup/releases/latest). Подробнее про утилиту [https://github.com/Altinity/clickhouse-backup](https://github.com/Altinity/clickhouse-backup) #### Подготовка Разархивируем загруженный файл: ```bash tar -xvf clickhouse-backup-linux-amd64.tar.gz ``` Добавляем возможность исполнения файла: ```bash chmod +x clickhouse-backup ``` Добавляем следующую строку `Для логирования действий утилиты используйте значение `log_level: info` в конфигурации `click_backup_config.yml`
В нашем случае восстанавливается Хранилище в инсталляции All-In-One. Для создания копии данных (ВСЕХ событий) используйте команду: ```bash ./clickhouse-backup create -t kuma.events_local_v2 -c click_backup_config.yml ``` Резервная копия создастся по пути `/opt/kaspersky/kuma/clickhouse/data/backup/` Для просмотра созданных резервных копий выполните: ```bash ./clickhouse-backup list -c click_backup_config.yml ``` Для восстановления из бекапа: ```bash ./clickhouse-backup restore 2024-04-08T11-07-24 -t kuma.events_local_v2 -c click_backup_config.yml ``` После восстановления при поиске может возникать следующая ошибка: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-10/PwQimage.png) Для исправления ошибки перезапустите хранилище из активных сервисов. Для удаления бекапа: ```bash ./clickhouse-backup delete local 2024-04-08T11-07-24 -c click_backup_config.yml ``` Удалить служебные данные утилиты: ```bash ./clickhouse-backup clean -c click_backup_config.yml ``` # Архивировние и восстановление БД через ClickHouse BACKUP/RESTOREИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Данная инструкция проверена и актуальна только для версии KUMA 3.0.3.19
--- ### Описание Данный метод позволяет выполнять локальное архивирование и восстановление партиций ClickHouse через встроенные механизмы BACKUP и RESTORE. В статье описан пример ручного резервного копирования и восстановления на сервере в конфигурации All-in-One. При помощи скриптов данный подход может быть автоматизирован и распространен на распределенную конфигурацию.Всегда помните, если вы производите резервное копирование и/или архивирование и не проверяете корректность бэкапов, а также не пробуете их восстанавливать, существует вероятность, что вы не сможете восстановиться из резервной копии, когда это будет действительно необходимо.
--- ### Настройка хранилища 1\. Создать на сервере хранилища директорию для сохранения резервных копий, например, `/tmp/test_backup` 2\. Сделать владельцем директории пользователя kuma с помощью команды: ```bash chown kuma:kuma /tmp/test_backup/ ``` 3\. Убедиться, что у пользователя kuma также есть права x и r на всех родительских директориях 4\. Перейти в Web-интерфейс KUMA на вкладку "активные сервисы". 5\. Открыть на редактирование требуемый сервис хранилища. 6\. В поле "Переопределение параметров ClickHouse" задать разрешенный путь для сохранения резервных копий [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/tOLimage.png) ```xml**Важно!** В ClickHouse использующемся в KUMA до версии **3.4** включительно присутствует баг, при котором параметр **compression\_method** игнорируется, если у итогового файла выбрано расширение отличное от **.zip**
В случае, если все прошло успешно будет получено сообщение о создании бэкапа:  Также посмотреть состояние бэкапа можно через запрос к таблице system.backups ```sql SELECT * FROM system.backups ORDER BY start_time \G ```  Либо сразу с фильтрацией по соответствующему id, который был получен в результате выполнения резервного копирования ```sql SELECT * FROM system.backups WHERE id = 'd52ba745-7ad0-4099-827a-db688aa62649' \G ``` После выполнения резервного копирования партицию можно удалить из интерфейса KUMA, либо с помощью клиента ClickHouse, либо же дождаться истечения срока хранения.с версии 4.0 путь к клиенту: /opt/kaspersky/kuma/ID-storage/deps/clickhouse/bin/client.sh
2\. Выполнить запрос для восстановления ```sql RESTORE TABLE kuma.events_local_v2 PARTITION ID '0405a4ae764614f2283652209b390809' FROM File('/tmp/test_backup/20250221_0405a4ae764614f2283652209b390809.zip') SETTINGS allow_non_empty_tables=true ``` 3\. В результате будет восстановлена выбранная партиция из бэкапа и получено соответствующее сообщение: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/hSPimage.png)При восстановлении партиция ВСЕГДА восстанавливается на диск горячего хранения. Перенос данных на холодное хранение выполняется раз в 1 час. Для форсирования операции необходимо перезапустить сервис Ядра KUMA
--- ### Полезные ссылки ClickHouse Backup and Restore: [https://clickhouse.com/docs/en/operations/backup](https://clickhouse.com/docs/en/operations/backup) # Обновление ресурсов с помощью Kaspersky Update Utility (KUU)Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Загрузите утилиту: - [https://support.kaspersky.ru/kuu4-for-windows](https://support.kaspersky.ru/kuu4-for-windows) (рассматривается в статье) (работа через прокси [**ссылка**](https://support.kaspersky.ru/kuu4-for-windows/howto/15693#block3)) - [https://support.kaspersky.ru/kuu4-for-linux](https://support.kaspersky.ru/kuu4-for-linux) (работа через прокси [**ссылка**](https://support.kaspersky.ru/kuu4-for-linux/howto/15702#block3)) Запустите с интерфейсом GUI: Примите необходимые соглашения для работы:   При открытии интерфейса нажмите кнопку Start:  После выполнения, можно выбрать приложения:  Выбираем пакеты обновления соответвующей версии, затем Apply - ОК:  Запускаем загрузку пакетов для KUMA:  Убеждаемся в успешном выполнении:  Далее можно скопировать папку Updates на сам сервер KUMA (желательно на компонент ядра) и перейти в эту папку в консоли, затем выполнить команду: ```python python3 -m http.server ``` Запуститься веб-сервер с портом по умолчанию 8000:  Для прослушки другого порта: ```python python3 -m http.server 8080 ``` Перейдите по адресу KUMA и порту 8000 в браузере, чтобы убедиться, что веб-сервер работает:  Добавьте репозиторий в интерфейсе KUMA, Параметры - Репозиторий, затем нажмите на кнопку Запустить обновление, затем Сохранить:  Перейдите в Ресурсы - Импорт ресурсов, выберите Тенант и источник обновления - Репозиторий:  После испорта ресурсов перейдите в ssh консоль и нажмите комбинацию клавиш Ctrl+C для остановки веб-сервера.KUU поддерживает загрузку через прокси. Для автоматизации загрузки обновлений можно использовать работу с утилитой через командную строку - [https://support.kaspersky.ru/kuu4-for-windows/howto/15693](https://support.kaspersky.ru/kuu4-for-windows/howto/15693)
# Настройка отказоустойчивости компонентов KUMAОтказоустойчивость реализована встроенным функционалом KUMA для компонентов: Коррелятор и Хранилище ([подробнее про кластер Хранилища](https://kb.kuma-community.ru/books/kuma-how-to/page/ustroistvo-klastera-xranilishha)). Для компонента Коллектор отказоустойчивость системы достигается за счёт комбинации наложенных средств HAProxy, Агента KUMA или другого балансировщика.
Отказоустойчивость компонентов KUMA можно обеспечить на уровне виртуализации
### Отказоустойчивость Коррелятора и ХранилищаДетальнее про устройство кластера хранилища и комопонет keeper - [**тут**](https://kb.kuma-community.ru/books/kuma-how-to/page/ustroistvo-klastera-xranilishha)
Предварительно устанавливается дублирующий компонент на отдельных от первого ресурсах (процесс установки не будет показан в этой инструкции). Ниже будет показан пример настройки для Коррелятора, для Хранилища процесс аналогичный. В **Точках назначения** добавляется второй компонент Коррелятора с его API портом для работы. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/H4vimage.png) Далее необходимо перейти во вкладку дополнительные параметры, нас интересует параметр **Политика выбора URL (URL selection policy)**, ниже описаны детали каждого метода: 1. **Любой (Any)** - выбор любого доступного узла для отправки событий. Если в начале был выбран узел URL1, то события будут лететь в него до тех пор, пока он доступен, в случае выхода его из строя - будет выбран узел URL2, который тоже будет получать события пока сам не выйдет из строя. И так пока не закончатся активные узлы. 2. **Сначала первый (Prefer First) (рекомендуется для корреляторов)** - события отправляются в URL1 до тех пор, пока сервис (URL1) живой. Если он выйдет из строя, события полетят в URL2. Когда URL1 снова станет активным, поток снова направится в него. 3. **По очереди (Round robin) (рекомендуется для хранилищ и агента KUMA для балансировки коллекторов)** – отправляются события не по одному, а пачками. Количество событий в пачке почти всегда будет уникальным - пачка формируется, либо когда достигнут лимит ее размера, либо когда сработает таймер. Каждый URL получит равное количество пачек. Параметр **Ожидание проверки работоспособности (Health check timeout)** – задает периодичность запросов Health check. [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/l6Dimage.png) --- ### Отказоустойчивость Коллектора Предварительно устанавливается на отдельную машину в качестве наложенного средства балансировщик HAProxy для своей версии ОС (процесс установки не будет показан в этой инструкции). Для Oracle Linux 8.x пакет установки HAProxy можно загрузить по ссылке - [https://rpmfind.net/linux/RPM/centos/8-stream/appstream/x86\_64/Packages/haproxy-1.8.27-5.el8.x86\_64.html](https://rpmfind.net/linux/RPM/centos/8-stream/appstream/x86_64/Packages/haproxy-1.8.27-5.el8.x86_64.html)Также можно использовать агента KUMA для балансировки трафика, подробнее [**тут**](https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/page/ekstra-vozmoznosti-agenta-kuma).
Настроим балансировку потока событий для двух коллекторов: [](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/A9kimage.png) Конфигурация HAproxy будет следующая (путь файла конфигураций по умолчанию - `/etc/haproxy/haproxy.cfg`): ```bash defaults timeout connect 5s timeout client 1m timeout server 1m listen collectorTEST bind *:55777 mode tcp balance roundrobin server tcp1На всех комопнентах, где присутсвует точка назначения возможно настроить буферизацию (ОЗУ и на диске), в случае если точка назначения недоступна.
При накоплении буфера и если realtime поток событий от источника большой, то, например, коллектор подмешивает к потоку события в точку назначения из дискового буфера в соотношении 70% realtime + 30% из дискового буфера
--- ### Отказоустойчивое ядроHA ядра доступно для версии KUMA 2.1 и выше
Подробные детали по этой теме можно прочитать тут: - [https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/page/ustanovka-kuma-versii-ot-21x-s-otkazoustoicivym-iadrom](https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/page/ustanovka-kuma-versii-ot-21x-s-otkazoustoicivym-iadrom) - [https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/page/ustanovka-kuma-s-otkazoustoicivym-iadrom-raft](https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/page/ustanovka-kuma-s-otkazoustoicivym-iadrom-raft)В случае выхода из строя ядра, остальные компоненты будут продолжать корректно функционировать, тк у них в памяти сохраняется конфигурация от ядра (если не перезагружать компоненты).
Т.к. в НА ядра, что в RAFT и Kubernetes (Control Plane) кластер нормально работает пока живы (n+1)/2 компонентов и в случае острой необходимости отказо- и катастрофо- устойчивости для двух ЦОДов, рекомендуется применять, мы это называем "3-й глаз": 3-й глаз / голос (witness / tie-breaker), где добавляется третий участник кворума (с минимальными ресурсами), который: - не является полноценным ЦОДом - Это: - небольшой VM в облаке - отдельная площадка - Lightweight-node - машина "3-й глаз" должна быть очень стабильной по сети --- ### Отказоустойчивые балансировщики - Ручное резервирование LB (Load Balancer). можно создать клон виртуальной машины с LB или скопировать конфигурацию на резервный "железный" сервер и в случае необходимости переключить трафик на резерв руками или с помощью какой-либо автоматизации. Возможны длительные задержки с момента обнаружения проблемы с LB до момента переключения трафика на резервный LB. FQDN и IP LB при этом переносятся на резервный хост; - Можно использовать службу **keepalived**, позволяющая использоватьVRRP, пример настройки: [https://docs.oracle.com/en/operating-systems/oracle-linux/6/admin/section\_sm3\_svy\_4r.html](https://docs.oracle.com/en/operating-systems/oracle-linux/6/admin/section_sm3_svy_4r.html). В качестве tcp балансировщиков могут выступать машины с nginx или haproxy. Переключение на резервный балансировщик при этом осуществляется автоматически. Такой подход может оказаться неприменим при размещении хостов с tcp балансировщиками в разных data-центрах, т.к. они использует VRRP; - Для Nginx можно использовать коммерческую версию, пример - [https://www.nginx.com/products/nginx/high-availability/](https://www.nginx.com/products/nginx/high-availability/); - Отказоустойчивость компонентов также можно обеспечить функционалом систем виртуализации; - Использование GSLB или других DNS-based балансировщиков "поверх" tcp LB, при такой схеме можно не покупать коммерческий Nginx. # Работа с балансировщиками # Подключение агента KUMA через HA Proxy Схема работы агента KUMA через промежуточный узел с использованием haproxy [](https://kb.kuma-community.ru/uploads/images/gallery/2025-10/GEdgroup-26.jpg) Для обращения агента KUMA к серверу Core используются порты 7210/tcp и 8429/tcp **Правила МЭ для работы**| №п/п | Наименование источника | ip-адрес источника | Наименование получателя | ip-адрес получателя | Порты | Примечание |
| 1 | Агент KUMA | 10.10.15.15 | Хост с HA Proxy | 10.10.15.15 | 7210/tcp 8429/tcp | |
| 2 | Хост с HA Proxy | 10.10.15.15 | Ядро KUMA | 192.168.110.5 | 7210/tcp 8429/tcp |
Информация, приведенная на данной странице, является разработкой community KUMA и **НЕ** является официальной рекомендацией вендора.
Чтобы настроить балансировку трафика между коллекторами KUMA: 1\. Установите nginx на сервере, предназначенном для управления потоком событий (предпочтительно выделенные сервера, не менее двух) - Команда для установки в Oracle Linux 8+: `$sudo dnf install keepalived` - Команда для установки в Ubuntu 20.4: `$sudo apt-get install keepalived` 2\. Подготавливаем конфигурационный файл **/etc/keepalived/keepalived.conf** под свою задачу. **Обратите внимание, конфига два! Нужно раскидать конфиг по серверам ACTIVE\\BACKUP** ```nginx #CONFIG FOR MASTER SERVER ! Barebones conf File for keepalived global_defs { notification_email { your_mail@testmailcompany.ru } notification_email_from keepalived@testmailcompany.ru smtp_server mail.testmailcompany.ru smtp_connect_timeout 60 } vrrp_instance VI_1 { state MASTER interface ens192 #меняем под свой интерфейс virtual_router_id 100 priority 100 advert_int 1 authentication { auth_type PASS auth_pass 12345678 #меняем пароль! } virtual_ipaddress { 10.10.10.10 } } #CONFIG FOR BACKUP SERVER ! Barebones conf File for keepalived global_defs { notification_email { your_mail@testmailcompany.ru } notification_email_from keepalived@testmailcompany.ru smtp_server mail.testmailcompany.ru smtp_connect_timeout 60 } vrrp_instance VI_1 { state BACKUP interface ens192 #меняем под свой интерфейс virtual_router_id 100 priority 100 advert_int 1 authentication { auth_type PASS auth_pass 12345678 #меняем пароль! } virtual_ipaddress { 10.10.10.10 } } ``` 3\. Запускаем службу командой `sudo systemctl start keepalived` на двух серверах, при выводе ip -a можем наблюдать на MASTER сервере - дополнительный адрес - 10.10.10.10, для проверки "переезда" адреса можем остановить службу на MASTER сервере командой `sudo systemctl stop keepalived`, виртуальный адрес поднимется на BACKUP сервере. 4\. Настраиваем по [статье](https://kb.kuma-community.ru/books/ustanovka-i-obnovlenie/page/balansirovka-udptcp-trafika-l3-l4-sredstvami-sluzby-nginx) балансировку средствами nginx и получается следующая отказоустойчивая схема приёма логов на коллекторах: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-04/FkCimage.png) # Балансировка UDP/TCP трафика (L3-L4) средствами службы NginxИнформация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: [Управление потоком событий с помощью nginx (kaspersky.com)](https://support.kaspersky.com/help/KUMA/3.0.1/ru-RU/238530.htm)
Чтобы настроить балансировку трафика между коллекторами KUMA: 1\. Установите nginx на сервере, предназначенном для управления потоком событий (предпочтительно выделенные сервера, не менее двух) - Команда для установки в Oracle Linux 8.6: `$sudo dnf install nginx` - Команда для установки в Ubuntu 20.4: `$sudo apt-get install nginx` При установке из sources, необходимо собрать с параметром `-with-stream`: `$sudo ./configure -with-stream -without-http_rewrite_module -without-http_gzip_module` 2\. Подготавливаем конфигурационный файл nginx.conf, где блоки выделенные красным меняем (название\\ip адреса\\порт) под свою задачу. { upstream back\_FW\_ASA { server 10.11.17.145:514; server 10.11.18.145:514; } и server { listen 514 udp; proxy\_pass back\_FW\_ASA; proxy\_bind $remote\_addr transparent; } При помощи данного файла nginx будет "прозрачно" для коллекторов пробрасывать оригинальный сетевой пакет трафика, позволяя передать реальный адрес\\имя устройства, которое передало лог. При необходимости прослушивания TCP убираем в 16 строке udp. ```nginx user nginx; worker_processes auto; error_log /var/log/nginx/error.log; pid /run/nginx.pid; # Load dynamic modules. See /usr/share/doc/nginx/README.dynamic. include /usr/share/nginx/modules/*.conf; events { worker_connections 1024; } stream { upstream back_FW_ASA { server 10.11.17.145:514; server 10.11.18.145:514; } server { listen 514 udp; proxy_pass back_FW_ASA; proxy_bind $remote_addr transparent; } } ``` 3\. Укажите адреса коллекторов KUMA и порт, в примере их адреса\\порты - 10.11.17.145:514 и 10.11.18.145:514, балансировка отправки сообщений будет вестись в соотношении 50:50 (при доступности двух коллекторов).Однако существует возможность читать файлы из системных директорий через создание символических ссылок: например, `mklink /D "C:\notsecret" "C:\Program Files (x86)\secret"` и в конфигурации агента указать `"C:\notsecret"`.
Соответственно прием на коллекторе тоже должен быть транспортом internal:  ### Получение дополнительных журналов с ОС Windows на примере Sysmon / PowerShell В поле журналов настройки коннектора просто вставьте путь к журналам, пример:  ### Склейка событий Auditd в настройках коннектора агента, поставьте флаг **Auditd**  Включите переключатель в параметрах коннектора агента, вам нужно выбрать значение **\\n** в раскрывающемся списке. Разделитель в параметрах коннектора коллектора, в который агент отправляет события.  # Тестирование нормализации и нагрузки бинарем KUMA Иполняемый файл KUMA имеет на борту полезный функционал тестирования, он может использоваться в отрыве от системы KUMA (полностью отдельно) и вот его параметры запуска: ``` ./kuma tools load --raw --events checkpoint-example.log --cfg config.cfg --limit 5000 --replay 200000 ``` - проигрывает "сырые" события из файла `checkpoint-example.log` (проигрываются строки в случайном порядке)Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и **НЕ** является официальной рекомендацией вендора.
Начиная с версии KUMA 2.1 компоненты умеют находиться за NAT. Но при установле сервисов необходимо указывать дополнительные параметры, флаги: - `--advertise.api.port` string API port to be reported to Core - `--advertise.fqdn` string FQDN to be reported to Core Ниже покажем установку на примере службы коллектора (с остальными компонентами аналогично): На Firewall (МЭ) осуществлен проброс портов `192.168.10.254:7210 → 10.10.10.100:7210` и `10.10.10.100:7135 → 192.168.10.254:7135`
Строка установки коллектора: ```bash /opt/kaspersky/kuma/kuma collector --core https://kuma-core.company.local:7210 --id <ваш_ID_сервиса> --advertise.api.port 7210 --advertise.fqdn gw.company.local --api.port 7135 ```