В этом разделе приведена информация, с помощью которой можно решить возможные проблемы при использовании Kaspersky CyberTrace.
Если при использовании Kaspersky CyberTrace возникли проблемы, проверьте, выполняются ли следующие условия:
Windows: проверьте статус сервиса из командной строки с помощью команды sc query cybertrace
.
Linux: проверьте статус службы из терминала с помощью команды systemctl status cybertrace.service
.
Для проверки этой веб-страницы как в Windows, так и в Linux используется следующая команда: curl -v --cert /opt/kaspersky/ktfs/dmz/feeds.pem [--proxy user:password@proxy-server.com:3128] https://wlinfo.kaspersky.com/api/v1.0/feeds
В результате этой проверки может быть получен список доступных потоков данных об угрозах в соответствии со сертификатом, например:
{ "name": "TI Demo Botnet C&C URL Data Feed", "updates": {"href": "https://wlinfo.kaspersky.com/api/v1.0/feeds/85/updates"}, "license": {"expires": "2024-02-19T00:00:00"} } |
Если результат содержит ошибку, отправьте вывод этой команды в Службу технической поддержки.
Выберите вкладку Settings > Service. В разделе Service sends events to, в поле ввода IP address введите IP-адрес SIEM, а в поле ввода Port введите порт SIEM.
kl_feed_service.conf
(это необходимо проверить, только если сервис Kaspersky CyberTrace не запускается):Windows: \Kaspersky Lab\Kaspersky CyberTrace\bin\kl_feed_service.conf
Linux: opt/kaspersky/ktfs/etc/kl_feed_service.conf
Ниже приведен пример настроек из конфигурационного файла:
<OutputSettings> <ConnectionString>127.0.0.1:9998</ConnectionString> </OutputSettings> |
Проверьте порт, используемый источником для подключения к Kaspersky CyberTrace.
Убедитесь, что во встроенном сетевом экране правильно настроен порт для получения событий из источника в Kaspersky CyberTrace.
Убедитесь, что во встроенном сетевом экране на стороне SIEM правильно настроен порт для получения обнаружений киберугроз из Kaspersky CyberTrace.
Если проблема не решена, обратитесь в Службу технической поддержки и приложите следующие данные:
\Kaspersky Lab\Kaspersky CyberTrace\bin\kl_feed_service.conf
opt/kaspersky/ktfs/etc/kl_feed_service.conf
Получить конфигурационный файл можно двумя способами:
Дополнительные сведения приведены в разделах Настройка журналов и Журнал Kaspersky CyberTrace Service.
Важно понимать, что в Службу технической поддержки будут отправлены файлы журнала отладки, содержащие полные входящие события.
collect.sh
.Запуск скрипта collect.sh
создает отчет, содержащий всю основную диагностическую информацию, собранную с сервера.
Перед отправкой отчета в Службу технической поддержки удалите из него всю конфиденциальную информацию.
Подробные указания о создании отчета приведены по адресу https://support.kaspersky.ru/15732.