下载 Kaspersky Anti Targeted Attack Platform 日志

如果需要,您可以下载 Kaspersky Anti Targeted Attack Platform 的系统日志文件。为此,您必须使用 kata-collect 脚本获取有关应用程序操作的信息。

使用 kata-collect 脚本获取有关应用程序操作的信息。

  1. 登录到您要通过 SSH 或终端获取信息的服务器的管理控制台。

    如果您在分布式解决方案多租户模式下使用 Kaspersky Anti Targeted Attack Platform,则需要在每个 Central Node 服务器上执行这些步骤。如果您组织的基础架构已单独安装了 Sensor 组件,您还必须在具有此组件的服务器上执行以下步骤。如果应用程序作为集群部署,则必须在 Docker swarm 中具有“管理者”角色的服务器之一上执行这些步骤。要查看服务器角色,请使用 $ docker node ls 命令。

  2. 系统提示时,输入管理员用户名和安装组件期间指定的密码。

    显示应用程序组件管理员菜单。

  3. 在应用程序管理员菜单部分的列表中,选择“技术支持模式”部分。
  4. Enter 键。

    这将打开技术支持模式确认窗口。

  5. 确认您想要在技术支持模式下管理应用程序。为此,请选择并按Enter
  6. 通过执行以下命令来运行脚本:

    sudo kata-run.sh kata-collect --output-dir <路径>

您还可以为此命令指定一个或多个参数(请参阅下表)。

kata-collect 实用程序的参数

必需的参数

参数

描述

--output-dir <路径>

在指定路径创建目录,

其中<路径>是您要保存包含下载数据的存档的目录的绝对路径或相对路径。

如果不指定路径,数据存档默认保存在 /tmp/collect 目录中。

--no-prometheus

跳过准备和转储 prometheus 数据库。

此参数显著加快了脚本的速度。

--no-siem-logs

跳过下载写入 SIEM 系统的数据。

--siem-logs-range-start <YYYY-MM-DD-HH>

下载从该日期(含)开始写入 SIEM 系统的数据。

--siem-logs-range-end <YYYY-MM-DD-HH>

下载以此日期(含)结束的写入 SIEM 系统的数据。

示例:

使用按日期过滤的 SIEM 系统数据且不使用 prometheus 数据库来获取有关应用程序操作的信息的命令:

sudo kata-run.sh kata-collect --output-dir <路径> --no-prometheus --siem-logs-range-start <YYYY-MM-DD-HH> --siem-logs-range-end <YYYY-MM-DD-HH>

脚本完成后,collect--<存档下载日期>.tar.gz 存档被保存到指定目录。该存档包含应用程序的系统日志文件。

页面顶部