Обеспечение бесперебойной работы коллекторов

Бесперебойное поступление событий от источника событий в KUMA является важным условием защиты сетевой инфраструктуры. Бесперебойность можно обеспечить автоматическим перенаправлением потока событий на большее число коллекторов:

• На стороне KUMA необходимо установить два или больше одинаковых коллекторов.
• На стороне источника событий необходимо настроить управление потоками событий между коллекторами с помощью сторонних средств управления нагрузкой серверов, например rsyslog или nginx.

При такой конфигурации коллекторов поступающие события не будут теряться, когда сервер коллектора по какой-либо причине недоступен.

Необходимо учитывать, что при переключении потока событий между коллекторами агрегация событий будет происходить на каждом коллекторе отдельно.

Если коллектор KUMA не удается запустить, а в его журнале выявлена ошибка "panic: runtime error: slice bounds out of range [8:0]":

1. Остановите коллектор.

   sudo systemctl stop kuma-collector-<идентификатор коллектора>

2. Удалите файлы с кэшем DNS-обогащения.

   sudo rm -rf /opt/kaspersky/kuma/collector/<идентификатор коллектора>/cache/enrichment/DNS-*

3. Удалите файлы с кэшем событий (дисковый буфер). Выполняйте команду, только если можно пожертвовать событиями, находящимися в дисковых буферах коллектора.

   sudo rm -rf /opt/kaspersky/kuma/collector/<идентификатор коллектора>/buffers/*

4. Запустите сервис коллектора.

   sudo systemctl start kuma-collector-<идентификатор коллектора>

В этом разделе Управление потоком событий с помощью rsyslog Управление потоком событий с помощью nginx

В начало