Сервисы KUMA

Сервисы – это основные компоненты KUMA, с помощью которых система осуществляет работу с событиями: сервисы позволяют получить события из источников, чтобы в дальнейшем привести их к общему виду, удобному для поиска корреляций, а также для хранения и ручного анализа. Каждый сервис состоит из двух частей, работающих вместе:

• Одна часть сервиса создается внутри веб-интерфейса KUMA на основе набора ресурсов для сервисов.
• Вторая часть сервиса устанавливается в сетевой инфраструктуре, где развернута система KUMA, в качестве одного из ее компонентов. Серверная часть сервиса может состоять из нескольких экземпляров: например, сервисы одного и того же агента или хранилища могут быть установлены сразу на нескольких устройствах.

  В серверной части сервисы KUMA располагаются в директории /opt/kaspersky/kuma.

  При установке KUMA в отказоустойчивом варианте в кластере устанавливается только Ядро KUMA. Коллекторы, корреляторы и хранилища размещаются на хостах вне кластера Kubernetes.

Между собой части сервисов соединены с помощью идентификатора сервисов.

Типы сервисов:

• Хранилища – используются для хранения событий.
• Корреляторы – используются для анализа событий и поиска заданных закономерностей.
• Коллекторы – используются для получения события и конвертации их в формат KUMA.
• Агенты – используются для получения событий на удаленных устройствах и пересылки их в коллекторы KUMA.

В веб-интерфейсе KUMA сервисы отображаются в разделе Ресурсы → Активные сервисы в виде таблицы. Таблицу сервисов можно обновить с помощью кнопки Обновить и сортировать по столбцам, нажимая на активные заголовки. Также вы можете настроить отображение столбцов в таблице с помощью раскрывающегося списка, который вы можете вызвать, нажав на кнопку в виде шестеренки в верхнем правом углу. В раскрывающемся списке установите флажок рядом с названиями тех столбцов, которые вы хотите отображать в таблице. Вы можете оставить для отображения только один любой столбец из списка.

Максимальный размер таблицы не ограничен. Если вы хотите выбрать все сервисы, прокрутите таблицу до конца и установите флажок Выбрать все, таким образом все доступные в таблице сервисы будут выбраны.

Столбцы таблицы:

• Статус – статус сервиса:
  • Зеленый – сервис работает и доступен с сервера Ядра.
  • Красный – сервис не работает или не доступен с сервера Ядра.
  • Желтый – этот статус применяется ко всем сервисам, кроме агента. Желтый статус означает, что сервис работает, но в журнале сервиса есть ошибки или для сервиса есть алерты от Victoria Metrics. Сообщение об ошибке можно просмотреть, если навести курсор мыши на статус сервиса в разделе Активные сервисы.
  • Фиолетовый – этот статус применяется к работающим сервисам, у которых изменился конфигурационный файл в базе данных и при этом отсутствуют другие ошибки. Если у сервиса некорректный конфигурационный файл и есть ошибки, например от Victoria Metrics, статус сервиса будет желтым.
  • Серый – если в удаленном тенанте был работающий сервис, который продолжает работать, на странице Активные сервисы он будет отображаться с серым статусом. Сервисы в сером статусе остаются после удаления тенанта, чтобы вы могли скопировать идентификатор и удалить сервисы на серверах. Удалить сервисы с серым статусом может только Главный администратор. При удалении тенанта сервисы этого тенанта привязываются к Главному тенанту.
• Тип – вид сервиса: агент, коллектор, коррелятор, хранилище, маршрутизатор событий.
• Название – название сервиса. При нажатии на название сервиса открываются его настройки.
• Версия – версия сервиса.
• Тенант – название тенанта, которому принадлежит сервис.
• Полное доменное имя – доменное имя сервера, на котором установлен сервис.
• IP-адрес – IP-адрес сервера, на котором установлен сервис.
• Порт API – номер порта для внутренних коммуникаций.
• Время работы – как долго сервис работает.
• Создан – дата и время создания сервиса.

В таблице предусмотрена сортировка данных по возрастанию и убыванию, а также по параметру Статус и по типу сервиса в столбце Тип. Вы можете отсортировать активные сервисы, вызвав контекстное меню правой кнопкой мыши и выбрав один или несколько статусов и тип.

С помощью кнопок в верхней части окна Сервисы можно выполнить следующие групповые действия:

• Добавить сервис

  Вы можете создавать новые сервисы на основе существующих наборов ресурсов для сервисов. Мы не рекомендуем создавать сервисы вне основного тенанта без предварительного внимательного планирования межтенантных взаимодействий различных сервисов и пользователей.

• Обновить

  Вы можете обновить список активных сервисов.

• Обновить параметры

  Кнопка Обновить параметры не будет доступна, если среди сервисов, выбранных для групповых действий, есть сервис Ядра KUMA или какой-либо из выбранных сервисов находится в сером статусе. Чтобы кнопка Обновить параметры стала доступна для групповых действий, снимите флажок с сервиса Ядра KUMA и сервисов в сером статусе.

• Перезапустить

Для действий с отдельными сервисами воспользуйтесь контекстным меню, которое вы можете вызвать нажатием правой кнопки мыши. Доступны следующие действия:

• Сбросить сертификат
• Удалить
• Скачать журнал

  Если вы хотите получать детализированные данные, настройте в параметрах сервиса режим Отладка.

• Копировать идентификатор сервиса

  Идентификатор понадобится вам для установки, перезапуска, остановки или удаления сервиса.

• Перейти к событиям
• Смотреть активные листы
• Смотреть контекстные таблицы
• Смотреть разделы

Чтобы изменить сервис, выберите сервис в разделе Ресурсы → Активные сервисы. Откроется окно с набором ресурсов, на основе которых был создан сервис. Вы можете изменить параметры набора ресурсов и сохранить изменения. Чтобы применить сохраненные изменения, перезапустите сервис.

Если вы, меняя параметры набора ресурсов коллектора, измените или удалите преобразования в подключенном к нему нормализаторе, правки не сохранятся, а сам нормализатор может быть поврежден. При необходимости изменить преобразования в нормализаторе, который уже является частью сервиса, вносите правки непосредственно в нормализатор в разделе веб-интерфейса Ресурсы → Нормализаторы.

В этом разделе Инструменты сервисов Наборы ресурсов для сервисов Создание хранилища Создание коррелятора Создание маршрутизатора событий Создание коллектора Предустановленные коллекторы Создание агента

В начало