Скачивание журналов Kaspersky Anti Targeted Attack Platform

При необходимости вы можете скачать файлы системных журналов Kaspersky Anti Targeted Attack Platform. Для этого вам нужно получить данные о работе приложения с помощью скрипта kata-collect.

Чтобы получить данные о работе приложения с помощью скрипта kata-collect:

1. Войдите в консоль управления того сервера, с которого вы хотите получить данные, по протоколу SSH или через терминал.

   Если вы используете Kaspersky Anti Targeted Attack Platform в режиме распределенного решения и мультитенантности, вам нужно выполнить шаги этой инструкции на каждом сервере Central Node. Если в инфраструктуре вашей организации есть отдельно установленные компоненты Sensor, вам также требуется выполнить шаги инструкции на серверах с этим компонентом. При развертывании приложения в виде кластера вам нужно выполнить шаги инструкции на одном любом сервере с ролью manager в Docker swarm. Для просмотра роли сервера используйте команду $ docker node ls.

   

   Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

   

   Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

2. В ответ на приглашение системы введите имя и пароль учетной записи администратора, заданный при установке компонента.

   Отобразится меню администратора компонента приложения.

3. В списке разделов меню администратора приложения выберите раздел Technical Support Mode.
4. Нажмите на клавишу Enter.

   Отобразится окно подтверждения входа в режим Technical Support Mode.

5. Подтвердите, что хотите выполнять действия с приложением в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
6. Запустите скрипт, выполнив команду:

   sudo kata-run.sh kata-collect --output-dir <path>

Вы также можете указать один или несколько параметров к этой команде (см. таблицу ниже).

Параметры для утилиты kata-collect

Обязательный параметр	Параметр	Описание
Да	--output-dir <path>	Создать директорию по указанному пути, где <path> – это абсолютный или относительный путь к директории, в которую будет записан архив с выгруженными данными. Если путь не был указан, архив с данными по умолчанию будет помещен в директорию /tmp/collect.
Нет	--no-prometheus	Пропустить подготовку и выгрузку дампа базы данных prometheus. Использование этого параметра значительно ускоряет работу скрипта.
Нет	--no-siem-logs	Пропустить выгрузку данных, записываемых в SIEM-систему.
Нет	--siem-logs-range-start <YYYY-MM-DD-HH>	Выгрузить данные, записываемые в SIEM-систему, начиная с этой даты (включительно).
Нет	--siem-logs-range-end <YYYY-MM-DD-HH>	Выгрузить данные, записываемые в SIEM-систему, заканчивая этой датой (включительно).

Пример: Команда для получения данных о работе приложения с данными SIEM-системы, отфильтрованными по дате, и без базы данных prometheus: sudo kata-run.sh kata-collect --output-dir <path> --no-prometheus --siem-logs-range-start <YYYY-MM-DD-HH> --siem-logs-range-end <YYYY-MM-DD-HH>

Когда скрипт завершит работу, в указанную директорию будет помещен архив collect--<дата выгрузки архива>.tar.gz. В этом архиве содержатся файлы системных журналов приложения.

В начало