Skip to main content

Проблемы ICAP интеграции

Troubleshooting интеграции KATA
Troubleshooting интеграции KATA

Если после настройки нет срабатываний или активности в графиках, выполните следующие действия:

Проверка сетевой взаимосвязанности
  1. Проверьте соединение между CN/Sensor и Proxy по порту 1344 с помощью tcpdump:
tcpdump -i  port 1344 -nn
  • Повторно сгенерируйте трафик (например, загрузите файл через прокси).
  • Убедитесь, что tcpdump фиксирует пакеты при обмене между Proxy и Sensor.
Сбор tcpdump для анализа трафика
  1. Для проверки соединения по порту 1344 между CN/Sensor и ProxyServer выполните на каждой из сторон:
tcpdump -i  port 1344 -nn -w capture_filename.pcap
  • Эти файлы в формате PCAP удобно анализировать в инструментах типа Wireshark.
  1. Для выгрузки файлов используйте SCP/WinSCP, например:
  • Подключитесь к CN/Sensor или ProxyServer.
  • Перейдите в каталог, где сохранён tcpdump (например, /home/admin/).
  • Скачайте файл на локальный компьютер.
Проверка логов системы
  1. Подключитесь к CN/Sensor через SSH и перейдите в Technical Support Mode.
  2. Для выгрузки логов выполните:
sudo su
kata-collect-siem-logs log-history --output-dir /tmp --no-compress
kata-collect-siem-logs log-detects --output-dir /tmp --no-compress
  • В log-history.log содержатся записи обо всех проверенных файлах.
  • В log-detects.log — информация об объектах, вызвавших срабатывания.
  1. Скачайте журналы с помощью SCP/WinSCP из каталога /tmp.
  2. В файлах логов найдите записи по ключевому слову ICAP, чтобы убедиться в получении и анализе трафика от ICAP-клиента.
Просмотр логов сработки

Для просмотра логов работы ICAP на стороне CN/Sensor подключитесь через SSH и выполните: 

sudo su
cat /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log

Для удобства анализа используйте фильтрацию:

  • Стандартный режим:
grep --color 'blocking_simple mode' /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log | grep 'verdict'
  • Расширенный режим:
grep --color 'blocking_advanced mode' /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log | grep 'verdict'
Советы по созданию заявки в службу технической поддержки

Чтобы ускорить решение возможных проблем и сократить время обработки заявки, рекомендуется:

  • Соберите как можно больше информации об установке KATA и KEDR:
    • модель и характеристики оборудования,
    • уровень трафика,
    • типы интеграции,
    • версии программного обеспечения,
    • даты возникновения проблемы.
  • Обязательно приложите актуальные логи:
    • журнал системы,
    • tcpdump с обеих сторон (ICAP-клиент и ICAP-сервер),
    • collect log с CN/Sensor.
  • Четко опишите суть проблемы, при каких условиях она возникает, и шаги для воспроизведения.
Сбор диагностической информации (Collect log) с Central Node/Sensor
  1. Подключитесь по SSH к CN или Sensor.
  2. Перейдите в Technical Support Mode, подтвердив переход в терминал.
  3. Запустите сбор логов:
sudo su
kata-collect
  1. После завершения команда выведет имя и путь созданного архива с логами, по умолчанию:
/tmp/collect/collect-.tar.gz
  1. Скачайте файл через SCP/WinSCP из каталога /tmp/collect/.
  2. При необходимости удалите файл, чтобы освободить место на сервере:
rm -f /tmp/collect/collect*
Либо
Воспользоваться SSH интерфейсом Technical Support Mode
Technical Support Mode

Данная инструкция подходит для следующих компонентов: CN, SCN, PCN, Sensor.

Как собрать логи history и detects

Если требуется отдельная выгрузка истории проверенных файлов и сработок:

sudo su
kata-collect-siem-logs log-history --output-dir /tmp --no-compress
kata-collect-siem-logs log-detects --output-dir /tmp --no-compress
  • Логи будут сохранены в каталоге /tmp под именами log-history.log и log-detects.log.
  • После выгрузки их также можно скачать через SCP/WinSCP.
Очистка собранных логов

Чтобы удалить временные журналы и освободить место, выполните:

rm -f /tmp/log-history.log
rm -f /tmp/log-detects.log
rm -f /tmp/collect/collect*
Back to top