Skip to main content

Проблемы ICAP интеграции

Troubleshooting

Проблемы ICAP интеграции

Troubleshooting ICAP интеграции KATA с внешними системами.

После выполнения пунктов настройки и интеграции мы можем столкнуться с тем, что никаких событий не появляется. Для решения данной проблемы нам необходимо повторно проверить что конфигурация приема трафика включена на стороне CN или Sensor из пункта «Настройка Интеграции».

Если после настройки нет срабатываний или активности в графиках, выполните следующие действия:

Проверка сетевой взаимосвязанности

  1. Проверьте соединение между CN/Sensor и Proxy по порту 1344 с помощью tcpdump:

tcpdump -i <interface> port 1344 -nn
  • Повторно сгенерируйте трафик (например, загрузите файл через прокси).
  • Убедитесь, что tcpdump фиксирует пакеты при обмене между Proxy и Sensor.

Сбор tcpdump для анализа трафика

  1. Для проверки соединения по порту 1344 между CN/Sensor и ProxyServer выполните на каждой из сторон:

tcpdump -i <интерфейс>  port 1344 -nn -w capture_filename.pcap
  • Эти файлы в формате PCAP удобно анализировать в инструментах типа Wireshark.

  1. Для выгрузки файлов используйте SCP/WinSCP, например:

  • Подключитесь к CN/Sensor или ProxyServer.
  • Перейдите в каталог, где сохранен tcpdump (например, /home/admin/).
  • Скачайте файл на локальный компьютер.

Проверка логов системы

  1. Подключитесь к CN/Sensor через SSH и перейдите в Technical Support Mode.

  2. Для выгрузки логов выполните:

sudo su
kata-collect-siem-logs log-history --output-dir /tmp --no-compress
kata-collect-siem-logs log-detects --output-dir /tmp --no-compress
  • В log-history.log содержатся записи обо всех проверенных файлах.
  • В log-detects.log — информация об объектах, вызвавших срабатывания.

  1. Скачайте журналы с помощью SCP/WinSCP из каталога /tmp.

  2. В файлах логов найдите записи по ключевому слову ICAP, чтобы убедиться в получении и анализе трафика от ICAP-клиента.

Просмотр логов сработки

Для просмотра логов работы ICAP на стороне CN/Sensor подключитесь через SSH и выполните: 

sudo su
cat /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log

Для удобства анализа можно использовать фильтрацию по режимам сканирования:

  • стандартный режим:

    grep --color 'blocking_simple mode' /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log | grep 'verdict'

  • расширенный режим:

    grep --color 'blocking_advanced mode' /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log | grep 'verdict'

Супер, продолжаю и завершаю полное оформление твоего документа в

Markdown-формате, включая раздел о взаимодействии с технической поддержкой.

Советы по созданию заявки в службу технической поддержки

Чтобы ускорить решение возможных проблем и сократить время обработки заявки, рекомендуется:

  • Соберите как можно больше информации об установке KATA и KEDR:

    • модель и характеристики оборудования,
    • уровень трафика,
    • типы интеграции,
    • версии программного обеспечения,
    • даты возникновения проблемы.

  • Обязательно приложите актуальные логи:

    • журнал системы,
    • tcpdump с обеих сторон (ICAP-клиент и ICAP-сервер),
    • collect log с CN/Sensor.

  • Четко опишите суть проблемы, при каких условиях она возникает, и шаги для воспроизведения.

Сбор диагностической информации (Collect log) с Central Node/Sensor

  1. Подключитесь по SSH к CN или Sensor.

  2. Перейдите в Technical Support Mode, подтвердив переход в терминал.

  3. Запустите сбор логов:

    sudo su
kata-collect

  4. После завершения команда выведет имя и путь созданного архива с логами, по умолчанию:

    /tmp/collect/collect-<timestamp>.tar.gz

  5. Скачайте файл через SCP/WinSCP из каталога /tmp/collect/.

  6. При необходимости удалите файл, чтобы освободить место на сервере:

    rm -f /tmp/collect/collect*
Либо

Воспользоваться SSH интерфейсом Technical Support Mode

Данная инструкция подходит для следующих компонентов: CN, SCN, PCN, Sensor.

Как собрать логи history и detects

Если требуется отдельная выгрузка истории проверенных файлов и сработок:

sudo su
kata-collect-siem-logs log-history --output-dir /tmp --no-compress
kata-collect-siem-logs log-detects --output-dir /tmp --no-compress

  • Логи будут сохранены в каталоге /tmp под именами log-history.log и log-detects.log.

  • После выгрузки их также можно скачать через SCP/WinSCP.


Очистка собранных логов

Чтобы удалить временные журналы и освободить место, выполните:

rm -f /tmp/log-history.log
rm -f /tmp/log-detects.log
rm -f /tmp/collect/collect*
Back to top