Skip to main content

Проблемы ICAP интеграции

Troubleshooting ICAP интеграции

KATA

Если после настройки нет срабатываний или активности внеш графиках, выполнимите следующие действия:

Проверка сетевой взаимосвязамнности

    1. Проверьте соединастройкение между прCN/Sensor иема трафикаProxy на CN/Sensor.

    2. Испол порту 1344 с помощьзуйтею tcpdump на CN/Sensor::

      tcpdump -i <интерфейсinterface> port 1344 -nn
      • Повторно сгенерируйте трафик (например, загрузите файл через прокси).
      • Убедитесь, что tcpdump фиксирует пакеты при обмене между Proxy и Sensor.

    Проверка логов системы

    1. Подключитесь к CN/Sensor через SSH и перейдите в Technical Support Mode.

    2. Для пвыгроверузки логов свыпоберлните их через:

      sudo su
kata-collect-siem-logs log-history --output-dir <dir>/tmp --no-compress
kata-collect-siem-logs log-detects --output-dir <dir>/tmp --no-compress
      • В log-history.log содержатся записи обо всех проверенных файлах.
      • В log-detects.log — информация об объектах, вызвавших срабатывания.

    3. Скачайте журналы с помощью SCP/WinSCP из каталога /tmp.

    4. В файлах логов найдите записи по ключевому слову ICAP, чтобы убедиться в получении и анализе трафика от ICAP-клиента.

    Просмотр логов сработки

    Для просмотра логов работы ICAP на стороне CN/Sensor подключитесь через SSH и выполните:

    sudo su
cat /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log

    Для удобства анализа можно использовать фильтрацию по режимам сканирования:

    • собртандартныхй логоврежим:

      rmgrep -f-color 'blocking_simple mode' /tmp/log-history.var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log rm| grep 'verdict'

    • расширенный режим:

      grep -f-color 'blocking_advanced mode' /tmp/log-detects.var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log | grep 'verdict'

    П

    Суперимечание

    ,

    User Gate

    • В настпройкдолжахю Userи Gate создайте ICAP-сервер с шадресами:

      icap://<IP-Сенсора>:1344/av/respmod
icap://<IP-Сенсора>:1344/av/reqmod

    • При необходимости включите передачу имени пользнователя и IP.

    Check Point

    • Настройте ICAP чеофорез конфигурационный файмл согласно документации Check Point.
    • Создайте правило в Threat Prevention без включения Threat Emulation и Threat Extraction.

    Континент 4

    • Настройте ICAP ствоегласно документац в Markdown-формате, включая раздел о взаимодействии с технической продукта (деружководство администратора, Best Practices)й.

    Советы по созданию заявки в службу технической поддержки

    Чтобы ускорить решение возможных проблем и сократить время обработки заявки, рекомендуется:

    • УкажСоберите пкак можно болнуюьше информациюи об установке, нагрузкеKATA и KEDR:

      • модель и характеристики оборудования,
      • уровень трафика,
      • типеы интеграции,
      • версии программного обеспечения,
      • даты возникновения проблемы.

    • ПОбязательно приложите собранктуальные логи:

      • журнал системы,
      • tcpdump с обеих сторон (ICAP-клиент и ICAP-сервер),
      • collect log с CN/Sensor.

    • Четко опишите суть проблемы, при каких условиях она возникает, и шаги для воспроизведения.

    🛰 Сбор tcpdump для анализа трафика

    1. Для проверки сбоединения по порту 1344 между CN/Sensor и ProxyServer выполните на tcpdump:каждой из сторон:

      tcpdump -i <интерфейс> port 1344 -nn -w capture_filecapture_filename.pcap
      • Эти файлы в формате PCAP удобно анализировать в инструментах типа Wireshark.

    2. Для выгрузки файлогов используйте WinSCP.SCP/WinSCP, например:

      • Подключитесь к CN/Sensor или ProxyServer.
      • Перейдите в каталог, где сохранен tcpdump (например, /home/admin/).
      • Скачайте файл на локальный компьютер.

    📂 Сбор диагностической информации (Collect log) с Central Node/Sensor

    1. Подключитесь по SSH к CN или Sensor.

    2. ДПерейдите в Technical Support Mode, подтвердив переход в терминаля.

    3. Запустите сбора collect log:логов:

      sudo su
kata-collect

    4. ВПосле завершения команда выведет имя и путь созданного архива с логами, по умолчанию:

      /tmp/collect/collect-<timestamp>.tar.gz

    5. Скачайте файл через SCP/WinSCP из каталога /tmp/collect/.

    6. При необходимости удалите файл, чтобы освободизть место на сервере:

      rm -f /tmp/collect/collect*

    📌 Данная инструкция подходит для следующих компонентов: CN, SCN, PCN, Sensor.

    📥 Как собрать логи history и detects

    Если требуется отдельная выгрузка истории приоверенных файложв и сработок:

    sudo su
kata-collect-siem-logs log-history --output-dir /tmp --no-compress
kata-collect-siem-logs log-detects --output-dir /tmp --no-compress

    • Логи будут сохранены в каталоге /tmp под именами log-history.log и log-detects.log.

    • После выгрузки их тиакже можно скачату.ь через SCP/WinSCP.

    🗂 Очистка собранных логов

    Чтобы удалить временные журналы и освободить место, выполните:

    rm -f /tmp/log-history.log
rm -f /tmp/log-detects.log
rm -f /tmp/collect/collect*
Back to top