Проблемы ICAP интеграции
Troubleshooting интеграции
Если после настройки нет срабатываний или активности в графиках, выполните следующие действия:
Проверка сетевой взаимосвязанности
-
Проверьте соединение между CN/Sensor и Proxy по порту 1344 с помощью
tcpdump:tcpdump -i <interface> port 1344 -nn- Повторно сгенерируйте трафик (например, загрузите файл через прокси).
- Убедитесь, что tcpdump фиксирует пакеты при обмене между Proxy и Sensor.
Проверка логов системы
-
Подключитесь к CN/Sensor через SSH и перейдите в Technical Support Mode.
-
Для выгрузки логов выполните:
sudo su kata-collect-siem-logs log-history --output-dir /tmp --no-compress kata-collect-siem-logs log-detects --output-dir /tmp --no-compress- В
log-history.logсодержатся записи обо всех проверенных файлах. - В
log-detects.log— информация об объектах, вызвавших срабатывания.
- В
-
Скачайте журналы с помощью SCP/WinSCP из каталога
/tmp. -
В файлах логов найдите записи по ключевому слову
ICAP, чтобы убедиться в получении и анализе трафика от ICAP-клиента.
Просмотр логов сработки
Для просмотра логов работы ICAP на стороне CN/Sensor подключитесь через SSH и выполните:
sudo su
cat /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log
Для удобства анализа можно использовать фильтрацию по режимам сканирования:
-
стандартный режим:
grep --color 'blocking_simple mode' /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log | grep 'verdict' -
расширенный режим:
grep --color 'blocking_advanced mode' /var/log/kaspersky/services/preprocessor_icap/preprocessor_icap.log | grep 'verdict'
Супер, продолжаю и завершаю полное оформление твоего документа в Markdown-формате, включая раздел о взаимодействии с технической поддержкой.
Советы по созданию заявки в службу технической поддержки
Чтобы ускорить решение возможных проблем и сократить время обработки заявки, рекомендуется:
-
Соберите как можно больше информации об установке KATA и KEDR:
- модель и характеристики оборудования,
- уровень трафика,
- типы интеграции,
- версии программного обеспечения,
- даты возникновения проблемы.
-
Обязательно приложите актуальные логи:
- журнал системы,
- tcpdump с обеих сторон (ICAP-клиент и ICAP-сервер),
- collect log с CN/Sensor.
-
Четко опишите суть проблемы, при каких условиях она возникает, и шаги для воспроизведения.
🛰 Сбор tcpdump для анализа трафика
-
Для проверки соединения по порту 1344 между CN/Sensor и ProxyServer выполните на каждой из сторон:
tcpdump -i <интерфейс> port 1344 -nn -w capture_filename.pcap- Эти файлы в формате PCAP удобно анализировать в инструментах типа Wireshark.
-
Для выгрузки файлов используйте SCP/WinSCP, например:
- Подключитесь к CN/Sensor или ProxyServer.
- Перейдите в каталог, где сохранен tcpdump (например,
/home/admin/). - Скачайте файл на локальный компьютер.
📂 Сбор диагностической информации (Collect log) с Central Node/Sensor
-
Подключитесь по SSH к CN или Sensor.
-
Перейдите в Technical Support Mode, подтвердив переход в терминал.
-
Запустите сбор логов:
sudo su kata-collect -
После завершения команда выведет имя и путь созданного архива с логами, по умолчанию:
/tmp/collect/collect-<timestamp>.tar.gz -
Скачайте файл через SCP/WinSCP из каталога
/tmp/collect/. -
При необходимости удалите файл, чтобы освободить место на сервере:
rm -f /tmp/collect/collect*
📌Данная инструкция подходит для следующих компонентов: CN, SCN, PCN, Sensor.
📥 Как собрать логи history и detects
Если требуется отдельная выгрузка истории проверенных файлов и сработок:
sudo su
kata-collect-siem-logs log-history --output-dir /tmp --no-compress
kata-collect-siem-logs log-detects --output-dir /tmp --no-compress
-
Логи будут сохранены в каталоге
/tmpпод именамиlog-history.logиlog-detects.log. -
После выгрузки их также можно скачать через SCP/WinSCP.
🗂 Очистка собранных логов
Чтобы удалить временные журналы и освободить место, выполните:
rm -f /tmp/log-history.log
rm -f /tmp/log-detects.log
rm -f /tmp/collect/collect*