一般的なトラブルシューティング
2024年4月11日
ID 171563
このセクションでは、Kaspersky CyberTrace の使用中に生じる可能性がある問題の解決方法について説明します。
Kaspersky CyberTrace の使用中に問題が発生した場合、以下を確認してください:
- CyberTrace サービスが起動している。
Windows:
sc query cybertrace
コマンドを使用して、コマンドラインからサービスのステータスを確認します。Linux:
systemctl status cybertrace.service
コマンドを使用して、端末からサービスのステータスを確認します。 - CyberTrace サーバーに十分な空きディスク容量と RAM がある。
- Web ページ https://wlinfo.kaspersky.com は、CyberTrace サーバーからアクセスできます。
Windows と Linux の両方でこの Web ページにアクセスできるかどうかを確認するには、以下のコマンドを使用します:
curl -v --cert /opt/kaspersky/ktfs/dmz/feeds.pem [--proxy user:password@proxy-server.ru:3128] https://wlinfo.kaspersky.com/api/v1.0/feeds
この確認の結果として、証明書に応じて以下のような使用可能なフィードのリストが表示される場合があります:
{
"name": "TI Demo Botnet C&C URL Data Feed",
"updates":
{"href": "https://wlinfo.kaspersky.com/api/v1.0/feeds/85/updates"},
"license":
{"expires": "2024-02-19T00:00:00"}
}
結果にエラーが含まれる場合、このコマンドの出力をテクニカルサポートに送信してください。
- イベントソース(SIEM)を CyberTrace サーバーから入手できる。
- Web UI:
[Settings]→[Service]タブの順に選択します。[Service sends events to]の下で、[IP address]テキストボックスに SIEM の IP アドレスを入力し、[Port]テキストボックスに SIEM のポートを入力します。
- 設定情報ファイル
kl_feed_service.conf
内(これは CyberTrace サービスを実行できない場合のみ確認してください):Windows:
\Kaspersky Lab\Kaspersky CyberTrace\bin\kl_feed_service.conf
Linux:
opt/kaspersky/ktfs/etc/kl_feed_service.conf
以下に、設定情報ファイルからの設定の例を示します:
<OutputSettings>
<ConnectionString>127.0.0.1:9998</ConnectionString>
</OutputSettings>
CyberTrace に接続するためにソースによって使用されるポートを確認してください。
埋め込まれたファイアウォールサービスが適切なポートでソースから CyberTrace へのイベントを受信できるよう構成されていることを確認してください。
SIEM 側に埋め込まれたファイアウォールサービスが適切なポートで CyberTrace から検知を受信できるよう構成されていることを確認してください。
- Web UI:
問題が解決されない場合、テクニカルサポートに問い合わせ、以下を添付してください:
- CyberTrace の設定情報ファイル(Windows):
\Kaspersky Lab\Kaspersky CyberTrace\bin\kl_feed_service.conf
- CyberTrace の設定情報ファイル(Linux):
opt/kaspersky/ktfs/etc/kl_feed_service.conf
設定情報ファイルを取得する方法は 2 つあります:
- Web インターフェイスを使用できる場合、[Settings]→[Service]→[Export configuration files]の順に選択します。
- CyberTrace サービスを開始できない場合、ディレクトリからファイルをコピーして、異なるオペレーティングシステムごとに適切なパスを指定します。
- デバッグレベルの CyberTrace ログファイル
詳細は、「ロギングの設定」および「Kaspersky CyberTrace サービスのロギング」を参照してください。
完全な受信イベントが含まれるデバッグログファイルをテクニカルサポートに送信することに注意する必要があります。
- 問題を説明するスクリーンショット。
collect.sh
スクリプトの実行の結果。collect.sh
スクリプトを実行すると、コンピューター内のすべての基本診断情報が含まれるレポートが作成されます。このレポートをテクニカルサポートに送信する前に、機密情報をすべてレポートから削除してください。
レポートの作成方法の詳細は、https://support.kaspersky.com/15732 を参照してください。