Kaspersky Unified Monitoring and Analysis Platform

Проверка целостности файлов KUMA

Проверить целостность компонентов KUMA вы можете следующими способами:

  • Вручную, запустив скрипт, приведенный ниже.
  • По расписанию или автоматически при запуске приложения с записью результатов в системный журнал.

Проверка целостности вручную

Целостность компонентов KUMA проверяется с помощью набора скриптов, основанных на инструменте integrity_checker, расположенных в директории /opt/kaspersky/kuma/integrity/bin. При проверке целостности используются xml-файлы манифестов из директории /opt/kaspersky/kuma/integrity/manifest/*, защищенные криптографической подписью "Лаборатории Касперского".

Для запуска инструмента проверки целостности необходима учетная запись с правами не ниже прав учетной записи kuma.

Проверка целостности выполняется раздельно для компонентов KUMA и должна выполняться раздельно на серверах с соответствующими компонентами. При проверке целостности также проверяется целостность используемого xml-файла.

Чтобы проверить целостность файлов компонентов:

  1. Перейдите в директорию, содержащую набор скриптов с помощью команды:

    cd /opt/kaspersky/kuma/integrity/bin

  2. Выполните одну из команд , в зависимости от того, целостность какого компонента KUMA вы хотите проверить:
    • ./check_all.sh – компоненты Ядра KUMA и хранилища;
    • ./check_core.sh – компоненты Ядра KUMA;
    • ./check_collector.sh – компоненты коллектора KUMA;
    • ./check_correlator.sh – компоненты коррелятора KUMA;
    • ./check_storage.sh – компоненты хранилища;
    • ./check_event_router.sh – компоненты маршрутизатора событий;
    • ./check_kuma_exe.sh <полный путь к файлу kuma.exe без указания имени файла> – агент KUMA для Windows. Стандартное расположение исполняемого файла агента на устройстве Windows: C:\Program Files\Kaspersky Lab\KUMA\.

Целостность файлов компонентов проверена.

Результат проверки каждого компонента отображается в следующем формате:

  • Блок Summary описывает количество проверенных объектов со статусом проверки: целостность не подтверждена/объект пропущен/целостность подтверждена:
    • Manifests – количество обработанных файлов манифеста.
    • Files – количество обработанных файлов KUMA.
    • Directories – при проверке целостности KUMA не используется.
    • Registries – при проверке целостности KUMA не используется.
    • Registry values – при проверке целостности KUMA не используется.
  • Результат проверки целостности компонента:
    • SUCCEEDED – целостность подтверждена.
    • FAILED – целостность нарушена.

По расписанию или автоматически при запуске приложения

Так как KUMA – это распределенное, многокомпонентное решение и расположение компонентов на хостах определяется на этапе установки, настройка автоматической проверки целостности компонентов не может быть прописана в дистрибутиве решения и должна производиться на этапе развертывания.

Мы рекомендуем проверять целостность компонентов KUMA на этапе запуска приложения и по расписанию. Рекомендуемая периодичность проверки по расписанию – раз в сутки. Вы можете сделать это с помощью скриптов, входящих в комплект поставки:

  • manual_integrity_check.sh

    Скрипт проверяет целостность всех или выбранных вами компонентов. Проверку целостности по расписанию можно настроить с помощью сторонних приложений и утилит, например с помощью утилиты Cron. Вы также можете запускать этот скрипт для проверки целостности компонентов вручную.

  • systemd_integrity_check.sh

    Используйте этот скрипт для самотестирования целостности компонентов приложения на этапе запуска. Чтобы добавить автоматическую проверку целостности, запустите этот скрипт на каждом хосте, на котором установлены компоненты KUMA. Скрипт следует запустить однократно. Целостность компонента будет проверяться при каждом запуске или перезапуске сервиса KUMA.

    Если после развертывания вы добавите новые сервисы KUMA (например, новый коллектор), запустите скрипт systemd_integrity_check.sh на хостах с новыми сервисами. В противном случае целостность новых компонентов на этапе запуска проверяться не будет.

    Если в результате проверки целостность компонента не подтвердится, компонент не будет запущен. KUMA продолжит попытки запустить сервис, предварительно проверив его целостность. Результаты проверки будут записываться в журнал системного аудита. В таком случае либо остановите сервис, либо устраните причину нарушения целостности.

Предварительные условия

Перед запуском скриптов вам нужно выполнить следующие действия:

  • Перенести файлы скриптов в папку /opt/kaspersky/kuma/integrity/bin/.
  • Назначить учетной записи kuma необходимые права для запуска скриптов. Для этого выполните следующие команды:

    chown kuma:kuma ./systemd_integrity_check.sh

    chmod +x ./systemd_integrity_check.sh

    chown kuma:kuma ./manual_integrity_check.sh

    chmod +x ./manual_integrity_check.sh

Запуск скриптов

Скрипт manual_integrity_check.sh

Для проверки целостности компонентов запустите скрипт на хосте, на котором установлены компоненты KUMA:

/opt/kaspersky/kuma/integrity/bin# ./manual_integrity_check.sh --core --collector --eventRouter --correlator --storage

Скрипт проверяет целостность тех компонентов, флаги для которых вы указали в командной строке. Если флаги не указаны, скрипт проверяет все компоненты.

Скрипт systemd_integrity_check.sh

Чтобы добавить автоматическую проверку целостности компонентов приложения на этапе запуска или перезапуска сервиса KUMA, выполните команду:

/opt/kaspersky/kuma/integrity/bin# ./systemd_integrity_check.sh

Оба скрипта заносят результаты проверки целостности компонентов в журнал системного аудита. Для просмотра журнала воспользуйтесь командой dmesg:

sudo dmesg