Kaspersky Anti Targeted Attack Platform バージョン 5 以降での診断データ収集
本記事の対象となるアプリケーションとバージョンを表示する
- Kaspersky Anti Targeted Attack Platform 6.0
- Kaspersky Anti Targeted Attack Platform 5.1
- Kaspersky Anti Targeted Attack Platform 5.0
Kaspersky Anti Targeted Attack Platform(以下「 KATA 」)に関する要望を迅速に処理するために、カスペルスキーテクニカルサポートの専門家が診断レポートの添付をお願いする場合があります。テクニカルサポートにレポートを送信する前に、レポートから機密情報を削除してください。
レポートを作成するには:
- SSH プロトコル経由で KATA Central Node(以下「 KATA CN 」)に接続し、admin としてログインし、パスワードを入力してサインインします。
- [ テクニカルサポートモード ] を選択します。
- [ OK ] をクリックします。
- コンソールで以下のコマンドを実行します:
sudo -i
- admin 用パスワードを入力します。
- コンソールで以下のコマンドを実行します:
kata-collect
コマンドの実行には時間がかかることがあります。
- レポートを作成したら、ファイル名を変更するコマンドを実行します:
for f in /tmp/collect/collect-*:*tar.gz; do sudo mv "$f" "$(echo "$f" | tr ':' '-')" 2>/dev/null; done
- 以下のコマンドを使用してレポートのサイズを確認します。レポートのサイズ(MB / GB)は 5 列目に表示されます:
ls -lh /tmp/collect
カスペルスキーのカンパニーアカウント にアップロードできるファイルの最大サイズは 4GB です。レポートが最大サイズを超える場合は、指示 に従い、各 4GB 以下のファイルに分割してください。
KATA バージョン 5.0 および 5.1 用診断スクリプトの確認およびアップデート
ステップ 1.診断レポートのバージョンを確認します
- SSH プロトコル経由で KATA CN に接続し、admin としてログインし、パスワードを入力してサインインします。
- [ テクニカルサポートモード ] を選択します。
- [ OK ] をクリックします。
- コンソールで以下のコマンドを実行します:
test -f "/etc/kaspersky/node.json" && ([[ $(grep product_version /etc/kaspersky/node.json | cut -d\" -f 4 | tr -d .- | head -c 3) -le 510 ]] && (echo "3D5A042EF8B6EB51252466C198A38C0E /usr/local/lib/python3.8/dist-packages/collect/helpers/logs_downloader.py" | md5sum --status -c && echo -e "\033[1;32mDiagnostic script is up-to-date\033[0m" || echo -e "\033[1;31mDiagnostic script needs to be updated\033[0m") || echo -e "\033[1;33mKATA is too recent\033[0m") || echo -e "\033[1;33mKATA is too old\033[0m"
- 結果に応じて次のステップを行います:
ステップ 2.診断スクリプトのアップデート
- 診断スクリプト の最新版をダウンロードします。
- 指示 に従い、scp/sftp のクライアント(コマンドラインまたはグラフィカルアプリケーション)を使って KATA CNの /home/admin/ フォルダーにスクリプトをアップロードします。
- コンソールを使って、テクニカルサポートモード で以下のコマンドを実行します:
cd /home/admin
gunzip collect-1.0-py3-none-any.whl.gz
echo "063953d85755f93988da14a352693421 collect-1.0-py3-none-any.whl" | md5sum -c && sudo pip install --force --no-dependencies collect-1.0-py3-none-any.whl
コマンド実行中に要求があれば、admin ユーザー用のパスワードを入力します。
- スクリプトがアップデートされていることを確認するため、もう一度以下のコマンドを実行します:
test -f "/etc/kaspersky/node.json" && ([[ $(grep product_version /etc/kaspersky/node.json | cut -d\" -f 4 | tr -d .- | head -c 3) -le 510 ]] && (echo "3D5A042EF8B6EB51252466C198A38C0E /usr/local/lib/python3.8/dist-packages/collect/helpers/logs_downloader.py" | md5sum --status -c && echo -e "\033[1;32mDiagnostic script is up-to-date\033[0m" || echo -e "\033[1;31mDiagnostic script needs to be updated\033[0m") || echo -e "\033[1;33mKATA is too recent\033[0m") || echo -e "\033[1;33mKATA is too old\033[0m"
KATA 5.0 および 5.1 用にアップデートされた診断スクリプトをアップロードする
scp/sftp のクライアント(コマンドラインまたはグラフィカルアプリケーション)を使って KATA CN にアップデートされた診断スクリプトをアップロードすることができます。
pscp のコマンドラインアプリケーションを使って診断スクリプトをアップロードする
- ローカルコンピューターで コマンドライン を開きます。
- 以下のコマンドを使って、pscp 実行可能ファイルがあるフォルダー(デフォルトでは C:\Program Files\PuTTY )にディレクトリを変更します:
cd C:\Program Files\PuTTY
- 以下のコマンドを実行してスクリプトをアップロードします:
pscp.exe <アップロードするローカルファイルの名前> admin@<KATA CN の IP アドレス>:/home/admin/
正しいコマンドの例:
pscp.exe "C:\Users\Administrator\Desktop\collect-1.0-py3-none-any.whl.gz" admin@192.168.1.10:/home/admin
WinSCP を使って診断スクリプトをアップロードする
- WinSCP を開きます。
- KATA CN のアドレスと資格情報を入力します。[ ログイン ] をクリックします。
- 右フレームで /home/admin/ フォルダーに移動します。
- 左フレームで、アップロードしたいローカルファイルを選択し、[ アップロード ] をクリックします。
レポートを複数のファイルに分割する
- レポートのファイル名を確認するには、以下のコマンドを実行します:
ls -lh /tmp/collect
- レポートを複数のファイルに分割するには、以下のコマンドを実行します:
cd /tmp/collect
REPORT=<レポート名>
sudo split $REPORT $REPORT. -b 4G -a 3 --numeric-suffixes=1 --verbose && sudo rm -f $REPORT
正しいコマンドの例:
cd /tmp/collect
REPORT=collect-1.srv.node1.node.dyn.kata-2023-09-17T14-30-00.308212.tar.gz
sudo split $REPORT $REPORT. -b 4G -a 3 --numeric-suffixes=1 --verbose && sudo rm -f $REPORT
分割されたレポートは <レポート名>.001、<レポート名>.002、<レポート名>.003 のように複数ファイルとして生成されます。
診断レポートをダウンロードする
scp/sftp のクライアント(コマンドラインまたはグラフィカルアプリケーション)(例、pscp または WinSCP)を使ってレポートをダウンロードすることができます。
pscp のコマンドラインアプリケーションを使ってレポートをダウンロードする
- ローカルコンピューターで コマンドライン を開きます。
- 以下のコマンドを使って、pscp 実行可能ファイルがあるフォルダー(デフォルトでは C:\Program Files\PuTTY )にディレクトリを変更します:
cd C:\Program Files\PuTTY
- 以下のコマンドを使ってレポートをダウンロードします:
- レポートが分割されていない場合:
pscp.exe admin@<KATA CN の IP アドレス>:/tmp/collect/<レポート名> <レポートを保存すべきローカルフォルダーのパス>
- レポートが分割されている場合:
pscp.exe admin@<KATA CN の IP アドレス>:/tmp/collect/<レポート名>.* <レポートを保存すべきローカルフォルダーのパス>
レポートのリストを表示するには、PuTTY 経由で以下のコマンドを実行します:
ls /tmp/collect
分割されたレポートのファイル名を知るには、PuTTY 経由で以下のコマンドを実行します:
ls /tmp/collect | grep -E [0-9]{3}$ | grep -o collect.*tar.gz | sort -u
レポートが分割されていない場合のコマンドの例:
pscp.exe admin@192.168.1.10:/tmp/collect/collect-1.srv.node1.node.dyn.kata-2023-09-17T14-30-00.308212.tar.gz "C:\Users\Administrator\Desktop"
レポートが分割されている場合のコマンドの例:
pscp.exe admin@192.168.1.10:/tmp/collect/collect-1.srv.node1.node.dyn.kata-2023-09-17T14-30-00.308212.tar.gz.* "C:\Users\Administrator\Desktop"
WinSCP 経由でレポートをダウンロードします
- WinSCP を開きます。
- KATA CN のアドレスと資格情報を入力します。[ ログイン ] をクリックします。
- 左フレームで、レポートを保存するフォルダーを選択します。
- 右フレームで、/tmp/collect フォルダーに移動し、レポートファイルを選択します。レポートが分割されている場合、<レポート名>.001、<レポート名>.002、<レポート名>.003 など複数のファイルを選択します。
- [ ダウンロード ] をクリックします。
診断レポートを削除する
- SSH プロトコル経由で KATA CN に接続し、admin としてログインし、パスワードを入力してサインインします。
- [ テクニカルサポートモード ] を選択します。
- [ OK ] をクリックします。
- レポートのリストを見るには、コンソールで以下のコマンドを実行します:
cd /tmp/collect
ls
- 削除したいものに応じて、以下のコマンドのいずれかを実行します:
- 1 つのレポートを削除したい場合:
sudo rm -vf <レポート名>
- 分割された 1 つのレポートの全ファイルを削除したい場合:
sudo rm -vf <レポート名>.*
- フォルダー内の全ファイルを削除したい場合:
sudo rm -vf collect-*tar.gz*
- 1 つのレポートを削除したい場合: