Jump to content
StefanH01

KSC in zentrales Monitoring einbinden?

Recommended Posts

Moin,

gibt es eigentlich eine halbwegs elegante Lösung, um KSC (10.4.343) in ein zentrales Monitoring-System (z.B. PRTG) einzubinden? Ein paar Status-/Statistikdaten wie "Anzahl der Geräte mit Status "kritisch"" und ähnliches abzufragen wäre ganz nützlich.

Den SNMP Support scheint Kaspersky ja gekillt zu haben, eine Abfrage mit der alten 2007er MIB und ein SNMP-Walk ergaben jedenfalls keine sinnvollen Ergebnisse. Auch was hier (https://support.kaspersky.com/de/12603) beschrieben ist funktioniert damit nicht (mehr) - sind dieselben OID's.

Gruß
Stefan

Share this post


Link to post

Wie hast du die SNMP-Benachrichtigung eingestellt? Sollte über "Ereignisbenachrichtigung" in den Richtlinien eigentlich möglich sein. Habe es aber schon lange nicht mehr ausprobiert.

Was das KSC aber kann: Integration mit SIEM-Systemen. Unterstützt werden dabei die Protokolle Syslog, CEF oder LEEF. Siehe https://support.kaspersky.com/de/9284
Allerdings ist dafür Advanced-Lizenzierung erforderlich.

Eine weitere Möglichkeit Vorgänge und Übergabe von Werten aus der Datenbank zu automatisieren: KLAKAUT
Die Schnittstelle (klakaut.exe), die Hilfe (klakaut.chm), sowie einige Beispiele (klakaut.zip) findest du im Istallationspfad des KSC, in der Regel ist das "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center"

Grüße
Alex

Share this post


Link to post

Hallo Alex,

bei den "SNMP-Benachrichtigungen" (das sind ja eigentlich SNMP-Traps) ist sich Kaspersky ja selber nicht so einig, ob es das will oder nicht. Beim Admin-Kit 8 war es noch voll unterstützt, beim KSC ist zwar der entsprechende Haken in den Benachrichtigungsoptionen da (oder auch nicht, je nach Release in der Vergangenheit), aber es gibt keine Möglichkeit, dies in den "Einstellungen für den Benachrichtigungsversand" auch zu konfigurieren.

Aber SNMP-Traps sind (wie Syslogs) auch nicht das, was ich unter Einbinden in zentrales Monitoring verstehe. Hier will ich keine Traps oder Messages empfangen, sondern aktiv Werte via SNMP-Get auslesen. Die Push-Meldungen (Traps/Syslog) kann man natürlich zusätzlich ins Alerting einbinden, aber das ist kein Ersatz für den regelmäßigen Pull von Werten ins Monitoring.

Was Klakaut angeht: da müsste die Verzweiflung schon groß sein, bis man sich da was zusammenfrickelt. Selbstgebastelte APIs in einem professionellen Umfeld ist in den meisten Fällen ein No-Go. Zumindest solange man nicht auch das "Gebastel" auf eine professionelle Stufe zieht und die entsprechenden Ressourcen einplant. (Damit haben wir in der Vergangenheit leidvolle Erfahrungen gemacht)

Gruß
Stefan

Share this post


Link to post

Wen es nach einem Jahr noch interessiert: Hier die Lösung:

Nein, Kaspersky hat SNMP nicht gekillt. Es funktioniert - wenn man weiß wie! (Schön, dass man sich Dank Browsertechnik auch mal die russischen Teile dieses Forums anschauen bzw. übersetzen lassen kann. Daher habe ich nämlich die Info)

Der Knackpunkt ist der Kaspersky SNMP-Agent, der laut Dokumentation automatisch mit installiert wird, wenn auf dem Server der SNMP-Dienst läuft.

Spoiler: wird er nicht!

Man kann ihn aber nachinstallieren: dazu einfach in der Windows Systemsteuerung "Programme und Features" wählen und eine Änderung bei "Kaspersky Security Center 10 Administrationsserver" vornehmen. Der Haken bei SNMP-Agent muss gesetzt werden:

image.png.ef198b718cef25c03b8367cd95656878.png

Achtung: im Rahmen dieser Änderung werden die Kaspersky-Dienste auf dem Server ohne weitere Nachfrage heruntergefahren und anschließend neu gestartet.

Nach der Änderung sollte alles wieder laufen, auch ein SNMP-Walk über den Kaspersky OID-Tree klappt jetzt. Damit auch ein Get klappt, muss allerdings noch der Windows SNMP-Dienst neu gestartet werden. Danach steht einem Monitoring nichts mehr im Wege.

Fazit: Daumen hoch für die Entwickler, Daumen runter für die Autoren von Online-Hilfe und Dokumentation!

Gruß
Stefan

Share this post


Link to post
Guest
This topic is now closed to further replies.

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.