Jump to content
Kaspersky Support Forum

Как экспортировать обнаружения из KATA в CSV файл [KATA/KEDRE]

Egor Erastov
 Share

Recommended Posts

Egor Erastov

Egor Erastov

Posted
Posted

Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума.

Сотрудникам службы безопасности может быть необходимо получить необработанные данные обнаружений для дальнейшего анализа.

Как экспортировать обнаружения из KATA в CSV файл:

 

KATA 3.7.2 

sudo -u postgres bash -c "psql -d antiapt -c \"COPY (SELECT * FROM all_alerts) TO '/tmp/all_alerts.csv' (format csv, delimiter ';', header, encoding 'UTF8');\""

Вместо того, чтобы экспортировать все обнаружения, можно экспортировать последние N обнаружений или фильтровать их по иным полям в SQL запросе: 

sudo -u postgres psql antiapt -c "copy (select * from all_alerts limit N) to '/tmp/all_alerts.csv' (format csv, header, encoding 'UTF8');"

Например, если необходимо экспортировать обнаружения за определенный временной интервал: 

sudo -u postgres bash -c "psql -d antiapt -c \"COPY (SELECT * FROM all_alerts WHERE update_time BETWEEN '2021-04-19 21:36:11'::timestamp AND '2021-05-01 13:29:57'::timestamp) TO '/tmp/kata_alerts.csv' (format csv, delimiter ';', header, encoding 'UTF8');\""

 

NB! Иногда названия файлов могут содержать \r\n обозначения конца строки, что может повлиять на импорт данных в Excel. Заменить \r\n на \n можно с помощью Notepad++.

 

PS: Чтобы экспортировать все подключенные/неподключенные устройства: 

sudo -u postgres bash -c "psql -d antiapt -c \"COPY (SELECT * FROM agent_status) TO '/tmp/agent_status.csv' (format csv, delimiter ';', header, encoding 'UTF8');\""

 

KATA 4+/5+/6+

Если команды выше не работают, используйте следующую команду: 

psql -U kluser -h 127.0.0.1 antiapt -c "select * from all_alerts;" > /tmp/all_alerts

Как и в предыдущих командах, SQL запрос можно редактировать, например, чтобы экспортировать обнаружения за определенный временной интервал: 

psql -U kluser -h 127.0.0.1 antiapt -c "select * from all_alerts where update_time between '2021-04-19 21:36:11'::timestamp and now()::timestamp;" > /tmp/all_alerts

После чего данные можно импортировать в Excel, создав новый файл, на вкладке Данные -> Из текстового файла или CSV и указать путь к скопированному файлу /tmp/all_alerts.

 

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...