Хранение алертов и инцидентов

Условия хранения алертов и инцидентов определяются следующими критериями:

• Сроком хранения. По умолчанию алерты и инциденты хранятся в KUMA в течение 365 дней, но этот срок можно изменить, изменив параметры запуска программы в файле /usr/lib/systemd/system/kuma-core.service на сервере Ядра KUMA. См. раздел Изменение срока хранения алертов и инцидентов ниже в этой статье.
• Условиями удаления. По истечении заданного срока хранения при соблюдении ряда условий алерты и инциденты могут продолжать храниться. См. раздел Условия удаления алертов и инцидентов ниже в этой статье.

Ограничения на размер хранимого алерта отсутствуют.

Изменение срока хранения алертов и инцидентов

Вы можете изменить срок хранения алертов и инцидентов одним из следующих способов:

• В веб-интерфейсе KUMA.
• В консоли командной строки.

Чтобы изменить срок хранения алертов и инцидентов в веб-интерфесе KUMA:

1. В веб-интерфейсе KUMA перейдите в раздел Параметры → Другое → Общие.
2. В открывшемся окне Общие в группе параметров Свойства Ядра задайте значение параметра Срок хранения алертов, дни.

Срок хранения алертов и инцидентов изменен.

Чтобы изменить срок хранения алертов и инцидентов в консоли командной строки:

1. Войдите в ОС сервера, на котором установлено Ядро KUMA.
2. В файле /usr/lib/systemd/system/kuma-core.service измените следующую строку, подставив нужное количество дней:

   ExecStart=/opt/kaspersky/kuma/kuma core --alerts.retention <количество дней, в течение которых требуется хранить алерты и инциденты> --external :7220 --internal :7210

3. Перезапустите KUMA, выполнив последовательно следующие команды:
   1. systemctl daemon-reload
   2. systemctl restart kuma-core

Срок хранения алертов и инцидентов изменен.

Условия удаления алертов и инцидентов

В KUMA приняты следующие условия удаления алертов и инцидентов:

• Если алерт старше срока хранения, вне зависимости от статуса алерта его события удаляются.
• Если алерт старше срока хранения, находится в статусе Закрыт и не привязан к инциденту, алерт удаляется.
• Если алерт старше срока хранения (вне зависимости от статуса алерта) и привязан к инциденту, срок хранения которого еще не истек, события алерта удаляются, сам алерт без событий доступен для отображения и остается привязанным к инциденту без событий.
• Если инцидент старше срока хранения, статус инцидента Закрыт и у него нет привязанных алертов, инцидент удаляется.
• Если инцидент старше срока хранения, статус инцидента Закрыт и к нему привязаны только алерты старше срока хранения (статус алертов, привязанных к закрытому инциденту всегда Closed, incident closed), инцидент вместе со всеми алертами и событиями удаляются.
• Если инцидент старше срока хранения (вне зависимости от статуса инцидента), и к нему привязаны алерты, срок хранения которых еще не истек, не удаляется ничего.
• Если инцидент старше срока хранения, в статусе отличном от Закрыт, и к нему привязаны алерты с истекшим сроком хранения, инцидент не удаляется, алерты не удаляются, события алертов удаляются.
• Пустые алерты (алерты без событий, срок хранения которых истек) должны быть удалены вместе с инцидентами, когда для инцидента наступят условия удаления по сроку хранения (инцидент в статусе Закрыт и его срок хранения истек).
• Если инцидент старше срока хранения, статус инцидента Закрыт, к нему привязаны алерты старше срока хранения и алерты, срок хранения которых еще не истек, инцидент не удаляется; алерты, срок хранения которых еще не истек, не удаляются; события алертов, срок хранения которых подошел к концу, удаляются, а сами алерты остаются пустыми и привязанными к инциденту.

Условия независимы, ни один пункт не исключает другой.