Collectorインストール

KYRA Collectorは、ネットワーク内で動作する軽量エージェントです。セキュリティテレメトリを収集、正規化し、KYRA MDRプラットフォームに安全に転送します。

要件：

• *.seekerslab.com へのアウトバウンドHTTPS（ポート443）
• 1 vCPU、512 MB RAM以上
• ログバッファリング用に1 GBのディスク容量

---

Linuxインストール

ワンラインインストール（推奨）

curl -sSL https://install.kyra.ai/collector | sudo bash

これにより以下が実行されます：

1. Linuxディストリビューションの検出（Ubuntu、Debian、RHEL、CentOS、Amazon Linux）
2. 最新のCollectorバイナリのダウンロード
3. kyra-collector systemdサービスの作成
4. 一意のCollector IDの生成とテナントへの登録
5. サービスの起動とsyslogポート514でのリスニング開始

手動インストール

手動でインストールする場合、またはエアギャップ環境で運用する場合：

# バイナリのダウンロード
wget https://releases.seekerslab.com/collector/latest/kyra-collector-linux-amd64.tar.gz

# 展開
tar -xzf kyra-collector-linux-amd64.tar.gz -C /opt/kyra/

# systemdユニットファイルのコピー
sudo cp /opt/kyra/kyra-collector.service /etc/systemd/system/

# 設定の編集
sudo vi /opt/kyra/config.yaml

設定ファイル

設定ファイルは /opt/kyra/config.yaml にあります：

# KYRA Collector設定
tenant_id: "your-tenant-id"          # Console > Settings > Organization で確認
api_key: "your-collector-api-key"     # Console > Settings > Collectors で生成
platform_url: "https://ingest.seekerslab.com"

# Syslogリスナー
syslog:
  enabled: true
  udp_port: 514
  tcp_port: 514

# Windowsイベントログ（Linux：無効）
windows_events:
  enabled: false

# ログバッファリング
buffer:
  path: /var/lib/kyra/buffer
  max_size_mb: 500

# TLS設定
tls:
  verify: true
  ca_cert: /opt/kyra/certs/ca.pem

サービスの起動

sudo systemctl daemon-reload
sudo systemctl enable kyra-collector
sudo systemctl start kyra-collector

---

Windowsインストール

PowerShellインストーラー

管理者としてPowerShellを実行：

# インストーラーのダウンロードと実行
Invoke-WebRequest -Uri "https://install.kyra.ai/collector/windows" -OutFile "$env:TEMP\kyra-collector-setup.msi"
Start-Process msiexec.exe -ArgumentList "/i $env:TEMP\kyra-collector-setup.msi /quiet" -Wait

手動インストール

1. Console DownloadsページからMSIインストーラーをダウンロード
2. インストーラーを実行 — テナントID と APIキー の入力を求められます
3. インストーラーがWindowsサービス KYRA Collector を作成します

Windows設定

設定ファイルは C:\Program Files\KYRA\Collector\config.yaml にあります：

tenant_id: "your-tenant-id"
api_key: "your-collector-api-key"
platform_url: "https://ingest.seekerslab.com"

syslog:
  enabled: true
  udp_port: 514
  tcp_port: 514

windows_events:
  enabled: true
  channels:
    - Security
    - System
    - Application
    - Microsoft-Windows-Sysmon/Operational

buffer:
  path: "C:\\ProgramData\\KYRA\\buffer"
  max_size_mb: 500

サービスの管理

# ステータス確認
Get-Service "KYRA Collector"

# 再起動
Restart-Service "KYRA Collector"

# ログの表示
Get-Content "C:\ProgramData\KYRA\logs\collector.log" -Tail 50

---

Dockerインストール

Docker Run

docker run -d \
  --name kyra-collector \
  --restart unless-stopped \
  -p 514:514/udp \
  -p 514:514/tcp \
  -e KYRA_TENANT_ID="your-tenant-id" \
  -e KYRA_API_KEY="your-collector-api-key" \
  -v kyra-buffer:/var/lib/kyra/buffer \
  kyra/collector:latest

Docker Compose

version: "3.8"
services:
  kyra-collector:
    image: kyra/collector:latest
    container_name: kyra-collector
    restart: unless-stopped
    ports:
      - "514:514/udp"
      - "514:514/tcp"
    environment:
      - KYRA_TENANT_ID=your-tenant-id
      - KYRA_API_KEY=your-collector-api-key
      - KYRA_PLATFORM_URL=https://ingest.seekerslab.com
    volumes:
      - kyra-buffer:/var/lib/kyra/buffer

volumes:
  kyra-buffer:

---

接続の確認

インストール後、Collectorが接続されていることを確認します：

1. ローカルステータスの確認

# Linux
sudo systemctl status kyra-collector
sudo journalctl -u kyra-collector --since "5 minutes ago"

# Docker
docker logs kyra-collector --tail 20

以下を確認します：

INFO  Connected to KYRA platform (ingest.seekerslab.com)
INFO  Collector registered: collector-id=abc123
INFO  Syslog listener started on :514

2. コンソールでの確認

1. KYRA MDRコンソールを開きます
2. Settings > Collectors に移動します
3. Collectorが緑の Connected ステータスで表示されるはずです
4. Last Seen のタイムスタンプが直近1分以内であることを確認します

3. テストイベントの送信

# コレクターにテストsyslogメッセージを送信
logger -n 127.0.0.1 -P 514 "KYRA-TEST: Collector installation verified"

コンソールの Log Search を確認します — テストメッセージが数秒以内に表示されるはずです。

---

トラブルシューティング

Collectorが起動しない

症状	原因	対処法
Permission denied	root権限で実行されていない	sudo で実行
Port 514 already in use	別のsyslogデーモンが実行中	rsyslogを停止：sudo systemctl stop rsyslog
Connection refused	ファイアウォールがアウトバウンドをブロック	*.seekerslab.com へのアウトバウンドHTTPS（443）を許可

Collectorがコンソールに表示されない

1. APIキーの確認: config.yaml の api_key がConsole > Settings > Collectorsのキーと一致することを確認
2. ネットワークの確認: curl -I https://ingest.seekerslab.com/health が200を返すことを確認
3. ログの確認: journalctl -u kyra-collector -f でエラーメッセージを確認
4. DNSの確認: ingest.seekerslab.com が正しく名前解決されることを確認

イベントが表示されない

1. ソースの確認: デバイスが実際にsyslogを送信していますか？Collectorホストで tcpdump -i any port 514 を実行
2. バッファの確認: バッファが満杯の場合、Collectorはイベントの受け付けを停止します。/var/lib/kyra/buffer のディスク容量を確認
3. レート制限の確認: 無料ティアは100 EPSに制限されています。超過する場合はアップグレードを検討

プロキシ設定

ネットワークがHTTPプロキシを必要とする場合：

# config.yamlに追加
proxy:
  http: "http://proxy.example.com:8080"
  https: "http://proxy.example.com:8080"
  no_proxy: "localhost,127.0.0.1"

---

Collectorの更新

Linux

# Collectorはデフォルトで自動更新されます。手動で更新する場合：
curl -sSL https://install.kyra.ai/collector | sudo bash

Docker

docker pull kyra/collector:latest
docker stop kyra-collector && docker rm kyra-collector
# docker runコマンドを再実行

---

アンインストール

Linux

sudo systemctl stop kyra-collector
sudo systemctl disable kyra-collector
sudo rm /etc/systemd/system/kyra-collector.service
sudo rm -rf /opt/kyra/
sudo rm -rf /var/lib/kyra/

Windows

# PowerShell（管理者）で実行
Start-Process msiexec.exe -ArgumentList "/x {KYRA-COLLECTOR-PRODUCT-CODE} /quiet" -Wait

またはWindows設定の アプリと機能 を使用します。

Docker

docker stop kyra-collector && docker rm kyra-collector
docker volume rm kyra-buffer