Collector 安装

KYRA Collector 是一个在您网络内部运行的轻量级代理。它收集、规范化安全遥测数据，并安全地转发到 KYRA MDR 平台。

要求：

出站 HTTPS（端口 443）到 *.seekerslab.com
1 vCPU、512 MB 内存最低配置
1 GB 磁盘空间用于日志缓冲

Linux 安装

一键安装（推荐）

curl -sSL https://install.kyra.ai/collector | sudo bash

这将：

检测您的 Linux 发行版（Ubuntu、Debian、RHEL、CentOS、Amazon Linux）
下载最新的收集器二进制文件
创建 kyra-collector systemd 服务
生成唯一的收集器 ID 并注册到您的租户
启动服务并开始在 syslog 端口 514 上监听

手动安装

如果您更喜欢手动安装或在物理隔离环境中运行：

# 下载二进制文件
wget https://releases.seekerslab.com/collector/latest/kyra-collector-linux-amd64.tar.gz

# 解压
tar -xzf kyra-collector-linux-amd64.tar.gz -C /opt/kyra/

# 复制 systemd 单元文件
sudo cp /opt/kyra/kyra-collector.service /etc/systemd/system/

# 编辑配置
sudo vi /opt/kyra/config.yaml

配置文件

配置文件位于 /opt/kyra/config.yaml：

# KYRA Collector 配置
tenant_id: "your-tenant-id"          # 在控制台 > 设置 > 组织中找到
api_key: "your-collector-api-key"     # 在控制台 > 设置 > Collectors 中生成
platform_url: "https://ingest.seekerslab.com"

# Syslog 监听器
syslog:
  enabled: true
  udp_port: 514
  tcp_port: 514

# Windows 事件日志（Linux 上禁用）
windows_events:
  enabled: false

# 日志缓冲
buffer:
  path: /var/lib/kyra/buffer
  max_size_mb: 500

# TLS 设置
tls:
  verify: true
  ca_cert: /opt/kyra/certs/ca.pem

启动服务

sudo systemctl daemon-reload
sudo systemctl enable kyra-collector
sudo systemctl start kyra-collector

Windows 安装

PowerShell 安装器

以管理员身份运行 PowerShell：

# 下载并运行安装程序
Invoke-WebRequest -Uri "https://install.kyra.ai/collector/windows" -OutFile "$env:TEMP\kyra-collector-setup.msi"
Start-Process msiexec.exe -ArgumentList "/i $env:TEMP\kyra-collector-setup.msi /quiet" -Wait

手动安装

从控制台下载页下载 MSI 安装程序
运行安装程序 — 它将提示输入 租户 ID 和 API 密钥
安装程序创建 Windows 服务 KYRA Collector

Windows 配置

配置文件位于 C:\Program Files\KYRA\Collector\config.yaml：

tenant_id: "your-tenant-id"
api_key: "your-collector-api-key"
platform_url: "https://ingest.seekerslab.com"

syslog:
  enabled: true
  udp_port: 514
  tcp_port: 514

windows_events:
  enabled: true
  channels:
    - Security
    - System
    - Application
    - Microsoft-Windows-Sysmon/Operational

buffer:
  path: "C:\\ProgramData\\KYRA\\buffer"
  max_size_mb: 500

管理服务

# 检查状态
Get-Service "KYRA Collector"

# 重启
Restart-Service "KYRA Collector"

# 查看日志
Get-Content "C:\ProgramData\KYRA\logs\collector.log" -Tail 50

Docker 安装

Docker Run

docker run -d \
  --name kyra-collector \
  --restart unless-stopped \
  -p 514:514/udp \
  -p 514:514/tcp \
  -e KYRA_TENANT_ID="your-tenant-id" \
  -e KYRA_API_KEY="your-collector-api-key" \
  -v kyra-buffer:/var/lib/kyra/buffer \
  kyra/collector:latest

Docker Compose

version: "3.8"
services:
  kyra-collector:
    image: kyra/collector:latest
    container_name: kyra-collector
    restart: unless-stopped
    ports:
      - "514:514/udp"
      - "514:514/tcp"
    environment:
      - KYRA_TENANT_ID=your-tenant-id
      - KYRA_API_KEY=your-collector-api-key
      - KYRA_PLATFORM_URL=https://ingest.seekerslab.com
    volumes:
      - kyra-buffer:/var/lib/kyra/buffer

volumes:
  kyra-buffer:

验证连接

安装后，验证收集器已连接：

1. 检查本地状态

# Linux
sudo systemctl status kyra-collector
sudo journalctl -u kyra-collector --since "5 minutes ago"

# Docker
docker logs kyra-collector --tail 20

查看以下输出：

INFO  Connected to KYRA platform (ingest.seekerslab.com)
INFO  Collector registered: collector-id=abc123
INFO  Syslog listener started on :514

2. 在控制台中检查

打开 KYRA MDR 控制台
前往 设置 > Collectors
您的收集器应显示绿色的 已连接 状态
最后在线 时间戳应在最近一分钟内

3. 发送测试事件

# 向收集器发送测试 syslog 消息
logger -n 127.0.0.1 -P 514 "KYRA-TEST: Collector installation verified"

在控制台的 日志搜索 中检查 — 测试消息应在几秒内出现。

故障排除

Collector 无法启动

症状	原因	解决方法
`Permission denied`	未以 root 身份运行	使用 `sudo` 运行
`Port 514 already in use`	另一个 syslog 守护进程正在运行	停止 rsyslog：`sudo systemctl stop rsyslog`
`Connection refused`	防火墙阻止出站	允许出站 HTTPS（443）到 `*.seekerslab.com`

Collector 未出现在控制台中

检查 API 密钥：验证 config.yaml 中的 api_key 与控制台 > 设置 > Collectors 中的密钥匹配
检查网络：curl -I https://ingest.seekerslab.com/health 应返回 200
检查日志：journalctl -u kyra-collector -f 查看错误消息
检查 DNS：确保 ingest.seekerslab.com 正确解析

事件未出现

检查源：设备是否确实在发送 syslog？在收集器主机上运行 tcpdump -i any port 514
检查缓冲：如果缓冲已满，收集器将停止接受事件。检查 /var/lib/kyra/buffer 的磁盘空间
检查速率限制：FREE 等级限制为 50 EPS。如果超过此限制，请升级

代理配置

如果您的网络需要 HTTP 代理：

# 添加到 config.yaml
proxy:
  http: "http://proxy.example.com:8080"
  https: "http://proxy.example.com:8080"
  no_proxy: "localhost,127.0.0.1"

更新 Collector

Linux

# 收集器默认自动更新。手动更新：
curl -sSL https://install.kyra.ai/collector | sudo bash

Docker

docker pull kyra/collector:latest
docker stop kyra-collector && docker rm kyra-collector
# 重新运行您的 docker run 命令

卸载

Linux

sudo systemctl stop kyra-collector
sudo systemctl disable kyra-collector
sudo rm /etc/systemd/system/kyra-collector.service
sudo rm -rf /opt/kyra/
sudo rm -rf /var/lib/kyra/

Windows

# 通过 PowerShell（管理员）
Start-Process msiexec.exe -ArgumentList "/x {KYRA-COLLECTOR-PRODUCT-CODE} /quiet" -Wait

或使用 Windows 设置中的 添加/删除程序。

Docker

docker stop kyra-collector && docker rm kyra-collector
docker volume rm kyra-buffer