2. Inspecter des fichiers de journalisation et des statistiques

_images/MoteurDeDetectionON.png

'Inspect' est le menu avec lequel l'administrateur pourra vérifier que la capture du flux se déroule correctement. En effet depuis cet onglet, les données de configuration, la journalisation des fichiers et les statistiques lui seront disponibles.

_images/SPDC8.PNG ↓ _images/SPDC9.PNG

'View detection engine log' correspond à la visualisation des messages du moteur de détection de la sonde GCap pour les flux entrants/sortants.

'Watch eve statistics' montre à un instant T tous les paramètres de capture et compteurs associés au moteur de détection de la sonde GCap.

'Monitor alerts' affiche à l'état brut les alertes capturées par la sonde GCap en temps réel.

'Monitor CPU usage' permet de surveiller la charge CPU de la sonde GCap toutes les secondes.

'View file-related detection ruleset' liste toutes les règles de détection actives liées aux fichiers de la sonde GCap.

'View user-defined detection ruleset' liste toutes les règles de détection actives définies par l'utilisateur.

'View threshold configuration files' permet de visualiser les règles spécifiques threshold/suppress générées depuis Sigflow Manager.

'View detection engine configuration' permet d'afficher les paramètres de configuration du driver d'acquisition de la carte réseau.

'View kernel alerts' accède à la journalisation des messages du kernel de la sonde GCap.

'View general logs (/var/log/messages)' affiche des informations sous forme de messages non liés au débogage, non critiques, remontant l'activité générale et les journaux système.

'View boot logs (/var/log/rc.log)'correspond à la journalisation des messages au démarrage de l'équipement GCap.

'View authentication logs (/var/log/auth.log)' affiche les journaux d'authentification au tunnel IPsec entre le serveur de management GCenter et la sonde de détection GCap. Ce tunnel est obligatoire et systématique pour tous produits TRACKWATCH entre le GCenter et le GCap.

'View planned tasks logs (/var/log/cron.log)' affiche toutes les tâches planifiées de la sonde GCap.

'View daemon logs (/var/log/daemon.log)' remonte les informations des démons linux agissants sur la sonde. La plupart des données concerneront le tunnel IPsec, lien entre le GCenter et le GCap.

'View user logs (/var/log/user.log)' permet de surveiller les interactions entre l'utilisateur et la sonde par rapport au moteur de détection.

'View debug logs (/var/log/debug.log)' correspond aux messages de l'équipement.

Ci-dessous les lignes de commande associées à la fonctionnalité décrite:

services status [eve-compress|eve-generation|eve-upload|file-extraction|file-upload|filter-fileinfo]

services start [eve-compress|eve-generation|eve-upload|file-extraction|file-upload|filter-fileinfo]

services stop [eve-compress|eve-generation|eve-upload|file-extraction|file-upload|filter-fileinfo]

services show retention-periods [unsent-files|sent-files|eve-files]

services set retention-periods [unsent-files|sent-files|eve-files]

show alerts

show cpus

show eve-stats

show logs [detection-engine-logs|dmesg|var-log-messages|var-log-rc|var-log-auth|var-log-cron|var-log-daemon|var-log-user|var-log-debug]