1. Gérer les transferts liés aux fichiers
L'onglet 'Service Management' permet de démarrer ou d'arrêter le transfert de fichiers et/ou l'historique des évènements entre le GCap et le GCenter. Ce menu permet aussi le filtrage des fichiers, leurs périodes de rétention et la compression des logs.
Les 'eve-log' du GCap sont les journaux d'analyse du service de détection d'anomalies réseau. Ces évènements sont horodatés et ordonnés en fonction du moment de la capture.
Une fois dans le menu, les fonctionnalités de génération et d'envoi des évènements 'eve-log' sont activées par défaut. L'extraction et l'envoi des fichiers vers le serveur de management GCenter sont aussi activés.
'Stop eve-log generation' permet d'arrêter la génération et le stockage des évènements sur la sonde de détection GCap. Cela a pour conséquence d'arrêter la capture de fichiers.
'Stop sending eve-logs (but keep on generating them)' a pour but de stopper l'envoi des évènements au serveur GCenter. À noter que cette action n'a pas d'influence sur la génération des logs.
'Stop file extraction' est l'action qui arrête l'extraction des fichiers capturés par la sonde.
'Stop sending files (but keep on extracting them)' a pour but de stopper l'envoi des fichiers au serveur GCenter. À noter que cette action n'a pas d'influence sur l'extraction des fichiers.
Les services peuvent être redémarrés selon les préférences de l'administrateur de la solution. À noter que démarrer le service 'Start eve-log generation' permet de laisser la possibilité de lancer l'extraction des fichiers.
'Remove fileinfo events for observed files' et 'Keep fileinfo events for observed files' permettent la suppression ou la conservation automatique des évènements de type 'fileinfo' à propos de fichiers qui ne seraient pas conservées pour analyse par le GCenter. Le but est de réduire le rapport signal/bruit et limiter la quantité de journaux envoyés au GCenter.
'Compress eve-log' et 'Do not compress eve-log' permettent de compresser ou pas les évènements capturés par le GCap afin qu'ils puissent prendre moins de place sur les disques de l'équipement. Cette fonction est désactivée par défaut, car elle consomme de la puissance de calcul inutilement dans le cas où la connectivité avec le GCenter est fiable. En cas de connectivité intermittente, ou tout autre problème prévenant l'envoi des journaux au GCenter , il est conseillé d'activer cette fonction afin de maximiser la durée de conservation des journaux sur le GCap.
Ci-dessous les lignes de commande associées à la fonctionnalité décrite :
services status [eve-compress|eve-generation|eve-upload|file-extraction|file-upload|filter-fileinfo]
services start [eve-compress|eve-generation|eve-upload|file-extraction|file-upload|filter-fileinfo]
services stop [eve-compress|eve-generation|eve-upload|file-extraction|file-upload|filter-fileinfo]