6.2.3.1. Introduction

Les 'eve-log' du GCap sont les journaux d'analyse du service de détection d'anomalies réseau. Ces événements sont horodatés et ordonnés en fonction du moment de la capture.
La liste des services surveillés est la suivante :

Service	Fonction
local-alerts	Les alertes sont envoyées d'office au GCenter pour traitement de celles-ci avec des outils appropriés. Le service local-alerts permet de stocker localement les alertes. Ce service, monopolisant des ressources (CPU + espace disque), ne doit être activé que pour effectuer du diagnostic avancé en collaboration avec le service support de Gatewatcher. Ne pas oublier d'arrêter ce service après usage. Ce service n'est pas démarré nativement.
eve-generation	Génération des eve logs et stockage des événements sur le GCap. L'arrêt de ce service arrête la capture de fichiers
eve-compress	Compression des eve logs sur le GCap permet la compression des eve logs mais utilise puissance des CPU En cas de connectivité intermittente, ou tout autre problème prévenant l'envoi des journaux au GCenter, il est conseillé d'activer cette fonction afin de maximiser la durée de conservation des journaux sur le GCap.
eve-upload	Envoi des eve logs vers le GCenter. L'arrêt de ce service n'a pas d'influence sur l'extraction des fichiers
file-extraction	Extraction des fichiers par la sonde GCap
file-upload	Envoi des fichiers extraits vers le GCenter
filter-fileinfo	Filtrage des fileinfos (event_type: fileinfo dans elasticsearch) Supprime ou conserve automatiquement les évènements de type fileinfo à propos de fichiers qui ne seraient pas conservées pour analyse par le GCenter Le but est de réduire le rapport signal/bruit et limiter la quantité de journaux envoyés au GCenter Ce sont des réplicas (fileinfo.stored: false dans elasticsearch)

Chacun de ces services peut être :

• démarré : se référer à la commande start

• arrêté : se référer à la commande stop

Pour visualiser l'état courant des services, se référer à la commande status.