6.2.5. monitoring-engine

6.2.5.1. Introduction

Le moteur de détection de la sonde GCap capture le trafic réseau et fait l'analyse afin de générer les événements de sécurité (alertes et métadonnées). La commande monitoring-engine permet :

  • de démarrer le moteur de détection

  • d'arrêter le moteur de détection

  • de visualiser l'état du moteur de détection

Note

Pour cette commande, il existe des options avancées (voir la section set monitoring-engine).
Une fois le moteur de capture activé, certaines commandes de configuration du GCap ne sont plus accessibles.
Cette information est indiquée par le champ "Dépendances" dans le descriptif de chacune des commandes.
Il faut désactiver le moteur de capture pour les rendre à nouveau accessibles.
Si la configuration du GCap est modifiée via le GCenter, le moteur de détection est rechargé automatiquement.
Si l'appliance GCap est redémarrée, il n'y a aucun impact sur l'état du moteur de détection.

6.2.5.2. Prérequis

  • Utilisateurs : setup, gviewadm

  • Dépendances :

    • Ajouter l'IP du GCenter (set gcenter-ip).

    • Appairer le GCap et le GCenter.

    • Choisir la version de compatibilité GCenter.

    • Activer au moins une interface de capture.

Note

Si l'option sanity-checks est sur enable, le moteur de détection ne démarre qu'après avoir vérifié qu'au moins une interface de capture monx a été activée et qu'un câble est connecté.

6.2.5.3. Commande

monitoring-engine {status|start|stop}

6.2.5.4. Exemple pour afficher l'état du moteur de détection

  • Entrer la commande suivante.

    (gcap-cli) monitoring-engine status

  • Valider. Le système affiche l'état du moteur :

    Detection engine is down

    Signification :

    • Detection engine down : signifie que l'état du moteur est inactif

    • Detection engine up : signifie que l'état du moteur est actif

6.2.5.5. Exemple pour démarrer le moteur de détection

Le système affiche l'invite de commande suivant :

Monitoring DOWN gcap-name (gcap-cli)

L'invite de commande indique l'état du moteur de détection : ici il est arrêté.

  • Entrer la commande suivante.

    (gcap-cli) monitoring-engine start

  • Valider.

  • Vérifier l'état du moteur de détection :

    Le système affiche l'invite de commande suivant :

    [Monitoring UP] gcap-name (gcap-cli)

    L'invite de commande indique l'état du moteur de détection : ici il est démarré.

6.2.5.6. Exemple pour arrêter le moteur de détection

Le système affiche l'invite de commande suivant :

[Monitoring UP] gcap-name (gcap-cli)

L'invite de commande indique l'état du moteur de détection : ici il est démarré.

  • Entrer la commande suivante.

    (gcap-cli) monitoring-engine stop

  • Valider.

  • Vérifier l'état du moteur de détection :

    Monitoring DOWN gcap-name (gcap-cli)

    L'invite de commande indique l'état du moteur de détection : ici il est arrêté.