9.3.4. monitoring-engine

A - Introduction

Le moteur de détection de la sonde GCap capture le trafic réseau et fait l’analyse afin de générer les événements de sécurité (alertes et métadonnées).
La commande `monitoring-engine` permet :

  • de démarrer le moteur de détection

  • d’arrêter le moteur de détection

  • de visualiser l’état du moteur de détection

    Note

    Pour cette commande, il existe des options avancées (voir la section set monitoring-engine).
    Une fois le moteur de capture activé, certaines commandes de configuration du GCap ne sont plus accessibles.
    Cette information est indiquée par le champ "Dépendances" dans le descriptif de chacune des commandes.
    Il faut désactiver le moteur de capture pour les rendre à nouveau accessibles.
    Si la configuration du GCap est modifiée via le GCenter, le moteur de détection est rechargé automatiquement.
    Si l'appliance GCap est redémarrée, il n'y a aucun impact sur l'état du moteur de détection.

B - Prérequis

  • Utilisateur : setup, gviewadm

  • Dépendances :

    • Ajouter l’IP du GCenter (`set gcenter-ip`).

    • Appairer le GCap et le GCenter.

    • Choisir la version de compatibilité GCenter.

    • Activer au moins une interface de capture.

    Note

    Si l’option `sanity-checks` est sur `enable`, le moteur de détection ne démarre qu’après avoir vérifié qu’au moins une interface de capture `monx` a été activée et qu’un câble est connecté.

C - Commande

`monitoring-engine {status|start|stop}`

9.3.4.1. Exemple pour afficher l’état du moteur de détection

L’invite de commande est affichée.

(gcap-cli)

  1. Saisir la commande

    (gcap-cli) monitoring-engine status
  2. Valider
    Le système affiche l’état du moteur.
    Detection engine is down

    Signification :

    • Detection engine `down` : signifie que l’état du moteur est inactif

    • Detection engine `up` : signifie que l’état du moteur est actif

9.3.4.2. Exemple pour démarrer le moteur de détection

Le système affiche l’invite de commande suivante :

Monitoring DOWN gcap-name (gcap-cli)

L’invite de commande indique l’état du moteur de détection : ici il est arrêté.

  1. Saisir la commande

    (gcap-cli) monitoring-engine start

  2. Valider

  3. Vérifier l’état du moteur de détection

    Le système affiche l’invite de commande suivante :

    [Monitoring UP] gcap-name (gcap-cli)

    L’invite de commande indique l’état du moteur de détection : ici il est démarré.

9.3.4.3. Exemple pour arrêter le moteur de détection

Le système affiche l’invite de commande suivante :

[Monitoring UP] gcap-name (gcap-cli)

L’invite de commande indique l’état du moteur de détection : ici il est démarré.

  1. Saisir la commande

    (gcap-cli) monitoring-engine stop

  2. Valider

  3. Vérifier l’état du moteur de détection

    Monitoring DOWN gcap-name (gcap-cli)

    L’invite de commande indique l’état du moteur de détection : ici il est arrêté.