2.3. Utilisation des données

Le serveur GCenter travaille avec des fichiers de logs.

Ceux-ci recensent tous les échanges capturés par la sonde GCap ainsi que les informations du GScan.

Les données créées par les GCap et du GCenter sont de plusieurs types :

• Données liées à la détection

• Données liées aux résultats de la détection

• Données sur la gestion et l'état du système

Ces données peuvent, si le besoin s'en fait sentir, être gérées par l'administrateur.

Cette gestion consiste à :

• gérer et modifier si besoin la Rétention des données

• Suppression des données

---

2.3.1. Données liées à la détection

En complément de tableaux de bord présents depuis l'interface web du GCenter, il est possible d'utiliser des équipements externes en utilisant le protocole syslog ( tel qu'un SIEM), afin d'exploiter les données remontées par la solution.

---

2.3.1.1. Export des données via le protocole Syslog

Le GCenter offre la possibilité aux administrateurs de configurer jusqu'à deux exports de données vers des destinations différentes.

Les données peuvent être exportées vers un SIEM par exemple.

Une fois qu'un export a été activé, l'ensemble des données choisies est alors exporté vers la destination configurée.

Il est évidemment possible pour l'administrateur de choisir les données qu'il souhaite exporter.

Note

Lorsqu'on parle de données exportées, seules les données de type "alerte", "métadonnée" sont concernées.

Aucun fichier log système du GCenter ou du GCap n'est concerné par cet export.

Pour plus d'informations, voir la présentation de l'Ecran `Admin-GCenter- Data Exports` de la legacy web UI.

---

2.3.2. Données liées aux résultats de la détection

Les données donnant les résultats de la détection et donc les informations liées aux menaces sont traitées dans le GCenter et affichées sous forme de tableaux de bord :

• tableaux de bord synthétiques

  Ceux ci sont gérés par l'interface WEB User Interface.

  Pour plus d'informations, voir la Présentation de l'interface graphique WEB UI.
• tableaux de bord complets

  Ceux ci sont gérés par l'interface Interface Kibana.

  Pour plus d'informations, voir la Présentation de l'interface graphique Kibana.

---

2.3.3. Données sur la gestion et l'état du système

Ces données permettent les fonctions :

• Visualisation de l'état du système

• Export des données de l'état du système vers des serveurs distants

• Gestion du système et sa configuration

---

2.3.3.1. Visualisation de l'état du système

• Interface graphique WEB traditionnelle :

  Les données de l'état du système sont gérées par l'interface WEB traditionnelle (legacy WEB UI).

  Pour plus d'informations, voir la Présentation de l'interface graphique WEB traditionnelle (legacy WEB UI).
• Interface graphique Gstats :

  Les données de l'état du système sont aussi gérées par des services Netdata.

  Plus précisément chaque GCap possède un service Netdata qui envoie ses informations au serveur Netdata localisé dans le GCenter.

  De la même façon, le GCenter possède un service Netdata qui envoie ses informations au serveur Netdata interne au GCenter.

  Le serveur Netdata interne au GCenter permet l'affichage de ces données via l'interface graphique Gstats.

  Pour plus d'informations, voir la Présentation de l'interface graphique Gstats.

---

2.3.3.2. Export des données de l'état du système vers des serveurs distants

2.3.3.2.1. Export des données vers un serveur Netdata

En plus de l'interface Netdata utilisée pour Gstats, le GCenter possède une autre interface Netdata export dont le but est l'exportation des données vers un serveur externe.

Celle-ci doit être configurée : pour plus d'informations, voir la présentation de l'Ecran `Admin-GCenter-Configuration` de la legacy web UI.

Pour la mise en œuvre, voir la procédure de Configuration de l'interface Netdata export.

---

2.3.3.2.2. Récupération des données par un serveur Nagios

Pour plus d'informations, voir la présentation de l'Ecran `Admin-GCenter-Configuration` de la legacy web UI.

---

2.3.3.3. Gestion du système et sa configuration

La gestion du système et en particulier sa configuration sont effectuées via :

• le menu de configuration

  Pour plus d'informations, voir la Présentation du menu de configuration.
• les options de configuration gérées par l'interface Web traditionnelle

  Pour plus d'informations, voir la Présentation de l'interface graphique WEB traditionnelle (legacy WEB UI).

Lors d'un problème bloquant, il est nécessaire d’accéder aux journaux de la solution afin de résoudre ce dernier.

Ces informations sont utilisées pour le diagnostic en collaboration avec le service support de GATEWATCHER.

La fonction de diagnostic permet de :

• générer les fichiers de logs puis de les télécharger afin d'analyse par le support GATEWATCHER.

  Le fichier d'export de log est protégé par un mot de passe que seule l'équipe administrateur GATEWATCHER connaît.

  Les messages de tous les journaux seront accessibles ainsi que tous les appels systèmes de la solution.
• générer le fichier "Tech support" puis de le télécharger afin d'analyse par un administrateur.

  Le fichier "Tech support" donne les informations sur l'état de santé du serveur GCenter mais ne contient pas de données capturées.

  Ce dernier n'est pas chiffré et est exploitable par l'administrateur

Note

Dans certains environnements sensibles, il peut être interdit d'extraire l'ensemble des journaux non anonymisés tel qu'il est possible avec l'archive Log files.

Le `Tech support` permet à l'administrateur de fournir des éléments non sensibles et anonymes de diagnostic au support.

L'interface graphique de la fonction de diagnostic est décrite dans l'Ecran `Admin-GCenter- Diagnostics` de la legacy web UI.

Note

Il est également possible depuis le menu setup de générer un "Tech Support".

Pour plus d'informations, voir la Présentation du menu de configuration.

Dans ces deux cas, il est généralement nécessaire pour l'administrateur de contacter le support de GATEWATCHER.

Ces fichiers permettront au support d'identifier au mieux les potentiels dysfonctionnements et de les résoudre.

---

2.3.4. Rétention des données

Les données sont stockées sur le GCenter pour une durée limitée (appelée durée de rétention) et pour une taille maximum.

Astuce

Augmenter cette durée augmente la taille des données stockées. Ceci implique des latences plus importantes et des performances et une stabilité réduites.

Note

La configuration s'applique en deux étapes :

• la première sur le GCenter au niveau de ce champ,

• la deuxième au niveau de la sonde de détection GCap dans les paramètres de configuration.

Ces paramètres sont réglables.

L'interface graphique est décrite dans le paragraphe Ecran `Admin-GCenter-Configuration` de la legacy web UI.

---

2.3.5. Suppression des données

Après une sauvegarde complète ou incrémentielle par la fonctionnalité de backup, les anciens logs se suppriment automatiquement, en fonction de la durée de rétention de données, libérant ainsi de l'espace disque.

Il est possible de supprimer manuellement les informations, en sélectionnant tout ou une partie selon le type et les dates des informations à supprimer.

Cette période de suppression est sélectionnée par l'administrateur mais celle-ci ne pourra pas dépasser la durée totale de rétention des données déjà pré-configurées dans la solution.

Il en va de même pour les services ICAP et Syslog.

Important

Les données n'ayant pas encore été traitées seront aussi supprimées.

L'interface graphique est décrite dans l'Ecran `Admin-GCenter- Data Management` de la legacy web UI.

Pour la mise en œuvre, voir la procédure de Suppression des données (fichiers de logs).

---