Dépannage

Cette section identifie les ressources que vous pouvez utiliser lors du dépannage des problèmes avec le déploiement du Tanium Client.

Conseils de base

Examiner le journal d’installation du Tanium Client pour résoudre les problèmes d’installation sur Windows

Si vous rencontrez des problèmes avec votre installation sur les endpoints Windows, examinez le fichier Install.log dans le répertoire d’installation du Tanium Client pour identifier les actions qui ont échoué pendant l’installation. Sur les endpoints Windows, le programme d’installation du Tanium Client génère ce fichier journal pour enregistrer une chronologie des actions effectuées par le programme d’installation. Chaque fois que le programme d’installation s’exécute (c’est-à-dire, pour chaque installation et mise à niveau), il ajoute les actions pour cette exécution à la fin du fichier journal existant.

Examiner les journaux du Tanium Client pour résoudre les connexions et d’autres problèmes du client

Examinez les journaux du Tanium Client pour vous aider à résoudre les problèmes du client. Par exemple, un client peut ne pas répondre aux questions ou apparaître dans la Tanium Console (Administration (Administration) > Management (Gestion) > Client Status (Statut du client)) parce que ce client ne peut pas se connecter à une instance TaaS au serveur Tanium ou au zone Server. Dans ce cas, vous pouvez examiner les journaux client pour déterminer si la connexion a échoué en raison d’une adresse IP d’instancede serveur non valide, d’un échec de résolution DNS, d’un fichier de clé publique Tanium manquant ou d’une règle de pare-feu.

Le Tanium Client écrit de nouveaux journaux client dans le fichier log0.txt. La taille maximale par défaut du fichier journal est de 10 Mo. Lorsque log0.txt atteint la taille maximale, le client le renomme log1.txt, puis crée un nouveau log0.txt. Lorsque log0.txt atteint à nouveau le maximum, le client renomme log1.txt en log2.txt, renomme à nouveau log0.txt en tant log1.txt, et crée un nouveau log0.txt. Le processus de propagation des journaux chaque fois que log0.txt atteint la taille maximale se poursuit jusqu’à ce que 10 journaux existent : log0.txt à log9.txt.

Lorsque log0.txt atteint à nouveau la taille maximale après cela, le client compresse log9.txt sous la forme d’un fichier nommé log10.zip. Lorsque log0.txt atteint à nouveau 10 Mo, le client renomme log10.zip en log11.zip et compresse à nouveau log9.txt en tant que fichier nommé log10.zip. Le processus de reconduction du fichier ZIP se poursuit jusqu’à l’existence de 10 fichiers ZIP, log10.zip à log19.zip. Lorsque log0.txt atteint à nouveau 10 Mo après cela, le client crée un nouveau log10.zip sans renommer log19.zip en tant que nouveau fichier, en supprimant effectivement l’ancienne information log19.zip lors du changement de nom log18.zip en tant que nouveau log19.zip.

L’emplacement des fichiers journaux est configurable (reportez-vous à la section LogPath). La valeur par défaut est <Répertoire d’installation par défaut pour le Tanium Client>/Journaux.

Vous pouvez utiliser la fonctionnalité d’intégrité du client dans Client Management pour vous connecter directement à un endpoint et récupérer les journaux. Pour plus d’informations, reportez-vous à la section Afficher les informations détaillées sur l’intégrité du client pour un endpoint.

Examiner les journaux des actions et les fichiers associés pour résoudre les problèmes liés aux actions et packages

Lorsqu’un package ne semble pas fonctionner après son déploiement via une action, passez en revue les journaux des actions et les fichiers associés à l’action pour vous aider à résoudre les problèmes. Chaque fois que le Tanium Client reçoit un message d’action avec un jeu d’instructions à exécuter, le client crée un fichier journal des actions nommé Action_<ID>.log, où <ID> est l’identificateur de l’action. Le journal des actions contient la sortie CLI associée à la commande d’action. Le Tanium Client stocke tous les fichiers qui sont requis pour déployer un package d’action dans les répertoires Action_ID.

Les journaux des actions et les répertoires Action_<ID> sont tous deux dans le <répertoire d’installation de Tanium Client>/Téléchargements. Le Tanium Client supprime les journaux des actions de son hôte après un intervalle configurable (reportez-vous à la section Nettoyage du journal des actions et du package).

La Tanium Console affiche Action ID (ID d’action) dans les pages Action (Action) > Action History (Historique des actions) et Action Summary (Résumé des actions) (consultez le Guide d’utilisation de Tanium Console : Déployer des actions). La page Action Summary (Résumé des actions) fournit des options pour accéder aux informations du journal des actions à partir de plusieurs endpoints : consultez le Guide d’utilisation de Tanium Console : Afficher le résumé et le statut des actions

Les journaux d’historique des actions fournissent un historique plus long des actions qu’un endpoint géré a exécutées, mais sans la sortie CLI et d’autres détails.

Vous pouvez utiliser la fonctionnalité d’intégrité du client dans Client Management pour vous connecter directement à un endpoint et récupérer les journaux des actions. Pour plus d’informations, reportez-vous à la section Afficher les informations détaillées sur l’intégrité du client pour un endpoint.

Répertoires Action_<ID>

Chaque répertoire Action_<ID> contient tous les fichiers qui sont requis pour déployer un package d’actions. Par exemple, si vous déployez un package qui a cinq fichiers, le Tanium Client place chaque fichier dans le répertoire Action_<ID> après avoir terminé le téléchargement. Après le téléchargement des cinq fichiers, le statut de l’action passe de Préparation des fichiers à Exécution sur la page Action Summary (Résumé des actions). Même si un package déployé n’a pas de fichiers de package associés, le Tanium Client crée un répertoire Action_<ID> vide pour lui. Le Tanium Client supprime les répertoires Action_<ID> de son hôte après un intervalle configurable (reportez-vous à la section Nettoyage du journal des actions et du package).

Contenu du journal des actions

Les journaux des actions enregistrent chaque phase d’une action :

  • Téléchargement des fichiers

    Au cours de cette phase, l’entrée du journal des actions indique que les fichiers sont en cours de téléchargement :

    2016-11-28 14:12:30 +0000|Téléchargement de fichiers.
    2016-11-28 14:12:30 +0000|Vérification des fichiers échoués

    Bien qu’il semble s’agir d’une condition d’erreur, le message "Vérification des fichiers échoués" indique simplement que le client n’a pas les fichiers nécessaires dans son cache local, il demande donc les fichiers nécessaires à ses peers. Cela indique un comportement normal.

  • En cours d’exécution

    Au cours de cette phase, le journal des actions indique que l’action est en cours d’exécution. Après cette entrée, le journal affiche tout ce qui provient du package :

    2016-11-28 14:12:37 +0000|Fichiers vérifiés, exécution de l’action.

  • Terminé

    Lorsque l’action se termine, le journal enregistre une entrée d’achèvement sous la capture de sortie standard de l’action.

    2016-11-28 14:12:37 +0000|Commande terminée

L’achèvement n’indique pas la réussite. Par exemple, une action pour exécuter une commande peut s’achever même si la commande elle-même échoue. Par exemple, la ligne de commande du package peut ne pas correspondre au nom du fichier distribué ou la commande peut ne pas réussir à distribuer un fichier. Les endpoints gérés montrent que l’action s’est terminée, même si rien ne s’est produit. Le cas échéant, envisagez d’ajouter une requête de validation au package pour que le statut de l’action indique la réussite ou l’échec.

Nettoyage du journal des actions et du package

Le Tanium Client vérifie toutes les heures, ou immédiatement après la réinitialisation (toutes les deux à six heures), si les fichiers Action_<ID>.log ont plus de sept jours et les supprime si tel est le cas. Le Tanium Client vérifie également toutes les heures, ou immédiatement après la réinitialisation, si des répertoires Action_<ID> correspondants ont expiré, et les supprime si tel est le cas. Ce processus garantit que le endpoint ne consomme pas plus d’espace disque que nécessaire pour les actions Tanium. Contactez l’assistance Tanium si vous souhaitez conserver plus longtemps les journaux des actions ou les répertoires des actions.

Examiner les journaux de l’historique des actions pour résoudre les problèmes ou auditer les actions

Lorsque vous dépannez ou auditez des actions sur des endpoints gérés, passez en revue les journaux de l’historique des actions pour voir quelles actions ont été exécutées, leurs heures de début et d’exécution, et les commandes associées. Bien que les journaux des actions enregistrent plus de détails, le Tanium Client conserve les journaux de l’historique des actions pendant une période plus longue (leurs fichiers journaux individuels sont plus petits) et par conséquent, ils fournissent une chronologie plus longue des actions. Le Tanium Client archive les 10 premiers Mo des journaux de l’historique des actions sous forme de fichiers en texte brut. Après avoir atteint le seuil de 10 Mo, le client archive les journaux les plus anciens sous forme de fichiers ZIP avant d’ajouter de nouveaux journaux sous forme de fichiers en texte brut. Le processus de reconduction du journal est le suivant :

Fichiers journaux en texte brut

Le Tanium Client crée un nouveau fichier action-history0.txt chaque fois qu’une action est exécutée. Lorsque ce fichier atteint 1 Mo de taille, le client renomme action-history0.txt comme action-history1.txt et crée un nouveau fichier action-history0.txt. Lorsque action-history0.txt atteint à nouveau 1 Mo, le client renomme action-history1.txt comme action-history2.txt, renomme à nouveau action-history0.txt comme action-history1.txt, et crée un nouveau fichier action-history0.txt. Le processus de propagation des journaux chaque fois que action-history0.txt atteint 1 Mo se poursuit jusqu’à ce que 10 journaux existent : action-history0.txt à action-history9.txt.

Fichiers journaux ZIP

Après l’enregistrement de 10 Mo de journaux d’historique des actions en texte brut, le Tanium Client compresse action-history9.txt en fichier nommé action-history10.zip. Lorsque action-history0.txt atteint à nouveau 1 Mo, le client renomme action-history10.zip en action-history11.zip et compresse à nouveau action-history9.txt en fichier nommé action-history10.zip. Le processus de reconduction du fichier ZIP se poursuit jusqu’à ce que 10 fichiers ZIP existent, action-history10.zip à action-history19.zip. Lorsque action-history10.zip atteint à nouveau 1 Mo après cela, le client crée un nouveau fichier action-history10.zip sans renommer action-history19.zip en tant que nouveau fichier, ce qui supprime effectivement les anciennes informations action-history19.zip lors du changement de nom action-history18.zip en nouveau fichier action-history19.zip.

Le Tanium Client stocke les journaux d’historique des actions dans le <Répertoire d’installation de Tanium Client>/Journaux

Examiner les journaux de l’historique des sensors pour résoudre les problèmes ou auditer les sensors

Lorsque vous dépannez ou auditez l’activité du sensor sur les endpoints gérés, examinez les journaux de l’historique des sensors pour voir les informations suivantes sur chaque sensor qui s’exécute :

  • Identité du sensor, par nom et valeur de hachage
  • Temps de démarrage et d’exécution
  • Taille en octets
  • Valeurs des paramètres (les journaux identifient les sensors paramétrés comme sensors de température)
  • Nombre de chaînes de réponse et valeur de hachage associée

Le Tanium Client archive les 10 premiers Mo des journaux de l’historique des sensors sous forme de fichiers en texte brut. Après avoir atteint le seuil de 10 Mo, le client archive les journaux les plus anciens sous forme de fichiers ZIP avant d’ajouter de nouveaux journaux sous forme de fichiers en texte brut. Le processus de reconduction du journal est le suivant :

Fichiers journaux en texte brut

Le Tanium Client crée un nouveau fichier sensor-history0.txt chaque fois qu’un sensor s’exécute. Lorsque ce fichier atteint 1 Mo de taille, le client renomme sensor-history0.txt comme sensor-history1.txt et crée un nouveau fichier sensor-history0.txt. Lorsque sensor-history0.txt atteint à nouveau 1 Mo, le client renomme sensor-history1.txt comme sensor-history2.txt, renomme à nouveau sensor-history0.txt comme sensor-history1.txt, et crée un nouveau fichier sensor-history0.txt. Le processus de propagation des journaux chaque fois que sensor-history0.txt atteint 1 Mo se poursuit jusqu’à ce que 10 journaux existent : sensor-history0.txt à sensor-history9.txt.

Fichiers journaux ZIP

Après l’enregistrement de 10 Mo de journaux d’historique des sensors en texte brut, le Tanium Client compresse sensor-history9.txt en fichier nommé sensor-history10.zip. Lorsque sensor-history0.txt atteint à nouveau 1 Mo, le client renomme sensor-history10.zip en sensor-history11.zip et compresse à nouveau sensor-history9.txt en fichier nommé sensor-history10.zip. Le processus de reconduction du fichier ZIP se poursuit jusqu’à ce que 10 fichiers ZIP existent, sensor-history10.zip à sensor-history19.zip. Lorsque sensor-history10.zip atteint à nouveau 1 Mo après cela, le client crée un nouveau fichier sensor-history10.zip sans renommer sensor-history19.zip en tant que nouveau fichier, ce qui supprime effectivement les anciennes informations sensor-history19.zip lors du changement de nom sensor-history18.zip en nouveau fichier sensor-history19.zip.

Le Tanium Client stocke les journaux d’historique des sensors dans le <Répertoire d’installation de Tanium Client>/Journaux

Examiner ou réinitialiser la clé publique pour résoudre les problèmes de connexion (Tanium Client 7.4 uniquement).

Vous pouvez vérifier ou réinitialiser la clé publique pour aider à résoudre les problèmes de connexion liés à une clé non valide.

  1. Accédez à la CLI du système d’exploitation sur le endpoint et modifiez le répertoire (cd) sur le répertoire d’installation de Tanium Client.
  2. Saisissez la commande suivante :

    • Windows : TaniumClient pki show
    • Non-Windows : ./TaniumClient pki show

    La sortie affiche des informations sur la clé publique actuelle.

  3. (Facultatif) Réinitialisez la clé avec un nouveau fichier tanium-init.dat.

    1. Dans le menu principal de la Tanium Console, allez à Administration (Administration) > Shared Services (Services partagés) > Client Management (Client Management).
    2. À partir de la page Vue d’ensemble de Client Management, téléchargez le package d’installation pour le système d’exploitation du endpoint.
    3. Extrayez le fichier tanium‑init.dat du bundle téléchargé, et copiez-le dans le répertoire d’installation du Tanium Client.
    4. Dans le menu principal de la Tanium Console, allez à Administration (Administration) > Configuration (Configuration) > Tanium Server (Serveur Tanium) > Infrastructure Configuration Files (Fichiers de configuration de l’infrastructure).
    5. Dans la section Clients v7.4+ and Zone Server (Clients v7.4 et zone Server), cliquez sur Download (Télécharger).
    6. Copiez le fichier téléchargé dans le répertoire d’installation du Tanium Client.
    7. Depuis la CLI sur le endpoint, entrez la commande suivante :

      • Windows : TaniumClient pki reset tanium-init.dat
      • Non-Windows : ./TaniumClient pki reset tanium-init.dat

    Veillez à ne pas permettre que le fichier tanium-init.dat ou tanium.pub soit distribué ou stocké en dehors de votre organisation, par exemple dans un référentiel de code source accessible publiquement ou tout autre emplacement accessible depuis l’Internet public. Limitez la distribution à une utilisation spécifique dans le déploiement des Tanium Clients.

    Bien que ces fichiers ne contiennent pas de clés privées et ne puissent pas être utilisés pour fournir un contrôle sur un environnement Tanium, un utilisateur avec une intention malveillante pourrait les utiliser pour connecter un client non approuvé et utiliser cet accès non autorisé pour savoir comment votre organisation utilise Tanium.

Examiner et gérer les quarantaines de sensors pour dépanner les sensors.

L’application de quarantaines de sensor empêche un sensor de fonctionner sur un endpoint pour la question ou l’action en cours si ce sensor a dépassé le délai d’expiration de la durée d’exécution au cours d’une question ou d’une action précédente. L’application de quarantaine est utile pour limiter l’impact sur les ressources des endpoints, comme l’utilisation du CPU, lorsque les questions et les actions utilisent des sensors excessivement longs. La temporisation non configurable est réglée sur une minute.

Par défaut, les quarantaines ne sont pas appliquées : une fois qu’un sensor dépasse le délai d’expiration et cesse son exécution, le sensor aura un statut de quarantaine, mais continuera de fonctionner pour des questions ou des actions futures jusqu’à ce qu’il soit terminé ou expire. Dans ce cas, le client Tanium utilise le statut mis en quarantaine juste pour enregistrer que le sensor a expiré.

Que vous activiez l’application, le client Tanium arrête tout sensor au moment où il dépasse le délai d’attente. Chaque client met les sensors en quarantaine et applique les quarantaines de manière indépendante. Par conséquent, un sensor peut être mis en quarantaine sur certains endpoints et non sur d’autres.

Lorsqu’un client Tanium met en quarantaine un sensor, la console Tanium affiche le message suivant dans la grille Question Results (Résultats de la question) : Erreur TSE : L’évaluation du sensor a expiré. Lorsque vous émettez une question qui utilise un sensor déjà mis en quarantaine et que l’application est activée, la grille Question Results (Résultats de la question) affiche TSE-Error: Le sensor est mis en quarantaine. Le client Tanium ajoute des entrées aux journaux du client et aux journaux d’historique des sensors lorsqu’il met un sensor en quarantaine ou empêche un sensor déjà mis en quarantaine de fonctionner.

Si les sensors temporaires dépassent le délai d’une minute, le client Tanium met en quarantaine le sensor d’origine ainsi que tous les sensors temporaires actuels et futurs qui sont basés sur le sensor d’origine.

Lorsque l’application est activée, les sensors mis en quarantaine ne fonctionnent pas lorsqu’ils sont utilisés pour cibler les endpoints, bien que les sensors soient contenus dans des groupes d’ordinateurs. Cependant, les sensors mis en quarantaine risquent d’occulter le ciblage d’une question qui a une clause from, par exemple from all machines with Is Windows not equals true (pour toutes les machines pour lesquelles la valeur Windows n’est pas égale à zéro). Dans ce cas, les points de terminaison Windows sur lesquels le sensor Is Windows est mis en quarantaine correspondraient à la condition not equals true car leur réponse serait TSE-Error: Le sensor est mis en quarantaine plutôt que true. Pour éviter de tels résultats, rendez la clause cible aussi précise que possible et n’utilisez pas de conditions de correspondance négatives telles que not equals true.

Afficher les sensors mis en quarantaine

Si le Tanium Client ne répond pas à une question, vous pouvez déterminer si les sensors associés sont mis en quarantaine. Pour afficher une liste de tous les sensors en quarantaine sur tous les endpoints, consultez le Guide d’utilisation de Tanium Console : Manage sensor quarantines (Guide de déploiement de client Tanium : Gérer les quarantaines de sensor). Pour répertorier tous les sensors mis en quarantaine sur un endpoint spécifique, effectuez les étapes suivantes :

  1. Accédez à la CLI du système d’exploitation sur le endpoint et modifiez le répertoire (cd) sur le répertoire d’installation de Tanium Client.
  2. Saisissez la commande suivante.

    • Windows : TaniumClient quarantine list
    • Non-Windows : ./TaniumClient quarantine list

    La sortie répertorie les sensors mis en quarantaine par nom et valeur de hachage associée.

Supprimer tous les sensors de la quarantaine

Dans certains cas, permettre au Tanium Client de répondre aux questions qui utilisent des sensors en quarantaine peut être plus important que limiter l’impact que les longs temps d’exécution de sensors ont sur les ressources d’un endpoint. Notez que même après avoir retiré les sensors de la quarantaine, s’ils dépassent le délai d’expiration dans une question future, le Tanium Client arrêtera alors les sensors et les mettra à nouveau en quarantaine sans répondre à la question. Pour supprimer les sensors de la quarantaine via la Tanium Console, consultez le Guide d’utilisation de Tanium Console : Manage sensor quarantines (Guide de déploiement de client Tanium : Gérer les quarantaines de sensor). Pour supprimer les sensors de la quarantaine via la CLI du système d’exploitation sur le endpoint, effectuez les étapes suivantes :

  1. Accédez à la CLI du système d’exploitation sur le endpoint et modifiez le répertoire (cd) sur le répertoire d’installation de Tanium Client.
  2. Saisissez la commande suivante :

    • Windows : TaniumClient quarantine clear
    • Non-Windows : ./TaniumClient quarantine clear

    La sortie affiche le nombre de sensors retirés de la quarantaine.

Supprimer un seul sensor de la quarantaine

Pour supprimer un sensor de la quarantaine via la Tanium Console, consultez le Guide d’utilisation de Tanium Console : Manage sensor quarantines (Guide de déploiement de client Tanium : Gérer les quarantaines de sensor). Pour supprimer un sensor de la quarantaine via la CLI du système d’exploitation sur le endpoint, effectuez les étapes suivantes :

  1. Accédez à la CLI du système d’exploitation sur le endpoint et modifiez le répertoire (cd) sur le répertoire d’installation de Tanium Client.
  2. Entrez la commande suivante pour afficher les valeurs de hachage associées aux sensors en quarantaine.

    • Windows : TaniumClient quarantine list
    • Non-Windows : ./TaniumClient quarantine list
  3. Entrez la commande suivante, où <sensor_hash> est le hachage associé au sensor dont vous souhaitez annuler la quarantaine :

    • Windows : TaniumClient quarantine remove <sensor_hash>
    • Non-Windows : ./TaniumClient quarantine remove <sensor_hash>

Si vous modifiez un sensor, les Tanium Clients qui reçoivent sa nouvelle définition annulent automatiquement la mise en quarantaine de ce sensor.

Ajouter un sensor à mettre en quarantaine

Vous pouvez mettre en quarantaine manuellement un sensor sur un endpoint si vous anticipez que l’exécution du sensor affectera négativement le point de terminaison.

La mise en quarantaine d’un sensor n’active pas automatiquement l’application de la quarantaine.

  1. Dans le champ URL du navigateur que vous utilisez pour accéder à Tanium Console, saisissez https://<TaaS instanceTanium Server>/hash/<sensor>. Pour <l’instance TaaSle serveur Tanium>, entrez FQDN ou l’adresse IP de TaaS du serveur Tanium. Le <sensor> doit correspondre au nom du sensor que la console Tanium affiche en ce qui concerne la capitalisation et les espaces.

    Le navigateur affiche la valeur de hachage associée au sensor.

  2. Accédez à la CLI du système d’exploitation sur le endpoint et modifiez le répertoire (cd) sur le répertoire d’installation de Tanium Client.
  3. Saisissez la commande suivante.

    • Windows : TaniumClient quarantine add <sensor_hash>
    • Non-Windows : ./TaniumClient quarantine add <sensor_hash>

Activer ou désactiver la politique de mise en œuvre des sensors en quarantaine

Après avoir activé la mise en quarantaine, les clients Tanium ne répondent pas aux questions qui utilisent des sensors mis en quarantaine et ces sensors ne fonctionnent pas pour des actions. Après avoir désactivé l’application, les clients mettent toujours en quarantaine les sensors et consignent les événements de quarantaine, mais n’empêchent pas ces sensors de fonctionner.

Votre compte utilisateur doit avoir un rôle avec la permission Write Global Settings (Écrire les paramètres globaux) pour activer ou désactiver l’application de la quarantaine. Les utilisateurs dotés du rôle réservé Administrateur disposent de cette permission.

La première fois que vous activez l’application, vous devez ajouter le paramètre EnabLesensorQuarantaine aux paramètres globaux sur le serveur Tanium comme suit. Par défaut, l’application est désactivée et le paramètre n’apparaît pas dans la console Tanium. Après avoir ajouté le paramètre, le serveur Tanium l’applique à tous les clients Tanium.

  1. Accès à Tanium Console.
  2. Dans le menu principal, allez dans Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux), puis cliquez sur New Setting (Nouveau paramètre).
  3. Saisissez les valeurs suivantes et cliquez sur Save (Enregistrer).
    • Setting Name = EnableSensorQuarantine
    • Setting Value = 1
    • Affects = Client
    • Value Type = Numeric

Effectuez les étapes suivantes si vous souhaitez modifier le paramètre d’application après l’avoir ajouté aux paramètres globaux :

  1. Dans le menu principal, allez dans Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux).
  2. Sélectionnez EnableSensorQuarantine, cliquez sur Edit (Modifier), définissez la valeur sur 1 pour activer l’application ou sur 0 pour désactiver l’application, puis cliquez sur Save (Enregistrer).

Si vous souhaitez modifier le paramètre de la politique de mise en œuvre dans certains clients et non dans tous les clients, ajoutez ou modifiez le paramètre EnableSensorQuarantine dans la configuration locale de ces clients.

Ajoutez ou modifiez le paramètre EnableSensorQuarantine sur les Tanium Clients pour lesquels vous souhaitez activer ou désactiver la politique de mise en œuvre de la quarantaine.

Dépannage de Client Management

Pour envoyer des informations à Tanium à des fins de dépannage, collectez les journaux ainsi que d’autres informations pertinentes.

Regrouper les journaux

Les informations sont enregistrées sous forme de fichier ZIP que vous pouvez télécharger à l’aide de votre navigateur.

  1. Sur la page Home (Accueil) de Client Management, cliquez sur Help (Aide) , puis sur l’onglet Troubleshooting (Dépannage).
  2. Cliquez sur Télécharger le package de débogage.
    Un fichier tanium-client-management-support.zip est téléchargé dans le répertoire de téléchargement local.
  3. Attachez le fichier zip à votre formulaire de cas d’assistance Tanium, ou contactez l’assistance Tanium.

Tanium Client Management conserve les informations de journalisation dans le fichier client-management.log dans le répertoire \Program Files\Tanium\Tanium Module Server\services\client-management-files.

Télécharger les informations de déploiement

Vous pouvez télécharger un fichier JSON qui inclut les paramètres de déploiement et les détails du endpoint pour un déploiement.

  1. Dans le menu Client Management, cliquez sur Deployments (Déploiements).

  2. Dans la colonne Name (Nom), cliquez sur le nom d’un déploiement.

  3. Cliquez sur Download (Télécharger) pour télécharger le fichier JSON.

Résoudre les problèmes de déploiement

Problème : un nouveau déploiement passe instantanément au statut Terminé sans tentative de déploiement sur les endpoints.

Cause : le serveur du module rencontre des difficultés pour télécharger les fichiers binaires du client.

Solution : vérifiez le journal du téléchargeur Tanium pour les erreurs de téléchargement. Pour plus d’informations sur l’emplacement de ce journal, consultez le Guide de référence du déploiement de Tanium Core Platform : Journaux du téléchargeur Tanium.

Problème :statut de l’installation du endpoint = ERROR_CONNECTION_FAIL avec message du journal "aucune réponse".

Les messages du journal pour le déploiement contiennent le message suivant :

Résultat de déploiement généré : Toutes les n tentative(s) de connexion n’ont donné aucune réponse de la cible.

Cause : Le serveur de module Tanium ne peut pas communiquer avec le endpoint, ou ne peut pas s’authentifier avec le endpoint.

Solution : Vérifiez les éléments suivants.

  • Vérifiez le nom d’utilisateur fourni avec les informations d’identification. Les informations d’identification doivent être actives et non désactivées. Vérifiez que le domaine est ajouté correctement, par exemple : domaine\nom d’utilisateur pour un compte de domaine, ou nom d’utilisateur pour un compte de endpoint local.
  • Vérifiez le mot de passe fourni avec les informations d’identification pour vous assurer qu’il n’est pas désactivé ou expiré.
  • Vérifiez à la fois le pare-feu du endpoint cible et les pare-feux du périphérique réseau. Le serveur du module peut être bloqué pour ne pas pouvoir initier une connexion au endpoint cible par un pare-feu. Les ports WMI 135, SMB 445 et SSH 22 doivent être ouverts. Utilisez les techniques de test suivantes pour vérifier les ports : 
  • Si le endpoint n’est pas associé à un domaine et que vous utilisez un compte administrateur différent de celui par défaut ou que vous utilisez le compte administrateur local par défaut avec le paramètre de politique Admin Approval Mode for the Built-in Administrator account (Mode d’approbation administrateur pour le compte d’administrateur intégré) activé, les restrictions à distance du contrôle de compte utilisateur (UAC) empêchent l’accès aux partages administratifs et aux installations à distance. Ces tâches administratives sont nécessaires pour le déploiement du Tanium Client à l’aide de Client Management, et vous devez désactiver les restrictions à distance UAC pour autoriser ce déploiement. Pour désactiver les restrictions UAC à distance, ajoutez la valeur suivante au registre Windows et redémarrez la machine :

    Sous-clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
    Type de données : REG_DWORD
    Nom de valeur : LocalAccountTokenFilterPolicy
    Données de valeur : 1 

    Les partages administratifs ne sont pas disponibles dans les versions Home des systèmes d’exploitation Windows.

    Après avoir déployé le Tanium Client, supprimez la valeur du registre LocalAccountTokenFilterPolicy ou définissez-la sur 0 pour restaurer les restrictions à distance UAC. Ces restrictions permettent d’empêcher les utilisateurs malveillants d’accéder à distance au endpoint avec des droits d’administration.

Problème :statut de l’installation du endpoint = ERROR_CONNECTION_FAIL avec message du journal de connexion SSH.

Les messages du journal pour le déploiement contiennent le message suivant :

La commande a entraîné une erreur : Erreur : La connexion au 'Client SSH pour '192.168.24.11'' n’a pas été établie

Cause : Le serveur de module Tanium tente un déploiement SSH et ne peut pas communiquer avec le endpoint, ou ne peut pas s’authentifier avec le endpoint.

Solution : Vérifiez les éléments suivants. 

  • Vérifiez les paramètres de configuration et de déploiement du client. Vous pouvez cibler un endpoint Windows avec un déploiement tout en utilisant uniquement SSH comme méthode de connexion.
  • Vérifiez que le endpoint Linux ciblé a activé SSH et est configuré sur le port 22.
  • Vérifiez le nom d’utilisateur fourni avec les informations d’identification. Les informations d’identification doivent être actives et non désactivées. Vérifiez que le domaine est ajouté correctement, par exemple : domaine\nom d’utilisateur pour un compte de domaine, ou nom d’utilisateur pour un compte de endpoint local.
  • Vérifiez le mot de passe fourni avec les informations d’identification pour vous assurer qu’il n’est pas désactivé ou expiré.

Problème :statut de l’installation du endpoint = ERROR_ACQUIRE_LOGS_FAIL avec le message du journal "fichier nécessaire manquant"

Les messages du journal pour le déploiement contiennent le message suivant :

Résultat de déploiement généré : Fichier(s) nécessaire(s) manquant(s) sur le disque : C:\Program Files\Tanium\Tanium Module Server\services\client-management-files\deployment-runner-data\bc6bf6fd-0388-4f2d-9120-860cac75e8d4\tanium.pub

Cause : Lorsque vous déployez une version du Tanium Client antérieure à la version 7.4, la clé publique est manquante.

Solution : Téléchargez le fichier tanium.pub. Reportez-vous à la section (Tanium 7.2.x, 7.3.x uniquement) Télécharger la clé publique Tanium.

Problème :statut de l’installation du endpoint = ERROR_ACQUIRE_LOGS_FAIL avec le message du journal "cli_rpc_pipe_open_noauth"

Les messages du journal pour le déploiement contiennent le message suivant :

Erreur lors de la création/du démarrage du service d’amorçage de l’installation sur la cible : Error : cli_rpc_pipe_open_noauth: rpc_pipe_bind pour pipe svcctl a échoué avec l’erreur NT_STATUS_CONNECTION_DISCONNECTED Initialisation impossible de pipe svcctl. L’erreur était NT_STATUS_CONNECTION_DISCONNECTED

Cause : Le serveur Tanium n’a pas pu établir de communication WMI ou RPC avec un endpoint.

Solution : Vérifiez que le pare-feu autorise le trafic WMI, RPC et SMB entre les serveurs Tanium et les endpoints. Pour plus d’informations, reportez-vous à la section Connectivité réseau, ports et pare-feu..

Les pare-feux avec un contrôle basé sur l’application peuvent ne pas autoriser ce trafic pour Tanium par défaut.

Problème :statut de l’installation du endpoint = ERROR_ACQUIRE_LOGS_FAIL avec le message du journal "commande 'mkdir' sortie"

Les messages du journal pour le déploiement contiennent le message suivant :

La commande SMB ’mkdir’ est sortie avec le code de sortie 1.

Cause : Un Tanium Client a peut-être été précédemment installé sur le endpoint et n’a pas été entièrement supprimé.

Solution : Vérifiez que vous n’essayez pas de déployer vers un endpoint sur lequel le Tanium Client est déjà installé. Le endpoint pourrait avoir un Tanium Client qui n’a pas été entièrement supprimé, ou une installation du Tanium Client qui pointe vers un serveur Tanium différent.

Désinstallation de Client Management

La désinstallation de Client Management désinstalle également Endpoint Configuration et affecte toutes les solutions Tanium. Contactez l’assistance Tanium avant de désinstaller Client Management.

  1. Dans le menu principal, cliquez sur Administration (Administration) >  Configuration (Configuration) >  Solutions (Solutions).
  2. Dans la section Content (Contenu), sélectionnez la ligne Client Management.
  3. Cliquez sur Delete Selected (Supprimer la sélection) . Cliquez sur Uninstall (Désinstaller) pour terminer le processus.

Contacter l’assistance Tanium

L’assistance Tanium est votre premier contact pour obtenir de l’aide lors du dépannage du déploiement initial et pour optimiser la vitesse et l’échelle de votre déploiement à mesure que le nombre de endpoints gérés augmente. Si nécessaire, l’assistance Tanium peut aider à ajuster les paramètres liés au Tanium Client, notamment :

  • Fréquence d’inscription du Tanium Client
  • Connexions entre les Tanium Clients et TaaSles serveurs de la Tanium Core Platform
  • Connexions client à client
  • Bande passante
  • Mise en cache des fichiers

Si vous avez besoin d’une assistance supplémentaire de la part de l’assistance Tanium, incluez le Tanium Client et, le cas échéant, les informations de version de Tanium Client Management pour les composants de la Tanium Core Platform et, le cas échéant, Tanium Client Management. Incluez également des détails spécifiques sur les dépendances, tels que le matériel du système hôte et les détails du système d’exploitation. Enfin, indiquez si votre installation utilise un répertoire d’installation différent de celui par défaut pour le Tanium Client.

Pour contacter l’assistance Tanium pour obtenir de l’aide, connectez-vous à https://support.tanium.com.