Gestion des résultats de la question

Aperçu des résultats de la question

Après avoir utilisé Tanium Interact pour émettre une question dynamique, la page Question Results (Résultats de la question) s’ouvre et affiche une grille avec les réponses (résultats) provenant des endpoints. Cette page facilite l’analyse des résultats en fournissant des options d’affichage telles que des mises à jour en direct, des résultats mis en cache et des filtres. Vous pouvez également utiliser la page pour récupérer des informations supplémentaires à partir des critères d’évaluation en fusionnant des questions et en approfondissant les résultats.

Chaque ligne dans la grille des résultats est une agrégation des endpoints transmettant la même réponse. Pour les questions de comptage, la colonne Count (Nombre) indique le nombre de Tanium Clients avec cette réponse comme indiqué dans la F : Figure 1 (pour plus de détails, voir Questions de comptage et de non-comptage).

Lorsque vous émettez une question enregistrée ou un tableau de bord des questions, Tanium Console ouvre respectivement la page des résultats de la question enregistrée ou la page des résultats du tableau de bord. Ces pages ressemblent à la page Question Results (Résultats de la question), mais disposent d’options supplémentaires : voir Émettre une question enregistrée et Émettre un tableau de bord des questions enregistrées.

Sélection des lignes

Après avoir manipulé la grille pour afficher les résultats souhaités, vous pouvez déployer des actions sur les endpoints associés en sélectionnant une partie ou l’ensemble des lignes de résultats et en cliquant sur Deploy Action (Déployer une action). Pour voir la procédure complète, voir la section Déploiement des actions.

• Vous pouvez sélectionner jusqu’à 100 lignes dans la grille.
• Pour sélectionner rapidement plusieurs lignes de résultats consécutifs pour l’analyse par sous-question, la copie, l’exportation ou le déploiement des actions, cliquez sur la case à cocher dans la première ligne à inclure, maintenez la touche Shift enfoncée, puis cliquez sur la case à cocher dans la dernière ligne à inclure.
• Cochez la case à côté de la ligne d’en-tête pour sélectionner 100 lignes, en commençant par la première ligne qui s’affiche à l’écran. Si vous avez déjà des lignes sélectionnées, Interact sélectionne uniquement les lignes pour atteindre la limite de 100. Cliquez à nouveau sur la case à cocher pour effacer toutes les lignes sélectionnées.

Activer ou désactiver les mises à jour en direct

Dans le coin supérieur gauche de la barre d’outils de grille Question Results (Résultats de la question) s’affiche le pourcentage de Tanium Clients ayant transmis des résultats. La fonctionnalité de mise à jour en direct est activée par défaut, ce qui signifie que Tanium Console met à jour la grille au fur et à mesure que le nombre de résultats de rapport de Tanium Clients change.

Cliquez sur Pause (Pause) pour arrêter la mise à jour de la grille et cliquez sur Play (Lecture) pour reprendre la mise à jour.

Même lorsque 100 % des clients Tanium ont transmis leurs données, certaines lignes de réponse peuvent indiquer des résultats incomplets.

[no results]

Ce résultat indique qu’il a été demandé au Tanium Client de répondre mais qu’il n’a pas de valeur correspondant au filtre du sensor. Cela se produit si vous appliquez un filtre à la clause get et non à la clause from. Par exemple, si la question est formée avec la syntaxe Get IP Address ending with 2 from all machines (Obtenir les adresses IP se terminant par 2 de toutes les machines), tous les endpoints renvoient des réponses et tous les endpoints sans adresse IP se terminant par 2 renvoient[no results]. La meilleure pratique consiste à placer le filtre dans la clause from. Par exemple, Get IP Address from all machines where IP Address ends in 2 (Obtenir les adresses IP se terminant par 2 de toutes les machines) ne renverra pas de lignes [no results] inattendues. Vous pouvez également voir [no results] si le sensor ne renvoie pas une valeur, ou s’il ne peut pas exécuter le script.

[Current Result Unavailable]

Si un endpoint prend plus de temps que d’habitude pour évaluer un sensor, il peut initialement fournir la réponse[current results unavailable] au message de réponse qu’il passe le long de la chaîne linéaire et finalement au TaaSserveur Tanium. Cependant, le processus de sensor continue sur le endpoint après avoir fourni cette réponse initiale et, une fois le processus terminé, le endpoint envoie sa réponse mise à jour. TaaSLe serveur Tanium met alors à jour la grille Question Results (Résultats de la question).

[Results Currently Unavailable]

Ce résultat indique que TaaSle serveur Tanium ne peut pas analyser correctement une réponse. Contactez l’assistance Tanium si cela se produit.

Afficher les résultats pour les endpoints en ligne et hors ligne

Lorsque la page Question Results (Résultats de la question) s’ouvre, elle n’affiche que les résultats actuels, qui sont des réponses d’endpoints qui étaient en ligne au moment où vous avez émis la question. Cependant, vous pouvez également afficher des résultats récents ou mis en cache que TaaSle serveur Tanium a stockés lorsqu’il interrogeait des endpoints qui étaient précédemment en ligne, mais actuellement hors ligne.

L’option pour afficher les résultats stockés vous permet d’avoir une vue plus complète de vos endpoints gérés. Par exemple, pour évaluer l’état de sécurité des endpoints en ligne et hors ligne, vous pouvez afficher les résultats actuels et stockés pour les questions concernant les endpoints auxquels un correctif critique est appliqué ou une application tierce spécifique est installée. Cliquez sur le bouton correspondant au type de résultats que vous souhaitez afficher :

• Current (Actuel) : Par défaut, la grille affiche uniquement les résultats des endpoints actuellement en ligne.
• Recent (Récent) (questions enregistrées uniquement) : Outre les résultats des endpoints en ligne, cette option inclut les résultats des endpoints hors ligne si ces résultats résident toujours sur TaaSle serveur Tanium après la dernière fois que TaaSle serveur a émis cette question. TaaSLe serveur stocke les résultats des questions enregistrées pendant sept jours par défaut. Notez que TaaSle serveur associe des résultats récents à des questions spécifiques enregistrées, et non à des sensors. Cela signifie que même si plusieurs questions enregistrées partagent le même sensor, la grille de résultats peut afficher différents résultats récents pour ce sensor en fonction de la question que vous émettez et des permissions de votre groupe de gestion d’ordinateurs. Seuls les utilisateurs disposant des permissions nécessaires pour créer des questions enregistrées peuvent afficher les résultats récents.
• Cached (Mis en cache) : La grille affiche les résultats que TaaSle serveur Tanium collecte en interrogeant périodiquement tous les endpoints gérés pour des sensors spécifiques. L’option apparaît uniquement pour les questions pour lesquelles tous les sensors sont enregistrés pour la collecte. TaaSLe serveur stocke les résultats pendant 30 jours par défaut. Étant donné que TaaSle serveur enregistre les résultats par sensor, la grille affiche les mêmes résultats pour un sensor spécifique lorsque vous émettez une question enregistrée ou dynamique qui utilise ce sensor. La grille affiche uniquement les résultats collectés les plus récents. Seuls les utilisateurs disposant de la permission Data Collection Registration Write (Écriture d’inscription de collecte de données) peuvent enregistrer des sensors. Pour plus de détails, voir Gérer la collecte des résultats du sensor.

Pour les endpoints hors ligne, les « best practices » consistent à afficher les résultats Cached (Mis en cache) au lieu des résultats Recent (Récent). Pour les résultats mis en cache, TaaSle serveur Tanium identifie plus précisément les endpoints répondants, permet à tous les utilisateurs d’afficher les résultats et renvoie des résultats aussi bien pour les questions dynamiques que des questions enregistrées.

Filtrer les résultats de la question

Utilisez les commandes de filtre dans l’en-tête de la grille Question Results (Résultats de la question) pour afficher uniquement les résultats correspondant aux critères que vous spécifiez.

La grille Question Results (Résultats de la question) comprend plusieurs filtres de grille. TaaSLe serveur Tanium combine les filtres avec un opérateur booléen AND. Par exemple, si vous sélectionnez un filtre de groupe d’ordinateurs et que vous configurez également un filtre avancé, TaaSle serveur combine la logique des deux filtres.

Utiliser un filtre de texte

Utilisez le champ Filter by Text (Filtrer par texte) pour filtrer la grille Question Results (Résultats de la question) en fonction des valeurs dans n’importe quelle colonne de la grille. Le serveur Tanium filtre la grille sans réémettre la question. Sélectionnez l’opérateur Contains ou Does not contain, entrez une chaîne de recherche, puis cliquez sur Search (Rechercher).

Utiliser un filtre de groupe d’ordinateurs

Une fois que vous avez sélectionné une entrée dans la liste déroulante Filter by Computer Group (Filtrer par Groupe d’ordinateurs), TaaSle serveur Tanium émet une nouvelle question avec le filtre ajouté. Sélectionnez All Computers (Tous les ordinateurs), No Computers (Aucun ordinateur) ou un groupe d’ordinateurs configuré par l’utilisateur. Si la liste des groupes d’ordinateurs est longue, vous pouvez utiliser le filtre de texte dans la liste déroulante Computer Group (Groupe d’ordinateurs) pour filtrer par nom de groupe. Si vous enregistrez la question, le texte de la question inclut le filtre Computer Group (Groupe d’ordinateur) mais pas le filtre de texte dans la liste déroulante.

La liste déroulante Filter by Computer Group (Filtrer par Groupe d’ordinateurs) affiche uniquement les groupes qui sont disponibles pour votre compte utilisateur par l’intermédiaire d’une affectation ou d’un héritage (groupes de gestion) ou affectés à un Content Set (jeu de contenus) pour lequel votre compte dispose de permissions de rôle (groupes de filtres). Pour plus de détails, voir Gestion des groupes d’ordinateurs.

Utiliser un filtre avancé

Utilisez des filtres avancés pour filtrer des résultats de question en fonction de la mise en correspondance avec les conditions, ceci incluant les valeurs de colonne.

1. Dans l’en-tête de la grille Question Results (Résultats de la question), cliquez sur Filters (Filtres).
2. Cliquez sur l’un des boutons suivants pour ajouter des conditions de filtre :
   • + Row (+ Ligne) : Ajoutez une ou plusieurs conditions et cliquez sur Apply (Appliquer).
   • + Grouping (+ Groupement) : Sélectionnez cette option pour imbriquer un opérateur booléen. Utilisez + Row (+ Ligne) ou + Grouping (+ Groupement) pour créer l’expression imbriquée, puis cliquez sur Apply (Appliquer).

   Après avoir cliqué sur Apply All (Appliquer tout), la grille est mise à jour.

Gérer le tri de la grille, la visibilité des colonnes et les contrôles de retour à la ligne pour les résultats de la question

Pour trier les lignes par ordre alphabétique ou numérique dans la grille Question Results (Résultats de la question) en fonction des valeurs d’une colonne spécifique, cliquez sur l’en-tête de la colonne.

Pour modifier les colonnes visibles dans la grille, cliquez sur Customize Columns (Personnaliser les colonnes) dans la barre d’outils de la grille et sélectionnez (affichez) ou désélectionnez (masquez) les cases à cocher de la colonne.

Pour activer/désactiver le retour à la ligne, cliquez sur Wrap (Retour à la ligne) ou Unwrap (Supprimer le retour à la ligne) dans la barre d’outils de la grille.

Exporter et copier les résultats de la question

La page Question Results (Résultats de la question) fournit plusieurs options pour copier et exporter le contenu de la grille des résultats. Vous pouvez exporter tous les résultats en cliquant sur Export (Exporter) à droite de la barre d’outils de la grille. Vous pouvez également sélectionner des résultats spécifiques et cliquer sur Copy (Copier) ou Export (Exporter) au-dessus de la grille.

Copier les résultats de la question dans le presse-papiers

Vous pouvez copier les résultats de la question dans le presse-papiers au format texte. Pour inclure les noms de sensor (affiché dans la grille comme en-têtes de colonne) dans le texte copié, voir Set Tanium Console user preferences (Régler les préférences de l’utilisateur de la console Tanium).

• Pour copier des résultats spécifiques, cochez les cases correspondantes et cliquez sur Copy (Copier).
• Pour copier le contenu d’une cellule de grille, passez le curseur sur la cellule, cliquez sur Options (Options) , puis sur Copy Cell Value (Copier la valeur de la cellule) .
• Pour copier le contenu d’une cellule de grille, appuyez sur la touche Alt (Windows) ou Option (MacOS) et cliquez dans la cellule de la grille. La console Tanium affiche alors un message indiquant que le presse-papiers contient une copie du contenu de la cellule. Cette opération fonctionne pour la plupart des grilles de la console Tanium.

Copier ou exporter les résultats de la question

Vous pouvez exporter les résultats de la question vers un fichier CSV.

1. Sélectionnez l’une des options d’exportation suivantes :
   • Pour copier des résultats spécifiques, cochez les cases correspondantes et cliquez sur Export (Exporter).
   • Pour exporter les résultats complets, cliquez sur Export (Exporter) dans l’en-tête de la grille.
2. Saisissez un File Name (Nom de fichier) pour le fichier CSV.
3. Pour inclure les noms de sensor (en-têtes des colonnes de la grille) dans le fichier .csv, sélectionnez Include headers in export (Inclure les en-têtes dans l’exportation).

   Si vous avez uniquement sélectionné un sous-ensemble de résultats à exporter, cliquez sur Export (Exporter) et ignorez les étapes restantes, qui décrivent les options disponibles uniquement si vous exportez les résultats complets.

4. Sélectionnez la façon dont le fichier CSV affiche les résultats pour les questions où un seul sensor génère plusieurs résultats pour chaque endpoint répondant. Par exemple, pour la question Get Computer Name and High CPU Processes[5] from all machines (Obtenir le nom de l’ordinateur et les processus avec ressources CPU élevées de toutes les machines), le sensor High CPU Processes (Processus CPU élevés) répertoriera cinq processus pour chaque endpoint. Par défaut, le fichier affiche une ligne pour tous les résultats générés par le sensor pour un endpoint. Pour l’exemple de question, cela signifierait que chaque ligne répertorie les cinq processus les plus importants pour chaque endpoint (identifié par le nom de l’ordinateur).
   

   Pour afficher une ligne pour chaque résultat généré par un sensor, sélectionnez Flatten rows (Aplatir les lignes). Pour l’exemple de question, une exportation aplatie résulte en cinq lignes par endpoint : une ligne pour chaque processus que le sensor High CPU Processes (Processus CPU élevés) a renvoyé. Notez que cette option ne fonctionne que si un seul sensor dans la question a plusieurs résultats.
   

   Si vous sélectionnez Flatten rows (Aplatir les lignes), la case à cocher Fail on errors (Échec des erreurs) apparaît. La sélection de Fail on errors (Échec des erreurs) entraîne l’échec de l’exportation pour tous les résultats si un résultat inclut plusieurs colonnes (sensors) avec plus d’une valeur. Dans l’exemple, il s’agirait d’une erreur si un endpoint unique renvoyait plusieurs résultats aussi bien pour Computer Name (Nom de l’ordinateur) que pour High CPU Processes (Processus CPU élevés). Par défaut, l’option Fail on errors (Échec des erreurs) est désactivée, ce qui signifie que l’exportation se poursuit malgré ces erreurs. Toutefois, la sortie inclut des erreurs sans aplatir les résultats affectés ; la sortie n’utilise pas de lignes séparées pour tenir compte de plusieurs colonnes avec plusieurs valeurs.

5. Cliquez sur Export (Exporter).

Fusionner les questions

Les résultats des questions entraînent souvent des questions supplémentaires. Par exemple, les résultats d’une question renvoyant des noms d’ordinateur et des processus d’exécution peuvent indiquer que certains endpoints exécutent un processus suspect. Vous pouvez fusionner la question initiale avec une autre question pour obtenir plus d’informations, par exemple le dernier utilisateur connecté. TaaSLe serveur Tanium émet la question fusionnée en arrière-plan, et Tanium Console réaffiche la grille Question Results (Résultats de la question) avec une ou plusieurs colonnes supplémentaires contenant des résultats pour les sensors spécifiés par la question fusionnée.

Les opérations de fusion s’appliquent automatiquement à tous les résultats. Vous n’avez pas besoin de sélectionner des lignes de grille avant la fusion.

1. Cliquez sur Merge (Fusionner) sur le côté droit de la barre d’outils de la grille Question Results (Résultats des questions) pour ouvrir la boîte de dialogue Select Merge Questions (Sélectionner les questions fusionnées).
2. Utilisez l’un des onglets pour ajouter des questions, puis cliquez sur Merge (Fusionner) :
• Saved Questions (Questions enregistrées) : Répertorie les questions enregistrées qui sont attribuées à des Content Sets pour lesquels vous avez la permission Read Saved Question (Lire la question enregistrée). Le paramètre Display this question in the list of questions that are available to merge (Afficher cette question dans la liste des questions disponibles pour fusionner) doit également être activé pour les questions.

  Pour filtrer la liste afin qu’elle inclue uniquement les questions enregistrées avec Visibility (Visibilité) est défini sur Only the Owner and Admins can see this object (Seul le propriétaire et les administrateurs peuvent voir cet objet), sélectionnez Hide public questions (Masquer les questions publiques).

  
• Create a Question (Créer une question) : Saisissez une question en utilisant la même syntaxe que dans le champ Explore Data (Explorer les données) d’Interact (voir Émettre une question via le champ Explore Data (Explorer les données)).
• Générer une question: Créez une question en utilisant les mêmes champs que dans le Question Builder d’Interact (voir Émettre une question via Question Builder).

  Notez que vous ajoutez des capteurs à la clause get mais que vous n’ajoutez pas de filtres à la clause from. La clause from est basée automatiquement sur des lignes que vous avez sélectionnées dans la grille Question Results (Résultats de la question) lorsque vous avez cliqué sur Merge (Fusionner).






Après avoir cliqué sur Merge (Fusionner), la grille Question Results (Résultats de la question) affiche les résultats mis à jour. L’en-tête de la grille a un bouton Edit (Modifier) permettant de modifier les paramètres de fusion.

Analyse approfondie

Dans la grille Question Results (Résultats de la question), vous pouvez analyser par sous-question les résultats sélectionnés pour récupérer des informations supplémentaires à partir des endpoints associés. L’ajout d’une sous-question implique d’utiliser efficacement ses sensors pour filtrer les résultats sélectionnés. Un cas d’utilisation typique cible un plus petit groupe de endpoints pour une action. Par exemple, vous pouvez initialement émettre une question qui renvoie une liste de types de châssis et de systèmes d’exploitation pour tous les endpoints. Pour voir les identités des endpoints qui renvoient des résultats spécifiques, vous pouvez analyser par sous-question ces résultats avec le sensor Computer Name (Nom de l’ordinateur).

1. Dans la grille Question Results (Résultats de la question), sélectionnez les cases des résultats pour lesquels vous souhaitez obtenir des informations supplémentaires. Le bouton Drill Down (Zoom avant) apparaît alors au-dessus de la grille.
2. Cliquez sur Drill down (Analyser par sous-question) pour ouvrir la boîte de dialogue Select Drill-down Question (Sélectionner la sous-question).
3. Utilisez l’un des onglets suivants pour spécifier une sous-question, puis cliquez sur Drill Down (Analyser par sous-question) :
   • Saved Questions (Questions enregistrées) : Répertorie les questions enregistrées qui sont attribuées à des Content Sets pour lesquels vous avez la permission Read Saved Question (Lire la question enregistrée). Par défaut, la liste inclut uniquement les questions pour lesquelles le paramètre Display this question in the list of questions that are available for drilling down (Afficher cette question dans la liste des questions disponibles pour l’analyse par sous-question) est activé. Pour inclure les questions pour lesquelles le paramètre n’est pas activé, sélectionnez Show all questions (Afficher toutes les questions).

     Pour filtrer la liste afin qu’elle inclue uniquement les questions enregistrées avec Visibility (Visibilité) est défini sur Only the Owner and Admins can see this object (Seul le propriétaire et les administrateurs peuvent voir cet objet), sélectionnez Hide public questions (Masquer les questions publiques).

     
     
     

   • Create a Question (Créer une question) : Saisissez une question en utilisant la même syntaxe que dans le champ Explore Data (Explorer les données) d’Interact (voir Émettre une question via le champ Explore Data (Explorer les données)).

     
     
     

   • Générer une question: Créez une question en utilisant les mêmes champs que dans le Question Builder d’Interact (voir Émettre une question via Question Builder).

     
     
     

   Après avoir cliqué sur Drill Down (Analyser par sous-question), Interact affiche la progression des résultats, incluant une nouvelle grille Question Results (Résultats de la question) pour la sous-question. À partir de là, vous pouvez approfondir plus, déployer une action, enregistrer la question ou cliquer sur Copy to Question Builder (Copier vers Question Builder) pour affiner l’analyse.

Afficher les détails des actifs pour les endpoints

Tanium™ Asset stocke de nombreux détails sur chaque endpoint qui pourrait être utile pour vos activités opérationnelles ou de surveillance. Par exemple, vous souhaitez peut-être afficher les détails du CPU et du stockage sur un endpoint avant de déployer une action. Si vous avez installé la version 1.7 ou ultérieure d’Asset et que vous vous connectez à la Tanium Console en tant qu’utilisateur avec la permission Asset Report Read (Lecture du rapport sur les ressources), vous pouvez voir ces détails dans la grille Question Results (Résultats de question) sans émettre de questions supplémentaires, consommant plus de ressources de bande passante et de processeur. La grille affiche une icône Actif pour les endpoint, après avoir soulevé une question qui inclut l’un des sensors suivants :

• Nom de l’ordinateur
• Computer ID (ID ordinateur)
• Adresse IP du Tanium Client
• Numéro de série de l’ordinateur actif
• Détails de l’utilisateur principal de l’actif

Pour voir un résumé des détails de l’actif pour un endpoint, cliquez sur l’icône Asset (Actif) dans la grille pour afficher la fenêtre contextuelle Asset Details (Détails de l’actif). Si la base de données des actifs comporte plusieurs entrées pour le même endpoint, cliquez sur Multiple results found (Résultats multiples trouvés) en haut de la fenêtre contextuelle pour trouver les Asset Details (Détails de l’actif) pour une entrée spécifique.

Si vous souhaitez voir tous les détails de l’actif pour un endpoint, cliquez sur View Details in Asset (Afficher les détails dans l’actif) dans la fenêtre contextuelle Asset Details (Détails de l’actif). L’actif ouvre alors le rapport Computer Asset (Actif informatique) pour le endpoint.