Gestion des sensors

Aperçu des sensors

Un sensor est un script exécuté sur un endpoint pour calculer une réponse à une question de Tanium.Cloud Tanium Le Tanium Server distribue les sensors aux endpoints pendant l’enregistrement du Tanium Client. Les sensors vous permettent de poser des questions qui recueillent des informations telles que :

  • Inventaire et configuration matérielle et logicielle
  • Applications et processus en cours d’exécution
  • Fichiers et répertoires
  • Connexions réseau

Cloud Tanium fournit Le Tanium Server importe automatiquement le contenu initial qui inclut des sensors pour un large éventail de questions courantes (reportez-vous au ). D’autres solutions Tanium que vous importez peuvent fournir plus de sensors. Si vous ne trouvez pas le sensor dont vous avez besoin dans le contenu fourni par Tanium, vous pouvez créer des sensors personnalisés.

Une configuration de sensor inclut les paramètres, le contenu du script et les paramètres de script. Les sensors utilisent des langages de script conformes à l’industrie, plutôt qu’une syntaxe de codage propriétaire. Une meilleure pratique consiste à utiliser pour les sensors le moteur de script disponible sur le plus grand nombre de endpoints gérés. Sur les endpoints Windows, VBScript offre généralement la couverture prête à l’emploi la plus complète, car il est installé par défaut sur chaque version de bureau de Microsoft Windows depuis Windows 98, et dans chaque version Windows Server depuis Windows NT 4.0 Option Pack. Sur les endpoints MacOS et Linux, le script shell offre généralement la couverture prête à l’emploi la plus complète. Bien entendu, vous pouvez développer des sensors en utilisant tout autre langage de création de script que le système d’exploitation (SE) prend en charge (par ex. PowerShell sous Windows), tant que le moteur de création de script associé existe déjà sur l’endpoint, ou vous pouvez déployer et configurer le moteur sur les endpoints où il n’est pas installé.

Pour les permissions de rôle requises pour gérer les sensors, reportez-vous à la section Permissions de gestion du contenu.

Afficher les détails du sensor

Pour afficher les attributs de configuration du sensor et les mesures de durée d’exécution :

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).

    La grille Sensors (Sensors) affiche des colonnes pour la plupart des attributs du sensor qui sont décrits dans le Tableau 1.

  2. (Facultatif) Pour afficher les attributs que la grille masque par défaut, cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes et sélectionnez les attributs.
  3. (Facultatif) Pour l’option Runtime (Durée d’exécution), cliquez sur Show (Afficher) pour afficher les mesures de durée d’exécution du sensor ou sur Hide (Masquer) (par défaut) pour les masquer.

    Pour chaque sensor, la colonne Runtime (Durée d’exécution) affiche une icône qui indique si le sensor a dépassé ou non un seuil de durée d’exécution. Vous pouvez passer le curseur de la souris sur l’icône pour afficher une infobulle indiquant la durée moyenne d’exécution en millisecondes. Pour en savoir plus sur les icônes et les étapes de configuration des seuils de durée d’exécution, reportez-vous à la section Gestion des seuils de durée d’exécution du sensor.

    Réglez l’option Show Hidden (Afficher les sensors masqués) sur Yes (Oui) pour afficher les sensors masqués. Il y aura une colonne Hidden State (État masqué) qui indique les sensors qui sont configurés comme Visible (Visibles) ou comme Hidden (Masqués). Pour en savoir plus sur les sensors masqués, reportez-vous à la section Masquer ce sensor dans les listes de sensors et analyser les résultats.

  4. (Facultatif) Utilisez les filtres pour trouver des sensors spécifiques :
    • Filter by text (Filtrer par texte) : pour filtrer la grille avec les valeurs Name (Nom), Category (Catégorie) ou Description (Description) pour le sensor, saisissez une chaîne de texte dans le champ Filter items (Filtrer les éléments).
    • Filter by attribute (Filtrer par attribut) : filtrez la grille selon un ou plusieurs attributs, tels que l’attribution du Content Set (Content Set). Développez la section DévelopperFilters (Filtres), cliquez sur Ajouter Add (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur d’attribut, puis cliquez sur Apply (Appliquer). Si vous ajoutez plusieurs filtres d’attributs, l’opérateur booléen AND (ET) s’applique. Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
  5. (Facultatif) Pour afficher tous les attributs décrits dans le Tableau 1, cliquez sur la valeur Name (Nom) d’un sensor.

    Contactez l’assistance Tanium si vous souhaitez modifier les valeurs d’attribut.

Modifier un sensor

Vous pouvez modifier tous les paramètres de tous les sensors à l’exception des sensors réservés Tanium qui sont des sensors de système principaux incluant Computer Name (Nom de l’ordinateur), Action Statuses (Statuts des actions), Computer ID (ID ordinateur), et Download Statuses (Statuts des téléchargements). Pour les sensors réservés, vous pouvez uniquement modifier les paramètres Max String Age (Âge maximum de la chaîne) et Max Strings (Nombre maximum de chaînes).

La best practice consiste à ne pas modifier les sensors prédéfinis qui sont fournis via les solutions de contenu uniquement importées depuis Tanium. Pour plus de détails, reportez-vous à la section Conseil 4 : limitez les personnalisations du contenu Tanium. Contactez l’assistance Tanium si la modification des sensors fournis par Tanium est nécessaire. Sinon, vous pouvez également cloner les sensors fournis par Tanium (reportez-vous à la section Cloner un sensor) et modifier les copies. Vous pouvez également modifier les sensors personnalisés que vous avez créés à partir de zéro.

Pour modifier l’attribution du Content Set pour plusieurs sensors qui doivent appartenir au même Set, reportez-vous à la section Déplacer les sensors entre les Content Sets.

Pour modifier un sensor :

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).
  2. (Facultatif) Utilisez les fonctions de tri de colonne et de recherche pour trouver le sensor que vous souhaitez modifier.
  3. Cliquez sur la valeur Name (Nom) de sensor.
  4. Cliquez sur Edit Mode (Mode de modification), configurez les paramètres décrits dans le Tableau 1, et cliquez sur Save (Enregistrer).

Déplacer les sensors entre les Content Sets

Vous pouvez déplacer les sensors entre les Content Sets, si nécessaire, afin d’adapter les modifications apportées à la configuration de contrôle d’accès basé sur les rôles (RBAC) de votre déploiement Tanium. Par exemple, vous pouvez déplacer certains sensors vers un Content Set auxquels seuls les utilisateurs hautement privilégiés peuvent accéder.

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).
  2. Sélectionnez le sensor et cliquez sur Move to Content Set (Déplacer vers le Content Set).
  3. Sélectionnez un Content Set et cliquez sur Confirm (Confirmer).

Cloner un sensor

Le clonage est utile lorsque vous devez :

  • Créez une version modifiée d’un sensor prédéfini à partir d’une solutions Tanium de contenu uniquement.

    Ne modifiez pas le sensor Tanium original.

  • Créez un nouveau sensor avec des paramètres qui diffèrent légèrement de ceux d’un sensor existant. Cela est souvent plus facile que de créer un nouveau sensor à partir de zéro.

Procédez comme suit pour cloner un sensor :

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).
  2. Utilisez les fonctions de tri de colonne et de recherche pour trouver le sensor que vous souhaitez cloner.
  3. Sélectionnez le sensor et cliquez sur Clone (Cloner).
  4. Configurez les paramètres décrits dans le Tableau 1 et cliquez sur Save (Enregistrer).

Créer un sensor

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).
  2. Cliquez sur New Sensor (Nouveau sensor), configurez les paramètres suivants, puis cliquez sur Save (Enregistrer).
Tableau 1 : Recommandations de configuration de sensor
Paramètres Recommandations
Nom Spécifiez un nom comportant maximum 256 caractères pour identifier le sensor partout où la Tanium Console affiche des listes de sensors. Le nom ne peut pas comporter certains caractères spéciaux et la best practice consiste à éviter les mots réservés. Reportez-vous aux listes de Caractères spéciaux et mots réservés. Notez que certains sensors définis par Tanium utilisent des mots réservés dans leurs noms. Pour obtenir des instructions sur la façon de saisir ces sensors dans le champ Ask a Question (Poser une question) d’Interact, reportez-vous à la section Mots réservés dans les noms de sensors.

Si vous modifiez le nom du sensor, reconfigurez le contenu qui le référence. Par exemple, mettez à jour le nom de sensor dans toutes les questions enregistrées qui sont configurées avec le nom précédent.

Description Saisissez une description pour aider les autres utilisateurs à comprendre la finalité du sensor. Il peut être utile d’inclure des exemples de résultats formatés. La description apparaît dans la page Sensors (Sensors) et dans la boîte de dialogue Browse Sensors (Parcourir les sensors) de Question Builder (Question Builder).
Content Set Attribuez le sensor à un Content Set. La liste est renseignée avec tous les Content Sets pour lesquels vous disposez de la permission Write Sensor (Écrire le sensor).
Catégorie Sélectionnez la catégorie de sensor, que vous pouvez utiliser pour filtrer la liste des sensors sur la page Sensors (Sensors) et dans la boîte de dialogue Browse Sensors (Parcourir les sensors) du Question Builder (Question Builder).
Type de résultat Sélectionnez le type de données pour les valeurs renvoyées par le sensor. Le choix du type correct est nécessaire pour que le Tanium Server évalue correctement les résultats et les trie dans des grilles de résultats. Par exemple, si vous émettez la question Get Uptime > "10 days", le serveur évalue l’opération supérieure à (>) en fonction du type Time Duration (Durée) du sensor Uptime (Durée de fonctionnement). Cela garantit que le serveur renvoie les résultats uniquement pour les endpoints qui ont redémarré il y a plus de 10 jours. Si ce sensor utilisait plutôt le type de résultat Text (Texte), le serveur évaluerait l’opération par ordre alphabétique et renverrait des résultats tels que 2 jours.
Pour un sensor multi-colonnes, définissez Result Type (Type de résultat) sur Text (Texte), puis sélectionnez un type de résultat spécifique pour chaque colonne. Par exemple, le sensor Tanium Client Dump Files (Fichiers d’image mémoire de Tanium Client) renvoie les types de résultat Date/Time (WMI) (Date/Heure (WMI)) et Integer (Entier). Voir Diviser en plusieurs colonnes.

Différents sensors peuvent renvoyer des valeurs dans différentes unités même si les sensors utilisent le même type de résultat. Par exemple, le sensor Tanium Client CPU (CPU de Tanium Client) renvoie une valeur en pourcentage tandis que le sensor CPU Speed Mhz (CPU vitesse Mhz) renvoie une valeur mégahertz, même si les deux sensors utilisent le type de résultat Numeric (Numérique).

Les types de résultats sont :

  • Text (Texte) : Une chaîne de texte alphanumérique. Par exemple, le sensor Computer Name (Nom de l’ordinateur) renvoie une chaîne telle que workstation-1.company.com.

  • File Size (Taille de )fichier : La taille du résultat, comprenant le nombre et les unités. Par exemple, le sensor Page File Details (Détails du fichier de page) renvoie les valeurs de taille des fichiers de page sur un endpoint Windows, telles que 11 264 Mo pour la Size On Disk (Taille sur disque).

    Pour renvoyer les valeurs de taille sans les unités associées, sélectionnez Integer (Entier) comme type de résultat. Par exemple, un sensor qui renvoie des tailles de fichier et utilise Integer (Entier) comme type de résultat affiche uniquement le nombre d’octets : 1048576 au lieu de 1 Mo, par exemple.

  • IP Address (Adresse IP) : Une ou plusieurs adresses IPv4 et/ou IPv6. Par exemple, le sensor Adresse IP de Tanium Client renvoie l’adresse IP (telle que 192.168.1.1) qu’un Tanium Client utilise pour communiquer avec le Tanium Server ou le Tanium Zone Server.

  • Version : La version d’un système d’exploitation, d’un fichier, d’une application ou d’un autre composant sur un endpoint. Par exemple, le sensor NET Version (Version NET) renvoie les numéros de versions complets de toutes les installations .NET, par ex. la version 4.5.51641.
  • Numeric (Numérique) : Un numéro qui peut avoir des décimales et une valeur positive ou négative. Par exemple, le sensor Tanium Client CPU (CPU de Tanium Client) renvoie le pourcentage d’utilisation du CPU que le processus Tanium Client utilise actuellement sur un endpoint, tel que 1.4.

    Pour les sensors qui renvoient des nombres entiers non signés, sélectionnez le type de résultat Integer (Entier).

  • Date/Time (RFC822) (Date/Heure (RFC822)) : Chaîne date-heure au format RFC-822. Par exemple, le sensor OS Boot Time (Heure de démarrage du système d’exploitation) envoie la date et l’heure du dernier démarrage du système d’exploitation d’un endpoint, par ex. Mon, 05 Jan 2015 15:17:59 +0000.
  • Date/Time (WMI) (Date/Heure (WMI)) : Chaîne date-heure au format Windows Management Instrumentation (WMI). Par exemple, le sensor Tanium Client Dump Files (Fichiers d’image mémoire) renvoie la date et l’heure lorsqu’un fichier d’image mémoire de Tanium Client a été créé sur un endpoint, par ex. 2017-09-13T18:29:22.412Z.
  • Time Duration (Durée) : Une plage horaire. Par exemple, le sensor Uptime (Durée de fonctionnement) renvoie le nombre de jours depuis le dernier redémarrage d’un endpoint, comme 48 jours ou Moins de 1 jour. Les résultats peuvent inclure des unités autres que des jours (par exemple 42 minutes ou 8 heures) et peuvent inclure plusieurs unités (par exemple 2 ans, 3 mois, 18 jours, 4 heures, 22 minutes et 3,67 secondes).
  • Integer (Entier) : Un nombre entier non signé, qui exclut les valeurs décimales et les valeurs négatives. Par exemple, le sensor RAM Slots Unused (Emplacements RAM non utilisés) renvoie le nombre d’emplacements RAM vides, non utilisés, par ex. 2.
Âge maxi. du sensor Saisissez le temps maximum pendant lequel le Tanium Client peut utiliser un résultat mis en cache pour ce sensor, au lieu de le réexécuter pour obtenir un résultat actualisé, lors de la réponse aux questions. Par exemple, la valeur Max Sensor Age (Âge maxi. du sensor) pour le sensor File Size (Taille de fichier) est de 15 minutes par défaut. Lorsqu’un client reçoit une question qui exécute le sensor File Size (Taille de fichier), le résultat est mis en cache. Durant les 15 minutes qui suivent, si le client reçoit une autre question avec le sensor File Size (Taille de fichier), le résultat mis en cache est renvoyé. Après 15 minutes, si le client reçoit une question avec le sensor File Size (Taille de fichier), il réexécute le script du sensor pour renvoyer un résultat actualisé.

Pour améliorer la précision des résultats, utilisez des âges plus courts pour les sensors comportant des valeurs qui changent fréquemment, comme les sensors de statut et d’utilisation. Pour réduire l’utilisation inutile du CPU sur les endpoints, utilisez des âges plus longs pour les sensors comportant des valeurs qui ne changent généralement pas fréquemment, comme le type de châssis ou l’appartenance au domaine Active Directory.

Par défaut, la valeur Max Sensor Age (Âge maxi. du sensor) s’applique à toutes les questions qui utilisent le sensor. Pour définir un âge différent pour le sensor dans une question spécifique, reportez-vous à la section Âge maximum des données.

Une valeur inférieure dans Max Sensor Age (Âge maxi. du sensor) augmente l’utilisation du CPU sur les endpoints. Par conséquent, les âges inférieurs sont plus appropriés pour les sensors que vous utilisez dans les questions dynamiques que pour les sensors dans les questions enregistrées ou dans les questions d’appartenance aux endpoints des groupes de gestion d’ordinateurs et des groupes de filtres.

Max String Age (Âge maximum de la chaîne) Si vous souhaitez réduire l’impact des résultats de la question sur l’espace disque du Tanium Server, sélectionnez Enable (Activer) et précisez l’âge maximum que les chaînes de réponses peuvent atteindre avant leur suppression par le serveur. La valeur par défaut est une semaine. L’âge de la chaîne dépend du nombre de minutes écoulées depuis la dernière utilisation de la chaîne par le Tanium Server ou de sa date de réception de la part des clients Tanium. Pour plus de détails, reportez-vous à la section Référence : Gérer la croissance de la chaîne du sensor.

La valeur Max String Age (Âge maximum de la chaîne) ne s’applique pas au cache des résultats que le service de données Tanium stocke sur le Tanium Server (reportez-vous à la section Gérer la collecte des résultats de sensors).

Max Strings (Nombre maximum de chaînes) Si vous souhaitez réduire l’impact des résultats de la question sur l’espace disque du Tanium Server, sélectionnez Enable (Activer) et saisissez le nombre maximum de chaînes de réponses que le serveur stocke pour ce sensor avant de supprimer les chaînes les plus anciennes. Le serveur inclut le nombre de chaînes pour les sensors temporaires lors du calcul du nombre de chaînes pour leurs sensors sources. La valeur par défaut est 0, qui ne spécifie aucune limite. L’âge de la chaîne dépend de la dernière utilisation de la chaîne par le Tanium Server ou de sa date de réception de la part des clients Tanium.

Lorsque vous limitez la croissance d’une chaîne, définissez la valeur Max Strings Age (Âge maximum de chaînes) au lieu de Max Strings (Nombre maximum de chaînes) (reportez-vous à la section Référence : Gérer la croissance de la chaîne du sensor). Contactez l’assistance Tanium avant de régler le champ Max Strings (Nombre maximum de chaînes) dans les cas extrêmes nécessitant une limite du nombre de chaînes pour les sensors individuels.

La valeur Max Strings (Nombre maximum de chaînes) ne s’applique pas au cache des résultats que le service de données Tanium stocke sur le Tanium Server (reportez-vous à la section Gérer la collecte des résultats de sensors).

Ignorer le cas dans les valeurs de résultat Valeurs de résultats de groupe et de comptage, indépendamment des différences dans les caractères majuscules et minuscules.
Masquer ce sensor dans les listes de sensors et analyser les résultats Sélectionnez cette option si vous souhaitez que les listes de sensors sur l’ensemble de Tanium Console excluent le sensor.
Diviser en plusieurs colonnes (Sensors multi-colonnes uniquement) Si le sensor renvoie plusieurs résultats à partir de chaque endpoint, affichez les résultats dans plusieurs colonnes dans la grille Question Results (Résultats de la question). Dans le champ Use delimiter (Utiliser un délimiteur), spécifiez un caractère qui séparera les valeurs de résultat dans le script du sensor. Saisissez les noms des colonnes et les types de résultats correspondants, et ordonnez-les en fonction de l’ordre d’affichage dans la grille que vous souhaitez. Sélectionnez l’option Hide (Masquer) si vous souhaitez masquer la colonne dans la vue par défaut de la grille de résultats. La figure suivante montre les paramètres du sensor Running Applications (Exécution d’applications).

Paramètres du sensor multi-colonnes

Lors de la création de questions filtrant les sensors multi-colonnes, le filtrage à une seule colonne fonctionne uniquement si la définition du sensor spécifie les délimiteurs de colonne avec un caractère unique (|) et non pas avec plusieurs caractères (|:).

Entrées de paramètres (Sensors paramétrés uniquement) Dans la section Parameters (Paramètres), effectuez les étapes suivantes pour chaque paramètre. Pour en savoir plus sur les types de paramètres et leurs réglages, reportez-vous à la section Paramétrer les paramètres d’entrée.
  1. Sélectionnez Add Parameter (Ajouter un paramètre) > <Type>.
  2. Sélectionnez une norme de temps pour n’importe quel paramètre basé sur une date ou une heure :
    • Local Time (Heure locale) (par défaut) est l’heure locale du système que vous utilisez pour accéder à Tanium Console
    • UTC (UTC) est le temps universel coordonné.
  3. Configurez les paramètres pour le type de paramètre sélectionné.
Scripts Effectuez les étapes suivantes pour chaque système d’exploitation (SE) cible :
  1. Sélectionnez le type de SE et sélectionnez Enable sensor for <OS> platform (Activer le sensor pour la plateforme ).

  2. Définissez le Query Type (Type de requête) sur le moteur de script souhaité.

  3. Saisissez le texte du script.

    Pour en savoir plus sur les scripts pour les sensors paramétrés, reportez-vous à la section Script de sensor.

Aperçu du sensor L’aperçu des résultats du sensor sur un petit nombre de endpoints non critiques vous permet de tester le sensor avant de le rendre disponible pour la collecte de questions ou de sensors. L’aperçu est une précaution utile au cas où le script du sensor présenterait des défauts qui pourraient affecter négativement les endpoints.
  1. Cliquez sur Select Groups to Preview (Sélectionner les groupes à prévisualiser) et effectuez l’une des étapes suivantes :
    • Sélectionnez un groupe d’ordinateurs existant.
    • Cliquez sur Create Ad Hoc Group (Créer un groupe ad hoc), effectuez l’une des étapes suivantes pour définir l’appartenance à un groupe, puis cliquez sur Create Group (Créer un groupe). Notez que le groupe d’ordinateurs existe uniquement pour l’aperçu du sensor et n’apparaîtra nulle part ailleurs dans Tanium Console.
      • Appartenance dynamique : sélectionnez une méthode pour définir le filtre d’appartenance :
        • Sélectionnez la Filter Bar (Barre de filtres) si vous souhaitez définir un filtre en utilisant la même syntaxe que dans la clause from (de) du champ Ask a Question (Poser une question) d’Interact. Pour obtenir plus de détails, reportez-vous à la section Émettre une question via le champ Ask a Question (Poser une question).
        • Sélectionnez le Générateur de filtres pour définir un filtre en utilisant les mêmes champs from computers with (depuis les ordinateurs avec) dans Question Builder (Question Builder) du module Interact. Pour plus de détails, reportez-vous à la section Émettre une question via Question Builder.
      • Appartenance définie manuellement : sélectionnez Manual Group (Groupe statique) et saisissez une liste de noms d’ordinateurs ou d’adresses IP. Les noms d’ordinateur doivent correspondre aux résultats que le sensor Computer Name (Nom de l’ordinateur) renvoie. Les formes courtes ou d’autres noms ne fonctionnent pas.
  2. Cliquez sur Preview Sensor Results (Aperçu des résultats du sensor) et passez en revue les résultats.
Tableau 1 : Paramètres du sensor
Paramètres Recommandations
Nom

Un nom qui identifie le sensor partout où Tanium Console affiche les listes de sensors.

Pour obtenir des instructions sur la façon de saisir des noms de sensors contenant des mots réservés lorsque vous émettez des questions via le champ Ask a Question (Poser une question) d’Interact, reportez-vous à la section Mots réservés dans les noms de sensors.

Description La description est censée aider les autres utilisateurs à comprendre la finalité du sensor. La description apparaît dans la page Sensors (Sensors) et dans la boîte de dialogue Browse Sensors (Parcourir les sensors) de Question Builder (Question Builder).
Content Set Le Content Set auquel le sensor est attribué.
Catégorie Vous pouvez utiliser la catégorie du sensor pour filtrer la liste des sensors sur la page Sensors (Sensors) et dans la boîte de dialogue Browse Sensors (Parcourir les sensors) du Question Builder (Question Builder).
Type de résultat Le type de données pour les valeurs que le sensor renvoie. Cloud Tanium évalue les résultats et les trie dans des grilles de résultats en fonction du type. Par exemple, si vous émettez la question Get Uptime > "10 days", Cloud Tanium évalue l’opération supérieure à (>) en fonction du type Time Duration (Durée) du sensor Uptime (Durée de fonctionnement). Cela garantit que Cloud Tanium renvoie les résultats uniquement pour les endpoints qui ont redémarré il y a plus de 10 jours. Si ce sensor utilisait plutôt le type de résultat Text (Texte), Cloud Tanium évaluerait l’opération par ordre alphabétique et renverrait des résultats tels que 2 days.
Result Type (Type de résultat) est toujours Text (Texte) pour un sensor multi-colonnes, mais chaque colonne peut avoir un type de résultat unique. Par exemple, le sensor Tanium Client Dump Files (Fichiers d’image mémoire de Tanium Client) renvoie les types de résultat Date/Time (WMI) (Date/Heure (WMI)) et Integer (Entier). Voir Diviser en plusieurs colonnes.

Différents sensors peuvent renvoyer des valeurs dans différentes unités même si les sensors utilisent le même type de résultat. Par exemple, le sensor Tanium Client CPU (CPU de Tanium Client) renvoie une valeur en pourcentage tandis que le sensor CPU Speed Mhz (CPU vitesse Mhz) renvoie une valeur mégahertz, même si les deux sensors utilisent le type de résultat Numeric (Numérique).

Les types de résultats sont :

  • Text (Texte) : Une chaîne de texte alphanumérique. Par exemple, le sensor Computer Name (Nom de l’ordinateur) renvoie une chaîne telle que workstation-1.company.com.

  • File Size (Taille de )fichier : La taille du résultat, comprenant le nombre et les unités. Par exemple, le sensor Page File Details (Détails du fichier de page) renvoie les valeurs de taille des fichiers de page sur un endpoint Windows, telles que 11 264 Mo pour la Size On Disk (Taille sur disque).

  • IP Address (Adresse IP) : Une ou plusieurs adresses IPv4 et/ou IPv6. Par exemple, le sensor Tanium Client IP Address (Adresse IP de Tanium Client) renvoie l’adresse IP (telle que 192.168.1.1) qu’un Tanium Client utilise pour communiquer avec Cloud Tanium.

  • Version : La version d’un système d’exploitation, d’un fichier, d’une application ou d’un autre composant sur un endpoint. Par exemple, le sensor NET Version (Version NET) renvoie les numéros de versions complets de toutes les installations .NET, par ex. la version 4.5.51641.
  • Numeric (Numérique) : Un numéro qui peut avoir des décimales et une valeur positive ou négative. Par exemple, le sensor Tanium Client CPU (CPU de Tanium Client) renvoie le pourcentage d’utilisation du CPU que le processus Tanium Client utilise actuellement sur un endpoint, tel que 1.4.
  • Date/Time (RFC822) (Date/Heure (RFC822)) : Chaîne date-heure au format RFC-822. Par exemple, le sensor OS Boot Time (Heure de démarrage du système d’exploitation) envoie la date et l’heure du dernier démarrage du système d’exploitation d’un endpoint, par ex. Mon, 05 Jan 2015 15:17:59 +0000.
  • Date/Time (WMI) (Date/Heure (WMI)) : Chaîne date-heure au format Windows Management Instrumentation (WMI). Par exemple, le sensor Tanium Client Dump Files (Fichiers d’image mémoire) renvoie la date et l’heure lorsqu’un fichier d’image mémoire de Tanium Client a été créé sur un endpoint, par ex. 2017-09-13T18:29:22.412Z.
  • Time Duration (Durée) : Une plage horaire. Par exemple, le sensor Uptime (Durée de fonctionnement) renvoie le nombre de jours depuis le dernier redémarrage d’un endpoint, comme 48 jours ou Moins de 1 jour. Les résultats peuvent inclure des unités autres que des jours (par exemple 42 minutes ou 8 heures) et peuvent inclure plusieurs unités (par exemple 2 ans, 3 mois, 18 jours, 4 heures, 22 minutes et 3,67 secondes).
  • Integer (Entier) : Un nombre entier non signé, qui exclut les valeurs décimales et les valeurs négatives. Par exemple, le sensor RAM Slots Unused (Emplacements RAM non utilisés) renvoie le nombre d’emplacements RAM vides, non utilisés, par ex. 2. Le type de résultat Integer (Entier) renvoie les valeurs sans unités associées. Par exemple, un sensor qui renvoie des tailles de fichier et utilise Integer (Entier) comme type de résultat affiche uniquement le nombre d’octets : 1048576 au lieu de 1 Mo, par exemple.
Âge maxi. du sensor Le temps maximum pendant lequel le Tanium Client peut utiliser un résultat mis en cache pour ce sensor, au lieu de le réexécuter pour obtenir un résultat actualisé, lors de la réponse aux questions. Par exemple, la valeur Max Sensor Age (Âge maxi. du sensor) pour le sensor File Size (Taille de fichier) est de 15 minutes par défaut. Lorsqu’un client reçoit une question qui exécute le sensor File Size (Taille de fichier), le résultat est mis en cache. Durant les 15 minutes qui suivent, si le client reçoit une autre question avec le sensor File Size (Taille de fichier), le résultat mis en cache est renvoyé. Après 15 minutes, si le client reçoit une question avec le sensor File Size (Taille de fichier), il réexécute le script du sensor pour renvoyer un résultat actualisé.

Les sensors avec des valeurs qui changent fréquemment, comme les sensors de statut et d’utilisation, ont généralement des âges plus courts. Les sensors avec des valeurs qui changent généralement rarement, comme le type de châssis ou l’appartenance au domaine Active Directory, ont généralement des âges plus longs.

Lorsque vous émettez une question, vous pouvez remplacer la valeur Max Sensor Age (Âge maxi. du sensor) pour chacun des sensors en spécifiant l’option Maximum Data Age (Âge maximum des données) dans le Question Builder ou en ajoutant l’option ?maxAge=<value> dans le champ Ask a Question (Poser une question)Explore Data (Explorer les données). Pour en savoir plus, reportez-vous à la section Âge maximum des données.
Max String Age (Âge maximum de la chaîne) Pour réduire l’impact que les résultats de la question ont sur les ressources Cloud Tanium, certains sensors ont un âge maximum que les chaînes de réponse peuvent atteindre avant que Cloud Tanium ne supprime ces chaînes. La valeur par défaut est une semaine. L’âge de la chaîne dépend du nombre de minutes écoulées depuis la dernière utilisation de la chaîne par Cloud Tanium ou de sa date de réception de la part des Tanium Clients. Pour plus de détails, reportez-vous à la section Référence : Gérer la croissance de la chaîne du sensor.

La valeur Max String Age (Âge maximum de la chaîne) ne s’applique pas au cache des résultats que le service de données Tanium stocke sur Cloud Tanium (reportez-vous à la section Gérer la collecte des résultats de sensors).

Max Strings (Nombre maximum de chaînes) Pour réduire l’impact des résultats de la question sur les ressources Cloud Tanium, certains sensors ont un nombre maximum de chaînes de réponse que Cloud Tanium stocke pour les sensors avant de supprimer les chaînes les plus anciennes. Cloud Tanium inclut le nombre de chaînes pour les sensors temporaires lors du calcul du nombre de chaînes pour leurs sensors sources. La valeur par défaut est 0, qui ne spécifie aucune limite. L’âge de la chaîne dépend de la dernière utilisation de la chaîne par Cloud Tanium ou de sa date de réception de la part des Tanium Clients.

La valeur Max Strings (Nombre maximum de chaînes) ne s’applique pas au cache des résultats que le service de données Tanium stocke sur Cloud Tanium (reportez-vous à la section Gérer la collecte des résultats de sensors).

Ignorer le cas dans les valeurs de résultat Valeurs de résultats de groupe et de comptage, indépendamment des différences dans les caractères majuscules et minuscules.
Masquer ce sensor dans les listes de sensors et analyser les résultats Cette option spécifie que les listes de sensors à travers Tanium Console excluent le sensor.
Diviser en plusieurs colonnes (Sensors multi-colonnes uniquement) Si le sensor renvoie plusieurs résultats à partir de chaque endpoint, cette option entraîne l’affichage des résultats dans plusieurs colonnes dans la grille Question Results (Résultats de la question). Le champ Use delimiter (Utiliser un délimiteur) spécifie le caractère qui sépare les valeurs de résultat dans le script du sensor. La grille sous ces champs indique les noms de colonne et les types de résultats correspondants, ainsi que l’ordre dans lequel la grille de résultats les affiche. L’option Hide (Masquer) spécifie que la colonne est masquée de la vue par défaut de la grille de résultats. La figure suivante montre les paramètres du sensor Running Applications (Exécution d’applications).

Paramètres du sensor multi-colonnes

lors de la création de questions filtrant les sensors multi-colonnes, le filtrage à une seule colonne fonctionne uniquement si la définition du sensor spécifie les délimiteurs de colonne avec un caractère unique (|) et non pas avec plusieurs caractères (|:).

Entrées de paramètres (Sensors paramétrés uniquement) Pour en savoir plus sur les types de paramètres et leurs réglages, reportez-vous à la section Paramétrer les paramètres d’entrée.
Scripts Pour en savoir plus sur les scripts pour les sensors paramétrés, reportez-vous à la section Script de sensor.
Aperçu du sensor L’aperçu des résultats du sensor sur un petit nombre de endpoints non critiques vous permet de tester le sensor avant de le rendre disponible pour la collecte de questions ou de sensors. L’aperçu est une précaution utile au cas où le script du sensor présenterait des défauts qui pourraient affecter négativement les endpoints.
  1. Cliquez sur Select Groups to Preview (Sélectionner les groupes à prévisualiser) et effectuez l’une des étapes suivantes :
    • Sélectionnez un groupe d’ordinateurs existant.
    • Cliquez sur Create Ad Hoc Group (Créer un groupe ad hoc), effectuez l’une des étapes suivantes pour définir l’appartenance à un groupe, puis cliquez sur Create Group (Créer un groupe). Notez que le groupe d’ordinateurs existe uniquement pour l’aperçu du sensor et n’apparaîtra nulle part ailleurs dans Tanium Console.
      • Appartenance dynamique : sélectionnez une méthode pour définir le filtre d’appartenance :
        • Sélectionnez la Filter Bar (Barre de filtres) si vous souhaitez définir un filtre en utilisant la même syntaxe que dans la clause from (de) du champ Ask a Question (Poser une question) d’Interact. Pour obtenir plus de détails, reportez-vous à la section Émettre une question via le champ Ask a Question (Poser une question).
        • Sélectionnez le Générateur de filtres pour définir un filtre en utilisant les mêmes champs from computers with (depuis les ordinateurs avec) dans Question Builder (Question Builder) du module Interact. Pour plus de détails, reportez-vous à la section Émettre une question via Question Builder.
      • Appartenance définie manuellement : sélectionnez Manual Group (Groupe statique) et saisissez une liste de noms d’ordinateurs ou d’adresses IP. Les noms d’ordinateur doivent correspondre aux résultats que le sensor Computer Name (Nom de l’ordinateur) renvoie. Les formes courtes ou d’autres noms ne fonctionnent pas.
  2. Cliquez sur Preview Sensor Results (Aperçu des résultats du sensor) et passez en revue les résultats.

Exporter ou importer des sensors

Les procédures suivantes décrivent comment exporter et importer des sensors spécifiques ou tous les sensors.

Développez et testez le contenu dans l’environnement de votre laboratoire avant d’importer ce contenu dans votre environnement de production.

Exporter des sensors

Exportez les sensors sous forme de fichier dans l’un des formats suivants :

  • CSV : Lorsque vous ouvrez le fichier dans une application prenant en charge le format CSV, cette option répertorie les sensors qui ont les mêmes attributs (colonnes) lorsque la page Sensors (Sensors) s’affiche.

  • JSON : Si un rôle avec la permission Export Content (Exporter le contenu) vous a été attribué, vous pouvez exporter des configurations de sensors sous forme de fichier JSON pour les importer dans un autre Tanium Server. Le rôle réservé Administrator (Administrateur) comporte cette permission.

Procédez comme suit pour exporter des sensors :

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).
  2. (Facultatif, exportations de fichiers CSV uniquement) Pour ajouter ou supprimer des attributs (colonnes) pour le fichier CSV, cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes dans la grille et sélectionnez les attributs.
  3. Sélectionnez des lignes dans la grille pour exporter uniquement des sensors spécifiques. Si vous souhaitez exporter tous les sensors, ignorez cette étape.
  4. Cliquez sur Export (Exporter) Exporter.
  5. (Facultatif) Modifiez le File Name (Nom de fichier) d’exportation par défaut.

    Le suffixe du fichier (.csv ou .json) change automatiquement en fonction de la sélection du format.

  6. Sélectionnez une option pour Export Data (Exporter les données) : L’option All (Tous) pour tous les sensors de la grille, ou Selected (Sélectionnés) pour les sensors sélectionnés uniquement.
  7. Sélectionnez le format du fichier :

    • Liste de sensors - CSV
    • Sensor Definitions - JSON (Définitions de sensors - JSON) (rôle réservé Administrator (Administrateur) uniquement)

  8. Cliquez sur Export (Exporter).

    Cloud TaniumLe Tanium Server exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à Tanium Console.

Importer des sensors

Les utilisateurs qui se voient attribuer un rôle avec la permission Import Signed Content (Importer le contenu signé) peuvent importer des fichiers de contenu au format JSON ou XML. Le rôle réservé Administrator (Administrateur) dispose de cette permission.

  1. (Contenu non fourni par Tanium uniquement) Signez numériquement le fichier de contenu et assurez-vous qu’une clé publique est en place pour valider la signature. Reportez-vous à la section Authentification des fichiers de contenu.

    Vous n’avez pas besoin de générer des clés ou des signatures pour les solutions fournies par Tanium. Tanium signe ce contenu avant de le rendre disponible et la clé publique associée est distribuée à la base de stockage de clés du Tanium Server pendant le processus d’installation du serveur.

  2. Dans le menu principal, accédez à l’une des pages Administration (Administration) suivantes :
    • Configuration (Configuration) > Solutions (Solutions)
    • Permissions (Permissions) > Filter Groups (Groupes de filtres)
    • Sous Content (Contenu), sélectionnez Sensors (Sensors), Packages (Packages) ou Saved Questions (Questions enregistrées)
    • Sous Actions (Actions), sélectionnez Scheduled Actions (Actions planifiées), All Pending Approvals (Toutes les approbations en attente) ou Actions I Can Approve (Actions que je peux approuver)
  3. Sélectionnez une option Import (Importer) en fonction de la source du contenu :
    • Import (Importer) > Import Files (Importer des fichiers) : effectuez l’une des étapes suivantes pour sélectionner un ou plusieurs fichiers :
      • Faites glisser et déposez les fichiers de votre explorateur de fichiers.
      • Cliquez sur Browse for File (Rechercher un fichier), sélectionnez les fichiers et cliquez sur Open (Ouvrir).
    • Import (Importer) > Import URL (Importer URL) : saisissez l’URL dans le champ Import URL (Importer URL), puis cliquez sur Import (Importer).
  4. Pour chaque fichier, développez Développer le File name (Nom de fichier), examinez le contenu à importer et sélectionnez des résolutions pour tout conflit avec le contenu existant (reportez-vous à la section Résoudre les conflits lors de l’importation de mises à jour).
  5. Si vous souhaitez écraser les affectations existantes de Content Set pour tous les objets importés avec les affectations définies par défaut dans Tanium, sélectionnez l’option Include content set overwrite (Inclure le remplacement du Content Set). La case Include content set overwrite (Inclure le remplacement du Content Set) est désélectionnée par défaut et le Tanium Server conserve les affectations existantes de Content Sets.
  6. Cliquez sur Begin Install (Commencer l’installation).

Copier les détails de configuration du sensor

Copiez les informations de la page Sensors (Sensors) dans votre presse-papiers pour coller les informations dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options puis cliquez sur Copy (Copier) Copier.

Gérer les quarantaines de sensor

Aperçu des mises en quarantaine de sensors

L’application de quarantaines de sensor empêche un sensor de fonctionner sur un endpoint pour la question ou l’action en cours si ce sensor a dépassé le délai d’expiration de la durée d’exécution au cours d’une question ou d’une action précédente. L’application de quarantaine est utile pour limiter l’impact sur les ressources des endpoints, comme l’utilisation du CPU, lorsque les questions et les actions utilisent des sensors excessivement longs. La temporisation non configurable est réglée sur une minute.

Par défaut, les quarantaines ne sont pas appliquées : une fois qu’un sensor dépasse le délai d’expiration et cesse son exécution, le sensor aura un statut de quarantaine, mais continuera de fonctionner pour des questions ou des actions futures jusqu’à ce qu’il soit terminé ou expire. Dans ce cas, le Tanium Client utilise le statut mis en quarantaine juste pour enregistrer que le sensor a expiré.

Que vous activiez l’application, le Tanium Client arrête tout sensor au moment où il dépasse le délai d’attente. Chaque client met les sensors en quarantaine et applique les quarantaines de manière indépendante. Par conséquent, un sensor peut être mis en quarantaine sur certains endpoints et non sur d’autres.

Lorsqu’un Tanium Client met en quarantaine un sensor, la Tanium Console affiche le message suivant dans la grille Question Results (Résultats de la question) : TSE-Error: Sensor evaluation timed out. Lorsque vous émettez une question qui utilise un sensor déjà mis en quarantaine et que l’application est activée, la grille Question Results (Résultats de la question) affiche TSE-Error: The sensor is quarantined. Le Tanium Client ajoute des entrées aux journaux du client et aux journaux d’historique des sensors lorsqu’il met un sensor en quarantaine ou empêche un sensor déjà mis en quarantaine de fonctionner.

Si les sensors temporaires dépassent le délai d’une minute, le Tanium Clientmet en quarantaine le sensor d’origine ainsi que tous les sensors temporaires actuels et futurs qui sont basés sur le sensor d’origine.

Lorsque l’application est activée, les sensors mis en quarantaine ne fonctionnent pas lorsqu’ils sont utilisés pour cibler les endpoints, bien que les sensors soient contenus dans des groupes d’ordinateurs. Cependant, les sensors mis en quarantaine risquent d’occulter le ciblage d’une question qui a une clause from, par exemple from all machines with Is Windows not equals true (pour toutes les machines pour lesquelles la valeur Windows n’est pas égale à zéro). Dans ce cas, les points de terminaison Windows sur lesquels le sensor Is Windows est mis en quarantaine correspondraient à la condition not equals true car leur réponse serait TSE-Error: The sensor is quarantined plutôt que true. Pour éviter de tels résultats, rendez la clause cible aussi précise que possible et n’utilisez pas de conditions de correspondance négatives telles que not equals true.

Afficher les sensors mis en quarantaine

Pour afficher les attributs des sensors mis en quarantaine :

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Quarantined Sensors (Sensors mis en quarantaine).

    La grille Quarantined Sensors (Sensors mis en quarantaine) affiche bon nombre des attributs de sensors qui sont décrits dans le Tableau 1Tableau 1.

  2. (Facultatif) Pour afficher les attributs que la grille masque par défaut, cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes et sélectionnez les attributs.
  3. (Facultatif) Utilisez les filtres pour trouver des sensors spécifiques :
    • Filter by text (Filtrer par texte) : pour filtrer la grille avec les valeurs Name (Nom) ou Description (Description) pour le sensor, saisissez une chaîne de texte dans le champ Filter by Text (Filtrer par texte).
    • Filter by attribute (Filtrer par attribut)Développer : filtrez la grille selon un ou plusieurs attributs, tels que l’attribution du Content Set (Content Set). Développez la section DévelopperFilters (Filtres), cliquez sur Ajouter Row (Ligne) ou sur Ajouter Grouping (Groupement) (pour regrouper par opérateurs booléens), cliquez sur Ajouter Add (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur d’attribut, puis cliquez sur Apply (Appliquer). Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
  4. (Facultatif)  Pour afficher tous les attributs décrits dans le Tableau 1, cliquez sur la valeur Name (Nom) d’un sensor.

Ajouter un sensor à mettre en quarantaine

Vous pouvez mettre en quarantaine manuellement un sensor sur un endpoint si vous anticipez que l’exécution du sensor affectera négativement le point de terminaison.

La mise en quarantaine d’un sensor n’active pas automatiquement l’application de la quarantaine.

  1. Dans le champ d’URL du navigateur que vous utilisez pour accéder à la Tanium Console, saisissez https://<Cloud Tanium Client Edge URLTanium Server>/hash/<sensor>. Pour le <Tanium Server>, saisissez le FQDN ou l’adresse IP du Tanium Server. Le <sensor> doit correspondre au nom de sensor que la Tanium Console affiche en ce qui concerne l’utilisation des majuscules et les espaces.

    Le navigateur affiche la valeur de hachage associée au sensor.

  2. Accédez à la CLI du système d’exploitation sur l’endpoint et modifiez le répertoire (cd) sur le répertoire d’installation de Tanium Client.
  3. Saisissez la commande suivante.

    • Windows : TaniumClient quarantine add <sensor_hash>
    • Non-Windows : ./TaniumClient quarantine add <sensor_hash>

Supprimer les sensors de la quarantaine

Vous pouvez utiliser la Tanium Console pour annuler la mise en quarantaine d’un sensor sur certains ou tous les endpoints si vous avez importé Default Content (anciennement Initial Content - Base), version 7.1.10.0000 ou une version ultérieure (reportez-vous à la section Gestion des solutions Tanium). Après avoir supprimé la mise en quarantaine d’un sensor, le client Tanium lui permet d’exécuter des questions et des actions ultérieures, mais il l’arrête et le met en quarantaine si le délai imparti est dépassé.

Si vous modifiez un sensor, les clients Tanium qui reçoivent sa nouvelle définition annulent automatiquement la mise en quarantaine de ce sensor.

Cloud Tanium Le Tanium Server ne peut pas annuler la mise en quarantaine de sensors sur des endpoints qui sont hors ligne. Si vous savez que certains endpoints ne sont disponibles en ligne qu’ultérieurement, envisagez de programmer une action qui utilise le package Un-Quarantine Sensor (Annuler la mise en quarantaine du sensor) ou Un-Quarantine Sensor (Non-Windows) (Annuler la mise en quarantaine du sensor [non Windows]) (reportez-vous à la section Déployer des actions).

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Quarantined Sensors (Sensors mis en quarantaine).
  2. Sélectionnez les sensors et cliquez sur Unquarantine (Annuler la mise en quarantaine).
  3. Sélectionnez le Action Group (Groupe d’actions) qui inclut les endpoints où vous souhaitez annuler la quarantaine des sensors.
  4. Prévisualisez les endpoints concernés, puis cliquez sur Unquarantine (Annuler la mise en quarantaine).

Activer ou désactiver la politique de mise en œuvre des sensors en quarantaine

Après avoir activé la mise en quarantaine, les Tanium Clients ne répondent pas aux questions qui utilisent des sensors mis en quarantaine et ces sensors ne fonctionnent pas pour des actions. Après avoir désactivé l’application, les clients mettent toujours en quarantaine les sensors et consignent les événements de quarantaine, mais n’empêchent pas ces sensors de fonctionner.

Votre compte d’utilisateur doit avoir un rôle avec la permission d’écrire les Global Settings (Paramètres globaux) pour activer ou désactiver l’application de la quarantaine. Les utilisateurs dotés du rôle réservé Administrator (Administrateur) disposent de cette permission.

La première fois que vous activez l’application, vous devez ajouter le paramètre EnableSensorQuarantine (ActiverQuarantaineSensor) aux paramètres globaux sur le Tanium Server comme suit. Par défaut, l’application est désactivée et le paramètre n’apparaît pas dans la Tanium Console. Après avoir ajouté le paramètre, le Tanium Server l’applique à tous les Tanium Clients.

  1. Accédez à Tanium Console.
  2. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Advanced Settings (Paramètres avancés) et cliquez sur Add Setting (Ajouter un paramètre).
  3. Saisissez les valeurs suivantes et cliquez sur Save (Enregistrer).
    • Setting Type (Type de paramètre) = server (serveur)
    • Platform Setting Name (Nom des paramètres de la plateforme) = EnableSensorQuarantine (ActiverQuarantaineSensor)
    • Value Type (Type de valeur) = Numeric (Numérique)
    • Value (Valeur) = 1

Effectuez les étapes suivantes si vous souhaitez modifier le paramètre d’application après l’avoir ajouté aux paramètres de la plateforme :

  1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Advanced Settings (Paramètres avancés).
  2. Dans la colonne Name (Nom), cliquez sur EnableSensorQuarantine (ActiverQuarantaineSensor), réglez la valeur sur 1 pour activer l’application ou sur 0 pour désactiver l’application, puis cliquez sur Save (Enregistrer).

Si vous souhaitez modifier le paramètre de mise en œuvre dans des Tanium Clients spécifiques et non dans tous les clients, ajoutez ou modifiez le paramètre EnableSensorQuarantine (ActiverQuarantaineSensor) dans la configuration locale de ces clients (reportez-vous à la section Guide d’utilisation pour la gestion du Tanium Client : CLI Tanium Client et paramètres du client).

Exporter les détails de sensors mis en quarantaine

Exportez des informations sur les sensors mis en quarantaine sous forme de fichier CSV pour les afficher dans une application qui prend en charge ce format. Le fichier répertorie les sensors ayant les mêmes attributs (colonnes) lorsque la page Quarantined Sensors (Sensors mis en quarantaine) s’affiche.

Vous pouvez exporter les détails de sensors spécifiques mis en quarantaine si un rôle disposant de la permission Write Sensor (Écrire le sensor) vous a été attribué sur les Content Sets pour ces sensors. Les utilisateurs disposant du rôle réservé Administrator (Administrateur) ou Content Administrator (Administrateur de contenu) peuvent exporter les détails de tous les sensors mis en quarantaine.

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Quarantined Sensors (Sensors mis en quarantaine).
  2. (Facultatif) Pour ajouter ou supprimer des attributs (colonnes) pour le fichier CSV, cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes dans la grille et sélectionnez les attributs.
  3. Sélectionnez des lignes dans la grille pour exporter uniquement des sensors spécifiques. Si vous souhaitez exporter tous les sensors, ignorez cette étape.
  4. Cliquez sur Export (Exporter) Exporter.
  5. (Facultatif) Modifiez le File Name (Nom de fichier) d’exportation par défaut.
  6. Pour inclure les en-têtes des colonnes de la grille dans le fichier CSV, sélectionnez Include headers in export (Inclure les en-têtes dans l’exportation).

    Ignorez l’option Flatten rows (Aplatir les lignes). Elle ne s’applique pas aux sensors mis en quarantaine.

  7. Cliquez sur Export (Exporter).

    Cloud TaniumLe Tanium Server exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à Tanium Console.

Copier les détails de sensors mis en quarantaine

Copiez les informations de la page Quarantined Sensors (Sensors mis en quarantaine) dans votre presse-papiers pour coller les informations dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Quarantined Sensors (Sensors mis en quarantaine).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options puis cliquez sur Copy (Copier) Copier.

Gérer la collecte des résultats de sensors

Le service de données Tanium vous permet d’afficher les résultats de sensors stockés pour les endpoints lorsque vous émettez une question. Après avoir enregistré des sensors pour la collecte, le service émet des questions avec ces sensors sur tous les endpoints gérés et met en cache les résultats. Pour maintenir les résultats à jour, le service réémet les questions toutes les 30 minutes. La grille Question Results (Résultats de la question) d’Interact affiche uniquement les derniers résultats collectés. Pour en savoir plus sur l’affichage des résultats, reportez-vous à la section Afficher les résultats pour les endpoints en ligne et hors ligne.

Lorsque le service de données Tanium émet des questions, elles restent ouvertes (non expirées) sur les endpoints pendant l’ensemble de l’intervalle de réémission de 30 minutes. Par conséquent, les Tanium Clients renvoient les résultats mis à jour au service de données Tanium chaque fois que les valeurs changent pour les sensors enregistrés. Par exemple, si un client renvoie initialement 50 % pour le sensor CPU Consumption (Consommation CPU) et que la consommation augmente par la suite à 75 %, le client renvoie alors 75 %.

Lorsque vous décidez quels sensors enregistrer, pensez au fait que la collecte des résultats consomme des ressources telles que la bande passante du réseau, le traitement sur les endpoints et les ressources sur Cloud Taniuml’espace disque sur le Tanium Server. La consommation de ressources augmente avec la cardinalité des sensors. Par exemple, le sensor IP Address (Adresse IP) produit une chaîne de résultat unique pour chaque endpoint, tandis que le sensor Operating System (OS) (Système d’exploitation) produit la même chaîne pour tous les endpoints qui ont le même système d’exploitation. Dans ce cas, le sensor IP Address (Adresse IP) à cardinalité élevée nécessite un niveau supérieur de bande passante, d’utilisation du CPU et de stockage que le sensor Operating System (Système d’exploitation).

Pour optimiser la consommation des ressources, configurez la collecte uniquement pour les sensors à faible cardinalité qui produisent des résultats fréquemment consultés, comme pour les rapports quotidiens. Par exemple, vous pouvez générer des rapports basés sur les résultats du sensor Applicable Patches (Correctifs applicables), afin d’évaluer la situation d’hygiène ou de sécurité des endpoints en ligne et hors ligne. Inversement, les résultats du sensor High CPU Processes (Processus à forte utilisation du CPU) fluctuent trop pour être fiables pour l’activité d’évaluation sur les endpoints hors ligne.

Pour en savoir plus sur la surveillance de la consommation de ressources associée à la collecte des résultats, reportez-vous à la section Surveiller la consommation des ressources pour la collecte des résultats des sensors.

Cloud Tanium Le Tanium Server enregistre automatiquement certains sensors pour la collecte. Par exemple, Cloud Taniumle serveur enregistre automatiquement les sensors qui identifient des endpoints ou définissent l’appartenance à des groupes de gestion d’ordinateurs. Pour consulter la liste complète, reporte-vous à la section Sensors étant enregistrés par défaut.

Pour connaître les autorisations de rôle d’utilisateur requises pour gérer la collecte de sensors, reportez-vous à la section Permissions du service de données Tanium.

Pour modifier le compte de service que le service de données Tanium utilise pour collecter les résultats des sensors, reportez-vous au Guide d’utilisation de Tanium Interact : Configurer le compte de service.

Afficher les détails d’enregistrement pour la collecte de sensors

Affichez le statut d’enregistrement et d’autres pour de chaque sensor :

  1. Accédez à la page Overview (Vue d’ensemble) d’Interact et cliquez sur Settings (Paramètres) Paramètres.

    Dans l’onglet Registration & Collection (Inscription et collecte), la colonne Status (Statut) contient un statut pour tous les sensors. Les icônes de statut comprennent les éléments suivants :

    StatutDescription
    Le sensor est inscrit et activé pour la collecte.
    Le sensor est inscrit, mais la collecte est désactivée.
    Le sensor est bloqué en raison d’une cardinalité élevée et ne peut pas être inscrit.
    (aucune icône)Le sensor n’est pas inscrit.

    Vous pouvez passer le curseur de la souris sur n’importe quelle icône pour afficher des informations supplémentaires.

    Dans la colonne la plus à droite, la liste déroulante Actions (Actions) contient les opérations disponibles pour chaque sensor : inscription (Add (Ajouter)), annulation de l’inscription (Release (Libérer)), mise en pause de la collecte (Disable (Désactiver)), reprise de la collecte (Enable (Activer)) et purge des résultats (Purge (Purger)). Notez que vous ne pouvez pas annuler l’enregistrement, mettre en pause la collecte ou purger les résultats pour les sensors qui sont répertoriés sous la section Sensors étant enregistrés par défaut.

    Par défaut, la grille des sensors est filtrée pour exclure les sensors masqués. Pour en savoir plus sur les sensors masqués, reportez-vous au paramètre Hide this sensor from sensor lists and parse results (Masquer ce sensor dans les listes de sensors et analyser les résultats) dans le Tableau 1.

  2. (Facultatif) Pour afficher uniquement des sensors spécifiques, cliquez sur pour développer Filters (Filtres) et faites votre sélection parmi les options suivantes :
    • Category (Catégorie) : affichez uniquement les sensors qui sont utilisés dans les questions attribuées aux tableaux de bord contenus dans une catégorie spécifique.
    • Registered (Enregistré) : affichez uniquement les sensors qui sont inscrits et activés pour la collecte (True (Vrai)), ou qui ne sont pas inscrits (False (Faux)) pour la collecte.
    • Show Hidden Sensors (Afficher les sensors masqués) : affichez uniquement les sensors qui sont masqués (True (Vrai)) ou qui ne sont pas masqués (False (Faux)).
    • Has Parameters (Possède des paramètres) : affichez uniquement les sensors paramétrés (True (Vrai)) ou les sensors non paramétrés (False (Faux)).
    • Status (Statut) : affichez uniquement les sensors qui correspondent au statut respectif.

    Pour effacer un filtre, sélectionnez Any (N’importe lequel) dans le champ correspondant.

  3. (Facultatif) Saisissez une chaîne de texte dans le champ Filter Items (Filtrer les éléments) au-dessus de la grille pour la filtrer avec la valeur Name (Nom) ou Category (Catégorie) du sensor.

Enregistrer ou annuler l’enregistrement de sensors pour la collecte

Après avoir enregistré ou annulé l’enregistrement de sensors pour la collecte, le service de données Tanium applique automatiquement les modifications pour la prochaine collecte, lorsqu’il émet des questions pour mettre à jour les résultats des sensors. De plus, après avoir inscrit un sensor pour la collecte, Cloud Taniumle Tanium Server commence immédiatement à collecter les résultats pour le sensor. Les modifications d’enregistrement s’appliquent également si vous Démarrer manuellement la collecte. Vous ne pouvez pas annuler l’enregistrement de sensors qui sont enregistrés par défaut.

Après avoir désinscrit un sensor, le service de données Tanium purge les résultats pour le sensor 30 jours plus tard. Pour purger les résultats plus tôt afin que la page Question Results (Résultats de la question) ne les affiche pas, reportez-vous à la section Purger les résultats pour des sensors spécifiques.

  1. Accédez à la page Overview (Vue d’ensemble) d’Interact et cliquez sur Settings (Paramètres) Paramètres.
  2. (Facultatif) Filtrez l’onglet Registration & Collection (Enregistrement et collecte) pour trouver des sensors spécifiques. Reportez-vous à la section Afficher les détails d’enregistrement pour la collecte de sensors.
  3. Effectuez l’une des actions suivantes :
    • Enregistrer des sensors: sélectionnez Actions (Actions) > Add (Ajouter) pour enregistrer un sensor.

      La page Sensor Preview (Aperçu du sensor) s’ouvre avec un aperçu des résultats tandis que le service de données Tanium vérifie la cardinalité des résultats du sensor. Une fois la cardinalité vérifiée, un message indique si le sensor peut être inscrit ou si le sensor est bloqué en raison d’une cardinalité élevée. Si le sensor peut être inscrit, cliquez sur Confirm (Confirmer), puis sur Yes (Oui) pour confirmer l’inscription.

      Pour chaque sensor paramétré, vous pouvez enregistrer plusieurs instances. Pour chaque instance, spécifiez les paramètres et cliquez sur Apply (Appliquer).

      Pour désactiver le contrôle de cardinalité lors de l’inscription des sensors, configurez le paramètre de plateforme tds_disable_registration_check. Tanium vous recommande de ne pas désactiver le contrôle de cardinalité, car les sensors de cardinalité élevée peuvent avoir un impact négatif sur les performances du serveur.

      Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Platform Settings (Paramètres de la plateforme), cliquez sur Create Setting (Créer un paramètre) et renseignez les champs suivants :
      • Pour Setting Type (Type de paramètre), sélectionnez Server (Serveur).
      • Pour Name (Nom), saisissez tds_disable_registration_check.
      • Pour l’option Value Type (Type de valeur), sélectionnez Numeric (Numérique).
      • Pour le champ Value (Valeur), saisissez 1.
    • Annuler l’enregistrement de sensors : sélectionnez Actions (Actions) > Release (Libérer) pour annuler l’enregistrement d’un sensor.

Mettre en pause ou reprendre la collecte pour les sensors

Lorsque Cloud Taniumle Tanium Server émet des questions pour mettre à jour les résultats des sensors, il exclut tous les sensors mis en pause. Vous pouvez mettre en pause ou reprendre la collecte pour des sensors individuels sans annuler leur enregistrement ou les réenregistrer. Lorsque vous mettez en pause un sensor, la page Question Results (Résultats de la question) d’Interact continue d’afficher les derniers résultats (le cas échéant) que Cloud Taniumle serveur a collectés pour ce sensor avant que vous ne l’ayez mis en pause. Vous ne pouvez pas mettre en pause des sensors qui sont enregistrés par défaut.

  1. Accédez à la page Overview (Vue d’ensemble) d’Interact et cliquez sur Settings (Paramètres) Paramètres.
  2. (Facultatif) Filtrez l’onglet Registration & Collection (Enregistrement et collecte) pour trouver des sensors spécifiques. Reportez-vous à la section Afficher les détails d’enregistrement pour la collecte de sensors.
  3. Sélectionnez Actions (Actions) > Disable (Désactiver) pour mettre en pause la collecte ou Actions (Actions) > Enable (Activer) pour reprendre la collecte pour un sensor.

Après la reprise de la collecte pour un sensor, Cloud Taniumle serveur commence immédiatement à collecter les résultats pour le sensor.

Démarrer manuellement la collecte

Pour maintenir les résultats des sensors à jour, Cloud Taniumle Tanium Server réémet automatiquement les questions sur tous les endpoints et récupère les résultats en continu. Cloud TaniumLe Tanium Server collecte également les résultats immédiatement pour les sensors que vous enregistrez ou pour lesquels vous reprenez la collecte.

  1. Accédez à la page Overview (Vue d’ensemble) d’Interact et cliquez sur Settings (Paramètres) Paramètres.
  2. Dans l’onglet Registration & Collection (Enregistrement et collecte), cliquez sur Collect Now (Collecter maintenant) au-dessus de la grille.

Purger les résultats pour des sensors spécifiques

Vous pouvez purger les résultats pour les sensors sélectionnés dans l’espace de stockage, afin que la page Question Results (Résultats de la question) ne les affiche pas.

Vous ne pouvez pas purger les résultats des sensors qui sont enregistrés par défaut.

Le service de données Tanium supprime automatiquement les résultats pour les endpoints qui ne répondent pas aux questions durant l’intervalle Max Endpoint Age (Âge max. du endpoint). Pour configurer ce processus de récupération de l’espace mémoire, reportez-vous à la section Configurer la suppression des résultats de sensors expirés.

  1. Accédez à la page Overview (Vue d’ensemble) d’Interact et cliquez sur Settings (Paramètres) Paramètres.
  2. (Facultatif) Filtrez l’onglet Registration & Collection (Enregistrement et collecte) pour trouver des sensors spécifiques. Reportez-vous à la section Afficher les détails d’enregistrement pour la collecte de sensors.
  3. Annulez l’enregistrement ou mettez en pause la collecte pour les sensors que vous souhaitez purger :
    • Mettre en pause la collecte : sélectionnez Actions (Actions) > Disable (Désactiver).
    • Annuler l’enregistrement : sélectionnez Actions (Actions) > Release (Libérer).
  4. Pour chaque sensor que vous souhaitez purger, sélectionnez Actions (Actions) > Purge (Purger) et cliquez sur Confirm (Confirmer).

Configurer des paramètres avancés pour la collecte de sensors

Pour collecter les résultats pour les sensors enregistrés, le service de données Tanium émet des questions qui contiennent les sensors. Le service émet un lot de questions à la fois, télécharge les résultats à partir du Tanium Server et écrit les résultats dans la base de données Tanium. Les paramètres de collecte par défaut empêchent les questions de consommer trop de bande passante du réseau et de traitement des endpoints. Les paramètres par défaut empêchent également le service de consommer trop de mémoire du Tanium Server lors du téléchargement et de l’écriture des résultats. Vous pouvez modifier les paramètres au besoin en fonction du nombre de sensors que vous avez enregistrés pour la collecte et des limites de ressources de votre réseau, de vos endpoints et du Tanium Server.

Contactez l’assistance Tanium avant de modifier les paramètres de collecte. Seuls les utilisateurs disposant du rôle réservé Administrator Administrateur peuvent modifier les paramètres.

Pour surveiller ou résoudre les problèmes avec le processus de collecte de sensors, accédez à la page Overview (Vue d’ensemble) d’Interact, cliquez sur Info (Informations) Informations, et affichez les valeurs Data Collection (Collecte de données) dans le graphique Data Service Status (Statut du service de données).

  1. Accédez à la page Overview (Vue d’ensemble) d’Interact et cliquez sur Settings (Paramètres) Paramètres.
  2. Sélectionnez Service Configuration (Configuration du service) et configurez le paramètre suivant dans l’onglet Collection (Collecte) :
    Tableau 2 : Paramètre du processus de collecte de sensors
    ConfigurationDescription
    Max Sensors Per Question (Nombre maximum de sensors par question)Spécifiez le nombre maximal de sensors à une seule colonne dans chaque question que le service de données Tanium émet pour collecter des résultats. Un sensor à une seule colonne renvoie une réponse que la grille Question Results (Résultats de la question) affiche dans une seule colonne. La valeur par défaut est de 30 sensors par question.

    Le service applique une limite non configurable d’un sensor multi-colonnes par question.

Configurer des paramètres avancés pour la collecte de sensors

Pour collecter les résultats pour les sensors enregistrés, le service de données Tanium émet des questions qui contiennent les sensors. Le service émet un lot de questions à la fois, télécharge les résultats à partir du Tanium Server et écrit les résultats dans la base de données Tanium. Les paramètres de collecte par défaut empêchent les questions de consommer trop de bande passante du réseau et de traitement des endpoints. Les paramètres par défaut empêchent également le service de consommer trop de mémoire du Tanium Server lors du téléchargement et de l’écriture des résultats. Vous pouvez modifier les paramètres au besoin en fonction du nombre de sensors que vous avez enregistrés pour la collecte et des limites de ressources de votre réseau, de vos endpoints et du Tanium Server.

Contactez l’assistance Tanium avant de modifier les paramètres de collecte. Seuls les utilisateurs disposant du rôle réservé Administrator Administrateur peuvent modifier les paramètres.

Pour surveiller ou résoudre les problèmes avec le processus de collecte de sensors, accédez à la page Overview (Vue d’ensemble) d’Interact, cliquez sur Info (Informations) Informations, et affichez les valeurs Data Collection (Collecte de données) dans le graphique Data Service Status (Statut du service de données).

  1. Accédez à la page Overview (Vue d’ensemble) d’Interact et cliquez sur Settings (Paramètres) Paramètres.
  2. Sélectionnez Service Configuration (Configuration du service) et configurez les paramètres suivants dans l’onglet Collection (Collecte) :
    Tableau 2 : Paramètres du processus de collecte de sensors
    ConfigurationDescription
    Max Sensors Per Question (Nombre maximum de sensors par question)Spécifiez le nombre maximal de sensors à une seule colonne dans chaque question que le service de données Tanium émet pour collecter des résultats. Un sensor à une seule colonne renvoie une réponse que la grille Question Results (Résultats de la question) affiche dans une seule colonne. La valeur par défaut est de 30 sensors par question.

    Le service applique une limite non configurable d’un sensor multi-colonnes par question.

Configurer la suppression des résultats de sensors expirés

Lorsque le service de données Tanium stocke les résultats, il les mappe à chaque endpoint et évalue leur âge d’expiration par rapport au moment où le endpoint a renvoyé les dernières mises à jour. Cela signifie que si plusieurs endpoints ont renvoyé les mêmes résultats mais à des moments différents, le processus de récupération de l’espace mémoire supprime uniquement les résultats pour les endpoints qui n’ont pas renvoyé de mises à jour durant l’intervalle d’expiration (Max Endpoint Age (Âge max. du endpoint)). Vous pouvez modifier les paramètres de récupération de l’espace mémoire au besoin en fonction du taux de croissance des chaînes de résultats et des ressources disponibles (espace de stockage et mémoire) dans le cadre de votre déploiement. Pour surveiller la croissance des chaînes et déterminer les sensors qui génèrent le plus de chaînes, reportez-vous à la section Surveiller la consommation des ressources pour la collecte des résultats des sensors.

Contactez l’assistance Tanium avant de modifier les paramètres de récupération de l’espace mémoire. Seuls les utilisateurs disposant du rôle réservé Administrator Administrateur peuvent modifier les paramètres.

Pour surveiller ou résoudre les problèmes avec le processus de récupération de l’espace mémoire, accédez à la page Overview (Vue d’ensemble) d’Interact, cliquez sur Info (Informations) Informations, et affichez les valeurs Garbage Collection (Récupération de l’espace mémoire) dans le graphique Data Service Status (Statut du service de données). Par exemple, le graphique affiche une erreur Erreur  pour le processus s’il expire avant que tous les résultats expirés aient été supprimés.

  1. Accédez à la page Overview (Vue d’ensemble) d’Interact et cliquez sur Settings (Paramètres) Paramètres.
  2. Sélectionnez Service Configuration (Configuration du service) > Garbage Collection (Récupération de l’espace mémoire) et configurez les paramètres suivants :
    Tableau 3 : Paramètres de récupération de l’espace mémoire pour les résultats des sensors
    ConfigurationDescription
    Intervalle de récupération de l’espace mémoireSpécifiez la fréquence à laquelle le service de données Tanium vérifie les résultats qui ont expiré et les supprime. Les unités sont les minutes et la valeur par défaut est 15.
    Délai d’expiration de la récupération de l’espace mémoireSpécifiez la durée pendant laquelle le processus de récupération de l’espace mémoire s’exécute avant expiration. Les unités sont les minutes et la valeur par défaut est 30. Lorsque le processus est en cours d’exécution, le service de données Tanium retarde toutes les mises à jour en attente sur les résultats stockés. Assurez-vous de spécifier suffisamment de temps pour pouvoir supprimer tous les résultats expirés sans retarder les mises à jour à un degré qui affecterait considérablement les utilisateurs qui doivent afficher les tout derniers résultats.

    Si le processus de récupération de l’espace mémoire expire avant que tous les résultats expirés aient été supprimés, il reprend la suppression lors du prochain intervalle Garbage Collection (Récupération de l’espace mémoire).

    Âge max. de l’endpointSpécifiez l’âge d’expiration des résultats collectés. Pour chaque endpoint, le service de données Tanium évalue l’âge de ses résultats en fonction du moment où le endpoint a renvoyé les dernières mises à jour pour les sensors. Les unités sont les jours et la valeur par défaut est 30. Le processus de récupération de l’espace mémoire supprime les entrées pour tous les endpoints et leurs résultats associés dans l’espace de stockage, si ces endpoints n’ont pas répondu aux questions de collecte des sensors durant l’intervalle Max Endpoint Age (Âge max. du endpoint).
    Reference Sensor Name (Nom du sensor de référence)Spécifiez le sensor que le service de données Tanium utilise pour identifier les endpoints lors de l’évaluation des résultats qui ont expiré en fonction du paramètre Max Endpoint Age (Âge max. du endpoint). Le sensor par défaut est Computer ID (ID ordinateur). La best practice consiste à utiliser l’un des sensors suivants d’identification de endpoint (EID), car ce sont ceux qui sont mis à jour le plus fréquemment : Computer ID (ID ordinateur), Computer Name (Nom de l’ordinateur) ou Computer Serial Number (Numéro de série de l’ordinateur).
    Âge max. du endpoint pour le groupe d’ordinateursPour chaque groupe d’ordinateurs, vous pouvez spécifier l’âge d’expiration des résultats collectés. Utilisez cette option pour définir des âges d’expiration inférieurs à la valeur spécifiée dans Max Endpoint Age (Âge max. du endpoint). Notez que les valeurs que vous définissez dans Computer Group Max Endpoint Age (Âge max. du endpoint pour le groupe d’ordinateurs) ne remplacent pas la valeur définie dans Max Endpoint Age (Âge max. du endpoint) ; c’est la valeur la plus faible qui déclenche le processus de récupération de l’espace mémoire. Les unités sont les heures.

Dépanner le processus de collecte des sensors

Pour déterminer si la collecte des sensors consomme trop de bande passante du réseau, de traitement sur les endpoints ou de ressources du Cloud TaniumTanium Server, reportez-vous à la section Surveiller la consommation des ressources pour la collecte des résultats des sensors.

Pour résoudre d’autres problèmes de collecte des sensors, reportez-vous aux sections suivantes :

  • Guide de référence du déploiement de Tanium Core Platform : Journaux de service de données Tanium : les journaux indiquent quand le Tanium Server a émis chaque question pour collecter les résultats, ainsi que l’ID de la question et des informations concernant chaque sensor de la question.
  • Historique des questions : sur la page Administration (Administration) > Content (Contenu) > Question History (Historique des questions), utilisez l’ID de la question (Harvesting qid) figurant sur les journaux du service de données Tanium pour trouver les questions spécifiques que le Tanium Server a émises pour collecter les résultats des sensors.

Sensors étant enregistrés par défaut

Certains sensors Tanium Core Platform sont inscrits pour la collecte par défaut, dont les exemples suivants. Après avoir installé Interact, le service de données Tanium commence immédiatement à collecter et à stocker les résultats pour les sensors inscrits. Vous ne pouvez pas annuler l’enregistrement, mettre en pause la collecte ou purger les résultats pour ces sensors.

  • Sensors d’identificateur de endpoint (EID) :
    • ID de l’ordinateur
    • Nom de l’ordinateur
    • Numéro de série de l’ordinateur
  • Sensors qui définissent l’appartenance à des groupes de gestion d’ordinateurs :
    • Type de châssis
    • Nom de l’ordinateur
    • Is AIX (Est AIX)
    • Is Linux (Est Linux)
    • Is Max (Est Mac)
    • Is Solaris (Est Solaris)
    • Is Virtual (Est virtuel)
    • Is Windows (Est Windows)
    • Système d’exploitation
    • Génération de système d’exploitation
    • ID de version du SE Windows
    • Type de SE Windows

Certains modules Tanium incluent des sensors supplémentaires qui sont enregistrés par défaut lorsque vous importez les modules.

Si certains sensors qui définissent l’appartenance à un groupe d’ordinateurs ne sont pas encore disponibles dans le cadre de votre déploiement, vous pouvez les importer via la solution de contenu uniquement intitulée Default Computer Groups. Reportez-vous à la section Gestion des solutions Tanium.