Gérer la croissance de la chaîne du capteur

Les paramètres qui contrôlent la croissance de la chaîne de sensor ne s’appliquent pas dans le cadre d’un déploiement Tanium en tant que service.

Vous pouvez atténuer l’impact des résultats de la question sur l’utilisation de l’espace disque et de la mémoire du serveur Tanium en définissant un âge maximal pour les chaînes de réponse que le serveur stocke pour les sensors individuels.

Le paramètre Max String Age (Âge maximum de la chaîne) ne s’applique pas aux résultats de sensors que le service de données Tanium stocke (reportez-vous à la section Gérer la collecte des résultats de sensors).

pour configurer des sensors afin qu’ils génèrent moins de chaînes uniques et consomment donc moins de mémoire et d’espace disque, reportez-vous à la section Article KB : Meilleures pratiques pour rédiger des sensors.

Le serveur Tanium stocke les chaînes dans le dossier <Tanium_Server>/strings et les charge dans la mémoire (cache de chaînes) lorsqu’il les utilise. Afin d’empêcher le nombre croissant de chaînes de consommer trop d’espace, le serveur efface une partie des chaînes pour tous les sensors lorsque leur nombre total dépasse un seuil par défaut. Cependant, les paramètres de nettoyage de chaînes par défaut ne distinguent pas les sensors et leur probabilité de générer des chaînes uniques et des chaînes utilisées une seule fois. C’est important, car les chaînes uniques consomment plus d’espace et que le nettoyage de chaînes à usage unique a moins d’impact sur le traitement et le trafic du serveur (le serveur Tanium ne doit pas réémettre des questions pour régénérer les chaînes pour une utilisation ultérieure). Par exemple, le sensor Detect Primary Alerts (Détecter les alertes primaires) génère souvent de nombreuses chaînes uniques à usage unique. Pour tenir compte de ces facteurs, le serveur Tanium version 7.3.314.4101 ou ultérieure vous permet d’utiliser Tanium Console pour configurer le nettoyage de chaînes pour chaque sensor en fonction d’un Max String Age (Âge maximum de la chaîne). Le serveur calcule l’âge des chaînes en fonction de la dernière utilisation des chaînes ou de leur réception de la part des clients Tanium. Il ignore les chaînes qui dépassent le seuil maximum.

La procédure suivante explique comment déterminer les sensors qui produisent la plus forte croissance de chaînes et comment définir le paramètre Max String Age (Âge maximum de la chaîne) pour ces sensors. Pour la plupart des sensors nécessitant une limite, la meilleure pratique consiste à utiliser la valeur maximale par défaut de sept jours. Vous devez définir un maximum inférieur uniquement dans de rares cas, notamment pour les sensors qui génèrent des résultats avec des dates ou des heures. La meilleure pratique consiste à éviter d’inclure les dates et les heures dans les résultats de chaînes lors de la rédaction d’un sensor, car il en résulte une croissance inhabituellement importante de chaînes. Cependant, si ces sensors sont nécessaires, vous pouvez définir la valeur maximale sur un jour pour les sensors qui utilisent des dates et sur six heures pour les sensors qui utilisent des heures. Contacter l’assistance Tanium si vous envisagez de définir le paramètre Max String Age (Âge maximum de la chaîne) sur moins de six heures. Les cas exceptionnels sont les seuls qui requièrent de telles limites.

Avant de commencer

Installez le module de contrôle d’intégrité Tanium™ s’il ne l’est pas déjà. Pour plus de détails, reportez-vous à la section Guide d’utilisation du contrôle d’intégrité Tanium : Installation du contrôle d’intégrité.

Configurer le nettoyage des chaînes en fonction de leur âge

Déterminer les sensors qui produisent la plus forte croissance de chaînes

Utilisez le module de contrôle d’intégrité pour déterminer les sensors qui produisent la plus forte croissance de chaînes.

Pour afficher le nombre de chaînes pour chaque sensor dans Tanium Console, accédez au menu principal, sélectionnez Administration (Administration) > Content (Contenu) > Sensors (Sensors) et affichez la colonne String Count (Nombre de chaînes), qui est masquée par défaut.

  1. Dans le menu principal, sélectionnez Shared Services (Services partagés) > Health Check (Contrôle d’intégrité).
  2. Sous Manual Report Generation (Génération manuelle de rapports), cliquez sur Run TPAN Report Now (Exécuter le rapport TPAN maintenant).
  3. Sous Reports (Rapports), cliquez sur le lien HTML pour le rapport complet que vous venez d’exécuter.
  4. En haut du rapport, sélectionnez Environmental Details (Détails environnementaux) > String Details (Détails de la chaîne).
  5. Passez en revue les grilles qui répertorient les sensors principaux par nombre de chaînes et l’utilisation de la mémoire pour déterminer les sensors qui produisent le plus grand nombre de chaînes.
  6. Détails de la chaîne TPAN

Définir l’âge maximum de la chaîne

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensors (Sensors).

    Effectuez les étapes restantes car chaque sensor défini nécessite une limite d’âge de chaînes.

  2. Sélectionnez le sensor et cliquez sur Edit (Modifier).
  3. Activez et définissez le paramètre Max String Age (Âge maximum de la chaîne), puis cliquez sur Save (Enregistrer).

    pour presque tous les sensors, la définition du champ Max String Age (Âge maximum de chaînes) réduira le nombre de chaînes à un niveau gérable et la définition du champ Max Strings (Nombre maximum de chaînes) ne sera pas nécessaire. Contacter l’assistance Tanium avant de régler le champ Max Strings (Nombre maximum de chaînes) dans les cas extrêmes nécessitant une limite du nombre de chaînes pour les sensors individuels.

  4. Au cours des deux prochains jours, répétez les étapes pour exécuter un rapport TPAN et vérifiez que le nombre de chaînes et l’utilisation de la mémoire sont réduits comme prévu pour les sensors dotés de limites de chaînes. Si nécessaire, définissez une valeur inférieure pour le champ Max String Age(Âge maximum de chaînes) pour les sensors qui produisent encore trop de chaînes.