Gestion des seuils de durée d’exécution du sensor

Aperçu des seuils de durée d’exécution du sensor

Le temps qu’un client Tanium prend pour exécuter une question varie grandement, cela en fonction des sensors et du nombre de questions invoquées. Pour vous aider à évaluer l’impact de l’exécution des questions de Tanium sur les ressources du endpoint, vous pouvez personnaliser les seuils de durée d’exécution du sensor déclenchant les icônes d’indicateur dans Tanium Console affiche les icônes d’indicateur basées sur les seuils de durée d’exécution du sensor.

Figure 1 : Indicateurs de durée d’exécution du sensor

Votre compte d’utilisateur nécessite le rôle réservé Administrator (Administrateur) pour afficher et utiliser la page Administration (Administration) > Content (Contenu) > Sensor Thresholds (Seuils de sensor).

Le client Tanium assure le suivi de la durée d’exécution de chaque sensor lorsqu’une question l’exécute, calcule la moyenne de toutes les durées d’exécution passées pour ce sensor, et envoie les informations de durée d’exécution mises à jour au Tanium Server toutes les trois heures. Le Tanium Server calcule la durée moyenne d’exécution sur la base des dernières mises à jour de tous les endpoints qui ont rapporté des durées d’exécution pour le sensor.

Le tableau suivant décrit les icônes de seuil et leurs étiquettes et valeurs par défaut.

Tableau 1 : Icônes de seuil de durée d’exécution de sensor
Icône Seuil Description
Non exécuté Le Tanium Server n’a pas encore reçu d’informations de durée d’exécution de tous les endpoints de ce sensor.

Cette icône s’affiche également pour les sensors intégrés, indépendamment de leur durée d’exécution. Le Tanium Server n’enregistre pas les statistiques de durée d’exécution des sensors intégrés, et ne tient pas compte des sensors lors du calcul des durées d’exécution pour les questions qui les utilisent. Les sensors intégrés sont :

  • Action Statuses (Statuts des actions)
  • Download Statuses (Télécharger les statuts)
  • Nom de l’ordinateur
  • ID de l’ordinateur
  • Manual Group Membership (Appartenance à un groupe statique)
  • Adresse IP
Vérifier Inférieur à seuil donné La durée d’exécution moyenne pour un sensor ne dépasse pas le seuil.
Bas La durée d’exécution moyenne dépasse le seuil Bas mais ne dépasse pas le seuil Moyen. Par défaut, le seuil Bas est de 100 ms. Vous pouvez personnaliser le seuil et l’étiquette.
Durée d’exécution moyenne Moyen La durée d’exécution moyenne dépasse le seuil Moyen mais ne dépasse pas le seuil Haut. Par défaut, le seuil Moyen est de 500 ms. Vous pouvez personnaliser le seuil et l’étiquette.
Durée d’exécution élevée Haut La durée d’exécution moyenne dépasse le seuil Haut qui, par défaut, est de 1 000 ms. Vous pouvez personnaliser le seuil et l’étiquette.

Lors de la visualisation des indicateurs de seuil, prenez note des mises en garde suivantes :

  • Le Tanium Server n’utilise pas de réponses en cache aux questions lors du calcul des durées d’exécution moyennes.
  • Les sensors qui nécessitent un échantillonnage de données sont plus susceptibles de dépasser les seuils de durée d’exécution. Cependant, les durées d’exécution plus longues requises pour l’échantillonnage n’indiquent pas nécessairement une utilisation élevée des ressources lorsque les endpoints exécutent ces sensors. Contactez l’assistance Tanium pour plus de détails. Les sensors concernés incluent :
    • CPU by Process (CPU par processus)
    • CPU Consumption (Consommation CPU)
    • Disk IOPS (IOPS disque)
    • High CPU Consumption (Consommation CPU élevée)
    • High CPU Processes (Processus CPU élevés)
    • Network Throughput Inbound (Débit réseau entrant)
    • Network Throughput Outbound (Débit réseau sortant)
    • SQL Server CPU Consumption (Consommation CPU de SQL Server)
    • Tanium Client CPU (CPU client Tanium)

Avant de commencer

Travaillez avec votre assistance Tanium (consultez la section Contactez l’assistance Tanium) pour déterminer les seuils de durée d’exécution pour lesquels vous pensez qu’ils auront un effet sur les décisions de l’administrateur concernant la manière de poser une question, la fréquence d’exécution et les sensors à inclure dans la question. L’objectif est de planifier des questions d’une manière qui n’interfère pas avec les autres tâches essentielles que les endpoints effectuent.

Définissez des seuils qui reflètent les décisions que les utilisateurs Tanium doivent prendre, en fonction des politiques de gestion des endpoints de votre organisation. Par exemple, les politiques peuvent dicter que les utilisateurs ne doivent jamais exécuter une question qui dépasse 10 secondes pendant les pics de trafic, sur les endpoints exécutant des tâches avec une priorité plus élevée que celle de répondre aux questions.

Configurer les seuils de sensors

La Tanium Console affiche les indicateurs de seuil par défaut. Cependant, vous pouvez modifier les seuils par défaut comme suit.

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Sensor Thresholds (Seuils de sensor).
  2. Indiquez si vous souhaitez que la Tanium Console affiche les seuils uniquement aux utilisateurs Tanium avec des rôles administratifs prédéfinis (Admin) ou à tous les utilisateurs autorisés à voir des questions et des sensors (Admin et utilisateurs).
  3. Définissez la durée d’exécution moyenne (en millisecondes) pour chaque seuil (High (Haut), Medium (Moyen) et Low (Bas)) ou acceptez les valeurs par défaut, puis cliquez sur Save (Enregistrer).

Vérifier les seuils du sensor

Les icônes d’indicateur de seuil apparaissent partout où vous affichez et sélectionnez des sensors dans Tanium Console. Après avoir modifié les valeurs de seuil, vérifiez que le Tanium Server a appliqué vos modifications.

La page Administration (Administration) > Content (Contenu) > Sensors (Sensors) affiche les statistiques de durée d’exécution pour tous les sensors.

  1. Accédez à la page d’accueil Tanium ou à la page Overview (Vue d’ensemble) d’Interact.
  2. Dans le champ Ask a Question (Poser une question), saisissez une question qui utilise un sensor qui devrait avoir une courte durée d’exécution, comme Computer Name (Nom d’ordinateur), et un sensor qui devrait avoir une longue durée d’exécution, comme Running Processes of User (Processus en cours d’exécution de l’utilisateur). Par exemple : Obtenir le nom de l’ordinateur et les correctifs applicables de toutes les machines. Appuyez sur Entrée pour afficher une liste des questions suggérées.
  3. Vérifiez que la liste des questions suggérées affiche les icônes de seuil attendues. Si vous voyez des indicateurs inattendus, examinez les descriptions des icônes et les avertissements décrits dans Aperçu des seuils de durée d’exécution du sensor.
  4. Placez le curseur sur l’icône correspondant à la question suggérée, et vérifiez que la fenêtre contextuelle affiche la durée d’exécution prévue (en millisecondes) et les icônes de seuil attendues pour chaque sensor.