Poser des questions et rechercher des endpoints

Utilisez Tanium Interact pour poser des questions et extraire des informations depuis les endpoints. Par exemple, vous pouvez poser une question qui détermine si les endpoints sont dépourvus de correctifs de sécurité critiques. En fonction des résultats de la question renvoyés par les points de terminaison, vous pouvez déployer des actions telles que l’installation de correctifs de sécurité. Vous pouvez également utiliser la fonctionnalité Search Endpoints (Rechercher des endpoints) d’Interact pour récupérer rapidement beaucoup d’informations sur un seul endpoint au lieu de construire une longue question avec de nombreux sensors.

Pour en savoir plus sur la manipulation et l’analyse des résultats des questions, reportez-vous à la Gestion des résultats de la question.

Pour en savoir plus sur le déploiement d’actions, reportez-vous à la section Déployer des actions.

Pour connaître les rôles d’utilisateur et les permissions nécessaires pour poser des questions, reportez-vous à la section Permissions du module Tanium Interact.

Qu’est-ce qu’une question ?

Une question Tanium est une requête que vous émettez du Cloud TaniumTanium Server aux endpoints gérés. Une question dynamique est une question que vous créez et émettez via Ask a Question (Poser une question) ou Question Builder (Générateur de questions) dans Interact. Une question enregistrée est un objet de configuration qui vous permet de réémettre une question sans la reconstruire via ces fonctionnalités.

La fonctionnalité Ask a Question (Poser une question) est conçue sur un analyseur de langage naturel qui vous permet de démarrer avec des questions en langage naturel plutôt qu’avec un langage de requête spécialisé. Vous n’avez pas besoin de saisir des questions sous forme de phrases complètes ou des questions particulièrement bien formulées. Les formulaires Word ne sont pas sensibles à la casse et peuvent même inclure des fautes d’orthographe. L’analyseur interprète votre entrée et suggère un certain nombre de requêtes valides que vous pouvez utiliser pour formaliser la question envoyée aux Tanium Clients. Interact fournit la fonctionnalité Ask a Question (Poser une question) sous forme de champ en haut de la page Overview (Vue d’ensemble) d’Interact et de la page Home (Accueil) de Tanium. Pour obtenir plus de détails, reportez-vous à la section Émettre une question via le champ Ask a Question (Poser une question).

La figure suivante montre un exemple de la manière dont Interact utilise un Parser de langage naturel pour proposer des requêtes valides basées sur l’entrée utilisateur. Tout d’abord, l’utilisateur renseigne le fragment Last logged (Dernière connexion)Last logged in user (Dernier utilisateur connecté) et clique sur Search (Rechercher). En réponse, Interact renvoie une liste de requêtes dans une syntaxe valide.

Figure 1 : Analyseur de langage naturel

Les questions ont une clause Get (Récupérer) qui spécifie les informations à récupérer et une clause From (De) spécifiant les critères d’évaluation cibles. Les questions de base sont les suivantes :

  • Un ou plusieurs noms de sensors (comme Last Logged In User (Dernier utilisateur connecté)) dans la clause GET
  • From all machines (Depuis toutes les machines) (tous les endpoints qui hébergent le Tanium Client) dans la clause « from »

Les questions avancées comprennent les mots ou caractères réservés (tels que correspondance ou $), les expressions régulières, les clauses de filtre, l’opérateur en ou des options avancées.

Pour plus d’informations sur la syntaxe des questions, reportez-vous à la section Référence : syntaxe des questions avancées.

Qu’est-ce qu’un sensor ?

Un sensor est un script exécuté sur un endpoint pour calculer une réponse à une question de Tanium.Cloud Tanium Le Tanium Server distribue les sensors aux endpoints pendant l’enregistrement du Tanium Client. Les sensors vous permettent de poser des questions qui recueillent des informations telles que :

  • Inventaire et configuration matérielle et logicielle
  • Applications et processus en cours d’exécution
  • Fichiers et répertoires
  • Connexions réseau

Cloud Tanium fournit Le Tanium Server importe automatiquement le contenu initial qui inclut des sensors pour un large éventail de questions courantes (reportez-vous au ). D’autres solutions Tanium que vous importez peuvent fournir plus de sensors. Si vous ne trouvez pas le sensor dont vous avez besoin dans le contenu fourni par Tanium, vous pouvez créer des sensors personnalisés.

Pour plus d’informations, reportez-vous à la section Gestion des sensors (Gestion des sensors).

Questions de comptage et de non-comptage

Une question de comptage renvoie des résultats dans lesquels il est possible d’utiliser la même chaîne de réponse particulière pour plusieurs endpoints. La grille Question Results (Résultats de la question) affiche une colonne Count (Nombre) qui indique le nombre d’endpoints fournis à chaque réponse commune. Une question de comptage ne peut avoir qu’un seul sensor. Get Operating System from all machines (Obtenir le système d’exploitation de toutes les machines) est un exemple de question de comptage, avec un sensor qui renvoie le système d’exploitation des endpoints gérés. Lorsqu’un endpoint ajoute sa réponse au message de réponse, il incrémente le décompte de la réponse à laquelle sa valeur correspond. Cloud TaniumLe Tanium Server maintient un tableau de chaînes de réponse. Dans de nombreux cas, comme le système d’exploitation, beaucoup d’endpoints fournissent quelques réponses courantes, donc la question a une empreinte relativement faible sur Cloud Taniumle Tanium Server.

Figure 2 : Question de comptage

Une question non-counting (non-comptage) a des sensors renvoyant une chaîne de réponse unique à partir de chaque point de terminaison. Par exemple, Get Computer ID from all machines (Obtenir l’ID de l’ordinateur de toutes les machines) renvoie des réponses uniques. Pour une question de non-comptage, Tanium Client ajoute une nouvelle chaîne au message de réponse au lieu d’incrémenter le décompte d’une chaîne existante. Ainsi, l’empreinte des données pour une question de non-comptage peut être importante sur Cloud Taniumle Tanium Server.

Figure 3 : Question de non-comptage

Si la colonne Count (Nombre) n’apparaît pas dans la grille Question Results (Résultats de la question), cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes dans la barre d’outils de la grille et cochez la case Count (Nombre) pour afficher la colonne. Pour obtenir plus d’informations sur la gestion de la grille Question Results (Résultats de la question), reportez-vous à la section Gérer l’apparence de la grille des résultats.

Lors de l’utilisation du Question Builder pour créer une question à sensor unique, vous avez la possibilité de convertir une question de comptage en une question de non-comptage pour les cas où une question de comptage renvoie la réponse [too many results].

Questions avec plusieurs sensors

Lorsque vous créez une question, utilisez l’opérateur AND dans la clause get pour spécifier plusieurs sensors. La page Question Results (Résultats de la question) des groupes de pages sont obtenus par le premier sensor, puis par le sensor suivant, etc., comme illustré ci-après.

Figure 4 : Question avec plusieurs sensors

Questions avec des sensors paramétrés

Un parameterized sensor (sensor paramétré) utilise une valeur que vous spécifiez lorsque vous saisissez la question dans le champ Ask a Question (Poser une question) ou dans le Question Builder. L’exemple suivant montre le sensor Registry Value Data (Données de valeur du registre). Tanium Console vous invite à spécifier un chemin et une valeur de registre.

Figure 5 : Sensor paramétré

Un autre exemple est le sensor High CPU Processes (Processus avec utilisation de ressources CPU élevée). Vous pouvez spécifier un paramètre correspondant au nombre de processus de CPU à retourner depuis chaque machine. Par exemple vous souhaiterez peut-être obtenir les 5 processus utilisant le plus de ressources CPU. La question a la syntaxe suivante :

Get High CPU Process[5] from all machines (Obtenir les processus avec utilisation de ressources CPU élevée de toutes les machines)

Pour les sensors comportant plusieurs paramètres, vous pouvez spécifiez une liste ordonnée, séparée par une virgule. Par exemple, pour voir les 10 premières lignes du journal d’action pour l’action avec ID 1, spécifiez une liste de paramètres comme suit :

Get Tanium Action Log[1,10] from all machines (Obtenir le journal des actions Tanium de toutes les machines)

Pour obtenir plus de détails, reportez-vous à la section Exemple : sensors paramétrés.

Questions avec des filtres

Vous pouvez utiliser des filtres pour créer des questions qui ciblent moins d’endpoints all machines (toutes les machines) par défaut. Par exemple, la question avancée suivante cible uniquement les endpoints ayant un nom ou une valeur spécifique du processus.

Figure 6 : filtre de question

Le côté gauche (clause get) est une requête complète et valide ; le côté droit contient un filtre : l’expression from all machines with (de toutes les machines avec). Les filtres de la clause from constituent la première partie d’une question ayant un processus endpoint. Si les données de l’endpoint ne correspondent pas au filtre, l’endpoint ne traitera pas plus avant la question. Si la question comporte plusieurs filtres, l’endpoint évalue chaque filtre. L’expression du filtre sur le côté droit doit effectuer une évaluation par rapport à un opérateur booléen « true » (vrai) ou « false » (faux). Par exemple, l’expression from all machines with Running Processes (local) explore (de toutes les machines avec processus en cours d’exécution contient explorer) évalue à vrai si la chaîne spécifiée correspond à la chaîne de résultats, ou à faux dans le cas contraire. Si un filtre évalue à vrai, l’endpoint exécute les sensors à gauche de la question et renvoie les résultats.

Un sensor paramétré comme File exists (Fichier existant) [] renvoie le résultat File Exists (Fichier existe) : Filename (Nom du fichier) ou File does not exist (Fichier non existant), vous devez donc faire attention à la manière dont vous entrez le sensor dans une expression de filtre.

Figure 7 : Exemple : questions avec sensor paramétré

L’expression du filtre from all machines with File Exists (de toutes les machines avec fichier existant)["C:\Program Files\PuTTY\putty.exe"] contient « Exists » (Existe) évalue la valeur « vrai » lorsque le résultat est File Exists (Fichier existant) : C:\Program Files\PuTTY\putty.exe et faux lorsque le résultat est File does not exist (Le fichier n’existe pas), afin de pouvoir l’utiliser pour filtrer l’ensemble des réponses.

Figure 8 : Exemple : filtre avec sensor paramétré

Les expressions de filtre peuvent correspondre à des chaînes ou des expressions régulières. Le tableau suivant décrit les opérateurs de filtre pris en charge tels qu’ils apparaissent lorsque vous utilisez Question Builder. Le tableau décrit également comment certains opérateurs sont normalisés après les avoir chargés depuis le Question Builder ou avoir saisi les expressions dans le champ Ask a Question (Poser une question).

Tableau 1 : Opérateurs de filtre
Opérateur de filtre Utilisation
contains La valeur du sensor contient la chaîne spécifiée.

Exemple : running processes contains "explore" (processus en cours d’exécution contient « explorer »)
does not contain La valeur du sensor ne contient pas la chaîne spécifiée.
starts with La valeur du sensor commence par la chaîne spécifiée.

Exemple : starts with "explore" (commence par « explorer »)

Lorsque vous chargez la question, l’expression est traduite en une expression régulière utilisant l’opérateur matches (correspond à).

does not start with La valeur du sensor ne commence pas par la chaîne spécifiée.
ends with La valeur du sensor se termine par la chaîne spécifiée.

Exemple : ends with "explore.exe" (se termine par « explore.exe »)

Lorsque vous chargez la question, l’expression est traduite en une expression régulière utilisant l’opérateur matches (correspond à).

does not end with La valeur du sensor ne se termine pas par la chaîne spécifiée.
matches La valeur du sensor correspond à l’expression régulière spécifiée (dans Booster la syntaxe).
does not match La valeur du sensor ne correspond pas à l’expression régulière spécifiée.
in La valeur du sensor correspond à l’une des chaînes spécifiées. Utilisez des virgules sans espace pour séparer les chaînes. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise les opérateurs equals et or à la place de in.

Exemple : le filtre in "10.10.10.10,10.10.10.11" dans Question Builder devient IP Address equals 10.10.10.10 or IP Address equals 10.10.10.11 (Adresse IP égale à 10.10.10.10 ou adresse IP égale à 10.10.10.11) lorsque vous chargez la question.
is equal to La valeur du sensor est égale à la valeur ou à la chaîne spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise l’opérateur equals à la place de is equal to.
is not equal to La valeur du sensor n’est pas égale à la valeur ou à la chaîne spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise l’opérateur not equals à la place de is not equal to.
is less than La valeur du sensor est inférieure à la valeur spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise un symbole (<) à la place des mots de l’opérateur.

Exemple : installed application version[chrome] < 12 (version de l’application installée < 12)
is less than or equal to La valeur du sensor est inférieure ou égale à la chaîne spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise des symboles (<=) à la place des mots de l’opérateur.

Exemple : installed application version[chrome] <= 12 (version de l’application installée = 12)
is greater than La valeur du sensor est supérieure à la valeur spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise un symbole (>) à la place des mots de l’opérateur.

Exemple : installed application version[chrome] > 12 (version de l’application installée < 12)
is greater than or equal to La valeur du sensor est supérieure ou égale à la chaîne spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise des symboles (>=) à la place des mots de l’opérateur.

Exemple : installed application version[chrome] >= 12 (version de l’application installée = 12)

Pour plus de détails sur les options de filtrage avancées, reportez-vous à la section Référence : syntaxe des questions avancées.

Émettre une question via le champ Ask a Question (Poser une question)

Utilisez le champ Ask a Question (Poser une question) d’Interact pour élaborer rapidement des questions dynamiques. Le champ est particulièrement utile lorsque vous souhaitez émettre des questions simples, ou lorsque vous comprenez suffisamment la syntaxe de questions Tanium pour saisir manuellement des questions avancées impliquant des filtres, des expressions régulières ou des opérateurs.

Si vous souhaitez obtenir des conseils en créant des questions, reportez-vous à la section Émettre une question via Question Builder. Pour plus de détails sur la syntaxe des questions, y compris sur la façon de gérer les mots et les caractères réservés dans le texte de la question ou les noms des sensors, reportez-vous à la section Référence : syntaxe des questions avancées.

  1. Accédez à la page d’accueil Tanium ou à la page Overview (Vue d’ensemble) d’Interact.
  2. Dans le champ Ask a Question (Poser une question), saisissez votre question et appuyez sur Enter (Entrée), ou déplacez simplement votre curseur sur le champ pour ouvrir une liste déroulante à partir de laquelle vous pourrez sélectionner une question récemment posée. Notez les options et comportements suivants pour le champ :
    • Interact utilise un analyseur de langage naturel pour interpréter votre saisie. Le texte de la question peut être en anglais naturel et ne nécessite pas de phrases complètes, de sensibilité à la casse ou d’orthographe strictement correcte.
    • Sauf si vous spécifiez une clause from (de) dans la question, Interact utilise la valeur par défaut de toutes les machines. Cette valeur par défaut spécifie que tous les endpoints gérés qui sont membres de groupes d’ordinateurs attribués à votre compte utilisateur répondent à la question.
    • Pour les nouveaux utilisateurs, la liste déroulante contient une liste de questions courantes. Lorsque vous revenez au champ Ask a Question (Poser une question) pour les questions suivantes, la liste déroulante affiche vos questions les plus récentes.
    • Développez Développer une question dans la liste déroulante pour afficher les détails de cette question, notamment la durée d’exécution moyenne sur les endpoints et les sensors qui sont utilisés.
    • Lorsque vous saisissez une question, la liste déroulante affiche un ensemble de questions proposées dans une syntaxe valide, répertoriées dans l’ordre dans lequel elles se rapprochent du texte de votre question. Si les questions proposées ne correspondent pas à votre saisie, ajoutez des guillemets autour des noms de sensors (reportez-vous à la section Utiliser des mots ou caractères réservés). Sinon, vous pouvez aussi cliquer sur More ways to explore data (Plus de façons d’explorer les données) dans la liste déroulante pour ouvrir le Question Builder, lequel montre comment formater correctement le texte de la question.
    • Si votre question n’apparaît pas dans la liste déroulante, sélectionnez l’option Use enhanced search for (Utiliser la recherche améliorée pour). L’analyseur de langage naturel examine ensuite le texte de la question et affiche des questions supplémentaires.



    • Si le texte de votre question comprend un sensor paramétré, Interact vous soumet une invite pour les paramètres.

    3. Après avoir appuyé sur Enter (Entrée) ou sélectionné une question dans la liste déroulante, la page Question Results (Résultats de la question) s’ouvre pour afficher les réponses des endpoints.

Pour des exemples de questions que vous pouvez saisir dans le champ Ask a Question (Poser une question), reportez-vous à la section Référence : exemples de questions.

Pour obtenir des détails et des tâches concernant les résultats de la question, reportez-vous à la Gestion des résultats de la question.

Émettre une question via Question Builder

Le générateur de questions, Question Builder fournit une méthode guidée pour créer une question dynamique. Il contient des champs de formulaire pour vous aider à formuler l’énoncé get et la clause from, ceci incluant les filtres.

Figure 9 : Question Builder

  1. Ouvrez la page Question Builder :
    • Pour créer une nouvelle question, cliquez sur Build Question (Créer une question) à côté du champ Ask a Question (Poser une question) sur la page Home (Accueil) de Tanium.
    • Pour affiner une question que vous avez déjà publiée, cliquez sur Copy to Question Builder (Copier vers Question Builder) à côté du champ de question sur la page Question Results (Résultats de la question).
    • Vous pouvez également accéder à la page du Question Builder à partir du menu Interact et via l’option More ways to explore data (Plus de façons d’explorer les données) dans le champ Ask a Question (Poser une question).
  2. Cliquez sur + Add (+ Ajouter) à côté de Get the following data (Obtenir les données suivantes) pour créer la déclaration. Une ligne apparaît avec un champ de texte pour saisir un nom de sensor.
  3. Commencez à taper dans le champ du nom de sensor, utilisez les caractères pour sélectionner un sensor, puis cliquez sur Apply (Appliquer).


    Vous pouvez également cliquer sur Browse all Sensors (Parcourir tous les sensors) sous le champ du nom de sensor pour ouvrir la boîte de dialogue Browse Sensors (Parcourir les sensors) et sélectionnez un sensor. La partie inférieure de la boîte de dialogue affiche la description du sensor.

  4. Pour un sensor qui produit des données sur plusieurs colonnes Question Results (Résultats de la question) vous pouvez ajouter des filtres en fonction des correspondances de données dans les colonnes. Dans Question Builder, cliquez sur Add filter (Ajouter un filtre) sous le champ du sensor pour configurer un filtre. Par défaut, la correspondance de filtre s’applique à une seule colonne, que vous sélectionnez dans la première liste déroulante sous le nom de sensor. Notez que le filtrage à une seule colonne fonctionne uniquement si la définition du sensor spécifie les délimiteurs de colonne avec un caractère unique (par exemple : "|"), et non pas des caractères multiples (comme "|:"). Pour appliquer la correspondance à toutes les colonnes d’un sensor, activez Row Filter (Filtre de ligne).



    Vous pouvez sélectionner des opérateurs correspondants et spécifier des expressions régulières pour correspondre aux chaînes. Pour faire correspondre les sous-chaînes, sélectionnez le champ Substring (Sous-chaîne) et spécifiez une position Start (Départ) (où 0 est la première position) et le nombre de caractères (Length (Longueur)).

  5. (Facultatif) Si vous ajoutez un filtre dans les sections Get the following data (Obtenir les données suivantes) ou from computers with (depuis les ordinateurs avec), vous pouvez cliquer sur Advanced Sensor Options (Options de sensor avancées) sous le filtre pour configurer les paramètres suivants. Reportez-vous à la section Référence : options de sensor avancées.
  6. Pour créer la clause from, cliquez sur l’un des boutons suivants sous from computers with (depuis les ordinateurs avec), puis cliquez sur Apply (Appliquer) :
    • + Add (+ Ajouter) : ajoutez une ou plusieurs conditions auxquelles les critères d’évaluation doivent correspondre. Vous pouvez baser la correspondance (Select Attribute (Sélectionner un attribut)) sur Sensor (Sensor) ou Computer Group (Groupe d’ordinateurs) (management groupe de gestion ou groupe de filtrage).
    • + Grouping (+ Groupement) : sélectionnez cette option pour lier un opérateur booléen, puis utilisez + Add (+ Ajouter) pour construire l’expression imbriquée.

    Vous pouvez configurer plusieurs filtres, y compris des filtres imbriqués. Par exemple, pour enquêter sur les navigateurs Web installés sur les ordinateurs, vous pouvez sélectionner des opérateurs booléens AND (ET) ou OR (OU) dans la clause from pour cibler les navigateurs modernes.

  7. Cliquez sur Advanced Question Options (Options de question avancée) et activez Force Computer ID (Forcer l’ID d’ordinateur) si vous voulez convertir une question de comptage à un seul sensor en une question de non-comptage en forçant les Tanium Clients à inclure l’ID d’ordinateur dans leurs réponses. Notez que la page Question Results (Résultats de la question) n’inclut pas les résultats d’ID d’ordinateur lorsque vous sélectionnez cette option. La conversion en une question sans comptage est une solution de contournement qui résout les cas où une question de comptage renvoie la réponse too many results (trop de résultats). Pour obtenir plus de détails, reportez-vous à la section Activer ou désactiver les mises à jour en direct.
  8. Cliquez sur Ask question (Poser une question) pour poser une question.

    La page Question Results (Résultats de la question) s’ouvre pour afficher les réponses des endpoints.

Pour obtenir des détails et des tâches concernant les résultats de la question, reportez-vous à la Gestion des résultats de la question.

Rechercher des endpoints

Utilisez le champ Search Endpoints (Rechercher des endpoints) d’Interact pour afficher des informations complètes sur un endpoint unique comme alternative à l’émission d’une question longue et complexe. Interact récupère et affiche rapidement les informations pour la fonctionnalité Search Endpoints (Rechercher des endpoints), même pour les endpoints qui sont actuellement hors ligne, car la plupart des sensors qui collectent les informations sont enregistrés par défaut avec le Tanium Data Service.

Les permissions requises pour utiliser le champ Search Endpoints (Rechercher des endpoints) sont disponibles pour le rôle réservé Administrator (Administrateur) et pour les rôles Interact Power User (Utilisateur Interact avancé), Interact Basic User (Utilisateur Interact de base) et Interact Read-Only User (Utilisateur Interact en lecture seule).

Le champ Search Endpoints (Rechercher des endpoints) requiert Interact 2.13 ou une version ultérieure et Reporting 1.9 ou une version ultérieure.

Le champ Search Endpoints (Rechercher des endpoints) fournit deux niveaux d’informations :

  • Informations de base : cela inclut les résultats des sensors suivants : Computer Name (Nom de l’ordinateur), IP Address (Adresse IP) du Tanium Client, OS Platform (Plateforme du système d’exploitation), Last Logged in User (Dernier utilisateur connecté) et le statut Online (En ligne) (en ligne En ligne ou hors ligne Hors ligne).

  • Informations détaillées : vous pouvez ouvrir une page qui affiche un affichage d’endpoint unique avec des détails complets provenant de dizaines de sensors. Outre les informations de base, les informations détaillées comprennent des données concernant le système d’exploitation de l’endpoint, le matériel, l’utilisateur principal, la version du Tanium Client, les processeurs, les applications installées, les disques logiques, les cartes réseau et les disques physiques. Si l’endpoint est en ligne, vous pouvez lui déployer une action à partir de la page d’affichage de l’endpoint.

Vous pouvez également accéder à ces informations via la page Question Results (Résultats de la question). Reportez-vous à la section Afficher les détails d’un endpoint unique.

  1. Accédez à la page Home (Accueil) de Tanium et cliquez sur Search Endpoints (Rechercher des endpoints).
  2. Affichez les informations de base concernant un endpoint en saisissant son nom d’ordinateur, son adresse IP du Tanium Client ou le nom de son dernier utilisateur connecté sans appuyer sur Enter (Entrée).

    Saisissez une chaîne partielle pour afficher les informations de base concernant plusieurs endpoints. Par exemple, si vous saisissez 10.20.21, une liste déroulante affiche des informations concernant tous les endpoints dont l’adresse IP contient ces chiffres.Rechercher des endpoints

  3. Cliquez sur le Computer Name (Nom de l’ordinateur) pour ouvrir un affichage d’endpoint unique avec des informations détaillées.

  4. Cliquez sur les onglets pour naviguer entre les catégories de détails.

    Si certains détails sont manquants, reportez-vous au Guide d’utilisation de Tanium Reporting : champs vides lors de l’affichage d’un endpoint unique.

  5. (Facultatif) Déployez une action sur l’endpoint en sélectionnant une option Deploy Action (Déployer une action) :

    • Action prédéfinie, comme Reboot (Redémarrer) ou Quarantine (Mise en quarantaine)

    • All Actions (Toutes les actions), pour configurer une action personnalisée (reportez-vous à la section Déployer des actions)

    Le déploiement d’action est activé uniquement pour les endpoints Online (En ligne) En ligne.

Expiration des questions

Lorsque Cloud Taniumle Tanium Server émet une question dynamique ou une question enregistrée, elle reste ouverte (non expirée) pendant 10 minutes sur les Tanium Clients ciblés. Une fois qu’un client renvoie des valeurs pour les sensors dans la question, si les valeurs changent alors que la question est ouverte, ce client renvoie les valeurs mises à jour. Par exemple, si un client renvoie initialement 50 % pour une question avec le sensor CPU Consumption (Consommation CPU) et que la consommation augmente par la suite à 75 % dans l’intervalle de 10 minutes, le client renvoie alors 75 %. Les clients vérifient toutes les 10 secondes pour déterminer si les valeurs des sensors ont changé.

Lorsqu’une question est ouverte, les Tanium Clients évaluent l’âge des résultats pour chaque sensor afin de déterminer s’il faut renvoyer les résultats mis en cache ou réexécuter les sensors pour obtenir des résultats actualisés lorsqu’ils répondent à des questions ultérieures qui utilisent les mêmes sensors. Reportez-vous à la section Âge maximum des données.

L’intervalle d’expiration est de 30 minutes pour les questions que le service de données Tanium émet pour collecter des données pour les sensors enregistrés. Reportez-vous au Gérer la collecte des résultats des sensors.

Pour chaque question, Cloud Taniumle Tanium Server attribue un identificateur (ID) qui apparaît dans le champ d’URL de votre navigateur lorsque la page Question Results (Résultats de la question) s’ouvre. Par exemple, dans l’URL https://10.20.30.40/#/interact/q/376, l’ID de la question est 376. La question et son identificateur expirent 10 minutes après l’émission de la question, après quoi l’URL n’est plus valide. Cela signifie que vous pouvez actualiser la page ou partager un lien vers son URL uniquement pendant cette période de 10 minutes. Si vous accédez à l’URL après 10 minutes, Interact affiche un message Question Expired (Question expirée) et un bouton Copy Question (Copier la question). Cliquez sur le bouton pour réémettre la question.

Historique des questions

Utilisez la page Question History (Historique des questions) pour réémettre manuellement des questions ou afficher une chronologie des questions émises, ainsi que leur syntaxe et d’autres détails (tels que l’émetteur et l’horodatage d’expiration). Par défaut, la page Question History (Historique des questions) affiche les questions qui ont été émises au cours des dernières 24 heures. Vous pouvez modifier la plage de dates pour afficher plus d’entrées, ou appliquer des filtres pour limiter les entrées qui apparaissent.

Par défaut, les dates et heures d’expiration (Expiration) des questions sont basées sur Local Time (Heure locale) du système que vous utilisez pour accéder à Tanium Console, mais vous pouvez passer à l’heure UTC.

Les utilisateurs doivent disposer d’un rôle avec la permission de lire Question History (Historique des questions) pour afficher la page Question History (Historique des questions). Pour les permissions requises pour charger les questions de la page, reportez-vous à Question History (Historique des questions).

Réémettre une question

Pour réémettre une question, sélectionnez la question dans la grille et cliquez sur Load (Charger). Tanium Console affiche les résultats sur la page Question Results (Résultats de la question).

Exporter l’historique des questions

Exportez les informations de la grille Question History (Historique des questions) sous forme de fichier CSV pour afficher les informations dans une application prenant en charge ce format. Si vous disposez du rôle réservé Administrator (Administrateur), vous pouvez également exporter les informations en tant que fichier JSON.

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Question History (Historique des questions).
  2. Sélectionnez des lignes dans la grille pour exporter des informations pour des spécifiques. Si vous souhaitez exporter des informations pour toutes les questions, ignorez cette étape.
  3. Cliquez sur Export (Exporter) Exporter.
  4. (Facultatif) Modifiez le File Name (Nom de fichier) d’exportation par défaut.

    Le suffixe du fichier (.csv ou .json) change automatiquement en fonction de la sélection du format.

  5. Sélectionnez une option Export Data (Exporter les données) : exporter les informations pour All (Toutes) les questions de la grille ou uniquement pour les questions Selected (Sélectionnées).
  6. Sélectionnez le format du fichier : CSV (CSV) (par défaut) ou JSON (JSON) (rôle Administrator (Administrateur) réservé uniquement).
  7. Cliquez sur Export (Exporter).

    Cloud TaniumLe Tanium Server exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à Tanium Console.

Copier les détails de l’historique des questions

Copiez les détails de l’historique des questions dans votre presse-papiers pour les coller dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Question History (Historique des questions).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options puis cliquez sur Copy (Copier) Copier.

Questions enregistrées

Après avoir émis une question dynamique, vous pouvez cliquer sur Save (Enregistrer) au-dessus du champ de question pour enregistrer la syntaxe de la question comme objet de configuration avec les paramètres associés. Vous pouvez alors réémettre la question sans avoir à l’élaborer de nouveau dans le champ Ask a Question (Poser une question) ou dans le Question Builder (Question Builder). Cloud Tanium fournitLes solutions Tanium fournissent des questions enregistrées prédéfinies. Vous pouvez émettre des questions enregistrées manuellement ou selon un calendrier configurable. Vous pouvez également émettre des questions enregistrées via des modules Tanium ou des applications personnalisées qui utilisent Tanium XML API. Pour plus de détails, reportez-vous à la section Gestion des questions enregistrées.