Poser des questions

Lorsque vous utilisez Tanium Interact, vous pouvez poser des questions afin d’extraire des informations depuis les endpoints. Par exemple, vous pouvez poser une question qui détermine si les endpoints sont dépourvus de correctifs de sécurité critiques. En fonction des résultats de la question renvoyés par les endpoints, vous pouvez déployer des actions telles que l’installation de correctifs de sécurité.

Pour en savoir plus sur la manipulation et l’analyse des résultats des questions, reportez-vous à la Gestion des résultats de la question.

Pour en savoir plus sur le déploiement d’actions, reportez-vous à la section Déployer des actions.

Pour connaître les rôles d’utilisateur et les permissions nécessaires pour poser des questions, reportez-vous à la section Permissions du module Tanium Interact.

Qu’est-ce qu’une question ?

Une question Tanium est une requête que vous émettez du TaaSserveur Tanium aux endpoints gérés. Une question dynamique est une question que vous créez et émettez via les fonctionnalités Explore Data (Explorer les données) ou Question Builder dans Interact. Une question enregistrée est un objet de configuration qui vous permet de réémettre une question sans la reconstruire via ces fonctionnalités.

La fonctionnalité Explore Data (Explorer les données) est conçue sur un Parser de langage naturel qui vous permet de démarrer avec des questions en langage naturel plutôt qu’avec un langage de requête spécialisé. Vous n’avez pas besoin de saisir des questions sous forme de phrases complètes ou des questions particulièrement bien formulées. Les formulaires Word ne sont pas sensibles à la casse et peuvent même inclure des fautes d’orthographe. L’analyseur interprète votre entrée et suggère un certain nombre de requêtes valides que vous pouvez utiliser pour formaliser la question envoyée aux clients Tanium. Interact fournit la fonctionnalité Explore Data (Explorer les données) en tant que champ d’entrée de texte en haut de la page Overview (Vue d’ensemble) d’Interact et de la page d’accueil Tanium.

La figure suivante montre un exemple de la manière dont Interact utilise un Parser de langage naturel pour proposer des requêtes valides basées sur l’entrée utilisateur. Tout d’abord, l’utilisateur renseigne le fragment Last logged in user (Dernier utilisateur connecté) et clique sur Search (Rechercher). En réponse, Interact renvoie une liste de requêtes dans une syntaxe valide.

F : Figure 1 :  Analyseur de langage naturel

Les questions ont une clause Get (Récupérer) qui spécifie les informations à récupérer et une clause From (De) spécifiant les critères d’évaluation cibles. Les questions de base sont les suivantes :

  • Un ou plusieurs noms de sensors (comme Last Logged In User (Dernier utilisateur connecté)) dans la clause GET
  • From all machines (Depuis toutes les machines) Tous les endpoints qui hébergent le client Tanium) dans la clause « from »

Les questions avancées comprennent des clauses de filtrage et des capteurs paramétrés.

Pour plus d’informations sur la syntaxe des questions, reportez-vous à la section Référence : exemples de questions et Référence : syntaxe des questions avancées.

Qu’est-ce qu’un sensor ?

Un sensor est un script exécuté sur un endpoint pour calculer une réponse à une question de Tanium. Tanium as a Service (TaaS) Le serveur Tanium distribue les sensors aux endpoints pendant l’inscription de Tanium Client. Les sensors vous permettent de poser des questions qui recueillent des informations telles que :

  • Inventaire et configuration matérielle et logicielle
  • Applications et processus en cours d’exécution
  • Fichiers et répertoires
  • Connexions réseau

TaaS fournit Le processus d’installation du serveur Tanium importe automatiquement le contenu Tanium™ par défaut et les Content Packs Tanium™ Interact qui incluent des sensors pour un large éventail de questions courantes. D’autres solutions Tanium que vous importez peuvent fournir d’autres sensors, selon les Content Packs Tanium ou les modules de solution Tanium que vous importez. Si vous ne trouvez pas le sensor dont vous avez besoin dans le contenu fourni par Tanium, vous pouvez créer des sensors personnalisés.

Pour plus d’informations, reportez-vous à la section Gestion des capteurs (Gestion des sensors).

Questions de comptage et de non-comptage

Une question de comptage renvoie des résultats dans lesquels il est possible d’utiliser la même chaîne de réponse particulière pour plusieurs endpoints. La grille Question Results (Résultats de la question) affiche une colonne Count (Nombre) qui indique le nombre d’endpoints fournis à chaque réponse commune. Une question de comptage ne peut avoir qu’un seul capteur. Get Operating System from all machines (Obtenir le système d’exploitation de toutes les machines) est un exemple de question de comptage, avec un sensor qui renvoie le système d’exploitation des endpoints gérés. Lorsqu’un endpoint ajoute sa réponse au message de réponse, il incrémente le décompte de la réponse à laquelle sa valeur correspond. TaaSLe serveur Tanium maintient un tableau de chaînes de réponse. Dans de nombreux cas, comme le système d’exploitation, beaucoup d’endpoints fournissent quelques réponses courantes, donc la question a une empreinte relativement faible sur TaaSle serveur Tanium.

F : Figure 2 :  Question de comptage

Une question non-counting (non-comptage) a des sensors renvoyant une chaîne de réponse unique à partir de chaque point de terminaison. Par exemple, Get IP Address from all machines (Obtenir l’adresse IP de toutes les machines) renvoie les adresses IP uniques. Pour une question de non-comptage, Tanium Client ajoute une nouvelle chaîne au message de réponse au lieu d’incrémenter le décompte d’une chaîne existante. Ainsi, l’empreinte des données pour une question de non-comptage peut être importante sur TaaSle serveur Tanium.

F : Figure 3 :  Question de non-comptage

Lors de l’utilisation de Question Builder pour créer une question à sensor unique, vous avez la possibilité de convertir une question de comptage en une question de non-comptage pour les cas où une question de comptage renvoie la réponse too many results (trop de résultats).

Questions avec plusieurs sensors

Lorsque vous créez une question, utilisez l’opérateur AND dans la clause get pour spécifier plusieurs sensors. La page Question Results (Résultats de la question) des groupes de pages sont obtenus par le premier sensor, puis par le sensor suivant, etc., comme illustré ci-après.

F : Figure 4 :  Question avec plusieurs capteurs

Questions avec des sensors paramétrés

Un parameterized sensor (sensor paramétré) utilise une valeur que vous spécifiez lorsque vous saisissez la question dans le champ Explore Data (Explorer les données) ou Question Builder. L’exemple suivant montre le sensor Registry Value Data (Données de valeur du registre). Tanium Console vous invite à spécifier un chemin et une valeur de registre.

F : Figure 5 :  Sensor paramétré

Un autre exemple est le sensor High CPU Processes (Processus avec utilisation de ressources CPU élevée). Vous pouvez spécifier un paramètre correspondant au nombre de processus de CPU à retourner depuis chaque machine. Par exemple vous souhaiterez peut-être obtenir les 5 processus utilisant le plus de ressources CPU. La question a la syntaxe suivante :

Get High CPU Process[5] from all machines (Obtenir les processus avec utilisation de ressources CPU élevée de toutes les machines)

Pour les sensors comportant plusieurs paramètres, vous pouvez spécifiez une liste ordonnée, séparée par une virgule. Par exemple, pour voir les 10 premières lignes du journal d’action pour l’action avec ID 1, spécifiez une liste de paramètres comme suit :

Get Tanium Action Log[1,10] from all machines (Obtenir le journal des actions Tanium de toutes les machines)

Pour plus de détails, voir l’Exemple : Sensors paramétrés.

Questions avec des filtres

Vous pouvez utiliser des filtres pour créer des questions qui ciblent moins de endpoints all machines (toutes les machines) par défaut. Par exemple, la question avancée suivante cible uniquement les endpoints ayant un nom ou une valeur spécifique du processus.

F : Figure 6 :  filtre de question

Le côté gauche (clause get) est une requête complète et valide ; le côté droit contient un filtre : l’expression from all machines with (de toutes les machines avec). Les filtres de la clause from constituent la première partie d’une question ayant un processus endpoint. Si les données du endpoint ne correspondent pas au filtre, le endpoint ne traitera pas plus avant la question. Si la question comporte plusieurs filtres, le endpoint évalue chaque filtre. L’expression du filtre sur le côté droit doit effectuer une évaluation par rapport à un opérateur booléen « true » (vrai) ou « false » (faux). Par exemple, l’expression from all machines with Running Processes contains explore (de toutes les machines avec processus en cours d’exécution contient explorer) évalue à vrai si la chaîne spécifiée correspond à la chaîne de résultats, ou à faux dans le cas contraire. Si un filtre évalue à vrai, le endpoint exécute les sensors à gauche de la question et renvoie les résultats.

Un sensor paramétré comme File exists (Fichier existant) [] renvoie le résultat File Exists (Fichier existe) : Filename (Nom du fichier) ou File does not exist (Fichier non existant), vous devez donc faire attention à la manière dont vous entrez le sensor dans une expression de filtre.

F : Figure 7 :  Exemple : questions avec capteur paramétré

L’expression du filtre from all machines with File Exists (de toutes les machines avec fichier existant)["C:\Program Files\PuTTY\putty.exe"] contenant « Exists » (Existe) évalue à vrai lorsque le résultat est File Exists (Fichier existant) : C:\Program Files\PuTTY\putty.exe et faux lorsque le résultat est File does not exist (Le fichier n’existe pas), afin de pouvoir l’utiliser pour filtrer l’ensemble des réponses.

F : Figure 8 :  Exemple : filtre avec capteur paramétré

Les expressions de filtre peuvent correspondre à des chaînes ou des expressions régulières. Le tableau suivant décrit les opérateurs de filtre pris en charge tels qu’ils apparaissent lorsque vous utilisez Question Builder. Le tableau décrit également comment certains opérateurs sont normalisés après les avoir chargés depuis Question Builder ou avoir saisi les expressions dans Explore Data (Explorer les données).

T :  Tableau 9 : opérateurs de filtre
Opérateur de filtre Utilisation
contains (contient) La valeur du capteur contient la chaîne spécifiée.

Exemple : running processes contains "explore" (processus en cours d’exécution contient « explorer »)
does not contain (ne contient pas) La valeur du capteur ne contient pas la chaîne spécifiée.
starts with (commence par) La valeur du capteur commence par la chaîne spécifiée.

Exemple : starts with "explore" (commence par « explorer »)

Lorsque vous chargez la question, l’expression est traduite en une expression régulière utilisant l’opérateur matches (correspond à).

does not start with (ne commence pas par) La valeur du capteur ne commence pas par la chaîne spécifiée.
ends with (se termine par) La valeur du capteur se termine par la chaîne spécifiée.

Exemple : ends with "explore.exe" (se termine par « explore.exe »)

Lorsque vous chargez la question, l’expression est traduite en une expression régulière utilisant l’opérateur matches (correspond à).

does not end with (ne se termine pas par) La valeur du capteur ne se termine pas par la chaîne spécifiée.
matches (correspond à) La valeur du capteur correspond à l’expression régulière spécifiée (dans Booster la syntaxe).
does not match (ne correspond pas à) La valeur du capteur ne correspond pas à l’expression régulière spécifiée.
in (dans) La valeur du capteur correspond à l’une des chaînes spécifiées. Utilisez des virgules sans espace pour séparer les chaînes. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise les opérateurs equals et or à la place de in.

Exemple : le filtre in "10.10.10.10,10.10.10.11" dans Question Builder devient IP Address equals 10.10.10.10 or IP Address equals 10.10.10.11 (Adresse IP égale à 10.10.10.10 ou adresse IP égale à 10.10.10.11) lorsque vous chargez la question.
is equal to (est égal à) La valeur du capteur est égale à la valeur ou à la chaîne spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise l’opérateur equals à la place de is equal to.
is not equal to (nest pas égal à) La valeur du capteur n’est pas égale à la valeur ou à la chaîne spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise l’opérateur not equals à la place de is not equal to.
is less than (est inférieur à) La valeur du capteur est inférieure à la valeur spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise un symbole (<) à la place des mots de l’opérateur.

Exemple : installed application version[chrome] < 12 (version de l’application installée < 12)
is less or equal to (inférieur ou égal à) La valeur du capteur est inférieure ou égale à la chaîne spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise des symboles (<=) à la place des mots de l’opérateur.

Exemple : installed application version[chrome] <= 12 (version de l’application installée = 12)
is greater than (est supérieur à) La valeur du capteur est supérieure à la valeur spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise un symbole (>) à la place des mots de l’opérateur.

Exemple : installed application version[chrome] > 12 (version de l’application installée < 12)
is greater than or equal to (supérieur ou égal à) La valeur du capteur est supérieure ou égale à la chaîne spécifiée. Lorsque vous chargez la question, l’expression affichée dans le champ de la question utilise des symboles (>=) à la place des mots de l’opérateur.

Exemple : installed application version[chrome] >= 12 (version de l’application installée = 12)

Reportez-vous à la section Référence : syntaxe des questions avancées pour des exemples d’expressions de filtrage complexes, incluant des questions pour des sensors sur plusieurs colonnes.

Émettre une question à travers le champ Explore Data (Explorer les données)

Le champ Explore Data (Explorer les données) d’Interact est un champ de saisie de texte que vous pouvez utiliser pour élaborer rapidement des questions dynamiques. Le champ est particulièrement utile lorsque vous souhaitez émettre des questions simples, ou lorsque vous comprenez suffisamment la syntaxe de questions Tanium pour saisir manuellement des questions avancées impliquant des filtres, des expressions régulières ou des opérateurs.

Si vous souhaitez obtenir des conseils en créant des questions, reportez-vous à la section Émettre une question via Question Builder. Pour plus de détails sur la syntaxe des questions, reportez-vous aux sections Référence : exemples de questions et Référence : syntaxe des questions avancées.

  1. Accédez à la page d’accueil Tanium ou à la page Overview (Vue d’ensemble) d’Interact.
  2. Saisissez votre question dans le champ Explore Data (Explorer les données) en haut de la page.

    Interact utilise un analyseur de langage naturel pour interpréter votre saisie. Le texte de la question peut être en anglais naturel et ne nécessite pas de phrases complètes, de sensibilité à la casse ou d’orthographe strictement correcte.

    Sauf si vous spécifiez une clause from (de) dans la question, Interact utilise la valeur par défaut de toutes les machines. Cette valeur par défaut spécifie que tous les endpoints gérés pour lesquels vous avez des droits de gestion des groupes d’ordinateurs répondront à la question.

  3. Cliquez sur Search (Recherche).

    Interact affiche un ensemble de questions proposées dans une syntaxe valide, répertoriées de haut en bas dans la mesure où elles se rapprochent du texte de votre question. Par exemple, si vous avez saisi last logged in user (Dernier utilisateur connecté), la question la plus importante peut être Get Last Logged In User from all machines (Obtenir le dernier utilisateur connecté à partir de toutes les machines).



    Si le texte de votre question comprend un sensor paramétré, Interact indique le nombre de paramètres pour chaque question proposée.

  4. Cliquez sur une question proposée pour la résoudre. Si la question a un sensor paramétré, cliquez sur Expand (Développer) Développer, entrez la valeur de paramètre, puis cliquez sur Ask question (Poser une question) pour poser la question.

    La page des résultats de la question, Question Results s’ouvre pour afficher les réponses des critères d’évaluation.

Pour obtenir des détails et des tâches concernant les résultats de la question, reportez-vous à la Gestion des résultats de la question.

Émettre une question via Question Builder

Le générateur de questions, Question Builder fournit une méthode guidée pour créer une question dynamique. Il contient des champs de formulaire pour vous aider à formuler l’énoncé get et la clause from, ceci incluant les filtres.

F : Figure 10 :  Question Builder

  1. Ouvrez la page Question Builder :
    • Pour créer une nouvelle question, cliquez sur Build Question (Créer une question) à côté du champ Explore Data (Explorer les données) sur la page d’accueil Tanium.
    • Pour affiner une question que vous avez déjà publiée, cliquez sur Copy to Question Builder (Copier vers Question Builder) à côté du champ de question sur la page Question Results (Résultats de la question).
    • Vous pouvez également accéder à la page Question Builder à partir du menu Interact.
  2. Cliquez sur + Add (+ Ajouter) à côté de Get the following data (Obtenir les données suivantes) pour créer la déclaration. Une ligne apparaît avec un champ de texte pour saisir un nom de sensor.
  3. Commencez à taper dans le champ du nom de sensor, utilisez les caractères pour sélectionner un sensor, puis cliquez sur Apply (Appliquer).


    Vous pouvez également cliquer sur Browse all Sensors (Parcourir tous les sensors) sous le champ du nom de sensor pour ouvrir la boîte de dialogue Browse Sensors (Parcourir les sensors) et sélectionnez un sensor. La partie inférieure de la boîte de dialogue affiche la description du sensor.

  4. Pour un capteur qui produit des données sur plusieurs colonnes Question Results (Résultats de la question) vous pouvez ajouter des filtres en fonction des correspondances de données dans les colonnes. Dans Question Builder, cliquez sur Add filter (Ajouter un filtre) sous le champ du sensor pour configurer un filtre. Par défaut, la correspondance de filtre s’applique à une seule colonne, que vous sélectionnez dans la première liste déroulante sous le nom du capteur. Notez que le filtrage à une seule colonne fonctionne uniquement si la définition du capteur spécifie les délimiteurs de colonne avec un caractère unique (par exemple : "|"), et non pas des caractères multiples (comme "|:"). Pour appliquer la correspondance à toutes les colonnes d’un sensor, activez Row Filter (Filtre de ligne).



    Vous pouvez sélectionner des opérateurs correspondants et spécifier des expressions régulières pour correspondre aux chaînes. Pour faire correspondre les sous-chaînes, sélectionnez le champ Substring (Sous-chaîne) et spécifiez une position Start (Départ) (où 0 est la première position) et le nombre de caractères (Length (Longueur)).

  5. (Facultatif) Si vous ajoutez un filtre dans les sections Get the following data (Obtenir les données suivantes) ou from computers with (depuis les ordinateurs avec), vous pouvez cliquer sur Advanced Sensor Options (Options de sensor avancées) sous le filtre pour configurer les paramètres suivants :
    T :  Tableau 11 : Paramètres de sensor avancé
    ParamètresRecommandations
    Sensibilité à la casseChaînes de groupe :
    • Ignore case (Ignorer la casse) : valeurs de résultats de groupe et de comptage, indépendamment des différences dans les caractères majuscules et minuscules.
    • Match case (Tenir compte de la casse) : Valeurs de résultats de groupe et de comptage, avec une attention stricte portée à la casse.
    CorrespondanceCette option est uniquement disponible dans la  section from computers with (depuis les ordinateurs avec).

    Pour certains capteurs, un client Tanium peut calculer plusieurs résultats. Lorsque le capteur est utilisé comme filtre dans la clause from, spécifiez si l’un ou l’ensemble des résultats doit correspondre au filtre :

    • Match Any Value (Faire correspondre n’importe quelle valeur) : toute valeur de la réponse doit correspondre à la valeur spécifiée dans la question.
    • Match All Values (Faire correspondre toutes les valeurs) : toutes les valeurs de la réponse doivent correspondre à la valeur spécifiée dans la question.

    Par exemple, en réponse au capteur IP Address (Adresse IP), il est possible qu’un client Tanium retourne à la fois une adresse IPv6 et une adresse IPv6. Une question basée sur le capteur IP Address contenant 192.168, par exemple, peut correspondre à l’adresse IPv4 mais pas à l’adresse IPv6. Dans ce cas, vous voulez probablement faire correspondre l’option Match Any Value (Faire correspondre n’importe quelle valeur).

    Traiter les données en tant queInteract traité les valeurs de sensor comme le type de données que vous spécifiez :
    TypeExemples
    Date/Heure (BES)Vendredi, 29 janvier 2021 13:14:39 -0500
    Date/Heure (WMI)20210129131439.999999-500
    Taille de fichier8 192 Ko
    1-100 Mo
    125 Mo
    34 Go
    Entier-100

    64428
    100000000
    Adresse IP10.70.144.52
    fe80::8c22:fed6:7720:3c96
    Numérique-100.77
    0,25

    3.1415926534
    10.20.30.40
    512:17472:192.168.2.187_512:0:98.30.236.25
    1.0e-10
    Texte(peut être toute chaîne valide)
    Durée42 minutes
    8 heures
    Moins de 1 jour
    2 semaines
    36 jours
    2 ans, 3 mois, 18 jours, 4 heures, 22 minutes et 3,67 secondes
    Version7.4.4.1250
    Âge maximum des données Durée maximale pendant laquelle le client Tanium peut utiliser un résultat mis en cache pour répondre à une question. Par exemple, l’âge maximum des données pour le capteur File Size (Taille de fichier) est de 15 minutes par défaut. Lorsqu’une question posée à un client Tanium exécute le capteur File Size (Taille de fichier), le client met en cache le résultat. Au cours des 15 prochaines minutes, si une question posée au client Tanium inclut le capteur File Size, le client répond avec la réponse mise en cache. Après 15 minutes, si une question posée au client Tanium inclut le capteur File Size, le client exécute de nouveau le script du capteur pour calculer une nouvelle réponse.

    Utilisez des âges plus courts pour les capteurs qui restituent des valeurs changeant fréquemment, comme les capteurs de statut et d’utilisation. Utilisez des âges plus longs pour des valeurs qui changent généralement rarement, comme le type de châssis ou l’appartenance au domaine Active Directory.

  6. Pour créer la clause from, cliquez sur l’un des boutons suivants sous from computers with (depuis les ordinateurs avec), puis cliquez sur Apply (Appliquer) :
    • + Add (+ Ajouter) : ajoutez une ou plusieurs conditions auxquelles les critères d’évaluation doivent correspondre. Vous pouvez baser la correspondance (Select Attribute (Sélectionner un attribut)) sur Sensor (Sensor) ou Computer Group (Groupe d’ordinateurs) (management groupe de gestion ou groupe de filtrage).
    • + Grouping (+ Groupement) : Sélectionnez cette option pour lier un opérateur booléen, puis utilisez + Add (+ Ajouter) pour construire l’expression imbriquée.

    Vous pouvez configurer plusieurs filtres, y compris des filtres imbriqués. Par exemple, pour enquêter sur les navigateurs Web installés sur les ordinateurs, vous pouvez sélectionner des opérateurs booléens AND (ET) ou OR (OU) dans la clause from pour cibler les navigateurs modernes.

  7. Cliquez sur Advanced Question Options (Options de question avancée) et activez Force Computer ID (Forcer l’ID d’ordinateur) si vous voulez convertir une question de comptage à un seul sensor en une question de non-comptage en forçant les Tanium Clients à inclure l’ID d’ordinateur dans leurs réponses. Notez que la page Question Results (Résultats de la question) n’inclut pas les résultats d’ID d’ordinateur lorsque vous sélectionnez cette option. La conversion en une question sans comptage est une solution de contournement qui résout les cas où une question de comptage renvoie la réponse too many results (trop de résultats). Pour plus de détails, voir l’article de la base de connaissances Erreurs de dépannage/Messages d’information (message Trop de résultats).
  8. Cliquez sur Ask question (Poser une question) pour poser une question.

    La page des résultats de la question, Question Results s’ouvre pour afficher les réponses des critères d’évaluation.

Pour obtenir des détails et des tâches concernant les résultats de la question, reportez-vous à la Gestion des résultats de la question.

Expiration des questions

Lors de l’émission d’une question dynamique ou enregistrée, TaaSle serveur Tanium attribue un ID de question à la question. L’ID de question apparaît dans le champ URL de votre navigateur Web. Par exemple, dans l’URL https://10.20.30.40/#/interact/q/376, l’ID de la question est 376.

L’ID de question expire au bout de 10 minutes, et l’URL correspondante n’est plus valide. Cela signifie que vous pouvez actualiser la page ou partager le lien uniquement pendant cette période de 10 minutes.

Après 10 minutes, si vous naviguez vers l’URL, Interact affiche un message Question Expired (Question expirée) et vous donne la possibilité de copier le texte de la question dans le champ de la question afin que vous puissiez la réémettre.

Historique des questions

Utilisez la page Question History (Historique des questions) pour réémettre manuellement des questions ou afficher une chronologie des questions émises, ainsi que leur syntaxe et d’autres détails (tels que l’émetteur et l’horodatage d’expiration). Par défaut, la page Question History (Historique des questions) affiche les questions qui ont été émises au cours des dernières 24 heures. Vous pouvez modifier la plage de dates pour afficher plus d’entrées, ou appliquer des filtres pour limiter les entrées qui apparaissent. Par défaut, le serveur Tanium conserve une entrée pour une question dans la chronologie pendant sept jours.

Par défaut, les dates et heures d’expiration (Expiration) des questions sont basées sur Local Time (Heure locale) du système que vous utilisez pour accéder à Tanium Console, mais vous pouvez passer à l’heure UTC.

Les utilisateurs doivent disposer d’un rôle avec la permission Read Question History (Lire l’historique des questions) pour afficher la page Question History (Historique des questions). Cependant, cette permission ne permet pas de charger une question de la page Question History (Historique des questions). Les utilisateurs disposant du rôle réservé Administrateur peuvent voir la page Question History (Historique des questions) et charger une question depuis la page.

Réémettre une question

Pour réémettre une question, sélectionnez la question dans la grille et cliquez sur Load (Charger). Tanium Console affiche les résultats sur la page Question Results (Résultats de la question).

Exporter l’historique des questions

Exportez les informations de la grille Question History (Historique des questions) sous forme de fichier CSV pour afficher les informations dans une application prenant en charge ce format. Si vous disposez du rôle réservé Administrateur, vous pouvez également exporter les informations en tant que fichier JSON.

  1. Dans le menu principal, allez dans Administration (Administration) > Content (Contenu) > Question History (Historique des questions)Administration (Administration) > Management (Gestion) > Question History (Historique des questions).
  2. Sélectionnez des lignes dans la grille pour exporter des informations pour des spécifiques. Si vous souhaitez exporter des informations pour toutes les questions, ignorez cette étape.
  3. Cliquez sur Export (Exporter) Export.
  4. (Facultatif) Modifiez le File Name (Nom de fichier) d’exportation par défaut.

    Le suffixe du fichier (.csv ou .json) change automatiquement en fonction de la sélection du format.

  5. Sélectionnez une option Export Data (Exporter les données) : exporter les informations pour All (Toutes) les questions de la grille ou uniquement pour les questions Selected (Sélectionnées).
  6. Sélectionnez le format du fichier : CSV (par défaut) ou JSON (rôle Administrateur réservé uniquement).
  7. Cliquez sur Export (Exporter).

    TaaSLe serveur Tanium exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à la Tanium Console.

Copier les détails de l’historique des questions

Copiez les détails de l’historique des questions dans votre presse-papiers pour les coller dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, allez dans Administration (Administration) > Content (Contenu) > Question History (Historique des questions)Administration (Administration) > Management (Gestion) > Question History (Historique des questions).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options, puis cliquez sur Copy (Copier) Copier.

Questions enregistrées

Après avoir émis une question dynamique, vous pouvez cliquer sur Save (Enregistrer) au-dessus du champ de question pour enregistrer la syntaxe de la question comme objet de configuration avec les paramètres associés. Vous pouvez alors réémettre la question sans avoir à l’élaborer de nouveau dans le champ Explore Data (Explorer les données) ou dans le Question Builder (Question Builder). Tanium en tant que service (TaaS) fournit Les Content Packs Tanium que vous importez fournissent des questions enregistrées prédéfinies. Vous pouvez émettre des questions enregistrées manuellement ou selon un calendrier configurable. Vous pouvez également émettre des questions enregistrées via des modules Tanium ou des applications personnalisées qui utilisent Tanium XML API. Pour plus de détails, reportez-vous à la section Gestion des questions enregistrées.