Dépannage

Tanium en tant que service est un service auto-contrôlé, conçu pour détecter les défaillances avant qu’elles n’apparaissent pour les utilisateurs. Pour plus d’informations, voir Guide de déploiement de Tanium en tant que service : Dépannage de Tanium en tant que service.

Utilisez les procédures, paramètres et journaux suivants pour résoudre les problèmes liés à la console Tanium et au module Tanium Interact. Pour plus d’informations sur le dépannage, reportez-vous à la section Base de connaissances sur l’assistance Tanium : Console Tanium.

Conseils de dépannage de base

Gérer le service du serveur Tanium.

Les étapes de vérification du statut et du redémarrage du service Tanium Server varient selon la plate-forme :

Afficher et copier le journal des erreurs de la console

La console Tanium maintient un journal des erreurs sur l’ordinateur hôte local de votre navigateur Web. Inclut des détails sur les 100 dernières erreurs qui ont été renvoyées à la console en réponse aux actions que vous avez effectuées via le navigateur. Par exemple, le journal enregistre les erreurs associées à la tentative d’enregistrement d’une configuration ou d’importation d’un fichier de contenu. La console conserve un journal distinct pour chaque navigateur que vous utilisez.

  1. Allez au menu principal et cliquez sur le sélecteur à côté du nom d’utilisateur connecté et sélectionnez Local Error Log (Journal des erreurs locales).
  2. (Facultatif) Développez une entrée de journal et cliquez sur Copy (Copier) Copier pour copier les détails du journal dans le presse-papiers.

Collecter les journaux Interact

Pour collecter et envoyer des informations à l’assistance Tanium à des fins de dépannage Tanium Interact, collectez les journaux ainsi que d’autres informations pertinentes de la manière suivante. Les informations sont enregistrées sous forme de fichier zip que vous pouvez télécharger à l’aide de votre navigateur.

  1. Sur la page Overview (Vue d’ensemble) d’Interact, cliquez sur Help (Aide) .
  2. Dans la section Troubleshooting (Dépannage), cliquez sur Download Support Package (Télécharger le package d’assistance).
    Un fichier tanium-interact-support-<date-time>.zip est téléchargé dans le répertoire de téléchargement local.
  3. Attachez le fichier zip à votre formulaire de cas d’assistance Tanium, ou envoyez-le à votre assistance Tanium.

Résoudre les problèmes de connectivité du Tanium Client

La page Client Status (Statut du client) affiche des informations sur l’état de l’inscription et de la connectivité de Tanium client, et vous permet de déployer des actions pour résoudre les problèmes.

Pour voir la page Client Status (Statut du client) et filtrer sa grille, vous avez besoin d’un rôle avec la permission Read Client Status (Lire le statut du client)Read System Status (Lire le statut du système). Les utilisateurs dotés du rôle réservé AdminAdministrateur disposent de cette permission.

Afficher le statut de l’inscription et de la communication de Tanium client

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Client Status (Statut du client)Administration (Administration) > Management (Gestion) > Client Status (Statut du client).
  2. (Facultatif) Pour afficher les détails de statut uniquement pour des Tanium clients spécifiques, modifiez les paramètres de filtre par défaut, tels que les intervalles d’inscription et le statut de connexion.


Le tableau suivant répertorie les informations que la page Client Status (Statut du client) affiche pour chaque Tanium client :

T :  Tableau 1 : Colonnes Statut du client
Colonne Description
Nom d’hôte Nom d’hôte du endpoint.
Emplacement du réseau (depuis le client) Adresse IP du client renvoyée d’un sensor sur le client.
Emplacement du réseau (depuis le serveur) Adresse IP du client enregistrée sur le serveur Tanium ou le zone Server lors de la dernière inscription.
Direction Un cercle représente le client et les flèches représentent ses connexions. Pour une liste des états de connexion possibles, voir le T :  Tableau 2.
Clé valide No (Non) indique un problème avec la clé publique que le Tanium client utilise pour sécuriser la communication avec d’autres composants de la Tanium Core Platform. Pour résoudre le problème, réinstallez le Tanium client (voir le Guide d’utilisation de Tanium Client ManagementDéploiement du Tanium client) ou redéployez la clé (voir Télécharger les fichiers de configuration de l’infrastructure (clés).
État d'envoi
  • Normal (Normal) : le client envoie des données à ses peers en amont et en aval.
  • None (Aucune) : le client n’envoie aucune donnée à ses peers en aval ou en amont.
  • Forward Only (Envoi en aval uniquement) : le client envoie des données à son peer en aval et non à son peer en amont.
  • Backward Only (Envoi en amont uniquement) : le client envoie des données à son peer en amont et non à son peer en aval.
État de réception
  • Normal (Normal) : le client reçoit des données de ses peers en amont et en aval.
  • None (Aucune) : le client ne reçoit aucune donnée de ses peers en aval ou en amont.
  • Next Only (Suivant uniquement) : le client reçoit des données de son peer en aval et non de son peer en amont.
  • Previous Only (Précédent uniquement) : le client reçoit des données de son peer en amont et non de son peer en aval.
Statut
  • Normal (Normal) : Le client communique normalement.
  • Slow Link (Liaison lente) : le client a des connexions avec un débit anormalement lent.
  • Leader (Leader) : le client communique avec le serveur Tanium ou le zone Server parce qu’il s’agit d’un leader amont, d’un leader aval, d’un leader de voisinage ou d’un client sans peer connections (comme un client dans un sous-réseau isolé).
  • Blocked (Bloqué) : le client ne communique pas de manière fiable.
Dernière inscription Date et heure de la dernière inscription du Tanium client que le serveur Tanium ou la zone Server.
Version du protocole (masquée par défaut) Version du protocole Tanium. Pour plus d’informations sur le protocole, voir Communication TLS.
Version Version du client Tanium.

La colonne Direction (Direction) affiche des icônes qui utilisent les conventions suivantes pour représenter les états de connexion du Tanium client :

  • Une flèche vers le haut indique une connexion avec TaaS le serveur Tanium ou le zone Server.
  • Les flèches latérales pointant à l’opposé du client indiquent des connexions sortantes vers des peers.
  • Les flèches latérales pointant vers le client indiquent des connexions entrantes des peers.
  • Les flèches latérales sur le côté droit des clients indiquent l’état des connexions avec les peers en aval.
  • Les flèches latérales sur le côté gauche des clients indiquent l’état des connexions avec les peers en amont.
  • Les flèches latérales avec des lignes pointillées indiquent des connexions lentes.

Vous pouvez utiliser la colonne Direction (Direction) pour comprendre pourquoi un Tanium client est un leader et pour identifier les problèmes de connexion. Le tableau suivant répertorie les états de connexion possibles :

T :  Tableau 2 : États de peer connection du Tanium client
Attribut Valeur Description
Organisateur En amont

Leader amont

Le client est un leader amont qui termine une extrémité d’une chaîne linéaire. Il a généralement l’adresse IP la plus basse dans sa chaîne linéaire.
En aval

Leader aval

Le client est un leader aval qui termine une extrémité d’une chaîne linéaire. Il a généralement l’adresse IP la plus haute dans sa chaîne linéaire.
Voisinage

Organisateur

Un client est désigné comme leader de voisinage car sa chaîne linéaire a atteint le nombre maximum de clients.
Isolé

Aucun peering

Le client est un leader isolé qui se connecte uniquement au TaaS, au serveur Tanium ou à la zone Server, et n’a aucune connexion avec d’autres clients. Le client peut être isolé parce que son adresse IP se trouve dans la plage d’un sous-réseau isolé ou parce qu’il n’a aucun peer dans son sous-réseau local auquel se connecter.
Voisin Aucune flèche latérale

Aucun peering

Ceci est la même chose qu’un leader isolé.
Flèche à un seul côté

entrant uniquement ou sortant uniquement

Le client dispose d’une liste de voisinage de peers mais n’a pas établi de peer connection. Cet état résulte généralement d’une configuration incorrecte, par exemple lorsqu’un pare-feu basé sur l’hôte sur le endpoint n’autorise pas les connexions entrantes au client.
Flèches à double côté

connexions entrantes et sortantes

Le client dispose d’une liste de voisinage des peers et s’est connecté avec des peers dans la direction indiquée.
État du client Normal

connexions entrantes et sortantes

Le client communique normalement.
Bloqué

bloqué

Le client ne communique pas de manière fiable. Cela peut résulter d’un problème de réseau ou de ressource hôte, tel qu’un programme antivirus qui ralentit le client.

Exporter les détails du statut de Tanium client

Exportez les informations de la page Client Status (Statut du client) sous forme de fichier CSV ou, si vous avez le rôle réservé AdminAdministrateur, sous forme de fichier JSON.

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Client Status (Statut du client)Administration (Administration) > Management (Gestion) > Client Status (Statut du client).
  2. Sélectionnez des lignes dans la grille pour exporter des informations pour des Tanium clients spécifiques. Si vous souhaitez exporter des informations pour tous les clients, ignorez cette étape.
  3. Cliquez sur Export (Exporter) Export.
  4. (Facultatif) Modifiez le nom de fichier d’exportation par défaut.

    Le suffixe du fichier (.csv ou .json) change automatiquement en fonction de la sélection du format.

  5. Sélectionnez une option Export Data (Exporter les données) : informations pour All (Tous) les clients dans la grille ou uniquement pour les clients Selected (Sélectionnés).
  6. Sélectionnez le format du fichier : JSON (rôle réservé AdminAdministrateur uniquement) ou CSV.
  7. Cliquez sur Export (Exporter).

    TaaSLe serveur Tanium exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à la Tanium Console.

Copier les détails du statut de Tanium client

Copiez les informations de la page Client Status (Statut du client) dans votre presse-papiers pour coller les informations dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Client Status (Statut du client)Administration (Administration) > Management (Gestion) > Client Status (Statut du client).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options, puis cliquez sur Copy (Copier) Copier.

Déployer des actions pour remédier aux problèmes d’inscription ou de connectivité du client

Vous pouvez déployer des actions sur les Tanium clients pour résoudre les problèmes que vous observez sur la page Client Status (Statut du client). Par exemple, si vous souhaitez que certains clients s’inscrivent auprès d’un Tanium Zone Server au lieu du serveur Tanium, vous pouvez déployer le package Set Tanium Server Name List (Définir la liste des noms de serveurs Tanium) pour modifier le paramètre ServerNameList sur ces clients.

  1. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Client Status (Statut du client).
  2. Sélectionnez les Tanium clients sur lesquels vous souhaitez déployer des actions et cliquez sur Deploy Action (Déployer une action).
  3. Déployez l’action.
  4. Examinez la grille Client Status (Statut du client) pour vérifier que l’action a produit le résultat attendu.

Configurer des niveaux de Log du serveur

L’assistance Tanium peut vous demander de modifier les niveaux de verbosité des journaux pour le serveur Tanium et le serveur de module Tanium en cas de problèmes de dépannage.

Vous devez disposer du rôle réservé Administrateur pour pouvoir afficher et utiliser la page Logging (Journalisation)Log Level (Niveau de log).

  1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Common (Commune) > Log Level (Niveau de log).
  2. Définissez les niveaux de journalisation et cliquez sur Save (Enregistrer).

    Les valeurs décimales suivantes constituent les meilleures pratiques pour des cas d’utilisation spécifiques.

    • 0 : Journalisation désactivée.
    • 1 : Niveau de log normal.
    • 41 : Valeur conforme aux meilleures pratiques lors d’un dépannage.
    • 91 ou supérieur : Niveau de log le plus détaillé. Activer pour de courtes périodes uniquement.

Afficher les plug-ins et les calendriers des plug-ins

Un plug-in est une extension d’un composant de Tanium Core Platform, d’un module ou d’un service partagé. Un plug-in planifié est un processus dont l’exécution est définie à un intervalle spécifié. Les opérations de plugin sont généralement transparentes pour les utilisateurs. Cependant l’assistance Tanium peut vous demander de passer en revue les détails des plug-ins lors du dépannage d’un comportement inattendu.

Seuls les utilisateurs disposant du rôle réservé Administrateur peuvent accéder aux pages Configuration (Configuration) pour afficher les informations sur les plug-ins.

Pour afficher les détails relatifs aux plug-ins installés, dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Common (Commune) > Plugins (Plug-ins).

Pour afficher les détails relatifs aux plug-ins planifiés, dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Common (Commune) > Plugin Schedules (Planification de plug-ins).

Pour examiner l’historique des exécutions de plug-ins, reportez-vous aux logs module-history<#>.txt dans le dossier <Module_Server>/Logs sur le serveur du module Tanium.

Afficher l’utilisation du référentiel de fichier de package

Par défaut, le serveur Tanium stocke les fichiers de package qu’il télécharge sur les Tanium Clients dans le dossier <Tanium Server>\Downloads. L’assistance Tanium peut vous demander de surveiller l’utilisation de ce référentiel lors du dépannage des problèmes de téléchargement.

Seuls les utilisateurs disposant du rôle réservé Administrateur peuvent afficher et utiliser la page Package File Repository (Référentiel de fichier de package).

Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Tanium Server (Serveur Tanium) > Package File Repository (Référentiel de fichier de package) et passez en revue les informations.


Surveiller la consommation des ressources pour la collecte des résultats des sensors

Le service de données Tanium collecte et stocke les résultats de tous les sensors qui sont enregistrés pour la collecte, afin que les utilisateurs puissent voir ces résultats pour les endpoints hors ligne lors de l’émission de questions. La collecte des sensors consomme des ressources telles que la bande passante du réseau, le traitement sur les endpoints et l’espace disque sur le serveur Tanium. La consommation de ressources augmente avec la cardinalité des sensors. Par exemple, le sensor IP Address (Adresse IP) produit une chaîne de résultat unique pour chaque endpoint interrogé, tandis que le sensor Operating System (OS) (Système d’exploitation) produit la même chaîne pour tous les endpoints qui ont le même système d’exploitation. Dans ce cas, le sensor IP Address (Adresse IP) à cardinalité élevée nécessite un niveau supérieur de bande passante, d’utilisation du CPU et de stockage. Interact fournit des graphiques qui vous permettent de visualiser les valeurs de consommation des ressources liées à la collecte des résultats.

Pour obtenir plus de détails et les procédures relatives à la collecte des résultats de sensors, reportez-vous à la section Gérer la collecte des résultats de sensors.

  1. Accédez à la page Overview (Vue d’ensemble) d’Interact et cliquez sur Info (Informations) Informations.
  2. Passez en revue les graphiques suivants :
    • Harvest Metrics (Valeurs de collecte) : Ces graphiques affichent les valeurs relatives au nombre de lignes de base de données qui sont traitées lorsque les résultats des questions sont collectés pour les sensors enregistrés. Ces graphiques s’affichent uniquement lorsque l’option Continuous Harvest (Collecte continue) est sélectionnée. Pour en savoir plus, reportez-vous à la section Configurer des paramètres avancés pour la collecte de sensors.
    • Data Service Status (Statut du service de données) : Ce graphique affiche les valeurs relatives aux processus de collecte de sensors lorsque l’option Continuous Harvest (Récolte continue) est désélectionnée. Par défaut, le service de données Tanium exécute le processus Data Collection (Collecte de données) toutes les heures afin de collecter les résultats pour les sensors enregistrés, et il exécute le processus Garbage Collection (Récupération de l’espace mémoire) toutes les 15 minutes afin de supprimer les chaînes de résultats expirées. Le graphique utilise les icônes suivantes. Passez le curseur au-dessus d’une icône pour afficher les détails relatifs à une instance de processus spécifique.
      • Succès : le processus s’est terminé avec succès
      • Actualiser : le processus est actuellement en cours d’exécution
      • Erreur  : le processus contient des erreurs
      • Futur : le processus est en attente
    • Data Service Sensor Metrics (Valeurs des sensors du service de données) : Utilisez ces graphiques pour déterminer si des sensors spécifiques génèrent des chaînes de résultat qui consomment trop d’espace de stockage.
    • Data Service Database Metrics (Valeurs de la base de données du service de données) : Ces graphiques fournissent des indicateurs concernant l’utilisation de l’espace disque pour le service de données Tanium. Les graphiques Database Key Size (Taille des clés de la base de données) et Database Value Size (Taille des valeurs de la base de données) indiquent l’utilisation en octets.
    • Data Service Resource Consumption Metrics (Valeurs de consommation de ressources du service de données) : Utilisez ces graphiques pour déterminer la consommation des ressources pour le service de données Tanium.

Si vous déterminez que la collecte de sensors consomme trop de ressources, envisagez les solutions suivantes :

Afficher la page d’informations

L’assistance Tanium peut vous demander de passer en revue les paramètres ou les compteurs affichés sur la page Info (Informations).

  1. Ouvrez un navigateur et accédez à https://<FQDN>/info.
  2. Lorsque vous y êtes invité, spécifiez les informations d’identification pour un utilisateur auquel est attribué le rôle réservé Administrateur.





Contacter l’assistance Tanium

L’assistance Tanium est votre premier contact pour vous aider à préparer et à effectuer une installation ou une mise à niveau, ainsi que pour vérifier et dépanner le déploiement initial. Si vous avez besoin d’une assistance supplémentaire de la part de l’assistance Tanium, assurez-vous d’inclure les informations de version pour les composants de Tanium Core Platform et des détails spécifiques sur les dépendances, tels que les détails du matériel et du système d’exploitation du système hôte et la version du serveur de base de données. Vous pouvez également envoyer à l’assistance Tanium un regroupement de journaux et d’autres informations sous forme de fichier ZIP : reportez-vous à la section Collecter les journaux Interact.

Pour contacter l’assistance Tanium pour obtenir de l’aide, connectez-vous à https://support.tanium.com.