Configurer la gestion des logs

Les logs émis par l'agent en cas de blocage ou d'audit peuvent être transmis vers trois destinations distinctes selon leur niveau de gravité. Ces paramètres sont définis globalement dans la page de configuration des groupes d'agents. Pour plus d'informations, reportez-vous à la section Configurer la transmission des logs émis par les agents

De plus, pour chaque règle de sécurité que vous créez, vous pouvez spécifier :

  • Le niveau de gravité du log émis en cas de blocage ou d'audit,
  • La destination vers laquelle est transmis le log émis en cas de blocage ou d'audit.

NOTE
Dans tous les cas, même si aucune destination n'est configurée pour des logs donnés, ils seront présents dans le détail de contexte en cas d'attaque. Pour plus d'informations sur l'analyse des contextes, reportez-vous à la section Comprendre la composition d'un contexte.

Vous pouvez ajuster le niveau de gravité des logs émis par une règle dans des cas tels que :

  • Pour vos applications particulièrement sensibles, augmentez le niveau de gravité des logs. En effet, les logs de niveau Urgence et Alerte sont envoyés au gestionnaire d'agents en priorité, plus fréquemment que les autres (toutes les 30 secondes par défaut contre une heure pour les autres),
  • Si une règle de sécurité génère de nombreux logs non pertinents, baissez son niveau de gravité.
  1. Dans le menu Sécurité > Politiques de la console d'administration, sélectionnez votre politique de sécurité, puis votre jeu de règles. La page d'accueil du jeu de règles s'affiche.
  2. Cliquez sur l'onglet correspondant à la règle que vous souhaitez modifier.
  3. Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
  4. Dans le bandeau en haut de la règle, cliquez sur l'icône . La fenêtre Paramètres du log s'affiche.
  5. Dans le champ Gravité du log, choisissez le niveau de criticité à attribuer aux logs générés par cette règle.
  6. Dans le champ Afficher sur l'agent, choisissez si vous souhaitez que les logs de cette règle soient visibles sur l'agent :
    • Hériter : Le comportement global défini au niveau du groupe d'agents s'applique. Dans l'exemple ci-dessus, les logs sont visibles sur l'agent car tous les logs à partir du niveau Remarque le sont.
    • Jamais : Les logs ne sont jamais visibles sur l'agent quel que soit le comportement global.
    • Toujours : Les logs sont toujours visibles sur l'agent quel que soit le comportement global.
      Attention, seuls les logs de niveau Alerte et Urgence ayant entraîné un blocage sont visibles dans l'interface de l'agent pour un utilisateur non administrateur de sa machine.
  7. Dans le champ Afficher sur la console, choisissez si vous souhaitez que les logs de cette règle soient visibles sur la console d'administration.
  8. Dans le champ Envoyer vers Syslog, choisissez si vous souhaitez que les logs de cette règle soient envoyés vers le serveur Syslog si celui-ci est configuré. Pour plus d'informations, reportez-vous à la section Créer des groupes de gestionnaires d'agents.
  9. Cliquez sur Valider.
  10. Enregistrez les modifications apportées à la règle.