Résoudre les problèmes liés aux console de gestion locaux (hérités)
Important
Defender pour IoT recommande désormais d’utiliser les services cloud Microsoft ou l’infrastructure informatique existante pour la supervision centralisée et la gestion des capteurs, et prévoit de mettre hors service le console de gestion local le 1er janvier 2025.
Pour plus d’informations, consultez Déployer la gestion des capteurs OT hybrides ou air-gapped.
Cet article décrit les outils de dépannage de base pour la console de gestion locale. En plus des éléments décrits ici, vous pouvez transférer des alertes concernant les sauvegardes de capteurs ayant échoué et les capteurs déconnectés.
Pour tout autre problème, contactez Support Microsoft.
Prérequis
Pour effectuer les procédures décrites dans cet article, vérifiez que vous avez bien :
- Accédez à la console de gestion locale en tant qu’utilisateur Support. Pour plus d’informations, consultez Utilisateurs locaux privilégiés par défaut.
Vérifier l’intégrité du système
Vérifiez l’intégrité de votre système à partir de la console de gestion locale.
Pour accéder à l’outil d’intégrité du système :
Connectez-vous à la console de gestion locale en utilisant les informations d’identification de l’utilisateur Support.
Sélectionnez Paramètres système>Statistiques système.
Les données d’intégrité du système s’affichent. Sélectionnez un élément pour afficher plus de détails dans l’encadré. Par exemple :
Les vérifications d’intégrité du système sont les suivantes :
| Nom | Description |
|---|---|
| Validité | |
| - Appliance | Exécute la vérification de l’intégrité de l’appliance. Vous pouvez effectuer la même vérification à l’aide de la commande CLI system-sanity. |
| - Version | Affiche la version de l’appliance. |
| - Propriétés réseau | Affiche les paramètres réseau du capteur. |
| Redis | |
| - Mémoire | Fournit une vue d’ensemble de l’utilisation de la mémoire, par exemple la quantité de mémoire utilisée et la quantité restante. |
| - Clé la plus longue | Affiche les clés les plus longues qui peuvent entraîner une utilisation intensive de la mémoire. |
| Système | |
| - Journal principal | Fournit les 500 dernières lignes du journal principal, ce qui vous permet de visualiser les lignes de journal récentes sans exporter l’intégralité du journal système. |
| - Gestionnaire des tâches | Traduit les tâches qui apparaissent dans la table des processus en couches suivantes : - Couche persistante (Redis) - Couche de cache (SQL) |
| - Statistiques relatives au réseau | Affiche les statistiques de votre réseau. |
| - TOP | Affiche la table des processus. Il s’agit d’une commande Linux qui fournit une vue dynamique en temps réel du système en cours d’exécution. |
| - Vérification de la mémoire de sauvegarde | Indique l’état de la mémoire de sauvegarde, en vérifiant les éléments suivants : - Emplacement du dossier de sauvegarde - Taille du dossier de sauvegarde - Limitations du dossier de sauvegarde - Date et heure de la dernière sauvegarde - Espace disponible pour les fichiers de sauvegarde supplémentaires |
| - ifconfig | Affiche les paramètres des interfaces physiques de l’appliance. |
| - CyberX nload | Affiche le trafic et la bande passante en utilisant les tests de six secondes. |
| - Erreurs du journal Core | Affiche les erreurs du fichier journal principal. |
Examiner un manque d’alertes attendues
Si vous ne voyez pas une alerte attendue sur la page des Alertes locales, procédez comme suit pour résoudre les problèmes :
Vérifiez si l’alerte est déjà répertoriée en tant que réaction à une autre instance de sécurité. Dans ce cas, et si cette alerte n’a pas encore été gérée, une nouvelle alerte ne s’affiche pas ailleurs.
Vérifiez que l’alerte n’est pas exclue par les règles Exclusion d’alerte. Pour plus d’informations, consultez Créer des règles d’exclusion d’alerte sur une console de gestion locale.
Ajuster la qualité de service
Pour économiser vos ressources réseau, vous pouvez limiter le nombre d’alertes envoyées à des systèmes externes (tels que les e-mails ou les SIEM) en une seule opération de synchronisation entre une appliance et la console de gestion locale.
Le nombre d’alertes par défaut est de 50. Cela signifie que dans une session de communication entre une appliance et la console de gestion locale, il n’y aura pas plus de 50 alertes envoyées à des systèmes externes.
Pour limiter le nombre d’alertes, utilisez la propriété notifications.max_number_to_report disponible dans /var/cyberx/properties/management.properties. Aucun redémarrage n’est nécessaire après la modification de cette propriété.
Pour ajuster la qualité de service (QoS) :
Connectez-vous à votre console de gestion locale via SSH pour accéder à l’interface CLI.
Vérifiez les valeurs par défaut :
grep \"notifications\" /var/cyberx/properties/management.propertiesLes valeurs par défaut suivantes s’affichent :
notifications.max_number_to_report=50 notifications.max_time_to_report=10 (seconds)Modifiez les paramètres par défaut :
sudo nano /var/cyberx/properties/management.propertiesModifiez les paramètres des lignes suivantes :
notifications.max_number_to_report=50 notifications.max_time_to_report=10 (seconds)Enregistrez les modifications. Aucun redémarrage n'est requis.
Exporter les journaux à partir de la console de gestion locale pour résoudre les problèmes
Pour plus de résolution des problèmes, vous pouvez exporter les journaux à envoyer à l’équipe de support technique, tels que les journaux d’audit ou de base de données.
Pour exporter des données de journal:
Dans la console de gestion locale, sélectionnez Paramètres système > Exporter.
Dans la boîte de dialogue Exporter les informations de dépannage :
Dans le champ Nom de fichier, entrez un nom explicite pour le journal exporté. Le nom de fichier par défaut utilise la date actuelle, par exemple 13:10-June-14-2022.tar.gz.
Sélectionnez les journaux que vous voulez exporter.
Sélectionnez Exporter.
Le fichier est exporté et lié à partir de la liste Fichiers archivés en bas de la boîte de dialogue Exporter les informations de dépannage.
Par exemple :
Sélectionnez le lien de fichier pour télécharger le journal exporté, puis sélectionnez également le bouton
pour afficher son mot de passe à usage unique.Pour ouvrir les journaux exportés, transférez le fichier téléchargé et le mot de passe à usage unique à l’équipe du support technique. Les journaux exportés ne peuvent être ouverts qu’avec l’équipe de support Microsoft.
Pour sécuriser vos journaux, veillez à transférer le mot de passe séparément du journal téléchargé.
