Consulter les journaux d'événements

Tous les événements liés à SDS Enterprise sont accessibles par l'intermédiaire de l'observateur d'événements Windows sur les postes des utilisateurs.

Lors d’une nouvelle installation de SDS Enterprise, les journaux d'événements sont désactivés par défaut. Pour les activer, il est nécessaire de modifier les paramètres de la base de registre relatifs aux différentes catégories d'événements et permettre ainsi de remonter un type particulier d'événements.

En cas de problèmes rencontrés avec l'utilisation de SDS Enterprise, reportez-vous à la section Établir un diagnostic.

Pour consulter la liste des journaux d'événements disponibles dans SDS Enterprise, reportez-vous à la section Liste des journaux de SDS Enterprise.

La procédure s'effectue par le biais de l'éditeur de stratégie de groupe locale (gpedit.msc). Les journaux sont ensuite accessibles par l'intermédiaire de l'observateur d'événements Windows.

La GPO de Microsoft Windows utilise des fichiers .admx pour les paramètres de configuration, et des fichiers de langue .adml, où tous les textes relatifs à ces paramètres, sont référencés.

L’installation de SDS Enterprise place :

  • le fichier Sbsuite.admx dans le dossier %SystemRoot%\PolicyDefinitions
  • le fichier de langue Sbsuite.adml dans le dossier %SystemRoot%\PolicyDefinitions\en-US

Ces fichiers sont chargés automatiquement lors du lancement de gpedit et il n’est pas nécessaire de les charger.

  1. Lancez l'éditeur de stratégie de groupe locale : Démarrer > Exécuter > puis tapez gpedit.msc.
  2. Cliquez sur Modèles d'administration > Composants Stormshield Data Security. Une fois activée, l'entrée Activer la fonctionnalité de journalisation des événements générés par Stormshield Data Security pour tous les modules permet de démarrer la génération des événements. Les autres entrées permettent de configurer la génération des événements de façon plus précise.

Un changement de la stratégie de groupe modifie directement les valeurs correspondantes en base de registre. Celles-ci s'appliquent pour chaque utilisateur unitairement. Elles sont présentes sous la clé HKEY_CURRENT_USER de la base de registre. En revanche, une stratégie de groupe (spécifiée à distance par Active Directory) est prioritaire sur les changements effectués localement.

NOTE
La fonctionnalité Activer la fonctionnalité de journalisation des événements générés par Stormshield Data Security pour tous les modules est un interrupteur général : s'il est désactivé, aucun événement ne sera généré, quel que soit le réglage effectué pour les modules. De plus, un module “Non configuré” est actif si l'interrupteur global est activé.

Par exemple, si vous souhaitez n'activer que les événements du module Virtual Disk :

  1. Activez la fonctionnalité de journalisation des événements générés par SDS Enterprise pour tous les modules.
  2. Activez la journalisation d'événements du module Virtual Disk de SDS Enterprise.
  3. Désactivez la journalisation d'événements pour tous les autres modules SDS Enterprise.

Les messages d’erreur générés par SDS Enterprise peuvent être de trois types différents :

  • messages d’information : il s'agit d’une simple information qui ne met pas en jeu la sécurité,
  • messages d’avertissement : il s'agit d’une indication qui signale un problème potentiel à l’administrateur,
  • messages d’erreur : il s'agit d’un réel problème qui empêche le fonctionnement du produit.

Les journaux permettent de visualiser les informations suivantes :

  • Type de message : information, avertissement ou erreur,
  • Date : date à laquelle le message a été généré,
  • Heure : heure à laquelle le message a été généré,
  • Source : source à partir de laquelle l’événement a été généré,
  • Catégorie : brève description de la source de l’événement,
  • Événement : numéro correspondant au type du message généré,
  • Utilisateur : nom de l’utilisateur de SDS Enterprise,
  • Ordinateur : nom (NetBIOS) de l’ordinateur.