Configurer les détails de contextes émis par les agents
Les détails de contextes sont tous les logs produits par l'agent dans le périmètre d'une attaque, y compris ceux qui n'apparaissent pas sur la console d'administration habituellement. Par exemple même les logs restés en local sur l'agent ou envoyés vers un serveur Syslog sont affichés dans les détails de contextes. Pour plus d'informations, reportez-vous à la section Analyser les contextes pour comprendre une attaque.
Vous pouvez configurer la taille de ces contextes, l'ancienneté maximale de leurs logs, ainsi que la manière dont ils sont envoyés au gestionnaire d'agents.
- Dans l'onglet État et logs d'un groupe d'agents, rendez-vous dans la section Contextes.
- Définissez la Taille maximale d'un contexte qui est de 500 Ko par défaut. Il s'agit de la taille estimée des données qui transitent sur le réseau. Si les connexions réseau entre les agents et le gestionnaire d'agents sont limitées, réduisez cette taille. À l'inverse, si vous avez ajouté des jeux de règles d'audit très verbeuses, augmentez cette taille pour être sûr de récupérer suffisamment de logs utiles.
- Définissez l'Ancienneté maximale des logs. La valeur par défaut est de 10 minutes car la plupart des attaques se déroulent rapidement, mais vous pouvez l'ajuster à votre convenance.
- Choisissez la manière dont s'effectue la Remontée des détails de contexte de l'agent au gestionnaire d'agents. La remontée peut être :
- Immédiate : Les logs de contexte sont envoyés au gestionnaire d'agents en même temps que l'alerte. Ils sont visibles immédiatement dans la console d'administration.
- Différée : Les logs de contexte sont envoyés au gestionnaire d'agents à une Fréquence que vous pouvez définir, la valeur par défaut étant toutes les heures. Si vous n'analysez les attaques qu'une fois par jour, augmentez cette fréquence à deux ou trois heures pour éviter d'encombrer le réseau.
- Sur demande : Les logs de contexte ne seront pas transmis au gestionnaire d'agents de manière automatique. Vous pourrez télécharger ces données manuellement au moment d'étudier une attaque. Pour plus d'informations, reportez-vous à la section Analyser les contextes pour comprendre une attaque.
- Enregistrez vos modifications.