Créer des groupes de gestionnaires d'agents

Un groupe de gestionnaires d'agents est composé d'un ou plusieurs gestionnaires d'agents. Lorsqu'un agent doit se connecter à un gestionnaire, il contacte de préférence le dernier gestionnaire ayant accepté sa demande. Si la connexion échoue, il choisit de manière aléatoire un autre gestionnaire du groupe jusqu’à ce que sa demande soit acceptée.

Après installation d'un gestionnaire d'agents, ce dernier s'affiche automatiquement dans le menu Gestionnaires d'agents de la console d'administration. Il appartient par défaut à un groupe nommé Nouveau Groupe (nom_gestionnaire d'agents). Vous pouvez modifier ce groupe par défaut, en créer de nouveaux ou déplacer un gestionnaire d'agents dans un autre groupe.

Vous pouvez envoyer les logs des agents vers différents serveurs Syslog, paramétrés pour chaque groupe de gestionnaires d'agents. Paramétrez par exemple plusieurs serveurs Syslog pour recevoir des logs, de différents niveaux de gravité ou avec des formats de contenu différents.

Vous pouvez utiliser la solution de gestion des logs Stormshield Log Supervisor (SLS) avec SES Evolution. Pour plus d'informations, reportez-vous à la documentation SLS disponible sur le site Stormshield Technical Documentation.

  1. Choisissez le menu Gestionnaires d'agents.
  2. Dans le panneau de gauche, cliquez sur l'icône +. La ligne Nouveau groupe s'affiche.
  3. Dans les Paramètres du groupe de gestionnaires d'agents, entrez le Nom de votre groupe de gestionnaires d'agents.
  4. Si vous souhaitez envoyer les logs des agents de ce groupe de gestionnaires d'agents vers des serveurs Syslog, cliquez sur Ajouter un serveur et définissez les paramètres suivants :
    • Adresse : Saisissez l'adresse IP ou nom DNS du serveur Syslog.
    • Protocole : Choisissez le protocole de communication avec le serveur Syslog. Si vous souhaitez que les données échangées soient chiffrées, sélectionnez TCP/TLS. Dans ce cas, l'autorité de certification racine et les autorités intermédiaires du serveur Syslog doivent être importées dans le magasin de certificats de chaque machine hébergeant un gestionnaire d'agents.
    • Port : Entrez le numéro de port utilisé pour Syslog (par défaut TCP 1468). Les numéros de port TCP ou UDP indiqués ici doivent être autorisés sur le pare-feu de la machine hébergeant le gestionnaire d'agents, et également sur tous les équipements réseau situés entre le gestionnaire d'agents et le serveur Syslog.
    • Type de transfert : Choisissez le paramètre défini à l'installation du serveur Syslog.
    • Format des messages : Choisissez le format des messages :
      • le mode textuel simple (comme les messages affichés dans le menu Logs agents),
      • le JSON brut contenant toutes les données techniques,
      • le format CEF,
      • le format IDMEF.
    • Langue du message : Choisissez la langue le cas échéant.
    • Vous pouvez indiquer une taille maximum des messages en octets.
    • Choisissez la gravité minimum des logs à envoyer vers ce serveur.
  5. Si vous souhaitez déplacer un gestionnaire d'agents d'un autre groupe vers votre nouveau groupe, sélectionnez le gestionnaire et faites un glisser-déposer vers le nouveau groupe.
  6. Cliquez sur Enregistrer dans le bandeau supérieur.

Résoudre les problèmes

  • Situation : Un des serveurs Syslog paramétrés dans un groupe de gestionnaires d'agents ne reçoit aucun log des agents.
  • Cause : Il peut y avoir une erreur dans la configuration TCP/TLS du serveur Syslog.
  • Solution : Commencez par vérifier que le serveur Syslog fonctionne bien en TCP.
    Si c'est le cas, consultez alors les logs émis par le gestionnaire d'agents. En cas de problème de configuration TCP/TLS, le gestionnaire d'agents émet un log désignant le serveur Syslog défectueux et décrivant les causes possibles.
    Si vous ne voyez pas ce log, tentez de redémarrer le gestionnaire d'agents pour forcer l'émission de logs. Attendez au moins une minute après le redémarrage.
    Selon les indications données par le log, revoyez alors la configuration TCP/TLS du serveur Syslog.
    Vous pouvez également vérifier le niveau de gravité minimum des logs que vous avez paramétré, pour qu'ils soient envoyés au serveur Syslog.