Visualiser et gérer les logs des agents dans la console d'administration

Tous les logs que vous avez configurés afin qu'ils s'affichent sur la console sont visibles dans le menu Environnement > Logs agents. Celui-ci vous permet d'analyser les logs, de les filtrer, de les gérer, d'ajouter des exceptions pour que certains logs ne soient plus générés et d'exécuter des analyses Yara ou IoC à partir de logs. Vous pouvez aussi Analyser les contextes pour comprendre une attaque et Gérer les tâches de remédiation à partir de logs.

La date des logs agents affichée sur la console est basée sur le fuseau horaire paramétré sur la machine hébergeant la console.


Si un agent est déconnecté et que ses logs ne sont pas transmis au gestionnaire d'agents, vous pouvez exporter ses logs pour pouvoir les importer et les visualiser ensuite dans le panneau des Logs agents.

Pour gérer les logs et créer des exceptions, vous devez disposer du droit Logs agents - Modifier.

  1. Choisissez le menu Environnement > Logs agents.
    La liste des logs de tous les composants s'affichent en fonction des filtres actifs.
    À la première ouverture du panneau des logs, ce sont les logs Nouveaux et En cours, de niveau Urgence et Alerte, émis dans les dernières 24 heures qui sont visibles.
    Les logs identiques générés par plusieurs agents composent un Événement. Par défaut ils sont regroupés sur une même ligne et signalés par l'icône icône logs groupés.
  2. Si vous souhaitez afficher la vue non groupée des logs, désactivez l'option Grouper les événements en haut à droite.
  3. Pour visualiser les détails des logs d'un groupe, cliquez sur l'icône de logs groupés, puis dépliez le groupe en cliquant sur le + à gauche du groupe.
  4. Dans la vue principale des logs ou dans la vue d'un groupe de logs, cliquez sur le bouton Date pour choisir la période à visualiser, puis cliquez sur Appliquer. La flèche double dans le menu déroulant permet de sélectionner la période à l'aide d'un calendrier. La croix à droite du champ Date réinitialise la période aux dernières 24 heures.
    5. La liste des logs émis lors de la période sélectionnée s'affiche.
    La couleur à gauche d'une ligne de log indique le niveau de gravité : il existe 8 niveaux de gravité qui correspondent aux niveaux du protocole Syslog. Une couleur est attribuée à chacun :

  1. Dans la colonne Agent en vue "non groupée", cliquez sur les trois points pour choisir quelles informations afficher concernant l'agent : Nom d'hôte, d'utilisateur et/ou adresse IP.
  2. Sur la droite des logs, cliquez sur l'icône  si vous souhaitez consulter ou modifier la règle responsable du log. Dans le panneau des règles, celle-ci se distingue des autres règles car elle est grisée et affiche une barre bleue sur la gauche.
  3. Dans la vue principale des logs ou dans la vue d'un groupe de logs, cliquez sur la petite flèche à gauche du log pour l'ouvrir et afficher des informations complémentaires :
    • Onglet Détails : Description complète des processus, actions, etc. ayant causé le log. Deux liens permettent de vérifier directement le caractère malveillant de chaque processus impliqué sur le moteur de recherche Google ou sur le site VirusTotal. Cette fonctionnalité nécessite que le poste exécutant la console d'administration ait accès à internet.
    • Onglet Log brut : Code du log au format JSON.

    Si vous suspectez un problème et que vous avez besoin d'afficher plus de logs, modifiez les paramètres des logs dans le groupe d'agents ou dans la règle de sécurité.

  1. Dans le tableau Filtres du panneau Logs agents, activez des filtres pour personnaliser votre liste de logs. Chaque colonne correspond à un type de filtres et contient plusieurs valeurs. Cliquez sur ces valeurs pour activer le filtre correspondant puis cliquez sur Appliquer.

    Par exemple dans cette image, seuls les Nouveaux logs de gravité Critique sont affichés.

    • Le nombre indiqué entre parenthèses est le nombre de logs distincts et non pas le nombre total de logs. Les logs identiques composent un seul événement et ne sont comptabilisés qu'une seule fois. Dans l'image ci-dessus, il y a 12 logs de niveau critique, mais seuls quatre logs sont comptabilisés : deux événements (i.e., groupements de logs) et deux logs individuels.
    • La colonne État permet de filtrer les logs selon l'état que vous leur avez attribué. Voir la section Gérer les logs.
    • Dans les colonnes Groupe d'agents et Agent, vous pouvez rechercher les groupes et agents souhaités en entrant tout ou partie de leur nom dans le champ de recherche.
    • Les colonnes Application et Application cible permettent de filtrer les logs selon les applications qui ont effectué l'action et celles sur lesquelles l'action a été appliquée.
  2. Cliquez sur Filtres avancés pour ajouter d'autres filtres plus précis et affiner ainsi votre liste de logs. Dans la fenêtre des filtres avancés :
    1. Cliquez sur Ajouter un filtre.
    2. Choisissez le type de filtre souhaité. Une ligne apparaît dans la fenêtre des filtres avancés.
    3. Entrez la valeur du filtre en choisissant dans une liste ou en la saisissant manuellement.
    4. Spécifiez si le filtre doit inclure la valeur ou l'exclure. Par défaut c'est un filtre d'inclusion : il affiche tous les logs correspondant à la valeur choisie. Cliquez sur l'icône pour en faire un filtre d'exclusion.
    5. Ajoutez d'autres filtres si besoin. Plus il y a de filtres avancés, plus la liste des logs affichés se réduit.
    6. Cliquez sur Valider.

    À tout moment, vous pouvez retrouver le filtrage initial en cliquant sur Filtres par défaut : seuls les logs dont la gravité est Urgence ou Alerte et l'état est Nouveau ou En cours seront affichés.

Lorsque vous travaillez sur l'analyse des logs, vous pouvez attribuer un état à chaque log et indiquer le nom de l'utilisateur qui l'a analysé. L'état des logs est une information importante visible sur le tableau de bord de la console d'administration dans la zone Événements par état.

  1. Dans le panneau Environnement > Logs agents, sélectionnez un ou plusieurs logs, puis cliquez sur Modifier les logs sélectionnés. La fenêtre Modifier les logs s'affiche.
  2. Dans la liste État, choisissez quel état vous souhaitez attribuer aux logs :
    • Nouveau : État par défaut d'un log. Personne n'a encore analysé le log.
    • En cours : Le log est en cours d'analyse.
    • Faux positif : Le log a été identifié comme faux-positif : il a été déclenché par une règle de sécurité mais ne représente pas une action malveillante. Cet état est attribué automatiquement à un log si vous avez ajouté une exception pour ce log. Pour plus d'informations, reportez-vous à la section Visualiser et gérer les logs des agents dans la console d'administration.
    • Corrigé : Le problème décrit par le log a été réglé.
    • Clos : L'analyse du log est terminée. Plus aucune action n'est requise.
  3. Dans la liste Assigné à, choisissez un nom d'utilisateur à qui assigner le log. Cette liste affiche tous les utilisateurs déclarés dans SES Evolution. Pour plus d'informations, reportez-vous à la section Gérer les utilisateurs de la console d'administration SES Evolution.
  4. Dans le champ Commentaire, entrez si besoin des informations supplémentaires sur le log ou sur votre action. Si ce champ est rempli, une bulle s'affiche dans la colonne État de la liste des logs.
  5. Cliquez sur Valider.

Si après avoir analysé un log, vous considérez que l'action qui l'a déclenché n'était pas malveillante et qu'elle n'aurait pas dû être bloquée, vous pouvez ajouter une exception sur ce log. Cela évitera que cette action soit à nouveau bloquée et/ou ne génère un log. De même, si vous considérez qu'un fichier a été mis en quarantaine à tort, ajoutez une exception sur le log de quarantaine.

  1. Dans le panneau Environnement > Logs agents, sélectionnez un ou plusieurs logs de contexte que vous ne souhaitez plus générer à l'avenir, puis cliquez sur Ajouter des exceptions. Les opérations suivantes sont automatiquement effectuées :
    • Ajout d'une ou plusieurs règles dans le Jeu de règles d'exceptions de la politique de sécurité concernée. Ces règles permettent d'éviter qu'un blocage se produise dans des circonstances identiques. Les identifiants d'applications nécessaires aux règles sont également créés.
    • Attribution de l'état Faux positif au log concerné, et mention de l'utilisateur qui a ajouté l'exception.
    • Ajout du commentaire "Exception automatique créée à partir de ce log" dans le log.
    • Dans le cas d'une exception sur un fichier mis en quarantaine, le fichier sera automatiquement restauré à son emplacement d'origine au prochain déploiement de l'environnement.
  2. Si besoin, vous pouvez consulter ou modifier la règle d'exception créée à partir du log :
    1. Affichez votre log en activant le filtre Faux positif.
    2. Cliquez sur l'icône .

    La règle d'exception correspondant à ce log s'affiche. Elle se distingue des autres règles car elle a une barre bleue sur la gauche.
    Si la règle est introuvable, c'est qu'elle a été supprimée entre temps.

Si votre parc a fait l'objet d'une attaque visible dans les logs agents, vous pouvez procéder à une remédiation pour limiter l'impact de l'attaque et réparer les éventuels dommages.

  1. Dans le panneau Environnement > Logs agents, sélectionnez un log et cliquez sur Tâches > Créer une tâche de remédiation.

  2. Suivez la procédure Gérer les tâches de remédiation.

Si un log indique qu'un processus ou un fichier est potentiellement malveillant, vous pouvez configurer une analyse Yara ou IoC pour rechercher ce dernier sur l'agent.

  1. Dans le panneau Environnement > Logs agents, sélectionnez un log et cliquez sur Tâches.

  2. Sélectionnez le type d'analyse.
    Le panneau des tâches s'affiche et l'agent concerné par le log est directement sélectionné.

  3. Suivez la procédure Exécuter une analyse Yara à la demande ou Exécuter une analyse IoC à la demande pour terminer la configuration et lancer l'analyse.

Lorsqu'un agent n'a pas accès au gestionnaire d'agents, ses logs ne peuvent pas être transmis à la console d'administration et ils ne sont donc pas visibles dans le panneau Logs agents. Vous pouvez exporter ces logs pour ensuite les importer dans la console et les consulter comme les autres logs.

Les logs exportés restent présents sur l'agent.

  1. Connectez-vous au poste de travail agent en tant qu'administrateur.
  2. Double-cliquez sur l'icône dans la barre d'état.
    L'interface de l'agent SES Evolution s'affiche.
  3. Dans l'onglet Aide et Support , cliquez sur Événements.
    La liste des logs de ce poste de travail s'affiche.
  4. Cliquez sur le bouton Exporter les événements..., et choisissez le dossier de destination.
    Un fichier au format cab est généré.
  5. Copiez-le sur une clé USB ou envoyez-le par e-mail.
  6. Copiez ce fichier cab dans le dossier d'import du gestionnaire d'agents, par exemple C:\ProgramData\Stormshield\SES Evolution\Server\AgentLogs\Import. Au bout d'une dizaine de secondes, le fichier disparaît du dossier Import et les logs qu'il contient sont affichés dans le panneau Logs agents.

ASTUCE
Vous avez également la possibilité d'exporter les logs via un script, en lançant le programme EsGui ([...]\Stormshield\SES Evolution\Agent\Bin\Gui) avec la commande /ExportLogs. En option, vous pouvez spécifier le dossier de destination de l'export dans la ligne de commande. Par exemple : EsGui /ExportLogs "C:\Users\Administrator\Desktop\Logs.cab"