Résoudre les problèmes de la console de gestion locale (héritée)
Important
Defender pour IoT recommande désormais d’utiliser des services cloud Microsoft ou une infrastructure informatique existante pour la supervision centralisée et la gestion des capteurs, et prévoit de mettre hors service la console de gestion locale le 1er janvier 2025.
Pour plus d’informations, consultez Déployer la gestion des capteurs OT hybrides ou isolés par air.
Cet article décrit les outils de dépannage de base pour la console de gestion locale. En plus des éléments décrits ici, vous pouvez transférer des alertes sur les sauvegardes de capteur ayant échoué et les capteurs déconnectés.
Pour tout autre problème, contactez support Microsoft.
Conditions préalables
Pour effectuer les procédures décrites dans cet article, vérifiez que vous disposez des points suivants :
- Accès à la console de gestion locale en tant qu'utilisateur Support. Pour plus d’informations, consultez utilisateurs locaux privilégiés par défaut.
Vérifier l’intégrité du système
Vérifiez l’intégrité de votre système à partir de la console de gestion locale.
Pour accéder à l’outil de santé du système:
Connectez-vous à la console de gestion locale avec le prendre en charge les informations d’identification de l’utilisateur.
Sélectionnez paramètres système>statistiques système.
Les données sur l'état de santé du système s'affichent. Sélectionnez un élément pour afficher plus de détails dans le cadre. Par exemple:
Les vérifications d’intégrité du système sont les suivantes :
| Nom | Description |
|---|---|
| Lucidité | |
| -Appareil | Exécute la vérification de la santé de l’appliance. Vous pouvez effectuer la même vérification à l’aide de la commande CLI system-sanity. |
| -Version | Affiche la version de l’appliance. |
| - Propriétés réseau | Affiche les paramètres réseau du capteur. |
| Redis | |
| -Mémoire | Fournit l’image globale de l’utilisation de la mémoire, telle que la quantité de mémoire utilisée et la quantité restante. |
| - Clé la plus longue | Affiche les clés les plus longues susceptibles d’entraîner une utilisation étendue de la mémoire. |
| système | |
| - Journal principal | Fournit les 500 dernières lignes du journal principal, afin que vous puissiez afficher les lignes de journal récentes sans exporter l’intégralité du journal système. |
| - Gestionnaire de tâches | Traduit les tâches qui apparaissent dans la table des processus en couches suivantes : - Couche persistante (Redis) - Couche de cache (SQL) |
| - Statistiques réseau | Affiche vos statistiques réseau. |
| - HAUT | Affiche la table des processus. Il s’agit d’une commande Linux qui fournit une vue dynamique en temps réel du système en cours d’exécution. |
| - Vérification de la mémoire de sauvegarde | Fournit l’état de la mémoire de sauvegarde, en vérifiant les éléments suivants : - Emplacement du dossier de sauvegarde - Taille du dossier de sauvegarde - Limitations du dossier de sauvegarde - Quand la dernière sauvegarde s’est produite - Quantité d’espace disponible pour les fichiers de sauvegarde supplémentaires |
| - ifconfig | Affiche les paramètres des interfaces physiques de l’appliance. |
| - CyberX nload | Affiche le trafic réseau et la bande passante à l’aide des six secondes tests. |
| - Erreurs du journal principal | Affiche les erreurs du fichier journal principal. |
Examiner un manque d’alertes attendues
Si vous ne voyez pas d’alerte attendue sur la page Alertes locales, procédez comme suit pour résoudre les problèmes suivants :
Vérifiez si l’alerte est déjà répertoriée comme réaction à une autre instance de sécurité. Si c’est le cas et que cette alerte n’a pas encore été gérée, une nouvelle alerte n’est pas affichée ailleurs.
Vérifiez que l’alerte n’est pas exclue par les règles d’exclusion d’alerte . Pour plus d’informations, consultez Créer des règles d’exclusion d’alerte sur une console de gestion locale.
Ajuster la qualité de service (QoS)
Pour enregistrer vos ressources réseau, vous pouvez limiter le nombre d’alertes envoyées à des systèmes externes (tels que les e-mails ou SIEM) dans une opération de synchronisation entre une appliance et la console de gestion locale.
Le nombre d’alertes par défaut est 50. Cela signifie que dans une session de communication entre une appliance et la console de gestion locale, il n’y aura pas plus de 50 alertes aux systèmes externes.
Pour limiter le nombre d’alertes, utilisez la propriété notifications.max_number_to_report disponible dans /var/cyberx/properties/management.properties. Aucun redémarrage n’est nécessaire après avoir modifié cette propriété.
Pour ajuster la qualité de service (QoS):
Connectez-vous à votre console de gestion locale via SSH pour accéder à l’interface CLI .
Vérifiez les valeurs par défaut :
grep \"notifications\" /var/cyberx/properties/management.propertiesLes valeurs par défaut suivantes s’affichent :
notifications.max_number_to_report=50 notifications.max_time_to_report=10 (seconds)Modifiez les paramètres par défaut :
sudo nano /var/cyberx/properties/management.propertiesModifiez les paramètres des lignes suivantes :
notifications.max_number_to_report=50 notifications.max_time_to_report=10 (seconds)Enregistrez les modifications. Aucun redémarrage n’est requis.
Exporter les journaux à partir de la console de gestion locale pour le dépannage
Pour plus de résolution des problèmes, vous souhaiterez peut-être exporter les journaux à envoyer à l’équipe de support technique, comme les journaux d’audit ou de base de données.
Pour exporter des données de journal:
Dans la console de gestion locale, sélectionnez Paramètres système > Exporter.
Dans la boîte de dialogue Exporter les informations de résolution des problèmes :
Dans le champ nom de fichier, entrez un nom explicite pour le journal exporté. Le nom de fichier par défaut utilise la date actuelle, telle que 13:10-June-14-2022.tar.gz.
Sélectionnez les journaux que vous souhaitez exporter.
Sélectionnez Exporter.
Le fichier est exporté et est lié à partir de la liste Fichiers archivés en bas de la boîte de dialogue Exporter les informations de résolution des problèmes.
Par exemple:
Sélectionnez le lien de fichier pour télécharger le journal exporté, puis sélectionnez le bouton
pour afficher son mot de passe unique.Pour ouvrir les journaux exportés, transférez le fichier téléchargé et le mot de passe unique à l’équipe de support technique. Les journaux exportés ne peuvent être ouverts qu’avec l’équipe du support technique Microsoft.
Pour sécuriser vos journaux, veillez à transférer le mot de passe séparément du journal téléchargé.
