bmonlog

Journaux de surveillance des comportements

Les clients consignent dans des journaux les accès à des programmes non autorisés et envoient ces journaux au serveur. Un client qui s'exécute en permanence regroupe les journaux et les envoie à un intervalle spécifié, qui est de 60 minutes par défaut.

Pour éviter que les journaux n'occupent trop d'espace sur votre disque dur, vous pouvez les supprimer manuellement ou configurer leur suppression programmée. Pour plus d'informations sur la gestion des journaux, reportez-vous à Gestion des journaux.

Pour afficher les journaux de surveillance des comportements :

• Journaux > Journaux des ordinateurs en réseau > Risques de sécurité
  
  Ordinateurs en réseau > Gestion des clients

1. Dans l'arborescence client, cliquez sur l'icône du domaine racine pour intégrer tous les clients ou sélectionner des domaines ou des clients spécifiques.

2. Cliquez sur Journaux > Journaux de surveillance des comportements ou Afficher les journaux > Journaux de surveillance des comportements.

3. Spécifiez les critères de journaux, puis cliquez sur Afficher les journaux.

4. Affichez les journaux. Les journaux contiennent les informations suivantes :

• Date/heure de détection du processus non autorisé

• Ordinateur sur lequel le processus non autorisé a été détecté

• Domaine de l'ordinateur

• Violation : règle de surveillance des événements avec laquelle le processus est en infraction

• Action exécutée lors de la détection de la violation

• Événement : type d'objet auquel le programme a accédé

• Niveau de risque que représente le programme non autorisé

• Programme, c'est-à-dire le programme non autorisé

• Opération : action exécutée par le programme non autorisé

• Cible, c'est-à-dire le processus qui a fait l'objet de l'accès

5. Pour sauvegarder les journaux dans un fichier CSV (valeurs séparées par des virgules), cliquez sur Exporter vers fichier CSV. Ouvrez le fichier ou enregistrez-le à un emplacement donné.

Pour configurer la programmation d'envoi de journaux de surveillance des comportements :

1. Accédez à <Dossier d'installation du serveur>\PCCSRV.

2. Ouvrez le fichier ofcscan.ini à l'aide d'un éditeur de texte comme le Bloc-notes.

3. Recherchez la chaîne "SendBMLogPeriod" puis vérifiez la valeur en regard de cette chaîne. La valeur par défaut est 3 600 secondes et la chaîne a l'aspect suivant : SendBMLogPeriod=3600.

4. Spécifiez la valeur en secondes. Par exemple, pour faire passer la période d'envoi des journaux à 2 heures, indiquez 7200 comme valeur.

5. Enregistrez le fichier.

6. Accédez à Ordinateurs en réseau > Paramètres clients généraux.

7. Cliquez sur Enregistrer sans changer aucun paramètre.

8. Redémarrez l'ordinateur client.

Consultez aussi:

• Surveillance des comportements