Analyseur de règles

Dans cette section :

À propos de l'analyseur de règles

Les fonctions d'audit standard permettent de suivre l'utilisation des applications non autorisées ou d'être averti si les utilisateurs écrasent/renomment des applications. C'est un mécanisme facile à utiliser, qui peut fonctionner sans votre intervention.Le mécanisme d'audit standard vous prévient, par exemple, lorsqu'une application n'a pas été autorisée à s'exécuter. Par contre, il ne vous explique pas la raison de ce blocage.Par conséquent, vous avez besoin d'un outil supplémentaire pour analyser la base de règles en temps réel, et déterminer exactement pourquoi une application est autorisée ou non à s'exécuter.

L'analyseur de règles examine les postes client gérés pour collecter des informations sur la façon dont les règles Application Control (Contrôle des applications) sont appliquées. Il fournit des détails sur les éventuelles incohérences ou inexactitudes des règles au fur et à mesure de leur traitement.L'outil Analyseur de règles vous fournit une interface graphique que vous pouvez utiliser pour dépanner et affiner manuellement les configurations Application Control (Contrôle des applications) en temps réel, partout dans l'entreprise.Tout ce dont vous avez besoin, c'est une liaison réseau avec un poste client géré Application Control (Contrôle des applications) distant, pour que l'analyseur de règles puisse se connecter au logiciel d'agent et commencer la journalisation sur le poste client local.

Une fois la journalisation terminée, vous pouvez utiliser Analyseur de règles pour récupérer automatiquement le fichier journal sur le réseau et le replacer sur l'ordinateur où l'analyse est effectué, pour examen.Toutes les informations de journalisation sont stockées au format XML et chaque demande d'exécution traitée par l'agent Application Control (Contrôle des applications) est répertoriée, avec les détails des événements qui se sont produits pendant le traitement. Par exemple, le journal indique si le processus a été autorisé à s'exécuter ou non, et la raison du résultat obtenu.

Console

Vous accédez à l'analyseur de règles depuis le volet de navigation de la console Application Control (Contrôle des applications). Vous l'utilisez pour créer, récupérer et examiner les fichiers journaux.

Un nœud Poste client vous permet de contrôler la journalisation sur un poste client géré spécifique afin de récupérer les fichiers journaux.Sous chaque nœud Poste client figure un nœud pour chaque entrée Fichiers journaux récupérés.

Vous pouvez consulter un page de récapitulatif, afficher toutes les demandes ou afficher les demandes d'un utilisateur spécifique.Vous pouvez choisir d'afficher uniquement les demandes autorisées ou les demandes refusées.Dans le volet d'analyse, vous pouvez naviguer jusqu'à une demande spécifique et afficher les détails complets de cette demande, notamment les règles appliquées par Application Control (Contrôle des applications).

Vous devez être connecté avec un compte qui autorise l'accès en lecture-écriture au registre de tous les postes client gérés pour lesquels vous voulez générer des journaux (pour l'utilisation d'Analyseur de règles) et l'accès en lecture-écriture au registre local de l'ordinateur où la console fonctionne.

Prérequis

Vérifiez que les conditions suivantes sont remplies :

  1. Dans le menu Démarrer, sélectionnez Panneau de configuration.
  2. Sélectionnez Outils d'administration.
  3. Double-cliquez sur Services.
  4. Repérez l'agent Application Control (Contrôle des applications).
  1. Lancez l'éditeur de registre sur le poste client géré.
  2. Repérez la licence sous HKLM\Software\AppSense Technologies\Licensing.
  1. Les configurations sont stockées à l'emplacement suivant :

  2. C:\ProgramData\AppSense\ApplicationManager\Configuration.

    ProgramData est un dossier masqué. Ouvrez l'Explorateur Windows et entrez C:\ProgramData dans la barre d'adresse.Appuyez sur Entrée pour ouvrir le dossier.

  1. Ouvrez l'Explorateur Windows sur l'ordinateur où la console Application Control (Contrôle des applications) est installée.
  2. Dans la barre d'adresse, entrez \\<nom-ordinateur>\c$ et appuyez sur Entrée. Si vous parcourez les dossiers, vous disposez de droits d'accès. Sinon, vous êtes invité à entrer des références d'authentification utilisateur autorisant l'accès.
  1. Ouvrez l'éditeur de registre sur l'ordinateur où la console Application Control (Contrôle des applications) est installée.
  2. Sélectionnez Fichier > Connexion au registre réseau.
  3. La boîte de dialogue Sélectionner un ordinateur s'affiche.
  4. Trouvez l'ordinateur voulu et cliquez sur OK.Si vous pouvez voir les clés de registre, vous disposez de droits d'accès.

Sur les ordinateurs distants exécutant Windows 7 et supérieur, les services de partage de fichiers et de registre distant sont désactivés par défaut, et vous devez les activer pour garantir que l'analyseur de règles peut lire ou créer des fichiers journaux :

  1. Activez l'option Partage de fichiers via Démarrer > Panneau de configuration > Centre Réseau et partage.
  2. Démarrez le service Registre distant sous Démarrer > Panneau de configuration > Outils d'administration > Services.

Configuration de la journalisation pour l'analyseur de règles

Première exigence : vous devez ajouter un poste client à la liste des postes client avec lesquels l'analyseur de règles peut interagir. L'analyseur utilise le partage par défaut C$ pour communiquer avec l'agent exécuté sur la machine cible.

Ajout d'un poste client

Vous devez spécifier des postes client pour que les règles puissent être analysées.

  1. Cliquez sur le bouton de navigation Analyseur de règles.

    L'arborescence de navigation Analyse du poste client s'affiche.

  2. Dans le ruban Analyseur de règles, cliquez sur Ajouter un poste client et sélectionnez l'une des options suivantes :
    • Parcourir le groupe de déploiement - La boîte de dialogue Choisir un serveur de gestion s'affiche.Naviguez jusqu'à l'emplacement du groupe de déploiement, puis sélectionnez les postes client voulus.
    • Parcourir le domaine/groupe de travail - La boîte de dialogue Ajouter des postes client Analyseur de règles s'affiche.Entrez le nom ou l'adresse IP, ou utilisez le bouton portant des points de suspension (...) dans le champ Ordinateur, afin de sélectionner les postes client voulus. Cliquez ensuite sur Ajouter.
  3. Le poste client apparaît dans l'arborescence de navigation Analyseur de règles.Une fois ajouté, le poste client peut être analysé par l'analyseur de règles.
  4. Pour supprimer un poste client, mettez-le en surbrillance et cliquez sur le bouton Supprimer un poste client dans le ruban Analyseur de règles.

Démarrage et arrêt de la journalisation

  1. Sélectionnez le poste client voulu dans l'arborescence de navigation.
  2. Sélectionnez Démarrer la journalisation dans le ruban Analyseur de règles.

  3. Par exemple, si nécessaire, après avoir recréé un problème sur le poste client, sélectionnez Arrêter la journalisation dans le ruban Analyseur de règles.

    La boîte de dialogue Fichier s'affiche.

  4. Entrez un nom pour le fichier journal et cliquez sur OK.
  5. Le fichier XML apparaît dans l'arborescence de navigation.

Les fichiers Analyseur de règles peuvent être volumineux. C'est pourquoi il ne faut utiliser cette fonction que si un problème surgit et qu'une investigation est requise.

Après avoir créé les fichiers journaux, vous pouvez les exporter ou les supprimer en les sélectionnant, puis en utilisant les boutons Exporter et Supprimer du ruban Analyseur de règles.

Vous pouvez également importer des fichiers journaux au format XML en sélectionnant un poste client, puis en cliquant sur Importer dans le ruban Analyseur de règles.

Fichiers journaux

Tous les fichiers journaux d'un ordinateur donné sont stockés sur la machine locale pendant la journalisation, et temporairement stockés dans le dossier suivant :

 C:\Documents and Settings\All Users\Application Data\AppSense\ApplicationManager\Rules Analyzer\RulesAnalyzerLog.xml.

Lorsque vous arrêtez la journalisation sur le poste client concerné, le fichier journal est fermé et transféré à l'ordinateur qui exécute Analyseur de règles, où il est stocké dans le cache pour le poste client en question.Le cache se trouve à l'emplacement suivant :

C:\Documents and Settings\All Users\Application Data\AppSense\ApplicationManager\Rules Analyzer\

La convention d'appellation des fichiers est Nom-ordinateur^nom-entré.Par exemple, C:\Documents and Settings\All Users\Application Data\AppSense\ApplicationManager\Rules Analyzer\APPUKTECHPUBS2^Regedit.xml.

Le nom d'ordinateur est le nom du poste client tel qu'il a été entré dans l'interface utilisateur.Par conséquent, s'il s'agit d'une adresse IP, elle est stockée sous la forme Adresse-IP^nom-entré.xml.Le nom entré est le nom attribué au fichier XML dans Analyseur de règles.

La console Analyseur de règles affiche les informations concernant les demandes d'exécution de différentes manières pour permettre un accès facile aux détails :

La page Récapitulatif des postes client apparaît lorsque vous sélectionnez le nœud d'un fichier journal dans l'arborescence de navigation.

Elle indique le nombre de demandes traitées par Application Control (Contrôle des applications).La première ligne du tableau montre le nombre total de demandes pour tous les utilisateurs.Les autres lignes montrent le nombre de demandes pour chaque utilisateur.La colonne Total indique le nombre total de demandes autorisées et refusées.La colonne Autorisé/Refusé indique le nombre de demandes autorisées et de demandes refusées.

Cliquez sur un lien Total pour afficher la liste des demandes de contenu du fichier journal.

Pour exporter le journal au format XML, sélectionnez Exporter dans le ruban Analyseur de règles.

Vous pouvez choisir de voir les demandes par durée de traitement dans la page Récapitulatif, afin d'afficher la page de liste des demandes, qui montre les demandes triées par ordre décroissant du durée d'exécution.

La page Liste des demandes présente la liste des demandes Application Control (Contrôle des applications) lorsque vous cliquez sur un lien Total dans la page de récapitulatif.

Les demandes apparaissent dans l'ordre où elles ont été traitées par Application Control (Contrôle des applications).

Chaque demande porte une coche verte ou une croix rouge, qui indique si la demande a été autorisée ou refusée.

Cliquez sur un lien Demande pour afficher les détails des demandes de contenu du fichier journal.

La page Détails de la demande présente les détails d'une demande spécifique lorsque vous cliquez sur une demande dans la page Liste des demandes.

La page Détails de la demande affiche chaque règle appliquée par Application Control (Contrôle des applications) pour le traitement de la demande.Les règles sont répertoriées dans l'ordre de leur application.La dernière règle de la liste détermine le résultat final : autorisation ou refus.Les informations de règle incluent des liens qui, lorsque vous cliquez dessus, affichent des messages popup fournissant des explications sur l'élément de règle.

Utilisez le lien Retour, en haut de la page, pour accéder à la page précédente et utilisez le lien Récapitulatif pour revenir à la page Récapitulatif.Le bouton Précédent de la barre d'outils de la console permet de se déplacer dans l'arborescence de navigation.

Tâches de l'analyseur de règles

Les tâches courantes de l'analyseur de règles sont les suivantes :

  • Analyse d'un fichier journal - Pour analyser un fichier journal, sélectionnez le nœud Fichier journal.La première page affichée dans la zone de travail d'analyse est la page Récapitulatif.Vous naviguez dans le volet d'analyse à l'aide des liens.Utilisez le lien Retour, en haut de la page, pour revenir à la page précédente.
  • Affichage des demandes d'un utilisateur spécifique - Pour afficher les demandes d'un utilisateur donné, cliquez sur l'un des liens dans la table de la page Récapitulatif.Vous pouvez cliquer sur la colonne Total pour voir toutes les demandes de l'utilisateur. Et vous pouvez cliquer dans la colonne Autorisé ou dans la colonne Refusé pour afficher uniquement les demandes autorisées ou refusées.
  • Recherche des demandes longues à exécuter - Pour trouver les demandes dont l'exécution est longue, cliquez pour afficher les demandes par durée de traitement dans la page Récapitulatif.Vous affichez ainsi les demandes triées par durée d'exécution, la plus longue en premier.La durée de traitement affichée est le temps nécessaire à l'agent Ivanti Application Control (Contrôle des applications) pour traiter la demande.