Visionneuse d'événements

Dans cette section :

Voir la vidéo associée (10:12)

Pour ouvrir la boîte de dialogue Événements, accédez au menu Afficher et sélectionnez Événements Contrôle des applications. Vous pouvez également sélectionner Afficher les événements dans l'éditeur de configuration Contrôle des applications.

Le système collecte les données lorsque les machines prennent contact, à l'intervalle régulier spécifié sous Stratégie d'agent - Paramètres généraux. Pour récupérer les données avant cette prise de contact, accédez à Afficher > Machines, mettez les machines voulues en surbrillance et cliquez avec le bouton droit, puis sélectionnez Application Control > Récupérer les événements. La tâche est exécutée immédiatement.

La boîte de dialogue Afficher les événements affiche tous les événements Contrôle des applications, en fonction des critères définis sous Éditeur de configuration Contrôle des applications > Événements > Sélection/Filtrage.

Utilisez cette vue pour exécuter des requêtes sur des événements d'audit spécifiques générés pour Contrôle des applications.

Affichage des requêtes

Vous pouvez lancer des requêtes sur les événements prédéfinis suivants ou créer des requêtes personnalisées :

  • Tous les types d'événement
  • Exécutables refusés
  • Exécutables autorisés
  • Auto-autorisation
  • Gestion des privilèges
  • Découverte des privilèges
  • Auto-élévation
  • Contrôle du navigateur (Browser Control)

Exécuter la requête - Sélectionnez cette option pour exécuter la requête. Si les options Afficher, Filtres ou Types d'événement inclus changent, vous devez relancer la requête pour mettre les résultats à jour.

Une fois la requête exécutée, vous pouvez personnaliser la vue pour regrouper, filtrer ou trier les événements, et même exporter les résultats au format CSV.

Vous disposez de plusieurs méthodes pour personnaliser la vue :

  • Application de filtres pour rechercher des événements.
  • Utilisation de Recherche pour afficher uniquement les événements qui répondent à vos critères de recherche.
  • Réorganisation des colonnes en cliquant sur l'en-tête de la colonne voulue et en le faisant glisser vers une nouvelle position.
  • Clic sur un en-tête de colonne pour trier la colonne dans l'ordre croissant ou décroissant.
  • Application de filtres plus avancés à un ou plusieurs en-têtes de colonne. Pointez sur un en-tête de colonne, puis cliquez sur l'icône de filtre de colonne dans l'angle supérieur droit.

Enregistrer - Sélectionnez cette option pour enregistrer tous les changements apportés à une requête personnalisée.

Enregistrer sous - Vous devez d'abord sélectionner Exécuter la requête pour activer l'option Enregistrer sous. Choisissez d'enregistrer les résultats sous forme d'une nouvelle requête personnalisée et entrez un nom pour cette requête. Elle apparaît dans la liste déroulante Afficher.

Gérer - Sélectionnez cette option pour afficher la liste de toutes les requêtes personnalisées, où pouvez sélectionner une requête pour la renommer ou la supprimer.

Types d'événement inclus

Les types d'événement disponibles dépendent de la vue sélectionnée.

Vous trouverez la liste complète des événements Contrôle des applications à la section : Événements disponibles.

Si vous choisissez une vue personnalisée, vous pouvez choisir les événements à inclure : cliquez sur Changer pour afficher la boîte de dialogue de sélection.

N'oubliez pas : si vous avez changé les types d'événement inclus, vous devez relancer Exécuter la requête.

Filtres

Vous pouvez modifier la requête à l'aide des options suivantes :

  • Plage horaire - Choisissez une plage horaire prédéfinie : 10 minutes, 1 heure, 6 heures, 24 heures, Semaine ou Mois. Vous pouvez également créer une plage horaire personnalisée.
  • Utilisateur - Afficher uniquement les événements créés pour l'utilisateur indiqué.
  • Machine - Afficher uniquement les événements générés depuis le nom de machine ou de client spécifié.
  • Récapitulatif uniquement - S'applique uniquement aux vues Exécutables refusés et Exécutables autorisés. Si vous sélectionnez cette option, les résultats sont regroupés par chemin de fichier et ID d'événement.

N'oubliez pas de relancer Exécuter la requête si vous mettez à jour l'un des filtres.

Recherche

Pour lancer une recherche, entrez le texte à rechercher et cliquez sur Rechercher. Seuls les événements répondant aux critères de recherche s'affichent ; tous les autres sont masqués.

  • L'outil de recherche s'applique uniquement aux informations actuellement visibles. Vous pouvez cliquer avec le bouton droit sur les en-têtes de colonne pour ajouter ou supprimer des colonnes de recherche.
  • Si un filtre est appliqué, seules les mises à jour qui correspondent à la fois aux critères de recherche et aux critères de filtre sont affichées.
  • Toutes les correspondances partielles sont affichées.
  • La recherche n'est pas sensible à la casse.
  • L'utilisation de caractères génériques est interdite.
  • Pour effacer les critères de recherche, cliquez sur l'icône à droite de la zone de recherche.

Si le champ Recherche n'est pas visible, cliquez avec le bouton droit sur un en-tête de colonne dans la vue Résultats et sélectionnez Afficher le volet Recherche dans le menu contextuel.

Résultats

Les résultats de la requête s'affichent dans le volet inférieur lorsque vous sélectionnez Exécuter la requête.

Vous pouvez faire glisser les événements répertoriés ou les copier-coller pour créer des éléments de règle Chemin de fichier, Nom de fichier, Dossier ou Hachage de fichier pour les objets suivants :

  • Collections de règles
  • Ensembles de règles > Contrôle Exécutable > Autorisé/Refusé
  • Ensembles de règles > Gestion des privilèges > Applications/Auto-élévation
  1. Accédez à l'emplacement de l'éditeur de configuration Contrôle des applications où vous voulez créer l'élément de règle. Par exemple, Ensembles de règles > Tout le monde > Contrôle Exécutable > Autorisé
  2. Dans la boîte de dialogue Visionneuse d'événements, sélectionnez le ou les événements voulus, puis copiez-les ou faites-les glisser vers la boîte de dialogue Autorisé.
  3. Faites glisser ou collez l'élément pour ouvrir la boîte de dialogue Sélectionner un type d'élément de règle.
  4. Sélectionnez le ou les types d'élément à créer : Chemin de fichier, Nom de fichier, Dossier ou Hachage de fichier.
  5. Le ou les éléments de règle sont ajoutés.

Exporter les données- Sélectionnez cette option pour exporter la vue actuelle au format CSV. Vous pouvez choisir d'exporter uniquement les colonnes sélectionnées ou bien toutes les colonnes.

Afficher l'éditeur de filtre- Sélectionnez cette option pour ajouter des filtres aux résultats de requête.

Choisir des colonnes- Sélectionnez cette option pour personnaliser les colonnes affichées dans les résultats de requête.

Menu contextuel Résultats

Cliquez avec le bouton droit sur un en-tête de colonne pour afficher le menu contextuel, qui permet d'effectuer plusieurs actions supplémentaires.

  • Tri croissant : Trie la colonne sélectionnée dans l'ordre croissant.
  • Tri décroissant : Trie la colonne sélectionnée dans l'ordre décroissant.
  • Effacer le tri : Efface les critères de tri croissant ou décroissant actuellement définis pour une colonne.
  • Regrouper d'après cette colonne : Permet de regrouper la liste sur la base des données de la colonne sélectionnée. Une liste déroulante est créée pour chaque valeur de colonne possible.

    • Si vous exécutez cette action d'autres colonnes par la suite, les données sont présentées sous forme de groupes imbriqués, à des niveaux de plus en plus profonds dans les listes déroulantes.

    Si vous cochez la case Afficher le volet Groupe, les zones Regrouper par sont également affichées, immédiatement au-dessus des en-têtes de colonne.

    Astuce : Pour désactiver la fonction Regrouper d'après cette colonne et revenir à l'affichage d'origine, activez l'option Afficher le volet Groupe, cliquez avec le bouton droit sur chaque champ Regrouper par et choisissez Dissocier, puis cliquez avec le bouton droit dans l'en-tête de colonne et sélectionnez Masquer le volet Groupe.

  • Afficher le volet Groupe/Masquer le volet Groupe : Ces options affichent ou masquent la zone située immédiatement au-dessus des en-têtes de colonne, qui contient les champs Regrouper par. Le système affiche un seul champ Regrouper par pour chaque en-tête de colonne pour lequel vous avez activé l'option Regrouper d'après cette colonne. Vous pouvez également faire glisser des en-têtes de colonne vers ou depuis cette zone.

    • La table est regroupée en fonction des données figurant dans la zone. S'il y a plusieurs champs, le regroupement est imbriqué. Le champ le plus à gauche constitue le niveau le plus élevé, le champ à sa droite constitue le deuxième niveau, etc.

  • Afficher le sélecteur de colonnes : Permet d'afficher ou de masquer des informations dans un volet. Lorsque vous sélectionnez Afficher le sélecteur de colonnes, la boîte de dialogue Sélecteur de colonnes s'affiche. Cette boîte de dialogue sert à spécifier, parmi les colonnes disponibles, celles à afficher dans la grille. Si vous cliquez sur une entrée de la liste et que vous la faites glisser vers une nouvelle position dans la boîte de dialogue, les colonnes de la grille sont réorganisées en conséquence.
  • Ajuster : Redimensionne en largeur la colonne sélectionnée afin que le texte de l'en-tête s'affiche dans un espace optimal.
  • Ajuster (toutes les colonnes) : Redimensionne en largeur toutes les colonnes de la table afin que le texte de l'en-tête s'affiche dans un espace optimal.
  • Éditeur de filtre : La boîte de dialogue Éditeur de filtre affiche tous les filtres avancés actuellement actifs dans les en-têtes de colonne. L'éditeur vous permet de modifier les critères de filtre existants, et d'élaborer de nouveaux critères à l'aide des conditions de filtre et opérateurs logiques disponibles.

Rubriques connexes

Événements Application Control

Maintenance de la base de données