Skip to main content

Documentation technique Olfeo SaaS

Diagnostics

À quoi correspond la vue Diagnostics ?

La vue Diagnostics d'Olfeo SaaS propose un outil permettant de paramétrer automatiquement une interface dédiée pour vous permettre de diagnostiquer les soucis de navigation remontés par vos utilisateurs (blocages de sites à tort, applications "client lourd" non-fonctionnelles etc. ) en vous permettant de consulter les journaux de filtrage de vos utilisateurs en temps quasi-réel.

L'affichage de ces journaux de filtrage en temps quasi-réel s'effectue via Kibana, interface conçue pour afficher et manipuler ce genre de données, automatiquement paramétré lorsque vous le lancez depuis l'interface d'Olfeo SaaS.

livelogs.png

La vue Discover centralise les journaux relatifs à l'activité de vos utilisateurs naviguant avec Olfeo SaaS. Les évènements sont générés par les différents composants tel que le proxy et le moteur de filtrage.

Par défaut :

  • La plage de temps de requête correspond aux 5 dernières minutes et l'affichage se rafraichit automatiquement toutes les 5 secondes.

  • La durée de rétention des logs est de 31 jours ce qui vous permet de revenir sur des incidents de navigation déclarés par vos utilisateurs à votre helpdesk en ayant le contexte complet de cet incident.

Ce que l'outil de Diagnostics et d'affichage temps réel des journaux de filtrage de contient pas...

Cette vue n'affiche que les journaux des requêtes qui sont parvenues jusqu'à notre plateforme. Si vous avez configuré la gestion du trafic pour que certains sites soient exclus de la proxyfication, vous ne les retrouverez naturellement pas dans cette interface : cela sera le cas typiquement des requêtes d'authentification de vos utilisateurs.

Cas d'usage

Il existe différents cas d'usage de consultation des journaux de filtrage de vos utilisateurs :

  • En phase de mise en place de Olfeo SaaS dans votre SI, pour voir que les politiques de filtrage que vous configurez via votre interface apportent bien le résultat attendu.

  • En cours d'exploitation, pour analyser un incident de navigation qui vous serait remonté par un utilisateur. Exemple : l'une de vos collaboratrices n'arrive pas à accéder au site ants.gouv.fr et vous souhaitez voir si une règle de filtrage la bloque ou bien s'il s'agit d'un autre problème.

  • Pour nous transmettre des informations qualifiées en cas de besoin nécessitant une analyse plus approfondie.

  1. Rendez-vous dans Outils > Diagnostics.

  2. Sélectionnez :

    • Un utilisateur (la saisie est automatiquement préfiltrée sur le nom complet de vos utilisateurs par ex. "John Doe")

      et / ou

    • Un domaine (www.olfeo.com par ex.) : utile si vous vous lez consulter ce qui se passe pour un domaine spécifique

      et /ou

    • Une URL (https://documentation.olfeo.com/fr/release-notes.html) : copiez-collez une URL qu'on vous remonte comme problématique

      Avertissement

      Pour des raisons de performances et de sécurité, les URL affichées dans l'outil de Diagnostic sont limitées à 500 caractères.

    Astuce

    Le filtrage des données dans le Kibana est alors préfiltré avec les éléments saisis depuis votre interface. Vous pouvez combiner ces éléments pour lancer immédiatement un diagnostic très ciblé mais vous pourrez ajuster ces filtres dans l'interface de Kibana.

  3. Cliquez sur Consulter les logs.

    L'interface Kibana s'ouvre dans un nouvel onglet affichant les journaux de filtrage correspondant aux éléments saisis (si la page ne s'affiche pas, pensez à vérifier les autorisation des fenêtres pop-up).

Par défaut, les données des 5 dernières minutes sont affichées et ces données sont rafraîchies toutes les 5 secondes pour les filtres que vous avez sélectionné dans l'interface de Olfeo SaaS.

Changer la période

Vous avez la possibilité de changer la période d'affichage ainsi que la vitesse de rafraîchissement depuis l'interface.

Changer_la_periode.png

Changer les colonnes affichées et filtrer l'affichage des journaux

Des colonnes avec des champs pré-définis s'affichent par défaut : l'horodatage (time), la catégorie de la destination (category_label), la destination (domain), le nom de l'utilisateur (display_name), le statut de la requête (status) et l'action retenue par le filtrage (action).

Colonnes_affichees.png

Tous ces champs sont modifiables. En fonction de votre cas d'usage, vous pouvez :

  • retirer un champ (remove) de la section Selected fields.

    remove.png
  • ajouter un champ (add) dans la section Available fields.

    add.png

En filtrant les données inscrites dans les champs, vous pouvez visualiser les journaux de vos utilisateurs contenant une même donnée (filter for value) :

filter_in.png
filter_out.png

La donnée filtrée est ensuite surlignée en jaune sur l'interface

Vous pouvez au contraire retirer cette donnée de la consultation (filter out value) :

filter_out3.png
filter_out_value.png

La donnée non-filtrée apparaît sur la ligne des filtres mis en place

Note

Les paramètres seront restaurés à chaque nouvelle connexion, n'hésitez pas à changer les données de consultation en fonction de votre cas d'usage. Pour tout complément d'informations, rendez-vous sur la documentation de Kibana.

Retrouvez ci-dessous les données disponibles dans l'interface de Kibana.

Tableau 1. Données disponibles dans le Livelogs

Nom

Usage

Type de donnée

Affiché Par défaut

Historisé 365j ?

@timestamp

le timestamp du hit   catégorie à laquelle appartient le domaine demandé chaine de caractères oui

timestamp

oui

oui

category_label

catégorie à laquelle appartient le domaine demandé

cChaine de caractères

oui

oui

domain

domaine demandé (FQDN

Chaîne de caractères

oui

oui

display_name

nom complet de l'utilisateur, tel que syncrhonisé par votre annuaire

chaine de caractères

oui

oui

action

décision de filtrage : allow | deny

chaine de caractères

oui

oui

_id

identifiant interne ES

chaîne de caractères

non

non

_index

élément technique interne ES

chaîne de caractères

non

non

_score

élément technique interne

chaîne de caractères

non

non

_type

élément technique interne ES

chaîne de caractères

non

non

category_id

l'identifiant de la catégorie de site dans la base d'URL Olfeo

entier

non

oui

client_id

l'identifiant client interne Olfeo SaaS

UUID

non

oui

dest_ip

l'IP de destination

IPv4

non

non

directory_id

l'identifiant Olfeo SaaS de l'annuaire de l'utilisateur

UUID

non

non

directory_name

le nom de l'annuaire (tel qu'il apparaît dans votre interface d'administration)

chaîne de caractères

non

non

external_id

l'identifiant externe de l'utilisateur tel que synchronisé depuis votre annuaire

chaîne de caractères (UUID par défaut)

non

oui

groups_id

les identifiants Olfeo SaaS des groupes auxquels appartiennent l'utilisateur

Tableau d'UUID

non

non

groups_name

les noms des groupes auxquels appartiennent l'utilisateur, tels que synchronisés depuis votre annuaire

tableau de chaînes de caractères

non

non

http_version

la version du protocole HTTP utilisée pour cette connexion (1.0, 1.1, 2.0 ...)

chaîne de caractère

non

non

log_producer

l'identité du producteur du journal si différente du proxy Olfeo SaaS

chaîne de caractères

non

non

peer_response_time_ms

temps de réponse (en ms) du serveur de destination

entier

non

non

peer_status_code

code HTTP du statut de la réponse renvoyé par le serveur à la plateforme Olfeo SaaS

entier

non

non

policy_id

identifiant interne Olfeo SaaS de la politique de filtrage

UUID

non

non

policy_name

nom de la politique de filtrage tel qu'il apparaît dans votre interface d'administration

chaîne de caractères

non

non

rule_id

identifiant de la règle de filtrage

UUID

non

non

src_ip

IP source de la reqête

IPv4

non

oui

src_port

Port utilisé sur le poste ayant effectué la requête

entier

non

oui

theme_label

Thème de catégories auquel appartient le domaine demandé

chaîne de caractères

non

non

threat

nom du malware détecté (le cas échéant)

chaine de caractères

non

oui

url

L'url demandée

ATTENTION : celles-ci sont tronquées à 500 caractères max.

chaîne de caractères

non

oui

user_id

identifiant interne Olfeo SaaS de l'utilisateur

UUID

non

oui

user_received_bytes

taille de la réponse retournée à l'utilisateur

entier

non

non

user_response_time_ms

temps de réponse pour l'utilisateur (en ms)

entier

non

non

user_sent_bytes

taille de la requête (en octets)

entier

non

non

user_status_code

code HTTP du statut de la réponse renvoyé par Olfeo SaaS à l'utilisateur

entier

non

non