Diagnostics
À quoi correspond la vue Diagnostics ?
La vue Diagnostics d'Olfeo SaaS propose un outil permettant de paramétrer automatiquement une interface dédiée pour vous permettre de diagnostiquer les soucis de navigation remontés par vos utilisateurs (blocages de sites à tort, applications "client lourd" non-fonctionnelles etc. ) en vous permettant de consulter les journaux de filtrage de vos utilisateurs en temps quasi-réel.
L'affichage de ces journaux de filtrage en temps quasi-réel s'effectue via Kibana, interface conçue pour afficher et manipuler ce genre de données, automatiquement paramétré lorsque vous le lancez depuis l'interface d'Olfeo SaaS.
 |
La vue Discover centralise les journaux relatifs à l'activité de vos utilisateurs naviguant avec Olfeo SaaS. Les évènements sont générés par les différents composants tel que le proxy et le moteur de filtrage.
Par défaut :
La plage de temps de requête correspond aux 5 dernières minutes et l'affichage se rafraichit automatiquement toutes les 5 secondes.
La durée de rétention des logs est de 31 jours ce qui vous permet de revenir sur des incidents de navigation déclarés par vos utilisateurs à votre helpdesk en ayant le contexte complet de cet incident.
Ce que l'outil de Diagnostics et d'affichage temps réel des journaux de filtrage de contient pas...
Cette vue n'affiche que les journaux des requêtes qui sont parvenues jusqu'à notre plateforme. Si vous avez configuré la gestion du trafic pour que certains sites soient exclus de la proxyfication, vous ne les retrouverez naturellement pas dans cette interface : cela sera le cas typiquement des requêtes d'authentification de vos utilisateurs.
Cas d'usage
Il existe différents cas d'usage de consultation des journaux de filtrage de vos utilisateurs :
En phase de mise en place de Olfeo SaaS dans votre SI, pour voir que les politiques de filtrage que vous configurez via votre interface apportent bien le résultat attendu.
En cours d'exploitation, pour analyser un incident de navigation qui vous serait remonté par un utilisateur. Exemple : l'une de vos collaboratrices n'arrive pas à accéder au site ants.gouv.fr et vous souhaitez voir si une règle de filtrage la bloque ou bien s'il s'agit d'un autre problème.
Pour nous transmettre des informations qualifiées en cas de besoin nécessitant une analyse plus approfondie.
Rendez-vous dans Outils > Diagnostics.
Sélectionnez :
Un utilisateur (la saisie est automatiquement préfiltrée sur le nom complet de vos utilisateurs par ex. "John Doe")
et / ou
Un domaine (www.olfeo.com par ex.) : utile si vous vous lez consulter ce qui se passe pour un domaine spécifique
et /ou
Une URL (https://documentation.olfeo.com/fr/release-notes.html) : copiez-collez une URL qu'on vous remonte comme problématique
Avertissement
Pour des raisons de performances et de sécurité, les URL affichées dans l'outil de Diagnostic sont limitées à 500 caractères.
Astuce
Le filtrage des données dans le Kibana est alors préfiltré avec les éléments saisis depuis votre interface. Vous pouvez combiner ces éléments pour lancer immédiatement un diagnostic très ciblé mais vous pourrez ajuster ces filtres dans l'interface de Kibana.
Cliquez sur Consulter les logs.
L'interface Kibana s'ouvre dans un nouvel onglet affichant les journaux de filtrage correspondant aux éléments saisis (si la page ne s'affiche pas, pensez à vérifier les autorisation des fenêtres pop-up).
Par défaut, les données des 5 dernières minutes sont affichées et ces données sont rafraîchies toutes les 5 secondes pour les filtres que vous avez sélectionné dans l'interface de Olfeo SaaS.
Changer la période
Vous avez la possibilité de changer la période d'affichage ainsi que la vitesse de rafraîchissement depuis l'interface.
 |
Changer les colonnes affichées et filtrer l'affichage des journaux
Des colonnes avec des champs pré-définis s'affichent par défaut : l'horodatage (time), la catégorie de la destination (category_label), la destination (domain), le nom de l'utilisateur (display_name), le statut de la requête (status) et l'action retenue par le filtrage (action).
 |
Tous ces champs sont modifiables. En fonction de votre cas d'usage, vous pouvez :
retirer un champ (remove) de la section Selected fields.
ajouter un champ (add) dans la section Available fields.
En filtrant les données inscrites dans les champs, vous pouvez visualiser les journaux de vos utilisateurs contenant une même donnée (filter for value) :
La donnée filtrée est ensuite surlignée en jaune sur l'interface
Vous pouvez au contraire retirer cette donnée de la consultation (filter out value) :
La donnée non-filtrée apparaît sur la ligne des filtres mis en place
Note
Les paramètres seront restaurés à chaque nouvelle connexion, n'hésitez pas à changer les données de consultation en fonction de votre cas d'usage. Pour tout complément d'informations, rendez-vous sur la documentation de Kibana.
Retrouvez ci-dessous les données disponibles dans l'interface de Kibana.
Nom | Usage | Type de donnée | Affiché Par défaut | Historisé 365j ? |
|---|---|---|---|---|
@timestamp | le timestamp du hit catégorie à laquelle appartient le domaine demandé chaine de caractères oui | timestamp | oui | oui |
category_label | catégorie à laquelle appartient le domaine demandé | cChaine de caractères | oui | oui |
domain | domaine demandé (FQDN | Chaîne de caractères | oui | oui |
display_name | nom complet de l'utilisateur, tel que syncrhonisé par votre annuaire | chaine de caractères | oui | oui |
action | décision de filtrage : allow | deny | chaine de caractères | oui | oui |
_id | identifiant interne ES | chaîne de caractères | non | non |
_index | élément technique interne ES | chaîne de caractères | non | non |
_score | élément technique interne | chaîne de caractères | non | non |
_type | élément technique interne ES | chaîne de caractères | non | non |
category_id | l'identifiant de la catégorie de site dans la base d'URL Olfeo | entier | non | oui |
client_id | l'identifiant client interne Olfeo SaaS | UUID | non | oui |
dest_ip | l'IP de destination | IPv4 | non | non |
directory_id | l'identifiant Olfeo SaaS de l'annuaire de l'utilisateur | UUID | non | non |
directory_name | le nom de l'annuaire (tel qu'il apparaît dans votre interface d'administration) | chaîne de caractères | non | non |
external_id | l'identifiant externe de l'utilisateur tel que synchronisé depuis votre annuaire | chaîne de caractères (UUID par défaut) | non | oui |
groups_id | les identifiants Olfeo SaaS des groupes auxquels appartiennent l'utilisateur | Tableau d'UUID | non | non |
groups_name | les noms des groupes auxquels appartiennent l'utilisateur, tels que synchronisés depuis votre annuaire | tableau de chaînes de caractères | non | non |
http_version | la version du protocole HTTP utilisée pour cette connexion (1.0, 1.1, 2.0 ...) | chaîne de caractère | non | non |
log_producer | l'identité du producteur du journal si différente du proxy Olfeo SaaS | chaîne de caractères | non | non |
peer_response_time_ms | temps de réponse (en ms) du serveur de destination | entier | non | non |
peer_status_code | code HTTP du statut de la réponse renvoyé par le serveur à la plateforme Olfeo SaaS | entier | non | non |
policy_id | identifiant interne Olfeo SaaS de la politique de filtrage | UUID | non | non |
policy_name | nom de la politique de filtrage tel qu'il apparaît dans votre interface d'administration | chaîne de caractères | non | non |
rule_id | identifiant de la règle de filtrage | UUID | non | non |
src_ip | IP source de la reqête | IPv4 | non | oui |
src_port | Port utilisé sur le poste ayant effectué la requête | entier | non | oui |
theme_label | Thème de catégories auquel appartient le domaine demandé | chaîne de caractères | non | non |
threat | nom du malware détecté (le cas échéant) | chaine de caractères | non | oui |
url | L'url demandée ATTENTION : celles-ci sont tronquées à 500 caractères max. | chaîne de caractères | non | oui |
user_id | identifiant interne Olfeo SaaS de l'utilisateur | UUID | non | oui |
user_received_bytes | taille de la réponse retournée à l'utilisateur | entier | non | non |
user_response_time_ms | temps de réponse pour l'utilisateur (en ms) | entier | non | non |
user_sent_bytes | taille de la requête (en octets) | entier | non | non |
user_status_code | code HTTP du statut de la réponse renvoyé par Olfeo SaaS à l'utilisateur | entier | non | non |