Protokolle

Die Protokolle für Server der Tanium Core Platform gelten nicht in einer Verteilung von Tanium as a Service.

Tanium as a Service ist ein selbstüberwachter Service, der darauf ausgelegt ist, Ausfälle zu erkennen, bevor die Ausfälle für Benutzer auftreten. Weitere Informationen finden Sie unter Handbuch für die Verteilung von Tanium as a Service: Fehlerbehebung bei Tanium as a Service.

Sie können die Protokolle der Tanium Core Platform verwenden, um Probleme und unerwartetes Verhalten zu diagnostizieren. Die Protokollierungsstufe bestimmt, wie viel Details Server der Tanium Core Platform in den Protokollen aufzeichnen. Die folgenden Protokollierungsstufen sind Best Practices für spezifische Anwendungsfälle:

0: Protokollierung deaktiviert.
1 (Standard): Normale Protokollierungsstufe.
41: Best-Practice-Wert während der Fehlersuche.
91 oder höher: Detaillierteste Protokollierungsstufe. Nur für kurze Zeiträume aktivieren.

Um die Protokollierungsstufe über die Tanium Console für den Tanium Server und den Tanium-Modulserver zu ändern, siehe Benutzerhandbuch der Tanium Console: Server-Protokollierungsstufen konfigurieren. Sie können auch die Protokollierungsstufe für Plattformserver ändern, indem Sie die LogVerbosityLevel-Einstellungen (siehe Einstellungen für Tanium Core Platform-Server) über die CLI unter Windows oder über die TanOS-Menüs auf der Tanium Appliancekonfigurieren.

Siehe Benutzerhandbuch für Tanium Client Management für nähere Informationen zu Tanium Client Protokollen: Fehlerbehebung.

Tanium Appliance

Tanium Appliance unterstützt die folgenden Protokollmerkmale:

Bericht zur Zustandprüfung: siehe Leitfaden zur Verteilung von Tanium Appliance: Zustandsprüfung durchführen
Protokolle der Tanium Core Platform: siehe Handbuch zur Verteilung von Tanium Appliance: Tanium Core Platform-Protokolle überprüfen. Diese ähneln den Plattformprotokollen, die Sie in einer Windows-Verteilung sehen.
Protokolle des Tanium-Moduls: siehe Handbuch zur Verteilung von Tanium Appliance: Protokolle des Tanium-Lösungsmoduls überprüfen
TanOS Partition Synchronisierungsprotokoll: siehe Handbuch zur Verteilung von Tanium Appliance: Das TanOS Partition Synchronisierungsprotkoll anzeigen
TanOS Aktualisierungsprotokoll: siehe Handbuch zur Verteilung von Tanium Appliance: Das TanOS Aktualisierungsprotokoll anzeigen
Protokolle des TSG: siehe Handbuch zur Verteilung von Tanium Appliance: TSG ausführen
Tanium Platform Analyzer (TPAN): siehe Benutzerhandbuch zum Tanium Health Check: Erstellung von Berichten
System Activity Report (SAR): siehe Handbuch zur Verteilung von Tanium Appliance: Verwenden Sie das Menü [Performance Monitoring (Leistungsüberwachung)]
Syslog Weiterleitung: siehe Handbuch zur Verteilung von Tanium Appliance: Konfigurieren von Syslog
SNMP-Rundgang: siehe Verteilungshandbuch für Tanium Appliance: Konfigurieren von SNMP

Windows

Um die Protokolle der Tanium Core Platform anzuzeigen, benötigen Sie Zugriff auf die Plattform-Server-Hosts. In den folgenden Speicherorten der Protokolldatei, Variablen wie <Tanium Server> repräsentieren die Verzeichnisse der Serverinstallation.

Protokolle des Aktionsplaners

Inhalt: Zeichnet Ereignisse und Probleme auf, die sich auf geplante Aktionen beziehen. Beispielsweise zeichnen die Protokolle Informationen darüber auf, warum der Tanium Server die Aktionen bereitgestellt oder nicht bereitgestellt hat. Wenn Sie die Protokollierungsstufe auf 1 (Standard) oder 41 festlegen, generiert der Server die Protokolle nur, wenn Fehler aufgetreten sind (z. B. Aktionen, die nicht bereitgestellt werden können). Um zusätzliche Details für normale (erfolgreiche) Operationen geplanter Aktionen aufzuzeichnen, setzen Sie die Protokollierungsstufe auf 91.
Ort und Dateiname: <Tanium Server>\Logs\action-scheduler<#>.txt

Authentifizierungsprotokolle

Inhalt: Zeichnet Benutzerzugriffe auf die Tanium Console oder die API über sämtliche Authentifizierungsmethoden auf.
Ort und Dateiname: <Tanium Server>\Logs\auth<#>.txt

Datenbank-Aktualisierungsprotokolle

Inhalt: Zeichnet Aktionen auf, die das Tanium Server-Installationsprogramm bei der Aktualisierung der Tanium Core Platform in Bezug auf Tanium-Datenbankschemata durchführt.
Ort und Dateiname: <Tanium Server>\Logs\database-upgrade<#>.txt

HTTP-Verbindungsprotokolle

HTTP-Verbindungsprotokolle sind in der Tanium Core Platform 7.3 oder älter verfügbar.

Inhalt: Zeichnet Verbindungsversuche mit dem Tanium Server auf. Die Protokolle zeichnen beispielsweise Registrierungsversuche durch Tanium Clients oder den Zonenserver auf.
Ort und Dateiname: <Tanium Server>\Logs\http-access<#>.txt

Installationsprotokolle

Inhalt: Zeichnet Aktionen auf, die das Installationsprogramm für einen Tanium Core Platform-Server während Installationen und Aktualisierungen durchführt. Wenn Sie Probleme bei der Installation feststellen, überprüfen Sie die Protokolle, um zu sehen, welche Aktionen erfolgreich abgeschlossen wurden und welche fehlgeschlagen sind. Jedes Mal, wenn Sie das Installationsprogramm ausführen, fügt es die Aktionen für diese Ausführung am Ende der Datei hinzu, anstatt einen Rollover für die Datei durchzuführen.
Ort und Dateiname:
- Tanium Server: <Tanium Server>\Install.txt
- Tanium-Modulserver: <Modulserver>\Install.txt
- Tanium Zone Server: <Zoneserver>\Install.txt

LDAP-Protokolle

Inhalt: Zeichnet LDAP-Synchronisierungs- und -Authentifizierungsereignisse für Interaktionen zwischen dem Tanium Server und LDAP-Servern auf.
Ort und Dateiname: <Tanium Server>\Logs/ldap<#>.txt

Modul-Plugin-Verlaufsprotokolle

Modul-Plugin-Verlaufsprotokolle sind in der Tanium Core Platform 7.3 oder neuer verfügbar.

Inhalt: Zeichnet Plugin-Ausführungen auf. Ein Plugin ist eine Erweiterung zu einer Komponente oder einem Lösungsmodul der Tanium Core Platform. Plugin-Operationen sind für Benutzer normalerweise unsichtbar. Der Tanium-Support könnte Sie allerdings anweisen, die Plugin-Details zu überprüfen, wenn Sie ein unerwartetes Verhalten untersuchen (kontaktieren Sie [email protected]).
Ort und Dateiname:
- Tanium Server: <Tanium Server>\Logs\module-history<#>.txt
- Tanium-Modulserver: <Modulserver>\Logs\module-history<#>.txt

Paketreiniger-Protokolle

Inhalt: Zeichnet auf, welche Paketdateien der Tanium Server aus dem Shard-Zwischenspeicher entfernt hat, weil die Pakete nicht mehr existieren, die Dateien abgelaufen sind oder der Server die Dateien mit aktualisierten Versionen ersetzt hat.
Ort und Dateiname: <Tanium Server>\Logs\package-cleaner<#>.txt

PKI-Protokolle

PKI-Protokolle sind in der Tanium Core Platform 7.4 oder neuer verfügbar.

Inhalt: Zeichnet Ereignisse in Zusammenhang mit der Verwendung digitaler Schlüssel auf, wenn Komponenten der Tanium Core Platform sich gegenseitig ihre Identität nachweisen. Die Protokolle zeichnen auch Ereignisse in Bezug auf Vertrauensgenehmigungen und -verweigerungen zwischen Tanium Servern, Zonenservern und Zonenserver-Hubs auf.
Ort und Dateiname:
- Tanium Server: <Tanium Server>\Logs\pki<#>.txt
- Tanium-Modulserver: <Modulserver>\Logs\pki<#>.txt
- Tanium Zone Server: <Zoneserver>\Logs\pki<#>.txt
- Tanium Zone Server-Hub (wenn der Hub sich nicht auf dem Tanium Server befindet): <Zone_Server_Hub_installation_folder>\Logs\pki<#>.txt

RBAC-Protokolle

Inhalt: Zeichnet Ereignisse auf, die mit der rollenbasierten Zugriffskontrolle (RBAC) von Tanium in Zusammenhang stehen. Wenn der Tanium Server beispielsweise Benutzern den Zugriff auf eine Ressource verweigert, geben die Protokolle an, welche erforderlichen Berechtigungen in den Benutzerrollen fehlen.
Ort und Dateiname: <Tanium Server>\Logs\rbac<#>.txt

Server-Protokolle

Inhalt: Dies sind die Hauptprotokolle für jeden Server der Tanium Core Platform und zeichnen alle Ereignisse auf, die andere Protokolltypen nicht aufzeichnen.
Ort und Dateiname:
- Tanium Server: <Tanium Server>\Logs\log<#>.txt
- Tanium-Modulserver: <Modulserver>\Logs\log<#>.txt
- Tanium Zone Server: <Zoneserver>\Logs\log<#>.txt

Tanium Datendienstprotokolle

Inhalt: Erfasst Operationen im Zusammenhang mit der Erfassung von Ergebnissen für Sensoren, die für die automatische Erfassung registriert sind. Für jede Frage, die der Tanium Server zur Erfassung von Sensorergebnissen ausgibt, hat das Protokoll einen Eintrag, der die Ausgabedatum-Uhrzeit, die Frage-ID (Harvesting qid) und Informationen zu jedem Sensor in der Frage anzeigt.
Ort und Dateiname: <Modulserver>\services\tanium-data-files\tanium-data.log<#>.txt

Tanium Downloader-Protokolle

Inhalt: Verlauf der Aktionen, die der Tanium Downloader-Dienst durchführt, wenn er Dateien von Tanium und anderen Internetspeicherorten herunterlädt. Die Protokolle beinhalten ggf. Statusereignisse der Proxy-Server-Verbindung. Die Tanium Downloader-Protokolle können Ihnen beim Importieren von Tanium-Inhaltspaketen und -Lösungsmodulen oder beim Herunterladen der Aktualisierungen von Paketdateien helfen.
Ort und Dateiname:
- Tanium Server: <Tanium Server>\TDL_Logs\log<#>.txt
- Tanium-Modulserver: <Modulserver>\TDL_Logs\log<#>.txt

Rollover für Tanium Core Platform-Protokolle

Um Speicherplatz für neue Protokolle freizugeben, führen Server der Tanium Core Platform einen Rollover durch und komprimieren vorhandene Protokolle, wenn diese die maximale Protokollgröße (1 MB) und maximale Protokollanzahl überschreiten. Die maximale Anzahl an Protokolldateien variiert je nach Protokolltyp und Format:

Tabelle 1: Anzahl der Protokolldateien
Name der Protokolldatei	Klartext	ZIP
action-scheduler<#>.txt	10	10
authlog<#>.txt	10	10
database-upgrade<#>.txt	10	10
download-catalog-cleaner<#>.txt	10	10
http-access<#>.txt	2	3
ldap<#>.txt	10	10
log<#>.txt (Haupt-Serverprotokoll für jeden Tanium Core Platform-Server)	10	10
log<#>.txt (Tanium Downloader-Protokoll)	10	0
module-history<#>.txt	2	3
package-cleaner<#>.txt	10	10
pki<#>.txt	10	10
rbac<#>.txt	10	10

Der Rollover-Prozess erfolgt wie unten dargestellt, wobei <log_type#>.txt der Name der Protokolldatei ist (z. B. log0.txt):

Klartext-Protokolle

Wenn die erste Protokolldatei <log_type>0.txt 1 MB Größe erreicht, wird sie in <log_type>1.txt umbenannt und eine neue Datei <log_type>0.txt wird erstellt. Wenn <log_type>0.txt erneut 1 MB erreicht, wird <log_type>1.txt in <log_type>2.txt umbenannt, <log_type>0.txt wird erneut in <log_type>1.txt umbenannt und <log_type>0.txt wird erneut erstellt. Der Rollover-Prozess für Protokolle, wenn <log_type>0.txt 1 MB erreicht, wird fortgesetzt, bis die maximale Anzahl an Klartext-Protokollen vorhanden ist. So verfügt beispielsweise jedes Server-Protokoll der Tanium Core Platform über maximal 10 Klartext-Protokolle: log0.txt bis log9.txt.

ZIP-Protokolle

Nach der Aufzeichnung der maximalen Anzahl an Klartext-Protokollen wird das älteste Protokoll komprimiert. Beispiel: log9.txt wird als log10.zip gespeichert. Wenn <log_type>0.txt erneut 1 MB erreicht, wird der Dateiname des ersten ZIP-Protokolls erhöht (z. B. wird log10.zip zu log11.zip) und das älteste Klartext-Protokoll wird erneut komprimiert und ersetzt das erste ZIP-Protokoll. Der ZIP-Datei-Rollover-Prozess wird fortgesetzt, bis die maximale Anzahl an ZIP-Dateien vorhanden ist. So verfügt beispielsweise jedes Server-Protokoll der Tanium Core Platform über maximal 10 ZIP-Dateien: log10.zip bis log19.zip. Wenn <log_type>0.txt danach erneut 1 MB erreicht, wird das erste ZIP-Protokoll erneut erstellt (z. B. log10.zip), aber das älteste ZIP-Protokoll (z. B. log19.zip) wird nicht umbenannt und wird effektiv gelöscht, da es durch die zweitälteste ZIP-Datei ersetzt wird (z. B. wird log18.zip zum neuen log19.zip).