Sensoren verwalten

Übersicht über Sensoren

Ein Sensor ist ein Skript, das auf einem Endpunkt ausgeführt wird, um eine Antwort auf eine Tanium-Frage zu berechnen. Tanium as a Service (TaaS)Der Tanium Server verteilt während der Registrierung des Tanium Client Sensoren an Endpunkte. Sensoren ermöglichen es Ihnen, Fragen zu stellen, die Informationen wie die folgenden sammeln:

  • Hardware- und Softwarebestand und -konfiguration
  • Ausführen von Anwendungen und Prozessen
  • Dateien und Verzeichnisse
  • Netzwerkverbindung

TaaS bietet Der Installationsprozess für den Tanium Server importiert automatisch das Tanium™ Standard- und Tanium™ Interact-Inhaltspaket, das Sensoren für eine Vielzahl häufig gestellter Fragen enthält. Andere Tanium-Lösungen, die Sie importieren, können weitere Sensoren bieten, je nachdem, welche Tanium-Inhaltspakete oder Tanium-Lösungsmodule Sie importieren. Wenn Sie einen benötigten Sensor nicht in den von Tanium bereitgestellten Inhalten finden, können Sie benutzerdefinierte Sensoren erstellen.

Eine Sensorkonfiguration beinhaltet Einstellungen, Skriptinhalte und Skriptparameter. Sensoren verwenden branchenübliche Skriptsprachen und keine proprietäre Code-Syntax. Die beste Praxis für Sensoren besteht in der Verwendung der Skripting Engine, die auf der größten Anzahl von verwalteten Endpunkten verfügbar ist. Bei Windows-Endpunkten bietet VBScript typischerweise die umfassendste, sofort nutzbare Abdeckung, da es standardmäßig bei jeder Desktop-Version von Microsoft Windows seit Windows 98 und in jeder Windows Server-Version seit Windows NT 4.0 Option Pack installiert ist. Bei MacOs- und Linux-Endpunkten bietet das Shellscript im Allgemeinen die umfassendste sofort nutzbare Abdeckung. Natürlich können Sie Sensoren entwickeln, die eine andere Skriptsprache verwenden, die das Betriebssystem unterstützt (wie PowerShell auf Windows), solange die zugehörige Scripting Engine bereits auf dem Endpunkt vorhanden ist, oder Sie können die Engine auf den Endpunkten bereitstellen und konfigurieren, die sie nicht installiert haben. Sie können die Konfigurationen der reservierten Sensoren von Tanium nicht bearbeiten: Dies sind die Kernsystemsensoren, die Computername, Aktionsstatus, Computer-ID und Download-Status beinhalten.

Für die Rollenberechtigungen, die zur Verwaltung von Sensoren erforderlich sind, siehe Berechtigungen für die Inhaltsverwaltung.

Details zum Sensor anzeigen

So zeigen Sie die Sensor-Konfigurationsattribute und Laufzeitmetriken an:

  1. Gehen Sie im Hauptmenü zu Administration > Content (Inhalt) > Sensors (Sensoren).

    Das Raster Sensors (Sensoren) zeigt die meisten Sensorattribute an, die in Tabelle 1 beschrieben sind.

  2. (Optional) Um Attribute anzuzeigen, die das Raster standardmäßig ausblendet, klicken Sie auf [Customize Columns (Spalten anpassen)] Spalten anpassen und wählen Sie die Attribute aus.
  3. (Optional) Klicken Sie für die Option Runtime (Laufzeit) auf Show (Anzeigen), um Sensor-Laufzeitmetriken anzuzeigen, oder auf Hide (Ausblenden) (Standard), um sie zu verbergen.

    Für jeden Sensor zeigt die Spalte Runtime (Laufzeit) ein Symbol an, das angibt, ob der Sensor einen Laufzeitschwellenwert überschritten hat. Sie können mit der Maus über das Symbol fahren, um eine Quickinfo mit dem Laufzeitdurchschnitt in Millisekunden anzuzeigen. Details zu den Symbolen und den Schritten zum Konfigurieren von Schwellenwerten für die Laufzeit finden Sie unter Verwalten der Schwellenwerte für die Sensorlaufzeit.

    Setzen Sie die Option Show Hidden (Ausgeblendete anzeigen) auf Yes (Ja), um ausgeblendete Sensoren und eine Spalte Hidden State (Ausgeblendeter Zustand) anzuzeigen, die angibt, welche Sensoren als Visible (Sichtbar) oder Hidden (Ausgeblendet) konfiguriert sind.

  4. (Optional) Verwenden Sie die Filter, um bestimmte Sensoren zu finden:
    • Nach Text filtern: Um das Raster nach Sensornamen, Kategorie oder Beschreibung zu filtern, geben Sie eine Textzeichenfolge in das Feld Filter items (Elemente filtern) ein.
    • Filtern nach Attribut: Filtern Sie das Raster nach einem oder mehreren Attributen, wie z. B. die Zuweisung Content Set (Inhaltsset). Erweitern Sie den Abschnitt ErweiternFilters (Filter), klicken Sie auf HinzufügenAdd (Hinzufügen), wählen Sie ein Attribut und einen Bediener aus, geben Sie eine Textzeichenfolge ein, die den gesamten oder einen Teil des Attributwerts enthält, und klicken Sie auf Apply (Anwenden). Wenn Sie mehrere Attributfilter hinzufügen, gilt der Bediener [Boolean AND (boolesches UND)]. Nachdem Sie die Angabe von Attributen abgeschlossen haben, klicken Sie auf Apply All (Alle anwenden), um das Raster zu filtern.
  5. (Optional) Um alle Attribute anzuzeigen, die in Tabelle 1 beschrieben sind, klicken Sie auf einen Sensornamen.
  1. Gehen Sie im Hauptmenü zu Administration > Content (Inhalt) > Sensors (Sensoren).

    Das Raster Sensors (Sensoren) zeigt die meisten Sensorattribute an, die in Tabelle 1 beschrieben sind.

  2. (Optional) Um Attribute anzuzeigen, die das Raster standardmäßig ausblendet, klicken Sie auf [Customize Columns (Spalten anpassen)] Spalten anpassen und wählen Sie die Attribute aus.
  3. (Optional) Klicken Sie für die Option Runtime (Laufzeit) auf Show (Anzeigen), um Sensor-Laufzeitmetriken anzuzeigen, oder auf Hide (Ausblenden) (Standard), um sie zu verbergen.

    Für jeden Sensor zeigt die Spalte Runtime (Laufzeit) ein Symbol an, das angibt, ob der Sensor einen Laufzeitschwellenwert überschritten hat und zeigt den Laufzeitdurchschnitt in Millisekunden an. Details zu den Symbolen und den Schritten zum Konfigurieren von Schwellenwerten für die Laufzeit finden Sie unter Verwalten der Schwellenwerte für die Sensorlaufzeit.

  4. (Optional) Verwenden Sie die Filter, um bestimmte Sensoren zu finden:
    • Nach Text filtern: Um das Raster nach Sensornamen, Kategorie oder Beschreibung zu filtern, geben Sie eine Textzeichenfolge in das Feld Filter items (Elemente filtern) ein.
    • Filtern nach Attribut: Filtern Sie das Raster nach einem oder mehreren Attributen, wie z. B. die Zuweisung Content Set (Inhaltsset). Erweitern Sie den Abschnitt ErweiternFilters (Filter), klicken Sie auf HinzufügenAdd (Hinzufügen), wählen Sie ein Attribut und einen Bediener aus, geben Sie eine Textzeichenfolge ein, die den gesamten oder einen Teil des Attributwerts enthält, und klicken Sie auf Apply (Anwenden). Wenn Sie mehrere Attributfilter hinzufügen, gilt der Bediener [Boolean AND (boolesches UND)]. Nachdem Sie die Angabe von Attributen abgeschlossen haben, klicken Sie auf Apply All (Alle anwenden), um das Raster zu filtern.
  5. (Optional) Um alle Attribute anzuzeigen, die in Tabelle 1 beschrieben sind, wählen Sie einen Sensor und klicken Sie auf [Edit (Bearbeiten)] Edit.

Einen Sensor bearbeiten

Als bewährtes Verfahren bearbeiten Sie keine vordefinierten Sensoren, die über Inhaltspakete von Tanium importiert wurden. Einzelheiten finden Sie unter Tipp 4: Beschränken Sie die Anpassung auf Tanium-Inhalte. Tanium Support, wenn die Bearbeitung der von Tanium bereitgestellten Sensoren erforderlich ist. Alternativ können Sie von Tanium bereitgestellte Sensoren klonen (siehe Einen Sensor klonen) und die Kopien bearbeiten. Sie können auch benutzerdefinierte Sensoren bearbeiten, die Sie von Grund auf erstellt haben.

Um die Zuordnung des Inhaltssets für mehrere Sensoren zu ändern, die zum gleichen Set gehören müssen, siehe Sensoren zwischen Inhaltssets verschieben.

So bearbeiten Sie einen Sensor:

  1. Gehen Sie im Hauptmenü zu Administration > Content (Inhalt) > Sensors (Sensoren).
  2. Verwenden Sie die Funktionen für Suche und Spaltensortierung, um den Sensor zu finden, den Sie bearbeiten möchten.
  3. Wählen Sie die Sensorzeile aus, und klicken Sie auf Edit (Bearbeiten).
  4. Konfigurieren Sie die in Tabelle 1 beschriebenen Einstellungen, und klicken Sie auf Save (Speichern).

Sensoren zwischen Inhaltssets verschieben

Sie können nach Bedarf Sensoren zwischen Inhaltssets verschieben, um Änderungen an der Konfiguration der rollenbasierten Zugriffskontrolle (RBAC) in Ihrer Tanium-Bereitstellung vorzunehmen. Sie möchten beispielsweise vielleicht bestimmte Sensoren in ein Inhaltsset verschieben, auf das nur Benutzer mit hohen Privilegien zugreifen können.

  1. Gehen Sie im Hauptmenü zu Administration > Content (Inhalt) > Sensors (Sensoren).
  2. Wählen Sie den Sensor und dann Move to Content Set (Zu Inhaltsset verschieben) > <content_set_name> aus.

Einen Sensor klonen

Klonen ist nützlich, wenn Sie:

  • Eine modifizierte Version eines vordefinierten Sensors aus einem Inhaltspaket von Tanium erstellen.

    Verändern Sie den originalen Tanium-Sensor nicht.

  • Erstellen Sie einen neuen Sensor mit Einstellungen, die nur geringfügig von einem vorhandenen Sensor abweichen; dies ist oft einfacher, als einen neuen Sensor von Grund auf zu erstellen.

Führen Sie die folgenden Schritte aus, um einen Sensor zu klonen:

  1. Gehen Sie im Hauptmenü zu Administration > Content (Inhalt) > Sensors (Sensoren).
  2. Verwenden Sie die Funktionen für Suche und Spaltensortierung, um den Sensor zu finden, den Sie klonen möchten.
  3. Wählen Sie den Sensor aus, und klicken Sie auf Clone (Klonen).
  4. Konfigurieren Sie die in Tabelle 1 beschriebenen Einstellungen und klicken Sie auf Save (Speichern).

Einen Sensor erstellen

  1. Gehen Sie im Hauptmenü zu Administration > Content (Inhalt) > Sensors (Sensoren).
  2. Klicken Sie auf New Sensor (neuer Sensor), konfigurieren Sie die folgenden Einstellungen, und klicken Sie auf Save (Speichern).
 Tabelle 1: Richtlinien zur Sensorkonfiguration
Einstellungen Richtlinien
Name Geben Sie einen Namen an, um den Sensor zu identifizieren. Der Name wird in Sensorlisten in der Tanium Console angezeigt. Beachten Sie das bestehende Namensschema, damit Sie und andere Administratoren es leicht finden können. Verwenden Sie kein Unterstrich-Zeichen (_), dieses ist ein Trennzeichen für Sensor-Unterspalten. Wenn der Sensorname einen Unterstrich aufweist, können Sensor-Quellpakete den Sensor nicht als Sensorvariable verwenden.

Wichtig: Wenn Sie den Sensornamen ändern, stellen Sie sicher, dass Sie den Inhalt, der darauf verweist, neu konfigurieren. Sie müssen den Sensornamen beispielsweise in allen gespeicherten Fragen aktualisieren, die mit dem vorherigen Namen konfiguriert sind.
Beschreibung Geben Sie eine Beschreibung ein. Fügen Sie Beispiele für formatierte Ergebnisse bei. Die Beschreibung erscheint auf der Seite Sensors (Sensoren) und im Dialog Browse Sensors (Sensoren durchsuchen) des Question Builder (Fragensteller).
Inhaltsset Weisen Sie es einem Inhaltsset zu. Die Liste wird mit allen Inhaltssets ausgefüllt, für die Sie die Berechtigung zum Schreiben des Sensors haben.
Kategorie Geben Sie eine der Kategorien an, die auf der Seite Sensors (Sensoren) und im Dialog Browse Sensors (Sensoren durchsuchen) des Question Builder (Fragensteller) erscheint.
Result Type Das Raster Question Results (Fragenergebnisse) behandelt Werte, die der Sensor als Art von Daten zurückgibt, die Sie angeben:
  • Datum/Uhrzeit (RFC822)
  • Datum/Uhrzeit (WMI)
  • Dateigröße
  • Integer
  • IP-Adresse
  • Numerisch
  • Text
  • Dauer
  • Version
Max. Sensoralter Geben Sie die maximale Zeitspanne ein, für die der Tanium Client ein zwischengespeichertes Ergebnis für diesen Sensor verwenden kann, wenn er Fragen beantwortet, die den Sensor verwenden. Zum Beispiel beträgt das maximale Datenalter für den Sensor File Size (Dateigröße) standardmäßig 15 Minuten. Wenn ein Tanium Client eine Frage empfängt, die den Sensor File Size (Dateigröße) ausführt, wird das Ergebnis zwischengespeichert. Wenn der Tanium Client in den nächsten 15 Minuten eine Frage empfängt, die den Sensor File Size (Dateigröße) enthält, antwortet er mit der zwischengespeicherten Antwort. Nach 15 Minuten, wenn der Tanium Client eine Frage empfängt, die den Sensor File Size (Dateigröße) enthält, führt er das Sensorskript erneut aus, um eine neue Antwort zu berechnen.

Verwenden Sie ein kürzeres Alter für Sensoren, die häufig sich ändernde Werte liefern, wie z. B. Sensoren für Status und Nutzung. Verwenden Sie ein längeres Alter für Werte, die sich nicht häufig ändern, wie z. B. der Gehäusetyp oder die Active Directory Domain-Mitgliedschaft.

Das Max Sensor Age (Max. Sensoralter) beeinflusst nur den Ergebnis-Cache auf dem Tanium Client, nicht den Ergebnis-Cache, den der Tanium™ Data Service auf dem Tanium Server speichert (siehe Erfassung von Sensorergebnissen verwalten).
Max Strings Age (Max. Zeichenkettenalter) Wenn Sie die Auswirkungen reduzieren möchten, die Fragenergebnisse auf den Festplattenspeicherplatz des Tanium Servers haben, wählen Sie Enable (Aktivieren) aus, und geben Sie das maximale Alter an, das Antwort-Zeichenketten erreichen dürfen, bevor der Server sie löscht. Die Standardeinstellung ist eine Woche. Das Zeichenkettenalter basiert auf der Anzahl an Minuten, seit der Tanium Server die Zeichenkette zuletzt verwendet oder von Tanium Clients empfangen hat. Einzelheiten finden Sie unter Wachstum von Sensor-Zeichenketten verwalten.

Das Max String Age (Max. Zeichenkettenalter) gilt nicht für den Ergebnis-Cache, den der Tanium Data Service auf dem Tanium Server speichert (siehe Erfassung von Sensorergebnissen verwalten).
Max Strings (Max. Zeichenketten) Wenn Sie die Auswirkungen reduzieren möchten, die Fragenergebnisse auf den Festplattenspeicherplatz des Tanium Servers haben, wählen Sie Enable (Aktivieren) aus, und geben Sie die maximale Anzahl der Antwort-Zeichenketten ein, die der Server für diesen Sensor speichert, bevor er die ältesten Zeichenketten entfernt. Der Server schließt die Anzahl der Zeichenketten für temporäre Sensoren mit ein, wenn er die Anzahl der Zeichenketten für deren Quellsensoren berechnet. Der Standardwert ist 0, was für keine Begrenzung steht. Das Zeichenkettenalter basiert auf dem Zeitpunkt, an dem der Tanium Server die Zeichenkette zuletzt verwendet oder von Tanium Clients empfangen hat.

Wichtig: Bei der Begrenzung des Zeichenkettenwachstums ist es ein bewährtes Verfahren, Max Strings Age (Max. Zeichenkettenalter) statt Max Strings (Max. Zeichenketten) festzulegen (siehe Wachstum von Sensor-Zeichenketten verwalten). In Extremfällen, die eine Begrenzung der Zeichenketten-Anzahl für einzelne Sensoren erfordern können, wenden Sie sich an den Tanium Support, bevor Sie die Einstellung Max Strings (Max. Zeichenketten) festlegen.

Das Max String Age (Max. Zeichenkettenalter) gilt nicht für den Ergebnis-Cache, den der Tanium Data Service auf dem Tanium Server speichert (siehe Erfassung von Sensorergebnissen verwalten).
Ignore case in result values Gruppen- und Zählerergebniswerte unabhängig von Unterschieden in Großbuchstaben und Kleinbuchstaben.
Hide this sensor from sensor lists and parse results Wählen Sie diese Option, wenn Sie Sensorlisten über die Benutzerschnittstelle hinweg anzeigen möchten, um das Objekt auszuschließen.
In mehrere Spalten aufteilen (Nur Multispaltensensoren) Wenn das Sensorskript mehrere Ergebnisse zurückgibt, zeigen Sie diese in mehreren Spalten im Raster Question Results (Fragenergebnisse) an. Geben Sie das Trennzeichen an, das verwendet wird, um die Ergebniswerte im Skript zu trennen. Geben Sie Spaltennamen und entsprechende Ergebnistypen ein und ordnen Sie sie in der Reihenfolge an, die Sie im Ergebnisraster anzeigen möchten. Wählen Sie die Option Hide (Ausblenden), um die Spalte aus der Standardansicht des Ergebnisrasters auszublenden. Die folgende Abbildung zeigt die Einstellungen für den Sensor Running Applications (Laufende Anwendungen).

Mehrspalten-Sensoreinstellungen

: Beim Erstellen von Fragen, die Mehrspalten-Sensoren filtern, funktioniert eine Einzelspaltenfilterung nur, wenn die Sensordefinition Spaltentrennzeichen mit einem einzelnen Zeichen spezifiziert (z. B. |), und nicht mit mehreren Zeichen (z. B. |:).

Skript Führen Sie die folgenden Schritte für jedes Ziel-Betriebssystem (OS) aus:

  1. Klicken Sie auf +, um ein Ziel-OS hinzuzufügen.

  2. Stellen Sie den Query Type (Abfragetyp) auf die gewünschten Scripting Engine ein.

  3. Geben Sie den Text des Skripts ein.
Parametereingaben (Nur Parametrisierte Sensoren) Klicken Sie auf + und anschließend auf Add Parameter (Parameter hinzufügen), um einen Parameter zu konfigurieren.

Die Parameter sind:

  • Kontrollkästchen – Der Benutzer aktiviert eine Einstellung, indem er ein Kästchen aktiviert. In die Variable wird 0 oder 1 eingegeben. Gibt 1 zurück, wenn aktiviert und 0, wenn nicht aktiviert.
  • Datum, Datum/Uhrzeit, Datum – Zeitspanne – Der Benutzer wählt ein Datum und eine Uhrzeit oder eine Zeitspanne aus. Das Datum/Uhrzeit-Format wird in Millisekunden angegeben. Für einen Bereich gibt der Benutzer zwei Datumsangaben an, die durch ein Pipe-Zeichen getrennt sind.
  • Dropdown-Liste – Der Benutzer wählt nur eine Option aus einer Liste aus.
  • Liste – Der Benutzer wählt einen oder mehrere Werte aus. Mehrere Werte werden durch ein Pipe-Zeichen getrennt.
  • Numerisch – Der Benutzer gibt eine Zahl ein. Die Eingabe kann mit Minimal- und Maximalwerten gesteuert werden. Sie können eine Schrittgröße angeben, um zu verlangen, dass die Eingabe durch den angegebenen Wert teilbar ist. Snap Zeitabstand ist der Betrag, um den eine Zahl durch Drücken der Aufwärts- bzw. Abwärts-Taste erhöht oder verringert wird. Der Wert für Schrittgröße sollte ein Vielfaches des Wertes für Snap Zeitabstand sein, es sei denn, der Snap Zeitabstand ist 0. Die vom Benutzer gewählte Zahl wird in die Variable eingegeben.
  • Numerisches Intervall – Der Benutzer wählt eine Zahl und ein Element aus einer Liste aus. Das Listenelement hat einen numerischen Wert. Der in die Variable eingegebene Wert ist das Ergebnis der Multiplikation. Wenn ein Benutzer beispielsweise eine 2 und „Hoch“ wählt (wobei hoch ein Wert von 3 bedeutet), lautet der Wert in der Variablen 6.
  • Plugin – Nicht für die Verwendung durch die meisten Benutzer bestimmt. Tanium Support, um weitere Informationen zu seiner Verwendung zu erhalten.
  • Trennzeichen – Ein Trennzeichen ist eine grafische Methode, um Abschnitte im Benutzereingabeformular zu trennen.
  • Textbereich – Der Benutzer gibt eine große Menge an Text ein. Der Text wird in die Variable eingegeben.
  • Texteingabe – Der Benutzer gibt Texteingaben ein. Zulässige Einträge können mit regulären Ausdrücken gesteuert werden. Die Benutzereingabe wird in die Variable eingegeben.
  • Zeit – Der Benutzer wählt eine Uhrzeit aus einer Dropdown-Liste aus. Die Eingabe kann Einschränkungen unterliegen.
Sensor Preview Die Vorschau der Sensorergebnisse auf einer kleinen Anzahl von unkritischen Endpunkten ermöglicht es Ihnen, den Sensor zu testen, bevor er für Fragen oder Sensor-Ernten zur Verfügung gestellt wird. Vorschauen sind eine nützliche Vorsichtsmaßnahme, falls das Sensorskript Mängel aufweist, die sich negativ auf die Endpunkte auswirken könnten.

Wählen Sie eine Computergruppe aus, oder klicken Sie auf Add (Hinzufügen), um eine zu erstellen, und klicken Sie anschließend auf Preview (Vorschau), um Testergebnisse für den Sensor anzuzeigen.

Konfigurationen des Sensors exportieren oder importieren

Die folgenden Verfahren beschreiben, wie Sie die Konfigurationen bestimmter Sensoren oder aller Sensoren exportieren und importieren.

Entwickeln und testen Sie Inhalt in Ihrer Laborumgebung, bevor Sie diesen Inhalt in Ihre Produktionsumgebung importieren.

Sensoren exportieren

Exportieren Sie Sensoren als CSV-Datei, um ihre Einstellungen in einer Anwendung anzuzeigen, die dieses Format unterstützt. Wenn Ihr Benutzerkonto eine Rolle mit der Berechtigung Export Content (Inhalt exportieren) hat, können Sie auch Aktionen als JSON-Datei exportieren, um sie in einen anderen Tanium Server zu importieren. Die reservierte Administratorrolle verfügt über diese Berechtigung.

Wenn Sie zusätzlich zu Sensoren auch andere Arten von Inhalten exportieren oder importieren möchten, siehe Shared Services und Inhalte verwalten.

  1. Gehen Sie im Hauptmenü zu Administration > Content (Inhalt) > Sensors (Sensoren).
  2. Wählen Sie Zeilen im Raster aus, um nur bestimmte Sensoren zu exportieren. Wenn Sie alle Sensoren exportieren möchten, überspringen Sie diesen Schritt.
  3. Klicken Sie auf Export (Exportieren) ExportExport.
  4. (Optional) Bearbeiten Sie den Standard-Export Dateiname.

    Das Dateisuffix (.csv oder .json) ändert sich automatisch basierend auf der Format-Auswahl.

  5. Wählen Sie eine Option Export Data (Exportieren von Daten) aus: All (Alle) Sensoren im Raster oder nur die Selected (ausgewählten) Sensoren.
  6. Wählen Sie die Datei Format: JSON oder CSV.
  7. Klicken Sie auf Export (Exportieren).

    TaaSDer Tanium Server exportiert die Datei in den Ordner Downloads auf dem System, das Sie verwenden, um auf die Tanium Console zuzugreifen.

Sensoren importieren

Benutzer benötigen zum Importieren von Sensoren Berechtigungen zum Importieren signierter Inhalte und zum Lesen von Sensoren. Benutzer mit der reservierten Rolle des Administrators oder Inhaltsadministrators können alle Sensoren importieren.

Sie können Inhaltsdateien importieren, die im JSON- oder XML-Format vorliegen.

  1. Signieren Sie die Inhaltsdatei digital und stellen Sie sicher, dass ein öffentlicher Schlüssel vorhanden ist, um die Signatur zu validieren. Siehe Authentifizieren von Inhaltsdateien.
  2. Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Solutions (Lösungen).
  3. Scrollen Sie zum Abschnitt Content (Inhalt) und klicken Sie auf Import Import Content (Inhalt importieren).
  4. Klicken Sie auf Choose File (Datei auswählen), wählen Sie die Inhaltsdatei aus, und klicken Sie auf Open (Öffnen).
  5. Klicken Sie auf Import (Importieren).

    Wenn Objektnamen in der Datei identisch sind wie bei bestehenden Objekten, stellt die Tanium Console die Konflikte fest und bietet Lösungsoptionen für jeden einzelnen.

  6. Wählen Sie Lösungen für mögliche Konflikte aus. Anleitungen finden Sie unter Conflicts (Konflikte) und Best Practices.
  7. Klicken Sie noch einmal auf Import (Importieren) und dann auf Close (Schließen), wenn der Import abgeschlossen ist.

Details zur Konfiguration des Sensors kopieren

Kopieren Sie Informationen von der Seite Sensors (Sensoren) in Ihre Zwischenablage, um die Informationen in eine Nachricht, Textdatei oder Tabellenkalkulation einzufügen. Jede Zeile im Raster ist eine kommagetrennte CSV (Character Separated Value)-Zeichenkette.

  1. Gehen Sie im Hauptmenü zu Administration > Content (Inhalt) > Sensors (Sensoren).
  2. Führen Sie einen der folgenden Schritte aus:
    • Informationen zur Zeile kopieren: Wählen Sie eine oder mehrere Zeilen aus und klicken Sie auf [Copy (Kopieren)] Copy.
    • Informationen zur Zelle kopieren: Fahren Sie mit der Maus über die Zelle, klicken Sie auf [Options (Optionen)] und Optionenklicken Sie auf [Copy (Kopieren)] Copy.

Sensorquarantänen verwalten

Überblick über Sensorquarantänen

Die Durchsetzung von Sensorquarantänen verhindert, dass Sensoren für die aktuelle Frage oder Aktion auf einem Endpunkt ausgeführt werden, wenn diese Sensoren während einer vorherigen Frage oder Aktion die Laufzeitgrenze überschritten haben. Quarantänen sind hilfreich dabei, die Auswirkungen auf Endpunkt-Ressourcen wie CPU-Auslastung zu begrenzen, wenn Fragen und Aktionen übermäßig lang laufende Sensoren verwenden. Der nicht konfigurierbare Zeitablauf ist auf eine Minute eingestellt.

Standardmäßig werden Quarantänen nicht durchgesetzt: Nachdem ein Sensor den Zeitablauf überschreitet und seine Ausführung beendet wird, befindet sich der Sensor im Quarantäne-Status, wird aber für zukünftige Fragen oder Aktionen weiterhin ausgeführt, bis er abgeschlossen ist oder den Zeitablauf überschreitet. In diesem Fall verwendet der Tanium Client den Quarantäne-Status nur, um aufzuzeichnen, dass der Sensor den Zeitablauf überschritten hat.

Unabhängig davon, ob Sie die Durchsetzung aktivieren, stoppt der Tanium Client jeden Sensor in dem Moment, in dem er den Zeitablauf überschreitet. Jeder Client versetzt Sensoren in Quarantäne und erzwingt die Quarantäne unabhängig. Folglich könnte ein Sensor an einigen Endpunkten unter Quarantäne gestellt werden und an anderen nicht.

Wenn ein Tanium Client einen Sensor in Quarantäne versetzt, zeigt die Tanium Console die folgende Meldung im Raster Question Results (Fragenergebnisse) an: TSE-Error: Sensor evaluation timed out (TSE-Fehler: Zeitüberschreitung bei Sensorauswertung). Wenn Sie eine Frage ausgeben, die einen bereits in Quarantäne versetzten Sensor verwendet, und die Durchsetzung aktiviert ist, zeigt das Raster Question Results (Fragenergebnisse) Folgendes an: TSE-Error: The sensor is quarantined (TSE-Fehler: Der Sensor befindet sich in Quarantäne). Der Tanium Client fügt Einträge zu den Client-Protokollen und Sensor-Verlaufsprotokollen hinzu, wenn er einen Sensor in Quarantäne versetzt oder einen bereits in Quarantäne versetzten Sensor an der Ausführung hindert.

Wenn temporäre Sensoren den einminütigen Zeitablauf überschreiten, versetzt der Tanium Client den Original-Sensor sowie alle aktuellen und zukünftigen temporären Sensoren, die auf dem Original-Sensor basieren, in Quarantäne.

Wenn die Durchsetzung aktiviert ist, werden in Quarantäne versetzte Sensoren nicht ausgeführt, wenn sie für das Anvisieren von Endpunkten verwendet werden, selbst wenn die Sensoren in Computergruppen enthalten sind. Jedoch könnten in Quarantäne versetzte Sensoren den Zielbereich einer Frage verzerren, die eine ungenaue Auswahlbedingung enthält, wie z. B. from all machines with Is Windows not equals true (von allen Maschinen mit Ist Windows ist nicht Wahr). In diesem Fall würden Windows-Endpunkte, auf denen der Sensor Is Windows (Ist Windows) in Quarantäne versetzt wurde, die Bedingung not equals true (ist nicht wahr) erfüllen, weil ihre Antwort auf TSE-Error: The sensor is quarantined (TSE-Fehler: Der Sensor wurde in Quarantäne versetzt) statt auf true (wahr) lauten würde. Zur Vermeidung solcher Ergebnisse sollten Sie die Zielklausel so konkret wie möglich gestalten und keine negativen Vergleichsbedingungen wie not equals true (ist nicht wahr) verwenden.

Sensoren in Quarantäne anzeigen

Um die Attribute der in Quarantäne befindlichen Sensoren zu sehen:

  1. Gehen Sie im Hauptmenü zu Administration >  Content (Inhalt) > Quarantined Sensors (Sensoren in Quarantäne).

    Das Raster Quarantined Sensors (Sensoren in Quarantäne) zeigt viele Sensorattribute an.

  2. (Optional) Um Attribute anzuzeigen, die das Raster standardmäßig ausblendet, klicken Sie auf [Customize Columns (Spalten anpassen)] Spalten anpassen und wählen Sie die Attribute aus.
  3. (Optional) Verwenden Sie die Filter, um bestimmte Sensoren zu finden:
    • Nach Text filtern: Um das Raster nach Sensornamen oder Beschreibung zu filtern, geben Sie eine Textzeichenfolge in das Feld Filter By Text (Nach Text filtern) ein.
    • Filtern nach AttributErweitern: Filtern Sie das Raster nach einem oder mehreren Attributen, wie z. B. die Zuweisung Content Set (Inhaltsset). Erweitern Sie den Abschnitt ErweiternFilters (Filter), klicken Sie auf HinzufügenRow (Zeile) oder HinzufügenGrouping (Gruppierung) (zur Gruppierung nach booleschen Bedienern), klicken Sie auf HinzufügenAdd (Hinzufügen), wählen Sie ein Attribut und einen Bediener aus, geben Sie eine Textzeichenfolge ein, die den gesamten oder einen Teil des Attributwerts enthält, und klicken Sie auf Apply (Anwenden). Nachdem Sie die Angabe von Attributen abgeschlossen haben, klicken Sie auf Apply All (Alle anwenden), um das Raster zu filtern.
  1. Gehen Sie im Hauptmenü zu Administration >  Content (Inhalt) > Quarantined Sensors (Sensoren in Quarantäne).

    Das Raster Quarantined Sensors (Sensoren in Quarantäne) zeigt viele der Sensorattribute an, die in Tabelle 1 beschrieben sind.

  2. (Optional) Um Attribute anzuzeigen, die das Raster standardmäßig ausblendet, klicken Sie auf [Customize Columns (Spalten anpassen)] Spalten anpassen und wählen Sie die Attribute aus.
  3. (Optional) Verwenden Sie die Filter, um bestimmte Sensoren zu finden:
    • Nach Text filtern: Um das Raster nach Sensornamen oder Beschreibung zu filtern, geben Sie eine Textzeichenfolge in das Feld Filter By Text (Nach Text filtern) ein.
    • Filtern nach AttributErweitern: Filtern Sie das Raster nach einem oder mehreren Attributen, wie z. B. die Zuweisung Content Set (Inhaltsset). Erweitern Sie den Abschnitt ErweiternFilters (Filter), klicken Sie auf Hinzufügen Row (Zeile) oder Hinzufügen Grouping (Gruppierung) (zur Gruppierung nach booleschen Bedienern), klicken Sie auf Hinzufügen Add (Hinzufügen), wählen Sie ein Attribut und einen Bediener aus, geben Sie eine Textzeichenfolge ein, die den gesamten oder einen Teil des Attributwerts enthält, und klicken Sie auf Apply (Anwenden). Nachdem Sie die Angabe von Attributen abgeschlossen haben, klicken Sie auf Apply All (Alle anwenden), um das Raster zu filtern.
  4. (Optional)  Um alle Attribute anzuzeigen, die in Tabelle 1 beschrieben sind, wählen Sie einen Sensor und klicken Sie auf Edit (Bearbeiten).

Einen Sensor zur Quarantäne hinzufügen

Sie können einen Sensor auf einem Endpunkt manuell in Quarantäne versetzen, wenn Sie erwarten, dass die Ausführung des Sensors den Endpunkt negativ beeinträchtigt.

Die Quarantäne eines Sensors ermöglicht nicht automatisch die Durchsetzung der Quarantäne.

  1. Geben Sie im URL-Feld des Browsers, den Sie für den Zugriff auf die Tanium Console verwenden, https://<TaaS instanceTanium Server>/hash/<sensor> ein. Geben Sie für die <TaaS-InstanzTanium Server>, die TaaS Tanium Server FQDN oder IP-Adresse ein. Die Variable <sensor> muss in Bezug auf Groß-/Kleinschreibung und Leerzeichen dem Sensornamen entsprechen, den die Tanium Console anzeigt.

    Der Browser zeigt den Hash-Wert an, der dem Sensor zugeordnet ist.

  2. Öffnen Sie das Betriebssystem-CLI auf dem Endpunkt und ändern Sie das Verzeichnis (cd) zum Installationsverzeichnis des Tanium Client.

  3. Geben Sie den folgenden Befehl ein:

    • Windows: TaniumClient quarantine add <sensor_hash>
    • Nicht-Windows: ./TaniumClient quarantine add <sensor_hash>

Sensoren aus der Quarantäne entfernen

Sie können die Tanium Console verwenden, um einen Sensor auf einigen oder allen Endpunkten aus der Quarantäne zu entfernen, wenn Sie das Paket Default Content (Standard-Inhalt [ehemals Initial Content–Base (Anfangsinhalte – Grundlagen)] Version 7.1.10.0000 oder neuer importiert haben (siehe Shared Services und Inhalte verwalten). Nachdem Sie einen Sensor aus der Quarantäne entfernt haben, erlaubt der Tanium Client seine Ausführung in nachfolgenden Fragen und Aktionen, wird den Sensor aber erneut beenden und in Quarantäne versetzen, wenn ein Zeitablauf für ihn eintritt.

Wenn Sie einen Sensor ändern, werden Tanium Clients, die seine neue Definition erhalten, diesen Sensor automatisch aus der Quarantäne entfernen.

TaaS Der Tanium Server kann Sensoren auf Endpunkten, die offline sind, nicht aus der Quarantäne entfernen. Wenn Sie wissen, dass einige Endpunkte erst zu einem späteren Zeitpunkt online kommen werden, erwägen Sie die Planung einer Aktion, die das Paket Un-Quarantine Sensor (Sensor aus Quarantäne entfernen) oder Un-Quarantine Sensor (Non-Windows) [Sensor aus Quarantäne entfernen (Nicht-Windows)] verwendet (siehe Bereitstellen von Aktionen).

  1. Gehen Sie im Hauptmenü zu Administration > Content (Inhalt) > Quarantined Sensors (Sensoren in Quarantäne).
  2. Wählen Sie die Sensoren aus, und klicken Sie auf Unquarantine (Aus Quarantäne entfernen).
  3. Wählen Sie unter Action Group (Aktionsgruppe) die Aktionsgruppe aus, die die Endpunkte enthält, auf denen Sie die Sensoren aus der Quarantäne entfernen möchten.
  4. Zeigen Sie eine Vorschau der betroffenen Endpunkte an, und klicken Sie dann auf Unquarantine (Aus Quarantäne entfernen).

Durchsetzung von in Quarantäne gestellten Sensoren aktivieren oder deaktivieren

Nachdem Sie die Quarantäne-Durchsetzung aktiviert haben, beantworten Tanium Clients keine Fragen, die Quarantäne-Sensoren verwenden, und diese Sensoren werden für Aktionen nicht ausgeführt. Nachdem Sie die Durchsetzung deaktiviert haben, sehen Clients die Sensoren immer noch als in Quarantäne an und protokollieren Quarantäne-Ereignisse, verhindern jedoch nicht, dass diese Sensoren ausgeführt werden.

Ihr Benutzerkonto muss über eine Rolle mit der Berechtigung Write Global Settings (Globale Einstellungen schreiben) verfügen, um die Quarantäne-Durchsetzung zu aktivieren oder zu deaktivieren. Benutzer mit der reservierten Administratorrolle verfügen über diese Berechtigung.

Wenn Sie die Durchsetzung zum ersten Mal aktivieren, müssen Sie die Einstellung EnableSensorQuarantine (SensorQuarantäneAktivieren) wie folgt zu den globalen Einstellungen auf dem Tanium Server hinzufügen. Standardmäßig ist die Durchsetzung deaktiviert und die Einstellung wird in der Tanium Console nicht angezeigt. Nachdem Sie die Einstellung hinzugefügt haben, wendet der Tanium Server sie auf alle Tanium Clients an.

  1. Zugang zur Tanium Console.
  2. Gehen Sie im Hauptmenü zu Administration > Management > Global Settings (Globale Einstellungen) und klicken Sie auf New Setting (Neue Einstellung).
  3. Geben Sie die folgenden Werte ein, und klicken Sie auf Save (Speichern).
    • Setting Name (Name der Einstellung) = EnableSensorQuarantine (SensorQuarantäneAktivieren)
    • Setting Value (Wert der Einstellung) = 1
    • Affects (Betrifft) = Client
    • Value Type (Werttyp) = Numerisch

Führen Sie die folgenden Schritte durch, wenn Sie die Einstellung zur Durchsetzung ändern möchten, nachdem Sie diese zu den globalen Einstellungen hinzugefügt haben:

  1. Gehen Sie im Hauptmenü zu Administration > Management > Global Settings (Globale Einstellungen).
  2. Wählen Sie EnableSensorQuarantine (SensorQuarantäneAktivieren), klicken Sie auf Edit (Bearbeiten), stellen Sie den Wert auf 1 ein, um die Durchsetzung zu aktivieren, oder auf 0, um die Durchsetzung zu deaktivieren, und klicken Sie auf Save (Speichern).

Wenn Sie die Einstellung zur Durchsetzung in bestimmten Tanium Clients statt in allen Clients ändern möchten, fügen Sie die Einstellung EnableSensorQuarantine in der lokalen Konfiguration dieser Clients hinzu oder bearbeiten Sie sie dort (siehe Benutzerhandbuch für Tanium Client Management: Einstellungen für Tanium Client CLI und Client).

Details des unter Quarantäne gestellten Sensors exportieren

Exportieren Sie Informationen über unter Quarantäne gestellte Sensoren als CSV-Datei, um sie in einer Anwendung anzuzeigen, die dieses Format unterstützt.

Benutzer können die Details spezifischer in Quarantäne gestellter Sensoren exportieren, wenn sie über die Berechtigung Sensor schreiben für die Inhaltssätze dieser Sensoren verfügen. Benutzer mit der reservierten Rolle des Administrators oder Inhaltsadministrators können die Details aller unter Quarantäne gestellten Sensoren exportieren.

  1. Gehen Sie im Hauptmenü zu Administration > Content (Inhalt) > Quarantined Sensors (Sensoren in Quarantäne).
  2. Wählen Sie eine der folgenden Exportoptionen aus:
    • Um die Details bestimmter Sensoren in Quarantäne zu exportieren, aktivieren Sie die entsprechenden Kontrollkästchen und klicken Sie auf Export (Exportieren).
    • Um die Details bestimmter in Quarantäne gestellter Sensoren zu exportieren, klicken Sie auf [Export (Exportieren)] ExportExport.
  3. Geben Sie einen Dateinamen für die CSV-Datei ein.
  4. Um Raster-Spaltenüberschriften in die .csv-Datei aufzunehmen, wählen Sie Include headers in export (Überschriften in Export aufnehmen).

    Überspringen Sie die Option Flatten rows (Zeilen abflachen). Sie gilt nicht für in Quarantäne gestellte Sensoren.

  5. Klicken Sie auf Export (Exportieren).

    TaaSDer Tanium Server exportiert die Datei in den Ordner Downloads auf dem System, das Sie verwenden, um auf die Tanium Console zuzugreifen.

Details des unter Quarantäne gestellten Sensors kopieren

Kopieren Sie Informationen von der Seite Quarantined Sensors (Sensoren in Quarantäne) in Ihre Zwischenablage, um die Informationen in eine Nachricht, Textdatei oder Tabellenkalkulation einzufügen. Jede Zeile im Raster ist eine kommagetrennte CSV (Character Separated Value)-Zeichenkette.

  1. Gehen Sie im Hauptmenü zu Administration > Content (Inhalt) > Quarantined Sensors (Sensoren in Quarantäne).
  2. Führen Sie einen der folgenden Schritte aus:
    • Informationen zur Zeile kopieren: Wählen Sie eine oder mehrere Zeilen aus und klicken Sie auf [Copy (Kopieren)] Copy.
    • Informationen zur Zelle kopieren: Fahren Sie mit der Maus über die Zelle, klicken Sie auf [Options (Optionen)] und Optionenklicken Sie auf [Copy (Kopieren)] Copy.

Erfassung von Sensorergebnissen verwalten

Der Tanium Data Service ermöglicht es Ihnen, gespeicherte Sensorergebnisse für Endpunkte zu sehen, die offline sind, wenn Sie eine Frage ausgeben. Nachdem Sie Sensoren für die Erfassung registriert haben, fragt der Service alle verwalteten Endpunkte ab, um die Ergebnisse dieser Sensoren zu erfassen und in der Tanium-Datenbank zu speichern. Um die Ergebnisse aktuell zu halten, stellt der Service regelmäßig Fragen neu aus, die die registrierten Sensoren enthalten. Das Raster Interact Question Results (Frageergebnisse) zeigt nur die neuesten erfassten Ergebnisse an. Details zur Anzeige dieser Ergebnisse finden Sie unter Ergebnisse für Online- und Offline-Endpunkte anzeigen.

Wenn Sie sich entscheiden, welche Sensoren registriert werden sollen, berücksichtigen Sie, dass die Ergebniserfassung Ressourcen wie Netzwerkbandbreite, Verarbeitung auf Endpunkten und Speicherplatz auf dem Tanium Server verbraucht. Der Ressourcenverbrauch steigt mit der Kardinalität der Sensoren. Beispielsweise erzeugt der IP Address-Sensor für jeden Endpunkt einen einzigartigen Ergebnis-String, während der OS-Sensor (Betriebssystem) für alle Endpunkte, die das gleiche OS haben, denselben String erzeugt. In diesem Fall erfordert der IP Address-Sensor mit hoher Kardinalität mehr Bandbreite, CPU-Auslastung und Speicher als der Sensor des Betriebssystems.

Um den Ressourcenverbrauch zu optimieren, konfigurieren Sie die Sammlung nur für Sensoren mit niedriger Kardinalität, die häufig auf Ergebnisse zugreifen, wie z. B. für tägliche Berichte. Beispielsweise können Sie Berichte basierend auf den Ergebnissen des Sensors für anwendbare Patches erstellen, um die Hygiene- oder Sicherheitslage von sowohl Online- als auch Offline-Endpunkten zu beurteilen. Umgekehrt schwanken die Ergebnisse des Sensors für High-CPU-Prozesse zu viel, um zuverlässig zu sein, um die Aktivität an Offline-Endpunkten zu messen.

Details zur Überwachung des Ressourcenverbrauchs im Zusammenhang mit der Ergebniserfassung finden Sie unter Die Ressourcennutzung für die Erfassung der Sensorergebnisse überwachen.

Der Tanium Server registriert automatisch bestimmte Sensoren zur Erfassung. Der Server registriert beispielsweise automatisch Sensoren, die Endpunkte identifizieren oder die Mitgliedschaft in Computerverwaltungsgruppen definieren. Die vollständige Liste finden Sie unter Sensoren, die standardmäßig registriert sind.

Die Berechtigungen für die Benutzerrolle, die zur Verwaltung der Sensorerfassung erforderlich sind, finden Sie unter Berechtigungen von Tanium Data Service-Berechtigungen.

Um das Servicekonto zu ändern, das der Tanium Data Service zum Erfassen von Sensorergebnissen verwendet, siehe Tanium Interact Benutzerhandbuch: Dienstkonto konfigurieren.

Die Einstellungen für Max Sensor Age (Max. Sensoralter), Max String Age (Max. Zeichenkettenalter) und Max Strings (Max. Zeichenketten) in Sensorkonfigurationen gelten nicht für die Sensorergebnisse, die der Tanium Data Service erfasst und speichert. Für Details zu diesen Einstellungen siehe Tabelle 1.

Details zur Registrierung der Sensorerfassung anzeigen

Den Registrierungsstatus und andere Details jedes Sensors anzeigen:

  1. Gehen Sie zur Interact-Startseite und klicken Sie auf [Settings (Einstellungen)] Einstellungen.

    Auf der Registerkarte Registration & Collection (Registrierung und Erfassung) zeigt die Spalte Registered (Registriert) für Sensoren, die für die Erfassung registriert und aktiviert sind, True (Wahr) an. Die Spalte zeigt False (Falsch) für Sensoren an, die nicht registriert oder registriert, aber deaktiviert sind (die Sammlung wird angehalten).

    In der Spalte ganz rechts zeigt das Dropdown-Menü Actions (Aktionen) die verfügbaren Operationen für jeden Sensor an: Registrierung (Add (Hinzufügen)), Aufheben der Registrierung (Release (Freigabe)), Anhalten der Erfassung (Disable (Deaktivieren)), Wiederaufnahme der Erfassung (Enable (Aktivieren)) und Löschen der Ergebnisse (Purge (Löschen)). Beachten Sie, dass Sie für Sensoren, die unter Sensoren, die standardmäßig registriert sind aufgeführt sind, nicht die Registrierung aufheben, die Sammlung pausieren oder Ergebnisse löschen können.

    Standardmäßig wird das Sensorraster gefiltert, um ausgeblendete Sensoren auszuschließen. Details zu ausgeblendeten Sensoren finden Sie unter der Einstellung Hide this sensor from sensor lists and parse results (Diesen Sensor aus Sensorlisten ausblenden und Ergebnisse analysieren) in Tabelle 1.

    Klicken Sie auf den Namen eines Sensors, um seine Konfiguration zu bearbeiten.

  2. (Optional) Um nur bestimmte Sensoren anzuzeigen, klicken Sie auf Advanced Filters (Erweiterte Filter) und wählen Sie aus den folgenden Optionen:
    • Kategorie: Zeigt nur die Sensoren an, die in Fragen verwendet werden, die Übersichtsseiten zugeordnet sind, die in einer bestimmten Kategorie enthalten sind.
    • Registriert: Zeigt nur die Sensoren an, die für die Sammlung registriert und aktiviert sind (True (Wahr)) oder nicht für die Sammlung registriert sind (False (Falsch)).
    • Ausgeblendet: Zeigt nur die Sensoren an, die ausgeblendet (True (Wahr)) oder nicht ausgeblendet (False (Falsch)) sind.
    • Hat Parameter: Nur parametrisierte Sensoren (True (Wahr)) oder nicht parametrisierte Sensoren (False (Falsch)) anzeigen.
  3. (Optional) Geben Sie eine Textzeichenkette in das Feld Filter Items (Elemente filtern) oberhalb des Rasters ein, um ihn nach Sensorname oder Kategorie zu filtern.

Sensoren zur Sammlung registrieren oder die Registrierung aufheben

Nachdem Sie Sensoren für die Sammlung registriert oder die Registrierung aufgehoben haben, wendet der Tanium Data Service die Änderungen für das nächste Sammlungsintervall automatisch an (siehe Erweiterte Einstellungen für Sensor-Sammlung konfigurieren), wenn Fragen zur Aktualisierung der Sensorergebnisse ausgegeben werden. Darüber hinaus beginnt der Server nach der Registrierung eines Sensors zur Sammlung sofort mit der Sammlung von Ergebnissen für den Sensor. Änderungen bei der Registrierung gelten auch, wenn Sie die Sammlung manuell starten. Sie können die Registrierung von Sensoren, die standardmäßig registriert sind, nicht aufheben.

Das Aufheben der Registrierung eines Sensors entfernt seine vorhandenen Ergebnisse nicht aus dem Tanium Data Service-Speicher. Um Ergebnisse aus der Lagerung zu löschen, damit die Seite Question Results (Frageergebnisse) sie nicht anzeigt, siehe Ergebnisse für bestimmte Sensoren löschen.

  1. Gehen Sie zur Interact-Startseite und klicken Sie auf [Settings (Einstellungen)] Einstellungen.
  2. (Optional) Filtern der Register Registration & Collection (Registrierung und Sammlung), um bestimmte Sensoren zu finden: siehe Details zur Registrierung der Sensorerfassung anzeigen.
  3. Führen Sie einen der folgenden Aktionen aus:
    • Sensoren registrieren: Wählen Sie Actions (Aktionen) > Add (Hinzufügen), um einen Sensor zu registrieren.

      Für jeden parametrisierten Sensor können Sie mehrere Instanzen registrieren. Geben Sie für jede Instanz die Parameter an und klicken Sie auf Apply (Anwenden).

    • Aufheben der Registrierung von Sensoren: Wählen Sie Actions (Aktionen) > Release (Freigeben), um die Registrierung eines Sensors aufzuheben.

Sammlung für Sensoren anhalten oder fortsetzen

Wenn der Tanium Server Fragen zur Aktualisierung der Sensorergebnisse ausgibt, schließt er alle pausierten Sensoren aus. Sie können die Sammlung für einzelne Sensoren anhalten oder fortsetzen, ohne die Registrierung aufzuheben oder erneut zu registrieren. Wenn Sie einen Sensor anhalten, zeigt die Interact-Seite Question Results (Frageergebnisse) weiterhin die letzten Ergebnisse (falls vorhanden) an, die der Server für diesen Sensor gesammelt hat, bevor Sie ihn anhalten. Sie können Sensoren nicht anhalten, die standardmäßig registriert sind.

  1. Gehen Sie zur Interact-Startseite und klicken Sie auf [Settings (Einstellungen)] Einstellungen.
  2. (Optional) Filtern der Register Registration & Collection (Registrierung und Sammlung), um bestimmte Sensoren zu finden: siehe Details zur Registrierung der Sensorerfassung anzeigen.
  3. Wählen Sie Actions (Aktionen) > Disable (Deaktivieren), um die Sammlung anzuhalten, oder Actions (Aktionen) > Enable (Aktivieren), um die Sammlung für einen Sensor fortzusetzen.

Nachdem Sie die Sammlung für einen Sensor wieder aufnehmen, beginnt der Server umgehend damit, Ergebnisse für den Sensor zu sammeln.

Sammlung manuell starten

Um die Sensorergebnisse aktuell zu halten, stellt der Tanium Server automatisch Fragen an alle Endpunkte in jedem Sammlungsintervall (standardmäßig stündlich) neu aus. Der Server sammelt auch sofort Ergebnisse für Sensoren, die Sie registrieren oder für die Sie die Sammlung fortsetzen. Beachten Sie, dass manuelle Sammlungen keinen Einfluss auf den Zeitplan für das Sammlungsintervall haben (siehe Erweiterte Einstellungen für Sensor-Sammlung konfigurieren).

  1. Gehen Sie zur Interact-Startseite und klicken Sie auf [Settings (Einstellungen)] Einstellungen.
  2. Klicken Sie in der Registerkarte Registration & Collection (Registrierung und Sammlung) auf Collect Now (Jetzt sammeln) über dem Raster.

Ergebnisse für bestimmte Sensoren löschen

Sie können die Ergebnisse ausgewählter Sensoren aus dem Speicher löschen, sodass die Seite Question Results (Frageergebnisse) sie nicht anzeigt.

Sie können die Ergebnisse von Sensoren nicht löschen, die standardmäßig registriert sind.

Der Tanium Data Service entfernt automatisch Ergebnisse für Endpunkte, die Fragen nicht innerhalb des Intervalls Max Endpoint Age (Max. Endpunktalter) beantworten. Um diesen Vorgang der Garbage Collection zu konfigurieren, siehe Entfernen der abgelaufenen Sensorergebnisse konfigurieren.

  1. Gehen Sie zur Interact-Startseite und klicken Sie auf [Settings (Einstellungen)] Einstellungen.
  2. (Optional) Filtern der Register Registration & Collection (Registrierung und Sammlung), um bestimmte Sensoren zu finden: siehe Details zur Registrierung der Sensorerfassung anzeigen.
  3. Registrierung für die Sensoren, die Sie löschen möchten, aufheben oder die Sammlung pausieren:
    • Sammlung anhalten: Wählen Sie Actions (Aktionen) > Disable (deaktivieren).
    • Aufheben der Registrierung: Wählen Sie Actions (Aktionen) > Release (freigeben).
  4. Wählen Sie für jeden Sensor, den Sie löschen möchten, Actions (Aktionen) > Purge (Löschen) und klicken Sie auf Confirm (Bestätigen).

Erweiterte Einstellungen für Sensor-Sammlung konfigurieren

Um Ergebnisse für registrierte Sensoren zu sammeln, gibt der Tanium Data Service Fragen aus, die die Sensoren enthalten. Der Service gibt eine Reihe von Fragen gleichzeitig aus, lädt die Ergebnisse vom Tanium Server herunter und schreibt die Ergebnisse in die Tanium-Datenbank. Die Standardeinstellungen für die Sammlung verhindern, dass die Fragen zu viel Netzwerkbandbreite und Endpunktverarbeitung verbrauchen. Die Standardeinstellungen verhindern auch, dass der Dienst zu viel Tanium Server-Speicher verbraucht, wenn Ergebnisse heruntergeladen und geschrieben werden. Sie können die Einstellungen nach Bedarf basierend auf der Anzahl der Sensoren, die Sie für die Sammlung registriert haben, und den Ressourcenlimits Ihres Netzwerks, der Endpunkte und des Tanium Servers bearbeiten.

Tanium Support, bevor Sie diese Sammlungseinstellungen ändern. Nur Benutzer mit der reservierten Rolle Administrator können die Einstellungen ändern.

Um den Sensorerfassungsprozess zu überwachen oder zu beheben, wählen Sie Interact > Info und zeigen Sie die Metriken zur Data Collection (Datensammlung) im Diagramm Data Service Status (Daten-Servicestatus) an.

  1. Gehen Sie zur Interact-Startseite und klicken Sie auf [Settings (Einstellungen)] Einstellungen.
  2. Wählen Sie Service Configuration (Service-Konfiguration) und konfigurieren Sie die folgenden Einstellungen auf der Registerkarte Collection (Sammlung):
     Tabelle 2: Einstellungen für den Sensorsammlungs-Prozess
    EinstellungBeschreibung
    Intervall der SammlungGeben Sie an, wie häufig der Tanium Data Service den Prozess ausführt, um Ergebnisse für registrierte Sensoren zu sammeln. Die Einheiten sind Minuten und der Standardwert ist 60 (eine Stunde).
    Intervall der AbfrageGeben Sie an, wie häufig der Tanium Data Service nach Ergebnissen für jede ausgegebene Frage sucht. Die Einheiten sind Sekunden und der Standardwert ist 30.
    Abfrage-ZeitablaufGeben Sie die Zeit an, die verstreichen muss, beginnend mit dem Zeitpunkt, an dem der Tanium Data Service zuletzt neue Ergebnisse für Fragen erhalten hat, bevor er aufhört, nach neuen Ergebnissen zu suchen. Die Einheiten sind Sekunden und der Standardwert ist 60 (1 Minute).
    Max. Sensoren pro FrageGeben Sie die maximale Anzahl von einspaltigen Sensoren in jeder Frage an, die der Tanium Data Service zur Sammlung von Ergebnissen ausgibt. Ein einspaltiger Sensor gibt eine Antwort zurück, die das Raster Question Results (Frageergebnisse) in einer einzigen Spalte anzeigt. Der Standardwert ist 30 Sensoren pro Frage. Wenn Sie diese Einstellung konfigurieren, überlegen Sie, wie sie mit den Max. Concurrent Questions (Max. gleichzeitige Fragen) kombiniert wird, um den Ressourcenverbrauch während der Sammlung zu beeinflussen.

    Der Service wendet eine nicht konfigurierbare Grenze von einem Mehrspaltensensor pro Frage an.

    Max. gleichzeitige FragenGeben Sie die maximale Anzahl von Fragen an, die der Tanium Data Service zur Sammlung von Ergebnissen parallel in jedem Batch ausgibt. Der Standardwert ist 10 Fragen. Wenn Sie diese Einstellung konfigurieren, überlegen Sie, wie sie mit den Max. Sensors per Question (Max. Sensoren je Frage) kombiniert wird, um den Ressourcenverbrauch während der Sammlung zu beeinflussen.
    Ergebnisse Download SeitengrößeGeben Sie die maximale Anzahl der Endpunkte an, für die der Tanium Data Service während der Sammlung Ergebnisse vom Tanium Server herunterlädt. Der Standardwert ist 10,000. Der Zweck dieser Einstellung ist es, die Speichernutzung für den Dienst und Server zu optimieren, indem verhindert wird, dass sie einen zu großen Datensatz für einen einzelnen Download verarbeiten.
    Kontinuierliche ErnteHalten Sie die Sammlungsfragen kontinuierlich offen, damit Ergebnisse von Endpunkten gesendet werden, wenn sie verfügbar sind, anstatt in einem regelmäßigen Zeitplan. Dies erhöht die Geschwindigkeit, mit der Ergebnisse aktualisiert werden. Tanium Support, bevor Sie diese Einstellung ändern.

Entfernen der abgelaufenen Sensorergebnisse konfigurieren

Wenn der Tanium Data Service Ergebnisse speichert, ordnet er sie jedem Endpunkt zu und bewertet ihr Ablaufdatum im Verhältnis zu dem Zeitpunkt, an dem der Endpunkt zuletzt Aktualisierungen zurückgegeben hat. Dies bedeutet, dass, wenn mehrere Endpunkte dieselben Ergebnisse zurückgegeben haben, aber zu unterschiedlichen Zeiten, der Garbage Collection-Prozess nur die Ergebnisse für Endpunkte entfernt, die keine Aktualisierungen innerhalb des Ablaufintervalls (Max Endpoint Age (Max. Endpunktalter) zurückgegeben haben. Sie können die Einstellungen für die Garbage Collection nach Bedarf bearbeiten, basierend auf der Wachstumsrate für Ergebnis-Zeichenketten und den verfügbaren Ressourcen (Speicherplatz und Speicher) in Ihrer Verteilung. Um das Zeichenkettenwachstum zu überwachen und zu bestimmen, welche Sensoren die meisten Zeichenketten erzeugen, siehe Die Ressourcennutzung für die Erfassung der Sensorergebnisse überwachen.

Tanium Support, bevor Sie diese Garbage Collection-Einstellungen ändern. Nur Benutzer mit der reservierten Rolle Administrator können die Einstellungen ändern.

Um den Garbage Collection-Prozess zu überwachen oder zu beheben, wählen Sie Interact > Info und zeigen Sie die Metriken zur Garbage Collection im Diagramm Data Service Status (Daten-Servicestatus) an. Das Diagramm zeigt beispielsweise einen Fehler Fehler für den Prozess an, wenn es vor dem Entfernen aller abgelaufenen Ergebnisse abläuft.

  1. Gehen Sie zur Interact-Startseite und klicken Sie auf [Settings (Einstellungen)] Einstellungen.
  2. Wählen Sie Service Configuration (Service-Konfiguration) > Garbage Collection und konfigurieren Sie die folgenden Einstellungen:
     Tabelle 3: Einstellungen der Garbage Collection für Sensorergebnisse
    EinstellungBeschreibung
    Intervall der Garbage CollectionGeben Sie an, wie häufig der Tanium Data Service überprüft, welche Ergebnisse abgelaufen sind, und entfernt sie. Die Einheiten sind Minuten und der Standardwert ist 15.
    Zeitablauf für Garbage CollectionGeben Sie an, wie lange der Garbage Collection-Prozess vor dem Zeitablauf ausgeführt wird Die Einheiten sind Minuten und der Standardwert ist 30. Während der Prozess ausgeführt wird, verzögert der Tanium Data Service alle ausstehenden Aktualisierungen der gespeicherten Ergebnisse. Achten Sie darauf, genügend Zeit anzugeben, um alle abgelaufenen Ergebnisse zu entfernen, ohne Aktualisierungen in einem Ausmaß zu verzögern, das sich erheblich auf Benutzer auswirkt, die die neuesten Ergebnisse sehen müssen.

    Wenn der Garbage Collection-Prozess vor dem Entfernen aller abgelaufenen Ergebnisse abläuft, wird die Entfernung im nächsten Intervall der Garbage Collection fortgesetzt.

    Max. Alter des EndpunktsGeben Sie das Ablaufdatum der gesammelten Ergebnisse an. Für jeden Endpunkt bewertet der Tanium Data Service das Alter seiner Ergebnisse basierend darauf, wann der Endpunkt zuletzt Aktualisierungen für Sensoren zurückgegeben hat. Die Einheiten sind Tage und der Standardwert ist 30. Der Garbage Collection-Prozess entfernt die Einträge für alle Endpunkte und die zugehörigen Ergebnisse aus der Speicherung, wenn diese Endpunkte die Fragen zur Sensorsammlung nicht innerhalb des Intervalls Max Endpoint Age (Max. Endpunktalter) beantwortet haben.
    Referenz SensornameGeben Sie den Sensor an, den der Tanium Data Service verwendet, um Endpunkte zu identifizieren, wenn bewertet wird, welche Ergebnisse basierend auf dem Max. Endpunktalter abgelaufen sind. Der Standardsensor ist Computer ID. Die Best Practice ist die Verwendung eines der folgenden Endpunktidentifikationssensoren (EID), da sie am häufigsten aktualisiert werden: Computer-ID, Computername oder Seriennummer des Computers.
    Computergruppe Max. EndpunktalterFür jede Computergruppe können Sie das Ablaufdatum der gesammelten Ergebnisse angeben. Verwenden Sie diese Option, um ein niedrigeres Ablaufdatum als der in Max Endpoint Age (Max. Endpunktalter) angegebene Wert festzulegen. Beachten Sie, dass alle Werte, die Sie in Computer Group Max Endpoint Age (Computergruppe Max. Endpunktalter) festlegen, den Wert in Max Endpoint Age (Max. Endpunktalter) nicht überschreiben; der niedrigere Wert löst den Garbage Collection-Prozess aus. Die Einheiten sind Stunden.

Fehlerbehebung der Sensorsammlung

Um festzustellen, ob die Sensorsammlung zu viel Netzwerkbandbreite, Verarbeitung auf Endpunkten oder Tanium Server-Ressourcen verbraucht, siehe Die Ressourcennutzung für die Erfassung der Sensorergebnisse überwachen.

Zur Behebung anderer Probleme mit der Sensorsammlung siehe:

  • Referenzhandbuch zur Bereitstellung der Tanium Core Platform: Tanium Datendienstprotokolle: Die Protokolle zeigen an, wann der Tanium Server jede Frage ausgegeben hat, um Ergebnisse, die Frage-ID und Informationen über jeden Sensor in der Frage zu sammeln.
  • Fragenverlauf: Verwenden Sie auf der Seite Administration > Management > Question History (Fragenverlauf) die Frage-ID (Harvesting qid) aus den Tanium Data Service-Protokollen, um spezifische Fragen zu finden, die der Tanium Server zur Erfassung von Sensorergebnissen ausgegeben hat.

Sensoren, die standardmäßig registriert sind

Die folgenden Sensoren der Tanium Core Platform sind standardmäßig für die Sammlung registriert. Nach der Installation von Interact beginnt der Tanium Data Server sofort mit der Sammlung und Speicherung von Ergebnissen für die registrierten Sensoren. Sie können die Registrierung für diese Sensoren nicht aufheben, die Sammlung anhalten oder Ergebnisse löschen.

Bestimmte Tanium-Module enthalten zusätzliche Sensoren, die standardmäßig beim Importieren der Module registriert sind.

Wenn einige Sensoren, die die Computergruppen-Mitgliedschaft definieren, in Ihrer Verteilung noch nicht verfügbar sind, können Sie sie über das Inhaltspaket für Standardcomputergruppen importieren: siehe Shared Services und Inhalte verwalten.

  • Sensoren zur Endpunktkennung (EID):
    • Computer-ID
    • Computername
    • Seriennummer des Computers
  • Sensoren, die die Mitgliedschaft in Gruppen zur Computerverwaltung definieren:
    • Gehäusetyp
    • Computername
    • Ist AIX
    • Ist Linux
    • Ist Mac
    • Ist Solaris
    • Ist virtuell
    • Ist Windows
    • Betriebssystem
    • Erzeugung des Betriebssystems
    • Windows OS Versions-ID
    • Windows OS Typ