Commandes de l'interface CLI de configuration et de contrôle

? (point d'interrogation)

Pour plus d'informations sur une commande, entrez un point d'interrogation à tout moment pour afficher les arguments.

Syntaxe

<partial_command> ?

CLI> show account strike ?

USAGE: show account strike < arg>, où arg est:
?, nombre, intervalle, max
ok
CLI>

commandes

Affiche la liste alphabétique de toutes les commandes de l'interface de ligne de commande.

Syntaxe

commands

déboguer

Activez ou désactivez le mode débogage. Sans argument, il active ou désactive l'état de débogage. Vous pouvez éventuellement inclure un argument d'état (on ou off)

Syntaxe

debug <on | off>

clean load_balance_inactive_stap_queue

Utilisez cette commande pour effacer manuellement un agent S-TAP inactif et son collecteur correspondant de la file d'attente S-TAPs inactive dans l'équilibreur de charge.

Syntaxe

clean load_balance_inactive_stap_queue <stapHost> <collectorName>

suppression d'un correctif planifié

Pour supprimer une demande d'installation de correctif, utilisez la commande d'interface de ligne de commande delete scheduled-patch .

Pour plus d'informations sur l'installation des correctifs, voir la commande de l'interface de ligne de commande store system patch install .

supprimer ssl_gui_ciphers et restaurer ssl_gui_ciphers

delete ssl_gui_ciphers

Guardium renvoie une liste de chiffrements. Indiquez le numéro du chiffrement à supprimer. Utilisez une virgule pour séparer plusieurs numéros de chiffrement.

Cliquez sur q pour quitter sans supprimer les chiffrements.

Si vous supprimez accidentellement le code de chiffrement incorrect, utilisez la commande restore ssl_gui_ciphers pour le restaurer.

restore ssl_gui_ciphers [ last | list ]

Avant de restaurer des chiffrements, Guardium vous avertit que la restauration des certificats peut affecter la connectivité de l'interface graphique et de GIM-TLS. Assurez-vous que lorsque vous restaurez des chiffrements supprimés, les résultats renvoyés sont attendus.

show ssl_gui_ciphers

Pour plus d'informations sur les chiffrements pris en charge, voir Suites de chiffrement.

supprimer le type d'unité

Cette commande permet d'effacer un ou plusieurs attributs de type d'unité. Notez que cette commande ne peut pas effacer tous les attributs de type d'unité. Pour plus d'informations, voir Type d'unité de magasin.

Syntaxe

delete unit type [manager | standalone] [aggregated] [netinsp] [network routes static] [stap] [mainframe]

passage

Cette commande démonte et éjecte le CD-ROM, ce qui est utile après la mise à niveau ou la réinstallation du système, ou après l'installation des correctifs qui ont été distribués sur un CD-ROM.

Syntaxe

eject

transmettre le courrier électronique de support

Lorsque l'option support-state est activée (ce qu'elle est par défaut), cette commande définit l'adresse électronique pour la réception des alertes système.

Syntaxe

forward support email to <email address>

show, commande

show support-email

importation de fichiers jproxy_files

Utilisez cette commande avec store jproxy_config ssh_key_file pour télécharger le fichier de clés SSH GBDI (au format .pem) et configurer l'hôte cible SSH pour qu'il communique avec GBDI. Pour plus d'informations, voir store jproxy_config ssh_key_file.

iptraf

IPTraf est un utilitaire de statistiques réseau distribué avec le système d'exploitation sous-jacent. Il collecte des informations telles que le nombre de paquets de connexion TCP et d'octets, les statistiques d'interface et les indicateurs d'activité, les pannes de trafic TCP/UDP et le nombre de paquets de station LAN et d'octets.  Pour plus d'informations, voir le manuel de l'utilisateur IPTraf à l'emplacement suivant (il peut également être disponible à d'autres emplacements):

http://iptraf.seul.org/2.7/manual.html

Syntaxe

iptraf

vérification de la licence

Indique si la licence installée est valide. Utilisez cette commande après avoir installé une nouvelle clé de produit.

Syntaxe

license check

suppression de la licence

Supprime les licences d'utilisation du produit. Après avoir exécuté cette commande, vous devrez réappliquer les clés de licence de base et d'ajout et accepter leurs dispositions. Pour plus d'informations sur l'application des licences, voir Clés de licence et Installer les clés de licence.

Syntaxe

license clear

commande PING

Envoie des paquets ping ICMP à un hôte distant. Cette commande est utile pour vérifier la connectivité du réseau. La valeur de host peut être une adresse IP ou un nom d'hôte.

Syntaxe

ping <host>

fermer

Quitte l'interface de ligne de commande.

Syntaxe

quit

échec de la récupération

Commande de restauration des fichiers de transfert CSV/CEF/PDF ayant échoué, en replaçant les fichiers dans le dossier d'exportation pour une autre tentative d'exportation.

Syntaxe

recover failed [csv|cef|pdf]

gestion des registres

Enregistre le système Guardium pour la gestion par le gestionnaire central spécifié. La configuration de pré-enregistrement de ce système Guardium est sauvegardée et cette configuration est restaurée ultérieurement si l'unité est désenregistrée.

Syntaxe

register management  <manager ip> <port>

Paramètres

manager ip est l'adresse IP du gestionnaire central.

port est le numéro de port utilisé par le gestionnaire central (généralement 8443).

réinitialiser les clés luks

Efface toutes les clés tang stockées dans Linux Unified Key Setup (LUKS) et supprime toutes les connexions au serveur tang.

Syntaxe :

reset luks keys

redémarrer les flux de données

Utilisez cette commande pour redémarrer les flux de données de surveillance de l'activité de la base de données AWS arrêtés. Pour plus d'informations, voir Protection du service de base de données en nuage avec des flux de données.

restart datastreams

redémarrer l'interface graphique

Redémarre l'interface Web IBM® Guardium. Pour planifier éventuellement un redémarrage de l'interface graphique une fois par jour ou une fois par semaine, utilisez des paramètres supplémentaires. HH correspond aux heures 01 à 24. MM correspond aux minutes 01 à 60. W est le jour de la semaine, 0-6, le dimanche est 0. Si HHMM est répertorié deux fois, seule la dernière entrée est utilisée. Le paramètre clear supprime l'heure planifiée.

Pour redémarrer les processus de classification et d'évaluation de la sécurité, exécutez la commande restart gui à partir de l'interface de ligne de commande (et non à partir de l'interface graphique).

L'exécution de restart GUI à partir de l'interface graphique ne redémarre que les services Web. Il est nécessaire d'exécuter la commande restart GUI à partir de l'interface de ligne de commande pour redémarrer complètement tous les processus, y compris les processus Classificateur et Evaluation de la sécurité. Il est nécessaire d'exécuter la commande restart GUI à partir de l'interface de ligne de commande pour chaque unité gérée afin de redémarrer le programme d'écoute Classifier.

restart gui [HHMM|HHMMW|clear]

redémarrer rds_monitoring

Redémarrez le moniteur AWS RDS pour Oracle. Pour plus d'informations, voir Protection du service de base de données en nuage avec audit natif.

restart rds_monitoring

redémarrer sniffer_buffer_usage

Redémarre le sniffer buffer.monitor.

restart sniffer_buffer_usage

Pour plus d'informations sur l'utilisation de restart sniffer_buffer_usage, voir Problème de performance : le processus d'utilisation de la mémoire tampon n'est pas en cours d'exécution.

redémarrer stopped_services

Utilisez cette commande de l'interface de ligne de commande pour redémarrer les services précédemment arrêtés à l'aide de la commande de l'interface de ligne de commande store auto_stop_services_when_full .

restart stopped_services

Redémarrer le système

Réamorce le système Guardium . Le système s'arrêtera complètement et redémarrera, ce qui signifie que la session de l'interface de ligne de commande sera arrêtée.

Syntaxe

restart system

redémarrer ticket_service

Redémarre le service de demande de service externe. Pour plus d'informations, voir Configurer un système de billetterie externe.

Vous pouvez également arrêter et démarrer le service de demande de service à partir de l'interface de ligne de commande.

restart ticket_service

restauration de rsyslog

Compare le journal distant en cours (rsyslog) de votre système à un journal rsyslog qui est restauré à partir d'un fichier de sauvegarde CONFIG, le cas échéant. Vous pouvez ensuite choisir de remplacer le fichier rsyslog existant par le fichier rsyslog sauvegardé.

restore rsyslog

configurer hyper-v-tools

Déclassé dans les versions 12.0 et suivantes.

Syntaxe

setup hyper-v-tools [install | uninstall]

afficher la mémoire tampon

Cette commande affiche un rapport d'utilisation de la mémoire tampon pour le processus du moteur d'inspection. Si vous rencontrez des problèmes de charge, le support technique IBM peut vous demander d'exécuter cette commande.

Syntaxe

show buffer <log | snif>

Exemples

Pour afficher l'utilisation de la mémoire tampon du processus du moteur d'inspection:

show buffer log

Pour afficher l'utilisation de la mémoire tampon du sniffer:

show buffer snif

afficher la génération

Affiche les informations de compilation du logiciel installé.

Syntaxe

show build

show load_balance_inactive_stap_queue

Cette commande affiche la liste des S-TAPs inactifs et des collecteurs correspondants qui se sont accumulés dans la file d'attente S-TAP inactive de l'équilibreur de charge.

Syntaxe

show load_balance_inactive_stap_queue 

afficher les routes de réseau statiques

Autorisez l'utilisateur à n'avoir qu'une seule adresse IP par dispositif (via l'interface principale) et à diriger le trafic via différents routeurs à l'aide de tables de routage statiques. Répertorier les routes statiques en cours, avec les ID.

Syntaxe

show network routes static

commande delete

delete network routes static

show remotelog

Affiche des informations sur le programme rsyslog qui exécute syslog. Pour plus d'informations sur l'ajout et la configuration de journaux distants, voir les commandes store remotelog , en commençant par store remotelog add.

show remotelog <escape_control_characters_on_receive | host | max_message_size| status | test>

Syntaxe

show remotelog escape_control_characters_on_receive

show remotelog host

show remotelog max_message_size

show remotelog status

show remotelog test

Exemples

show remotelog host

Remote syslog is in non-encrypted mode.
Le format syslog distant est le format par défaut.
user. =warning @ @9.30.252.111
user. =alert @ @myhost.mycompany
user. =alert @ @myhost.mycompany

show remotelog status

show remotelog test

 show remotelog status test
The following receivers are configured
Messages will be written to syslog targeting these.
Please verify that the messages were received.

The tests could take several minutes

Facility    Priority    Protocol    Host:port
daemon      info        TCP         9.30.252.192:514
user        info        UDP         9.30.252.192:514
user        alert       TCP         9.30.252.192:5514


Sending message:  daemon.info: Guardium test message
Sending message:  user.info: Guardium test message
Sending message:  user.alert: Guardium test message

Test message 'Guardium test message' successfully sent to syslog

Analyzing tcpdump.  If a message is found in the tcpdump
output, but not in the syslog receiver, please consult your
administrator for the syslog receiver.

Message to 9.30.252.192:514 sent
Message to 9.30.252.192:514 sent
Message to 9.30.252.192:5514 sent
ok

afficher les règles de sécurité

Affiche la liste des stratégies de sécurité.

Syntaxe

show security policies

affichage de l'intervalle de mise à jour

Affichez l'intervalle de mise à jour du statut des enregistrements des systèmes de demande de service externes, tels que Service Now. Pour plus d'informations, voir Configurer un système de billetterie externe.

Définissez la valeur à l'aide de store ticket update interval <n>.

show, commande

show ticket update interval

démarrer des flux de données

Cette commande permet de démarrer des flux de données de surveillance d'activité de base de données AWS existants. Pour plus d'informations, voir Protection du service de base de données en nuage avec des flux de données.

Syntaxe

start datastreams

démarrer rds_monitoring

Démarrez le moniteur AWS RDS pour Oracle. Pour plus d'informations, voir Protection du service de base de données en nuage avec audit natif.

start rds_monitoring

démarrer ticket_service

Démarre le service de demande de service externe. Le service de demande de service synchronise les tickets externes (tels que les tickets Service Now) qui sont stockés dans le système local. Lorsque le service de demande de service est en cours d'exécution, la synchronisation s'exécute une fois par heure. Pour plus d'informations, voir Configurer un système de billetterie externe.

Vous pouvez également arrêter ou redémarrer le service de demande de service à partir de l'interface de ligne de commande.

start ticket_service

arrêter les flux de données

Utilisez cette commande pour arrêter l'exécution des flux de données de surveillance de l'activité de la base de données AWS . Pour plus d'informations, voir Protection du service de base de données en nuage avec des flux de données.

Syntaxe

stop datastreams

arrêter l'interface graphique

Arrête l'interface utilisateur Web.

Syntaxe

stop gui

arrêter rds_monitoring

Arrêtez le moniteur AWS RDS pour Oracle. Pour plus d'informations, voir Protection du service de base de données en nuage avec audit natif.

stop rds_monitoring

arrêt du système

Arrête et met le dispositif hors tension.

Syntaxe

stop system

arrêt de ticket_service

Arrête le service de demande de service externe. Pour plus d'informations, voir Configurer un système de billetterie externe.

Vous pouvez également démarrer ou redémarrer le service de demande de service à partir de l'interface de ligne de commande.

start ticket_service

magasin apply_user_hierarchy

Utilisez cette commande de l'interface de ligne de commande pour appliquer la hiérarchie utilisateur au récepteur d'audit.

Si la valeur est ON, le récepteur du groupe non-audit (le récepteur autre que le récepteur du groupe d'audit (normal ou rôle) ne verra que les résultats d'audit avec une adresse IP de groupe sous la hiérarchie du récepteur, y compris le récepteur.  

Syntaxe

store apply_user_hierarchy [ON | OFF]

show, commande

show apply_user_hierarchy

stockez alert_timestamp_unit

Contrôle l'unité d'horodatage pour les alertes syslog. La valeur par défaut est secondes.

Syntaxe

store alert_timestamp_unit [millisecond | second]

show, commande

show alert_timestamp_unit

stocker alert_object_num_limit

Définit le nombre maximum d'objets à afficher dans le journal des alertes avec les variables %Object ou %%objectType.

Syntaxe

store alert_object_num_limit <n>

Où n est un entier positif compris entre 1 et 50. La valeur par défaut est 10.

show, commande

show alert_object_num_limit

stocker alert_verb_num_limit

Syntaxe

store alert_verb_num_limit <n>

Où n est un entier positif compris entre 1 et 50. La valeur par défaut est 10.

show, commande

show alert_verb_num_limit

store allow_simulation

Active (on) ou désactive (off) la possibilité d'exécuter la simulation de stratégie sur le dispositif.

Pour exécuter la simulation, le trafic d'origine doit être réexécuté via le moteur de règles (avec la politique devant être testée). Pour cela, une partie du code SQL d'origine sur le dispositif doit être sauvegardée avec ses valeurs. L'activation ou la désactivation de allow_simulation demande à IBM Guardium de sauvegarder ou de NE PAS sauvegarder de SQL ou de valeurs.

Syntaxe

store allow_simulation [on|off]

show, commande

show allow_simulation

stocker alp_throttle

Utilisez cette interface de ligne de commande pour déterminer la quantité de données consignées par l'analyseur dans la table GDM_FLAT_LOG.

Utilisez store alp_throttle pour choisir la quantité de données à connecter à la table GDM_FLAT_LOG.

Syntaxe

store alp_throttle <n>

• Si n = 0 (valeur par défaut), rapport sans consignation d'instructions SQL.
• Si n est un entier positif, signalez et consignez chaque nième instruction SQL dans GDM_FLAT_LOG.

Exemples

Pour signaler et consigner toutes les instructions SQL (100%):

store alp_throttle = 1

Signaler et enregistrer une requête SQL sur deux (50 %) :

store alp_throttle = 2

store alp_throttle = 1000

analyseur de magasin

Cette commande définit la valeur du délai d'attente de la session à ignorer et la durée de la session à ignorer.

Ignorer la session : La demande en cours et le reste de la session sont ignorées. Cette action consigne une violation de règle, mais elle arrête la consignation des constructions et ne teste pas les violations de règle de quelque type que ce soit pour le reste de la session. Cette action peut s'avérer utile si, par exemple, la base de données comporte une région de test et qu'il n'est pas nécessaire d'appliquer des règles de politique à cette région de la base de données.

Syntaxe

store analyzer [ignore_sess_timeout | max_open_sess]

show, commande

show analyzer

store auto_stop_services_when_full

Lorsque cette option est activée, elle arrête les services internes si la base de données dépasse le seuil de saturation de 90%.

Le moteur d'inspection, la classification et les autres services liés à la collecte s'arrêteront. De plus, l'importation / restauration d'agrégation ne traitera aucun nouveau fichier.

Pour y remédier, utilisez les différentes commandes de support (support de clean audit_task, support de clean log_files, support de clean DAM_data, support de show large_files) pour analyser et purger manuellement les grandes tables.

Syntaxe

store auto_stop_services_when_full [ON | OFF]

show, commande

show auto_stop_services_when_full

store connect oracle_parser

Utilisez cette commande pour connecter et déconnecter l'analyseur Oracle de l'analyseur DB2 . La valeur par défaut est OFF (déconnexion).

Syntaxe

store connect oracle_parser [ON | OFF]

show, commande

show connect oracle_parser

stockage_csv_fetch_size

Cette commande est utilisée par le service REST de rapport pour contrôler le nombre total d'enregistrements. Les rapports Guardium peuvent être téléchargés au format de fichier CSV.

store csv_fetch_size et store csv_max_size sont des paramètres GLOBAL_PROFILE qui ne peuvent être modifiés que via l'interface de ligne de commande.

Syntaxe

show csv_fetch_size <num>

Où < num> est un nombre supérieur à 0

show, commande

store csv_fetch_size

store taille_max_csv

Cette commande contrôle la taille des téléchargements CSV qui sont extraits lorsque vous cliquez sur Télécharger tous les enregistrements dans le menu d'exportation de rapport. La valeur par défaut est 30 000.

Syntaxe

store csv_max_size <num>

Où < num> est un nombre supérieur à 0.

show, commande

show csv_max_size

store cyberark config_failover

Utilisez cette commande pour configurer des serveurs de coffre CyberArk de secours sur votre système Guardium.

Syntaxe

store cyberark config_failover

installation de store cyberark

Utilisez cette commande pour installer CyberArk sur votre système Guardium.

Syntaxe

store cyberark install

Vous êtes invité à entrer le nom d'hôte ou l'adresse IP du coffre, le nom d'utilisateur du coffre et le mot de passe du coffre.

show, commande

Utilisez la commande show pour vérifier si CyberArk est installé sur votre système Guardium.

show cyberark status

store cyberark service [ start | stop ]

Utilisez cette commande pour démarrer ou arrêter le service CyberArk sur votre système Guardium.

Syntaxe

store cyberark service start

store cyberark service stop

désinstallation de magasin cyberark

Utilisez cette commande pour désinstaller CyberArk du système Guardium.

Avant de procéder à la désinstallation, vous devez d'abord supprimer la référence au système Guardium du serveur de coffre CyberArk . Pour plus d'informations, voir Désinstallation de CyberArk.

Syntaxe

store cyberark uninstall

store cyberark upgrade_parameter

Avant d'installer le correctif de mise à niveau du SDK CyberArk sur votre système Guardium , exécutez cette commande pour entrer les paramètres de mise à niveau de CyberArk . Les paramètres de mise à niveau sont le nom d'hôte ou l'adresse IP du coffre CyberArk , le nom d'utilisateur du coffre et le mot de passe du coffre.

Syntaxe

store cyberark upgrade_parameter

show, commande

show cyberark upgrade_parameter

stockage_taille_files_par_défaut

Cette commande permet de contrôler le paramètre de configuration ADMINCONSOLE_PARAMETER.DEFAULT_QUEUE_SIZE . La valeur par défaut est 32. La fourchette est de 32 à 300.

Le sniffer doit être redémarré après un changement de valeur.

Syntaxe

store default_queue_size <N>, where N is the number in range of 32 to 300

show default_queue_size 32

défragmentation du magasin

Utilisez cette commande pour restaurer les valeurs par défaut de la défragmentation ou pour définir la taille de la défragmentation. Après avoir entré cette commande, vous devez exécuter la commande restart inspection-core pour que les modifications soient prises en compte. La défrag n'est pertinente que pour le reniflage de réseau via SPAM ou un périphérique TAP.

Syntaxe

store defrag [default | size <s> interval <i> trigger <t> release <r>]

Où :

• default: restaure la taille par défaut.
• S: la taille du paquet en octets, jusqu'à un maximum de 217 (131072)
• I: Intervalle de temps
• T: niveau de déclenchement
• R : Le niveau de libération spécifié en nombre de secondes, jusqu'à un maximum de la 31e puissance de deux (2147483648).

show, commande

show defrag

Identifiez les paquets fragmentés et essayez de reconstruire les paquets avant qu'ils n'arrivent au processus de reniflage du réseau. Defrag est pertinent uniquement pour le reniflage de réseau via SPAM ou un périphérique TAP.

store délayed_firewall_correlation

Utilisez cette commande de l'interface de ligne de commande pour conserver une connexion utilisateur jusqu'à ce que la corrélation de déchiffrement ait lieu.

Syntaxe

store delayed_firewall_collection [on | off]

show, commande

show delayed_firewall_correlation

store disk_space_reserved

Cette commande permet de modifier la quantité d'espace disque à réserver sur un agrégateur ou un collecteur Guardium. La réservation d'espace disque vous permet de personnaliser le pourcentage d'espace disponible à conserver sur la partition de données.

store disk_space_reserved [ custom <pct> | reset ]

Lorsque vous exécutez store disk_space_reserved reset , l'espace disque réservé est réinitialisé sur le pourcentage par défaut en fonction du type de la machine (25% pour un agrégateur, 50% pour un collecteur).

show, commande

show disk_space_reserved

stocker dump_data_for_for_forensics

Cette commande vide les détails SQL complets dans le serveur Kafka local à des fins d'expertise et d'analyse.

store dump_data_for_forensics <ON | OFF>

show, commande

magasin encrypt_must_gather

Guardium collecte certaines données (qui doivent collecter des informations) que le support IBM utilise en cas de problème. Cette commande détermine si les données doivent être chiffrées (on) ou compressées, mais pas chiffrées (off).

Syntaxe

store encrypt_must_gather <on |off>

show, commande

Stockage complet-contournement

Cette commande est destinée à une utilisation d'urgence uniquement lorsque le trafic est bloqué de manière inattendue par le système Guardium . Lorsque cette option est mise en fonction, tout le trafic réseau passe directement par le système et n'est pas visible par le système Guardium .

Lorsque vous utilisez cette commande, vous êtes invité à entrer le mot de passe de l'administrateur.

Syntaxe

store full-bypass <on | off>

store gdm_analyzer_rule

Règles de l'analyseur-Certaines règles peuvent être appliquées au niveau de l'analyseur. Exemples de règles d'analyseur: jeux de caractères définis par l'utilisateur, modifications du programme source et modes de surveillance ou de non-surveillance du pare-feu. Lorsque les règles sont appliquées au niveau de l'analyseur, les décisions peuvent être prises à un stade moins avancé.

Syntaxe

store gdm_analyzer_rule [active_flag | new ]  
store gdm_analyzer_rule active_flag <id> <on|off>

Où < id> est l'ID de règle.

show, commande

Utilisez la commande CLI, show gdm_analyzer_rule, pour afficher la liste des règles de l'analyseur GDM.

show gdm_analyzer_rule

store gdm_analyzer_rule nouveau

Utilisez l'interface de ligne de commande Guardium pour ajouter une règle d'analyseur pour une expression régulière directe au modèle de chaîne d'ID utilisateur masque.

Syntaxe

store gdm_analyzer_rule new
Enter rule description (optional):
Enter rule type (required):

Exemple

store gdm_analyzer_rule nouveau
Entrez la description de la règle: nouvelle règle 4
Type de règle
 1. Modifier le programme source
 2. Définir un autre jeu de caractères
 3. Envoyer le verdict
 4. Exclusion HADOOP
 5. Définir le protocole et le port
 6. Ignorer la session après les paquets
 5. Définissez un utilisateur de base de données Oracle vide lorsque les informations de connexion sont manquées
 8. Forcer la connexion MS SQL
 9. Chaîne de transformation
Veuillez sélectionner le type de règle (obligatoire): 9
Entrez le modèle (obligatoire, chaîne d'expression régulière): (. *) (-ppassword) (. *)
Entrez le format (obligatoire, chaîne d'expression régulière): \\\\1-p****\\\\3
Voulez-vous activer la règle maintenant? (oui/non)
Y
ok

stocker gdm_http_session_template

Utilisez cette commande CLI pour définir le modèle de la session d' HTTP.

Utilisation

store gdm_http_session_template [activate] [add] [deactivate] [remove]

show, commande

show gdm_http_session_template 

Tentative d'extraction des informations de modèle. Cela peut prendre du temps. Veuillez patienter.

Journal de magasin externe

Cette commande permet de définir la taille du fichier, la période de vidage, l'erreur gdm et l'état du journal externe. Cette règle s'affiche uniquement si la commande CLI suivante est exécutée:

Ensuite, le journal externe s'affiche en tant qu'action de règle.

Commande de l'interface de ligne de commande pour vérifier l'état:

show log external state

Commande CLI permettant d'activer et de désactiver cette action:

store log external state on/off

Utilisation

store log external [file_size] [flush_period] [gdm_error] [state]

Syntaxe

store log external gdm_error <state>

Où l'état est on ou off. 'on'est activé et'off'est désactivé.

store log external file_size <num>

Où < num> est la taille du fichier. La valeur par défaut est 4096 octets.

store log external flush_period <num>

Où < num> est la période de vidage. La valeur par défaut est 60 secondes.

store log external state <state>

Où l'état est on ou off. 'on'est activé et'off'est désactivé.

show, commande

show log external [file_size] [flush_period] [gdm_error] [state]

surveillance de magasin gdm_statistics

Utilisez cette commande de l'interface de ligne de commande pour obtenir des informations sur l'utilisation de l'unité. La valeur par défaut est 1 (exécution du script toutes les heures).

Syntaxe

store monitor gdm_statistics

USAGE: store monitor gdm_statistics < heure>, où heure est une valeur comprise entre 0 et 24. La valeur par défaut est 1, ce qui signifie que le script doit être exécuté toutes les heures. La valeur 0 signifie que le script ne doit pas être exécuté.

show, commande

show monitor gdm_statistics 

Désactiver la commande

Disable gdm_statistics monitor

interface graphique du magasin

Définit le numéro de port TCP/IP sur lequel l'interface de gestion du dispositif IBM Guardium accepte les connexions. La valeur par défaut est 8443.

n doit être une valeur comprise entre 1024 et 65535. Veillez à éviter l'utilisation d'un port requis ou en cours d'utilisation à d'autres fins.

Définir le délai d'attente de session: définit la durée (en secondes) sans activité avant le délai d'attente. Une fois que le délai d'inactivité a été atteint, il est nécessaire de se reconnecter à Guardium. La longueur par défaut est de 900 secondes (15 minutes).

Activez ou désactivez le statut CSRF (Cross-site Request Forgery). La tentative d'utilisation de certaines fonctions de navigateur Web (par exemple, F5/CTRL-R/Refresh/Reload, Back / Forward) génère un message d'erreur d'autorisation 403.

La nouvelle valeur de délai d'attente de session prend effet uniquement après le prochain redémarrage de l'interface graphique.

Syntaxe

store gui port <n>
store gui session_timeout <n>
store gui csrf_status [on | off]

show, commande

Affiche le numéro de port de l'interface graphique, l'état, le délai d'attente de session (en secondes) et/ou le statut CSRF.

show gui [port | state | all | session_timeout | csrf_status ]

cache d'interface graphique de magasin

Utilisez cette commande de l'interface de ligne de commande pour activer ou désactiver la mise en cache du navigateur Web (Activer ou Désactiver).

La réponse est la suivante:

Le paramètre a été modifié. 
Redémarrage de l'interface graphique 
Passage au port 8443 
Arrêt en cours ... 
Conservation des expressions régulières 
ok 

Le paramètre par défaut pour la mise en cache du navigateur est activé.

La modification du paramètre de cache redémarrera automatiquement le serveur Web Guardium.

Pour Firefox, vous devez effacer le cache du navigateur pour que le paramètre soit appliqué.

Syntaxe

store gui cache [ON | OFF]

show, commande

show gui cache

Statut hsts_status de l'interface graphique du magasin

HSTS Utilisez cette commande CLI pour activer ou désactiver le filtre de sécurité de transport strict ( HTTP Strict Transport Security Filter) ( Strict Transport Security Filter). Cette option est désactivée par défaut sur les systèmes mis à niveau et il est recommandé de l'activer après l'installation de certificats valides. Pour plus d'informations, voir la rubrique relative à l'installation d'un certificat de dispositif afin d'éviter une demande d'authentification par certificat SSL de navigateur.

Syntaxe

store gui hsts_status [ on | off ] 

show, commande

show gui hsts_status 

Interface graphique de magasin xss_status

Utilisez cette commande de l'interface de ligne de commande pour activer ou désactiver le statut XSS (Cross-Site Scripting). Cette option est activée par défaut sur les systèmes mis à niveau.

Syntaxe

store gui xss_status [ on | off ]

show, commande

show gui xss_status

stratégie de sécurité installée du magasin

Définit la règle de sécurité nommée policy-name comme la règle de sécurité installée.

Syntaxe

store installed security policy <policy-name>

show, commande

show installed security policy

store jproxy_config flush_at_size/store jproxy_config flush_timeout_sec

Utilisez ces commandes pour configurer l'intervalle de diffusion en flux pour le transport des données de document JSON de Guardium vers Guardium Big Data Intelligence ( GBDI). Chaque fois que Guardium atteint l'un des seuils, jProxy envoie les données à GBDI. Pour plus d'informations, voir Big Data Intelligence avec le streaming de données.

store jproxy_config flush_at_size <bytes>

store jproxy_config flush_timeout_sec <seconds>

La valeur par défaut est de 60 secondes.

Afficher les commandes

show jproxy_config flush_at_size <bytes>
show jproxy_config flush_timeout_sec <seconds>

store jproxy_config fichier_clé_ssh_config

Utilisez cette commande avec import jproxy_files pour télécharger le fichier de clés SSH GBDI (au format .pem) et configurer l'hôte cible SSH pour qu'il communique avec GBDI. Pour plus d'informations, voir Big Data Intelligence avec le streaming de données

import jproxy_files
store jproxy_config ssh_key_file <key_file_name>

• Utilisez import jproxy_files pour importer le certificat signé (le fichier de clés SSH).
• Utilisez store jproxy_config ssh_key_file <key_file_name> pour stocker le fichier de clés SSH dans le magasin de clés.

keep_psmls du magasin

Utilisez cette commande de l'interface de ligne de commande pour conserver les présentations / profiles/portlets en cours créés par les utilisateurs de l'application Guardium. Définissez cette commande CLI sur ON avant une mise à niveau et les psmls de la version précédente seront conservés.

Syntaxe

store keep_psmls [ON | OFF]

show, commande

show keep_psmls

store ldap-mapping

Stocker les paramètres de mappage LDAP-autoriser un mappage personnalisé pour le schéma de serveur LDAP. Cette commande permet le mappage personnalisé au schéma de serveur LDAP pour les attributs email, firstname et lastname. Le paramètre de pagination est utilisé pour faciliter le transfert entre n'importe quel type de serveur LDAP (Active Directory, Novell Directory, Open LDAP, Sun One Directory, Tivoli ® Directory). Si le paramètre de pagination est défini sur on, mais que la pagination n'est pas prise en charge par le serveur, la recherche est effectuée sans pagination.

Exemple de pagination. Si la commande CLI, ldap-mapping paging est réglée sur ON, alors Microsoft™ Active Directory téléchargera le nombre maximum d'utilisateurs défini sous la valeur limite de l'écran de configuration de l'importation LDAP. Si la commande de l'interface de ligne de commande ldap-mapping paging est définie sur OFF, Active Directory télécharge jusqu'à 1000 utilisateurs, peu importe la valeur limite définie. Toutes les autres configurations de serveur LDAP doivent utiliser la commande CLI ldap-mapping paging off afin de télécharger les utilisateurs jusqu'à la valeur limite définie.

Remarque: Chaque fois que vous modifiez les attributs de mappage ldap de l'interface de ligne de commande, vous devez également sélectionner Remplacer les modifications existantes sur l'écran de configuration d'importation LDAP dans l'interface graphique d' IBM Guardium avant la mise à jour. Cette action doit être effectuée chaque fois que vous modifiez les attributs d'e-mail, de prénom ou de nom de famille de l'interface de ligne de commande et que vous importez des utilisateurs LDAP.

Afficher les commandes

show ldap-mapping [email] [firstname][lastname] <name>
show ldap-mapping paging ON|OFF

Un redémarrage de l'interface graphique de l'interface de ligne de commande est nécessaire pour que les nouveaux paramètres prennent effet.

Exemples

store ldap-mapping firstname name
store ldap-mapping lastname sn
store ldap-mapping email mail
store ldap-mapping paging on 

licence de magasin

Cette commande applique une nouvelle clé de licence au dispositif.

Une clé de licence peut être de deux types: type de substitution ou type d'ajout ; un type de substitution remplace la licence actuellement installée alors que la licence de type d'ajout sera ajoutée à la licence actuellement installée. Les licences de type ajout ne peuvent ajouter que des fonctionnalités ; de nouvelles fonctions peuvent être activées et, le cas échéant, mettre à jour les dates d'expiration, le nombre restant d'analyses, le nombre de sources de données ou remplacer certaines zones numériques de la licence, telles que le nombre d'unités gérées.

Syntaxe

store license

Exemple

CLI> store license
Please paste the string received from customer services. Then press <ENTER> to continue.

Copy and paste the new product key at the cursor location, and then press Enter. The product key
contains no line breaks or white space characters, and it always ends with (and includes) a trailing
equal sign. A series of messages will display, ending with:
>We recommend that the machine be rebooted at the earliest opportunity in order to complete the
license updating process.
ok
CLI>
Run the restart gui command at this time.

show, commande

show license

niveau de discriminant de journal de magasin

Définit le niveau de débogage du discriminant sur l'une des valeurs affichées.

Syntaxe

store log classifier level TRACE|DEBUG|INFO|WARN|ERROR|FATAL

show, commande

show log classifier level

SQL d'exception de journal de magasin

Sous on, consigne la totalité de la commande SQL lors de la consignation des exceptions.

Syntaxe

store log exception sql <on | off>

show, commande

show log exception sql

stocker log_general_response_length

Utilisez cette interface de ligne de commande pour activer ou désactiver la consignation de la longueur de réponse. Lorsque cette option est activée, elle contrôle si le sniffer consigne la longueur de la réponse pour chaque instance SQL.

store log_general_response_length est désactivé par défaut. L'activation de la journalisation de la longueur des réponses peut avoir un impact sur les performances du sniffer.

Syntaxe

store log_general_response_length [ enable | disable ]

show, commande

show log_general_response_length

stocker le journal object_join_info

Définit la consignation de object_join.

Une table de jointure est une façon de mettre en œuvre de nombreuses relations à plusieurs. Utilisez l'entité Jointure pour joindre des tables dans une instruction SELECT SQL.

Syntaxe

store log object_join_info [ on | off]

show, commande

show log object_join_info

stocker le journal object_join_info

Définit la consignation de object_join.

Une table de jointure est une façon de mettre en œuvre de nombreuses relations à plusieurs. Utilisez l'entité Jointure pour joindre des tables dans une instruction SELECT SQL.

Syntaxe

store log object_join_info [ on | off]

show, commande

show log object_join_info

stocker le journal session_info

Cette commande active ou désactive le stockage des informations de session de journal du sniffer.

Syntaxe

store log session_info [ on | off]

show, commande

show log session_info

Erreur SQL de journal de magasin-parser_errors

Définit la consignation des commandes SQL syntaxiquement incorrectes.

Syntaxe

store log sql parser_errors [on|off]

show, commande

show log sql parser_errors

store logger_data_destination_config

Utilisez les commandes de l'interface de ligne de commande suivantes pour éventuellement configurer des informations pour la diffusion en flux de données Guardium Big Data Intelligence (GBDI), telles que la destination du consignateur, l'authentification du client Mongo (nom d'utilisateur, authentification, base de données et mécanisme).

show, commande

show logger_data_destination_config <parameter>

granularité de journalisation de magasin

Définit la granularité de journalisation sur le nombre de minutes spécifié. Vous devez utiliser l'une des valeurs de minute indiquées dans la syntaxe. La valeur par défaut est 60.

Syntaxe

store logging granularity <1, 2, 5, 10, 15, 30 or 60>

show, commande

show logging granularity

stocker max_audit_reporting

Affiche le seuil du rapport d'audit en jours. La valeur par défaut est 32. Lors de la définition de rapports dans le processus d'audit, le nombre de jours du rapport (défini par les zones FROM-TO) ne doit pas dépasser un certain seuil (un mois par défaut). Pour plus d'informations, voir Remarques sur le traitement de l'audit.

Syntaxe

store max_audit_reporting <days>

show, commande

show max_audit_reporting

store max_result_set_packet_size

Stockez max_result_set_packet_size, la valeur par défaut est 32 (la taille est comprise entre 1 et 65535) et aide à optimiser le moteur d'inspection lors de l'observation des données renvoyées. Cette commande définit la limite de taille de paquet en réponse. Ce paramètre fonctionne pour tout type de base de données. Si la valeur dépasse le seuil défini, l'analyseur n'extraira pas les données pour calculer la valeur affectée aux enregistrements.

Syntaxe

store max_result_set_packet_size <size>

show, commande

show max_result_set_packet_size

store max_result_set_size

Stockez la valeur max_result_set_size, la valeur par défaut est 100 (la taille est comprise entre 1 et 65535) et permet d'optimiser le moteur d'inspection lors de l'observation des données renvoyées. Cette commande définit la limitation de la taille totale de l'ensemble de résultats. Ce paramètre fonctionne pour tout type de base de données. Si la valeur dépasse le seuil défini, l'analyseur n'extraira pas les données pour calculer la valeur affectée aux enregistrements.

Syntaxe

store max_result_set_size <size>

show, commande

show max_result_set_size

stocker max_tds_response_packets

Stockez max_tds_response_packets, la valeur par défaut est 5 (la taille est comprise entre 1 et 65535) et permet d'optimiser le moteur d'inspection lors de l'observation des données renvoyées. Cette commande définit la limitation du nombre de paquets dans la réponse. Ce paramètre fonctionne uniquement pour MS SQL. Si la valeur dépasse le seuil défini, l'analyseur n'extraira pas les données pour calculer la valeur affectée aux enregistrements.

Syntaxe

store max_tds_response_packets <size>

show, commande

show max_tds_response_packets

durée maximale de requête de magasin

Définit le nombre maximal de secondes pour une requête sur la valeur spécifiée par n. La valeur par défaut est 180. Nous vous recommandons de ne pas définir cette valeur supérieure à la valeur par défaut, car cela augmente les risques de surcharge du système avec le traitement des requêtes. Cette valeur peut également être définie à partir du panneau Running Status Monitor sur le portail de l'administrateur.

Syntaxe

store maximum query duration <n>

show, commande

show maximum query duration

moniteur de magasin

Utilisez la commande d'interface de ligne de commande store monitor buffer pour

Syntaxe

store monitor [buffer | custom_db_usage [state <hour>] | gdm_statistics <hour> ]

Afficher les commandes

show monitor buffer
show monitor custom_db_usage
show monitor gdm_statistics

magasin mysql_utf8mb4

Activez la prise en charge du codage UTF-8 à 4 octets (utf8mb4).

Cette commande modifie les processus du sniffer Guardium et les bases de données internes pour capturer et stocker correctement les caractères UTF-8 à 4 octets. L'activation de utf8mb4 peut être utile si les sources de données de votre environnement contiennent des caractères à 4 octets, par exemple ceux utilisés pour les idéogrammes chinois, japonais et coréens.

Syntaxe

store mysql_utf8mb4

show, commande

show mysql_utf8mb4

Exemples

> show mysql_utf8mb4

La configuration mysql N'EST PAS définie avec UTF8MB4.
ok 

>store mysql_utf8mb4

Tentative de modification du fichier de configuration mysql. Cela peut prendre du temps. Veuillez patienter.
Début de la modification du fichier de configuration mysql
Redémarrage de mysql
Mysql a été redémarré. Quittez l'interface de ligne de commande et reconnectez-vous.
Le paramètre IS_UTF8MB4 a été remplacé par 1.

> show mysql_utf8mb4

Configuration mysql définie avec UTF8MB4.
ok

taille maximale du paquet de magasin

Limite la taille maximale des paquets provenant du sniffer.

Syntaxe

store packet max-size 1536

show, commande

show packet max-size

stocker pdf-config

Cette commande permet de modifier la taille et l'orientation de la police du contenu du corps de l'image PDF (à l'exclusion de l'en-tête/pied de page).

L'unité de taille est comprise entre 1 (la plus petite) et 10 (la plus grande) avec une valeur par défaut de 6.

L'unité d'orientation est 1 (pour l'orientation du paysage) ou 2 (pour le portrait). La valeur par défaut est 1.

La modification prend effet immédiatement après avoir entré la commande CLI et appuyé sur la touche Entrée.

Syntaxe

store pdf-config [ orientation | size ]

show, commande

show pdf-config [ orientation | size ]

store pdf-config multilanguage_support

Il existe différents fichiers de configuration de générateur de PDF statique pour l'anglais (utilisé sur la version anglaise) et la langue C/J (utilisé sur le chinois / japonais). Utilisez cette commande de l'interface de ligne de commande pour définir les polices dans le générateur de PDF. La valeur par défaut est l'anglais. Le multilangage est le langage C/J.

Syntaxe

CLI> store pdf-config multilanguage_support

Le paramètre en cours est la valeur par défaut

1 valeur par défaut
2 multilingue
Sélectionnez l'option (1,2 ou q pour quitter)

show, commande

show pdf-config multilanguage_support

store populate_from_query_maxrecs

Définit le nombre maximal d'enregistrements pouvant être utilisés pour remplir des groupes et des alias à partir d'une requête.

Soyez prudent lorsque vous définissez une valeur d'enregistrement maximale via cette commande de l'interface de ligne de commande. Si vous la définissez sur une valeur trop élevée, les processus de remplissage du groupe à partir de la requête risquent d'être incomplets. Le seuil maximal est dynamique et dépend de la charge du système et de l'utilisation de la mémoire. La valeur par défaut est de 20 000 enregistrements. La valeur maximale configurable est de 200 000 enregistrements.

Syntaxe

store populate_from_query_maxrecs 100000

show, commande

show populate_from_query_maxrecs

ID groupe de produits du magasin

Définit la valeur GID < n> du produit unique stocké.

Syntaxe

store product gid <n>

show, commande

show product gid

objet de purge de magasin

Définit l'âge (en jours) auquel les objets non essentiels seront purgés. La commande show purge objects age permet d'afficher un tableau indiquant l'index, le nom de l'objet et l'âge de chaque type d'objet pour lequel l'âge de la purge est conservé. Utilisez ensuite l'index approprié de cette table dans la commande pour définir l'âge de la purge.

Remarque: La valeur du nombre de jours est définie sur la valeur par défaut (90 jours) lorsque le type d'unité change entre l'unité gérée / le gestionnaire / l'unité autonome.

Syntaxe

store purge object age <index> <days>

show, commande

show purge object age

Exemple

Supposons que vous souhaitiez conserver un journal des événements pendant 30 jours. Exécutez d'abord la commande show purge objects age pour déterminer l'index (n'utilisez pas la table ; votre liste peut être différente). Entrez ensuite la commande store purge object .

>show purge objects age

Index Name, Age
... purge objects

>store purge object age 2 30

store num_unité_exécution_quartz_magasin

Cette commande de l'interface de ligne de commande est destinée au support technique.

La machine virtuelle Java™ permet à l'application d'avoir plusieurs unités d'exécution. L'unité d'exécution est une partie de l'exécution du programme.

Utilisez la commande CLI store quartz_thread_num pour définir le nombre d'unités d'exécution pouvant s'exécuter simultanément.

Cette commande permet de faciliter les conflits entre un trop grand nombre d'unités d'exécution en même temps.

La commande CLI show quartz_thread_num affiche le nombre d'unités d'exécution du planificateur Quartz qui s'exécutent en même temps.

Syntaxe

store quartz_thread_num <number>

Où le nombre est compris entre 3 et 15. Valeur par défaut = 5.

show, commande

show quartz_thread_num
org.quartz.threadPoll.threadCount= 5

ajout de remotelog de magasin

Contrôle l'utilisation de la consignation à distance. Outre les messages système, les alertes statistiques et les messages de violation de règle de politique peuvent être écrits dans syslog. Pour chaque combinaison d'hôte et de port, vous pouvez diriger les messages du syslog vers un hôte distant. Cette commande fonctionne avec toute implémentation syslog prenant en charge le protocole TCP ou UDP.

Si vous activez la consignation à distance, assurez-vous que l'hôte de réception peut accepter les informations de journal.

Syntaxe

store remotelog add <encrypted | non_encrypted> <facility.priority> <host[:port]> <protocol> [format]

cli> store remotelog add encrypted user.info 9.30.252.111 tcp

cli>store remotelog add non_encrypted user.warning myhost.mycompany.com tcp
tcp forwarder to myhost.mycompany.com added to rsyslog configuration:
user.=warning    @@myhost.mycompany.com
Restarting remote logger...
Remote logger restarted successfully
ok
cli> store remotelog clear myhost.mycompany.com
Remote logger configuration updated.
Restarting remote logger...
Remote logger restarted successfully

effacement du journal distant du magasin

Cette commande permet d'effacer la combinaison facility.priority spécifiée de la liste des messages à envoyer à l'hôte spécifié.

store remotelog clear host

Exemple

cli> store remotelog clear myhost.mycompany.com
Remote logger configuration updated.
Restarting remote logger...
Remote logger restarted successfully

store remotelog escape_control_characters_on_receive

Utilisez cette commande pour mettre en échappement les caractères de contrôle si votre système dénombre des messages qui incluent des caractères de contrôle. La valeur par défaut est on (caractères de contrôle d'échappement).

Syntaxe

store remotelog escape_control_characters_on_receive <on|off>

Exécutez restart remotelog pour appliquer la nouvelle configuration.

format store remotelog

Définit le format syslog par défaut dans la configuration rsyslog (dans la directive globale $Undoable-in-transactional).

store remotelog taille_message_max

Cette commande permet de définir la taille maximale des messages de 5k à 64k. Indiquez la taille maximale des messages avec un seul numéro, comme suit:

• 1 = 5k
• 2 = 10k
• 3 = 15k
• 4 = 20k
• 5 = 32k
• 6 = 64k

Syntaxe

store remotelog max_message_size <1|2|3|4|5|6>

Exécutez restart remotelog pour appliquer la nouvelle configuration.

show, commande

Cette commande permet d'afficher la valeur en cours du paramètre $MaxMessageSize .

Configuration des récepteurs de journal à distance

Pour configurer un système de réception afin qu'il accepte la journalisation à distance, éditez /etc/sysconfig/syslog sur le système afin d'inclure l'option -r . Par exemple :

SYSLOGD_OPTIONS=-r -m 0

Redémarrez ensuite le syslog:

/etc/init.d/syslog  restart

Le fichier syslog standard dans Linux™ est nommé :

/var/log/messages

Chiffrement de syslog

Les alertes et autres messages peuvent être transmis à un récepteur syslog distant, tel qu'un système SIEM. Ce trafic de messages peut être chiffré depuis le collecteur ou l'agrégateur vers le récepteur syslog distant.

Remarque: le chiffrement ne fonctionne qu'en mode TCP. Par défaut, le réacheminement syslog utilise UDP. Par conséquent, si le chiffrement est requis, indiquez TCP.

Vous avez besoin du certificat utilisé par le récepteur syslog distant. Stockez ce certificat sur le système Guardium.

Pour ajouter un journal distant chiffré:

1. Faites en sorte que le certificat public soit disponible auprès d'une autorité de certification (autorité de certification) telle que Verisign, Thwate ou in-house.
2. Connectez-vous à l'interface de ligne de commande sur le système Guardium individuel à partir duquel envoyer le syslog chiffré. Avant d'exécuter la commande, procurez-vous le certificat approprié (au format PEM) auprès de l'autorité de certification et copiez le certificat, y compris les lignes de début et de fin, dans votre presse-papiers.
3. Entrez la commande d'interface de ligne de commande suivante:

   store remotelog add encrypted user.all <remote host IP address>:<remote host port number> tcp

4. Les instructions suivantes s'affichent:

   Please paste your CA certificate, in PEM format. Include the BEGIN and END lines, and then press CTRL-D.

   • Collez le certificat au format PEM sur la ligne de commande, puis appuyez sur CRTL-D. Guardium stocke l'entrée sous la forme /etc/pki/rsyslog/ca.pem.
   • Guardium renvoie un message vous informant de la réussite ou de l'échec de l'opération de stockage.
   • En cas de réussite, Guardium peut envoyer du trafic chiffré au système distant avec la clé appropriée.
5. Répétez la procédure pour chaque collecteur et agrégateur qui envoie le trafic syslog à l'hôte chiffré.

store runtime_sensitive_object_identifier

Cette commande permet d'activer ou de désactiver l'identificateur d'objet sensible en temps réel.

store runtime_sensitive_object_identifier <on|off>

Afficher la commande : show runtime_sensitive_object_identifier

store runtime_sensitive_object_identifier_hits

Cette commande définit le seuil pour les modèles d'identification d'objets sensibles en temps réel qui n'utilisent pas de méthode de vérification. Pour plus d'informations, voir Identification en temps réel des objets sensibles.

store runtime_sensitive_object_identifier_hits <1-64>

Valeur par défaut : 3

Afficher la commande : show runtime_sensitive_object_identifier_hits

store runtime_sensitive_object_identifier_hits_with_signature

Cette commande définit le seuil pour les modèles d'identification d'objets sensibles en temps réel qui utilisent une méthode de vérification.

store runtime_sensitive_object_identifier_hits_with_signature <1-64>

Valeur par défaut : 1

Afficher la commande : show runtime_sensitive_object_identifier_hits_with_signature

magasin s2c

Définit plusieurs paramètres configurables pour ADMINCONSOLE. Ces paramètres sont utilisés pour la régulation du trafic serveur à client (S2C).

Voir aussi la commande CLI Store Throttle.

Syntaxe

store s2c

USAGE: store s2c ignore I maxrate M maxinterval T où 0<=I<=3 (niveau), 0<=M<=2147483647 (K/sec) et 1<=T<=2147483647 (secondes) OU store throttle default.

>store s2c ignore 3 maxrate 300 maxinterval 5007

La nouvelle configuration prendra effet une fois que vous aurez exécuté la commande d'interface de ligne de commande restart inspection-core,.

show, commande

show s2c

Régulation des paramètres S2C (valeurs par défaut):

         Ignorer: 0

         Taux maximal: 999999

         Intervalle maximal: 30

-------------------

ANALYZER_S2C_IGNORE (0,1,2, 3)-Active s2c les mécanismes de régulation en fonction des scénarios. Cet indicateur est basé sur des bits. 0 = le mécanisme de régulation s2c est désactivé. 1 = active la fonction décrite dans le scénario 1, 2 = active la fonction décrite dans le scénario 2. 3 = active les deux.

MAX_S2C_VELOCITY -débit maximal (K octets / sec). Si ce taux est dépassé, l'analyseur doit envoyer des commandes CLI, ignorer la session, ou ignorer la réponse de la session, à S-TAP™ ou au renifleur.

MAX_S2C_INTERVAL -Intervalle de temps en secondes (par défaut, 30 secondes) entre les commandes CLI possibles, ignorer la session ou ignorer la réponse de la session, les demandes.

Scénario 1

Le sniffer commence à recevoir du trafic de l'agent S-TAP ou du réseau au milieu d'une requête de grande taille. Comme tous les paquets entrants sont des réponses de serveur de base de données, aucune nouvelle session ne sera créée par l'analyseur et, par conséquent, aucune information ne sera envoyée au consignateur et au moteur de règles. Ce type de trafic est inutile pour le sniffer. De l'autre côté, ce type de trafic peut créer des charges S-TAP et sniffer supplémentaires.

Un mécanisme de régulation permet de réduire la charge de l'agent S-TAP et du sniffer de réseau en envoyant un message d'omission de session à partir de l'analyseur, si la vitesse S2C est supérieure à MAX_S2C_VELOCITY. Si, pour une raison quelconque, l'agent S-TAP ou le sniffer de réseau n'ont pas été affectés, l'analyseur envoie à nouveau la demande d'omission de session après MAX_S2C_INTERVAL secondes. Pour activer ce mécanisme de régulation, définissez l'indicateur ANALYZER_S2C_IGNORE sur 1.

Scénario 2

Si le trafic entrant a un débit S2C élevé (>MAX_S2C_VELOCITY), un mécanisme de régulation envoie une demande de réponse de session ignorée à S-TAP pour les connexions de base de données locales lorsque la vitesse de S2C est supérieure à MAX_S2C_VELOCITY. Si, pour une raison quelconque, l'agent S-TAP n'a pas été affecté, l'analyseur enverra à nouveau la demande d'omission de réponse de session après MAX_S2C_INTERVAL secondes. Pour activer ce mécanisme de régulation, définissez l'indicateur ANALYZER_S2C_IGNORE sur 2.

store save_result_max_size

Cette commande CLI modifie la zone GLOBAL_PROFILE SAVE_RESULT_MAX_SIZE pour définir la quantité de données dans les rapports générés à partir de l'interface graphique qui reflètent le nombre maximal d'enregistrements de résultat dans les rapports.

Syntaxe

store save_result_max_size <num>

Où < num> est un nombre supérieur à 0.

show, commande

show save_result_max_size

magasin sender_encoding

Utilisez cette commande de l'interface de ligne de commande pour coder les messages sortants (messages électroniques et alertes SNMP) dans différents schémas de codage, où auparavant tout est codé en UTF8.

Par exemple, un client Guardium voulait coder tous les messages SNMP sortants dans SJIS-un codage japonais alternatif.

Syntaxe

store sender_encoding <str>,

où str est le codage avec la longueur maximale 16

show, commande

show sender_encoding

store set_informix_driver_property

Utilisez cette commande pour définir la propriété de connexion IFX_USE_STRENC=true sur toutes les sources de données Informix® .

12.0 Syntaxe

store set_informix_driver_property

store set_partitions_for_queries

Utilisez cette commande CLI pour activer ou désactiver la sélection de partition sur les requêtes.

Syntaxe

store set_partitions_for_queries <on|off>

store sftp_mode

Cette commande, ainsi que show sftp_mode, est obsolète depuis Guardium 11.3.

show snif_alert_only_syslog_with_subject

Utilisez cette commande pour déterminer si le sujet des alertes s'affiche dans le syslog. Définissez la valeur sur OFF pour masquer l'objet des messages d'alerte. La valeur par défaut est ON, qui affiche le sujet de l'alerte dans le syslog.

Syntaxe

store snif_alert_only_syslog_with_subject on|off

show, commande

show snif_alert_only_syslog_with_subject

store snif_littéral_double_quote_littéral

Cette commande permet de contrôler si le sniffer traite les chaînes entre guillemets doubles en tant que littéraux et les remplace par des points d'interrogation lors de la génération d'instructions SQL masquées. Par défaut, le sniffer suppose que les chaînes entre guillemets sont des littéraux et des masques en conséquence. Ce paramètre est disponible pour plusieurs types de base de données. Lors de l'exécution de la commande, vous êtes invité à sélectionner le type de base de données dans une liste et à définir si les chaînes entre guillemets sont traitées comme des littéraux. Utilisez restart inspection-core pour redémarrer le coeur du moteur d'inspection après avoir modifié les paramètres snif_double_quote_literal .

> store snif_double_quote_literal
This command controls whether or not snif will consider double quoted strings literals, and replace them
with question marks when generating masked sql.
USAGE: store snif_double_quote_literal

DB type:
	1. MySql
	2. MemSql
	3. MsSql
	4. Sybase
	5. Informix
	0. Quit

Please select DB type to modify (required) 1

Consider double quoted strings literals?
 (y/n)? n
The parameter has been changed.
Please restart the inspection core for this change to take effect:
restart inspection-core
ok

show snif_double_quote_literal

> show snif_double_quote_literal
Database types in which snif considers double quoted strings as literals

Mysql:    No  (default Yes)
MemSql:   Yes (default Yes)
MsSql:    Yes (default Yes)
Sybase:   Yes (default Yes)
Informix: No  (default No)
ok

store snif_logger_destination_type

Utilisez cette commande pour contrôler la destination du consignateur du sniffer pour la diffusion en flux de données de Guardium Big Data Intelligence ( GBDI).

store snif_logger_destination_type [LOCAL | REMOTE]

Pour plus d'informations, voir Big Data Intelligence avec le streaming de données.

stockez snif_mask_sql_value

Syntaxe

store snif_mask_sql_value on|off

show, commande

show snif_mask_sql_value

magasin snif_db2z_alert_use_client_ip_for_host_name

Pour les systèmes Db2 z/OS uniquement, utilisez cette commande pour activer l'utilisation de l'adresse IP du client comme nom d'hôte pour les messages d'alerte. Lorsqu'elle est activée, la variable %%clientHostName affiche l'adresse IP de l'hôte.

Syntaxe

store snif_db2z_alert_use_client_ip_for_host_name [on|off]

show, commande

show snif_db2z_alert_use_client_ip_for_host_name

magasin snif_max_db2z_bind_variable_value_size

Pour les systèmes Db2 z/OS uniquement, utilisez cette commande pour contrôler la longueur, en ko, des valeurs de variable de liaison. La longueur par défaut est de 2 Ko (2047 caractères). La longueur maximale est de 4096 ko.

Syntaxe

store snif_max_db2z_bind_variable_value_size <n>

Où < n> est un nombre compris entre 2 et 4096, qui correspond à la longueur maximale des valeurs de variable de liaison en Ko.

show, commande

show snif_max_db2z_bind_variable_value_size

store snif_use_feed_analyzer_thread

La commande store snif_use_feed_analyzer_thread vous permet de faire en sorte que le sniffer utilise une file d'attente interne distincte pour ces S-TAPs.

La valeur par défaut pour store snif_use_feed_analyzer_thread est OFF. Si vous prévoyez du trafic sur les deux ports (c'est-à-dire 16016 ou 16018 et 16021 ou 16022), définissez store snif_use_feed_analyzer_thread sur ON avant le démarrage de S-TAPs .

En outre, si le sniffer détecte du trafic provenant des deux ports, il définit le paramètre sur ON, ce qui permet au sniffer d'utiliser des files d'attente distinctes après le prochain redémarrage.

store snif_use_feed_analyzer_thread [ON | OFF ]

show, commande

show snif_use_feed_analyzer_thread

store ssl_ciphers

Utilisez cette commande pour spécifier les chiffrements utilisés par le sniffer Guardium pour votre système d'exploitation.

store ssl_ciphers [custom]

Pour store ssl_ciphers sans l'option custom , Guardium renvoie une liste de chiffres. Indiquez le numéro du (ou des) chiffre(s) à utiliser. Utilisez une virgule pour séparer plusieurs numéros de chiffrement.

Cliquez sur q pour quitter sans apporter de modifications.

Pour store ssl_ciphers [custom], vous pouvez saisir une liste de chiffres séparés par des virgules à ajouter.

Ces modifications ne prennent effet qu'après le redémarrage du noyau d'inspection. Utilisez restart inspection-core pour redémarrer.

Par exemple :

store ssl_ciphers custom

>You have chosen to configure custom ciphers for the sniffer.
it is your responsibility to ensure that the ciphers are of 
acceptable strength and that a common cipher exists between 
these ciphers and the ciphers used by the STAPs.

Do you want to continue? [Yes/n] yes

The current list of configured ciphers is:

    AES256-SHA,AES128-SHA

Please enter a comma separated ciphers that you wish to use
Hit enter to exit: AES256-SHA256,AES256-SHA,AES128-SHA,DHE-RSA-AES256-SHA256

SSL Ciphers set to AES256-SHA256,AES256-SHA,AES128-SHA,DHE-RSA-AES256-SHA256

These changes will only take effect after the inspection core is restarted ('restart inspection-core')

ok

delete ssl_ciphers

Guardium renvoie une liste des algorithmes de chiffrement actuels. Indiquez le numéro du chiffrement à supprimer.

show ssl_ciphers

Pour plus d'informations sur les chiffrements pris en charge, voir Suites de chiffrement.

approbation de l'arrêt du magasin

Utilisez cette fonction pour empêcher les S-TAPs non autorisés de se connecter au dispositif Guardium.

Si cette option est activée, S-TAPs ne peut pas se connecter tant qu'ils ne sont pas spécifiquement approuvés.

Si un agent S-TAP non approuvé se connecte, il est immédiatement déconnecté jusqu'à l'autorisation spécifique de l'adresse IP de cet agent S-TAP.

Un rapport prédéfini pour les clients approuvés, les clients TAP approuvés, est disponible dans l'onglet Surveillance quotidienne .

Syntaxe

store stap approval ON | OFF

show, commande

show stap approval

Commande GuardAPI

grdapi store_stap_approval
The new configuration takes effect after running the CLI command, restart
inspection-core.

stocker le certificat stap

Stocke un certificat de l'hôte S-TAP (généralement un serveur de base de données) sur le dispositif IBM Guardium. Cette commande fonctionne exactement comme la commande de console de certificat de magasin, décrite plus loin.

Syntaxe

store stap certificate

Vous serez invité à effectuer les opérations suivantes:

Collez votre nouveau certificat serveur au format PEM.

Incluez les lignes BEGIN et END, puis appuyez sur CTRL-D.

Si vous ne l'avez pas déjà fait, copiez le certificat serveur dans votre presse-papiers. Collez le certificat au format PEM sur la ligne de commande, puis appuyez sur CRTL-D. Vous serez informé de la réussite ou de l'échec de l'opération du magasin.

Lorsque vous avez terminé, utilisez la commande restart gui pour redémarrer l'interface graphique d' IBM Guardium.

store stap network_latency

La vérification S-TAP est une fonction permettant aux clients de vérifier si un agent S-TAP surveille ou non le trafic de la base de données. La fonction de vérification est affectée par le trafic réseau / temps d'attente du client. Le temps d'attente étant différent pour chaque client, il est nécessaire de répertorier et de modifier la valeur par défaut utilisée par la fonction de vérification.

Syntaxe

store stap network_latency

USAGE: store stap network_latency < N>

où N est le nombre supérieur à 0 seconde.

La valeur par défaut est de 5 secondes.

Si le nombre augmente, le processus de vérification S-TAP sera plus lent.

show, commande

show stap network_latency

système de stockage de magasin

système de stockage de magasin

Ajoute ou supprime un type de système de stockage pour l'archivage ou la sauvegarde système.

| IBMCloud| IBMCOS

store storage-system <NFS> <backup> <on | off>

show, commande

show storage-system

Exemple

Si vous utilisez Centera pour les sauvegardes du système, mais que vous souhaitez passer à un système TSM, vous devez désactiver l'option de sauvegarde Centera (à moins que vous ne souhaitiez la laisser comme autre option) et activer l'option de sauvegarde TSM. La commande est présentée dans l'exemple suivant :

CLI> show storage-system

La sortie de la commande ressemble à l'exemple suivant :

afficher le système de stockage
RÉSEAU :
CENTERA :
ECS : archivage et sauvegarde
TSM :
SCP : archivage et sauvegarde
SFTP (formerly FTP)     : l'archivage et la sauvegarde
AMAZON S3 : archivage et sauvegarde
IBMCloud       : l'archivage et la sauvegarde
IBM COS (formerly Cleversafe)      : l'archivage et la sauvegarde
NFS                            : backing-up
ok

état de support du magasin

Active (on) ou désactive (off) l'envoi d'alertes par e-mail à l'adresse e-mail de support, qui peut être configurée à l'aide de la commande forward support email . Par défaut, l'état de prise en charge est activé (sous) et l'adresse électronique de prise en charge par défaut est support@guardium.com.

Syntaxe

store support state <on | off>

show, commande

show support state 

serveur tang de magasin

Configure la connexion initiale entre le client clevis sur une machine et un serveur tang distant.

Vous pouvez entrer les adresses IP d'un ou de plusieurs serveurs tang. L'adresse IP qui est entrée en premier est le serveur principal, les autres étant des serveurs de sauvegarde. Vous pouvez modifier l'ordre des serveurs tang en effaçant les clés à l'aide de la commande CLI reset luks keys , puis en entrant à nouveau les adresses des serveurs tang en exécutant la commande store tang server .

Syntaxe :

store tang server

Afficher la commande:

show tang server

Affiche le serveur tang le plus récent auquel le système Guardium est connecté. La commande affiche également les serveurs de sauvegarde, le cas échéant.

régulation de magasin

Cette commande de l'interface de ligne de commande stocke les paramètres de régulateur. Après avoir entré cette commande, vous devez exécuter la commande CLI, redémarrez inspection-core pour que les modifications soient prises en compte.

Cette commande permet de filtrer (ignorer) les paquets volumineux. La régulation a deux modes: Seuils, par session-ignorer les sessions lors de l'identification d'une rafale suffisamment longue (durée configurable) de paquets de grande taille (taille configurable) et arrêter d'ignorer la session lorsque le trafic passe sous un certain seuil (également configurable) ; et, global-ignorer tous les paquets de taille supérieure à une certaine taille (configurable) dans toutes les sessions. Ce mode de régulation ignore complètement les paquets longs et excessifs qui ne sont pas des paquets de base de données de taille inférieure à une taille prédéfinie (utile pour les clients VNC et les autres types de trafic de bruit blanc). Utilisez cette option pour le trafic réseau via le port SPAM ou le TAP matériel. Pour le trafic S-TAP, seul le trafic TCP réseau est prélevé par PCAP. Voir aussi la commande CLI, store s2c.

Syntaxe

store throttle [default | size <s> interval <i> trigger <t> release <r>]

USAGE: taille du régulateur de magasin S intervalle I déclencheur T libération R

         où 0<=S<=2^17 (octets), 1<=I,T,R,<=2^31 (secondes)

         Valeur par défaut du régulateur de magasin OR

show, commande

show throttle

Paramètres de régulateur:
Taille de paquet: 228000
Intervalle de temps: 604800
Niveau de déclenchement: 10000000
Niveau d'édition: 10000000

Paramètres

• default-Entrez la valeur par défaut du mot clé pour restaurer les valeurs par défaut du système (aucun autre paramètre n'est utilisé). Les paramètres de régulation par défaut ne sont jamais des paramètres de régulation.
• s-Taille du paquet en octets, jusqu'à un maximum de 217 (131072).

  Les paramètres restants sont exprimés en secondes, jusqu'à un maximum de 231 (2147483648):

• i-Intervalle de temps
• t-Le niveau de déclenchement
• r-Niveau d'édition

délai de stockage

Définit la valeur de délai d'attente d'une session CLI et / ou d'une session de serveur de fichiers. La valeur par défaut est de 600 secondes. Un délai d'attente ferme également la session de l'interface de ligne de commande.

Si le serveur de fichiers est arrêté en raison d'un dépassement de délai, un message s'affiche:Warning : Fileserver stopped because of timeout. The file upload may not be complete. Stopping the process.

Utilisez les commandes de l'interface de ligne de commande, show timeout db_connection, pour afficher la valeur socketTimeout dans le fichier de configuration et store timeout db_connection, pour définir la valeur du délai d'attente. La valeur doit être supérieure à 0. La valeur par défaut est 25000 secondes. Ces commandes CLI sont utilisées pour gérer les communications entre le gestionnaire central et l'unité gérée lorsque DNS n'est pas configuré.

Syntaxe

store timeout cli_session <n>
store timeout fileserver_session <n>
store timeout db_connection <n>

show, commande

show timeout cli_session 600
show timeout fileserver_session 600
show timeout db_connection 25000

classificateur de délai d'attente

Définit le nombre de secondes (0 à 9999) nécessaires à l'exécution des requêtes de discriminant.

Syntaxe

store timeout classifier <count_query n | sample_query n>

Afficher la syntaxe

show timeout classifier <count_query | sample_query>

méthode de transfert de magasin

Définit la méthode de transfert de fichiers. Indiquez le protocole FTP pour SFTP.

Syntaxe

store transfer-method <FTP | SCP>

show, commande

show transfer-method

stocker uid_chain_polling_interval

Définissez l'intervalle d'interrogation de la chaîne d'ID utilisateur à l'aide de cette commande CLI. La chaîne d'ID utilisateur est un mécanisme qui permet à S-TAP (par le biais de K-Tap) de suivre la chaîne d'utilisateurs qui s'est produite avant une connexion de base de données.

Définissez l'intervalle sur 0 pour désactiver le traitement de la chaîne d'ID utilisateur afin d'améliorer les performances de la base de données. Si le traitement de la chaîne d'ID utilisateur est désactivé, le calcul de la chaîne d'ID utilisateur et la mise à jour des sessions enfant sont ignorés.

Syntaxe

store uid_chain_polling_interval <n>

Où n est la durée en minutes (> = 1 minute ; la valeur par défaut est 2 minutes). Définissez N = 0 pour désactiver le traitement de la chaîne d'ID utilisateur

show, commande

show uid_chain_polling_interval

stocker upd_session_end

Cette commande de l'interface de ligne de commande ajoute une option permettant d'ignorer la mise à jour pour l'heure session_end à l'aide de l'Inférence de session. Pour plus d'informations, voir Inférence de session.

Syntaxe

store upd_session_end <on | off>

show, commande

show upd_session_end

type d'unité de magasin

Utilisez cette commande CLI pour définir des attributs de type d'unité pour le dispositif Guardium. Voir le tableau 2 pour une description de tous les attributs de type d'unité que vous pouvez afficher avec cette commande.

Syntaxe

store unit type [manager | standalone] [netinsp] [stap] [mainframe] [sink] [cmhealthview] [enterprise hub] [kafka-node]

Utilisez store unit type sink pour changer la granularité d'horodatage du trafic DRDA collecté de 1 milliseconde à 1 microseconde.

show, commande

show unit type

Attributs de type d'unité

store va max_detail

Cette commande de l'interface de ligne de commande permet de réguler le nombre maximal d'enregistrements détaillés pour l'exécution de tests d'évaluation de la sécurité basés sur des requêtes.

Syntaxe

store va max_detail [on <num> | off] 

show, commande

show va max_detail

routage

Cette commande est un outil de diagnostic qui suit les paquets de route sur un réseau IP.

Syntaxe

Routage<host><max hops><wait time>

annuler l'enregistrement de la gestion

La commande unregister restaure la configuration qui a été sauvegardée lorsque le dispositif a été enregistré pour la gestion centralisée.

Syntaxe

unregister management