Créer un déclencheur

Les déclencheurs permettent d'étendre les fonctionnalités de votre système ExtraHop. Grâce aux déclencheurs, vous pouvez créer des mesures personnalisées, générer et stocker des enregistrements ou envoyer des données à un système tiers. Comme vous écrivez le script du déclencheur, vous contrôlez les actions entreprises par le déclencheur lors d'événements système spécifiques.

Pour créer un déclencheur, vous devez créer une configuration de déclencheur, écrire le script de déclencheur, puis affecter le déclencheur à une ou plusieurs sources de métriques. Le déclencheur ne s'exécutera pas tant que toutes les actions n'auront pas été effectuées.

Before you begin

Si vous êtes novice en matière de déclencheurs, familiarisez-vous avec le processus de planification des

déclencheurs

, qui vous aidera à réduire l'objectif de votre déclencheur ou à déterminer s'il est nécessaire de créer un déclencheur. Ensuite, exécutez le processus de création d'un déclencheur en suivant la procédure des déclencheurs.

Configurer les paramètres du déclencheur

La première étape de la construction d'un déclencheur consiste à lui donner un nom, à déterminer si le débogage est activé et, surtout, à identifier les événements du système sur lesquels le déclencheur s'exécutera.

  1. Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
  2. Cliquez sur l'icône Paramètres système , puis sur Déclencheurs.
  3. Cliquez sur Créer.
  4. Spécifiez les paramètres de configuration du déclencheur suivants :
    Nom
    Nom du déclencheur.
    Auteur
    Le nom de l'utilisateur qui a écrit le déclencheur. Les déclencheurs par défaut affichent ExtraHop.
    Description
    Une description facultative du déclencheur.
    Affectations
    Les appareils ou groupes d'appareils auxquels le déclencheur est affecté. Un déclencheur ne s'exécute pas tant qu'il n'est pas affecté à un périphérique, et le déclencheur recueille des données métriques uniquement à partir des périphériques auxquels il est affecté
    Avertissement :.L'exécution de déclencheurs sur des périphériques et des réseaux inutiles épuise les ressources du système.
    L'exécution de déclencheurs sur des périphériques et des réseaux inutiles épuise les ressources du système.
    Avertissement :Minimisez l'impact sur les performances en affectant un déclencheur uniquement aux sources spécifiques à partir desquelles vous devez collecter des données.
    Important :Les déclencheurs avec les événements suivants s'exécutent chaque fois que l'événement se produit. Les déclencheurs qui s'exécutent uniquement sur ces événements ne peuvent pas être affectés à des périphériques ou à des groupes de périphériques.
    • ALERT_RECORD_COMMIT
    • DETECTION_UPDATE
    • METRIC_CYCLE_BEGIN
    • METRIC_CYCLE_END
    • METRIC_RECORD_COMMIT
    • NEW_APPLICATION
    • NEW_DEVICE
    • SESSION_EXPIRE
    • TIMER_30SEC
    Activer le journal de débogage
    Case à cocher permettant d'activer ou de désactiver le débogage. Si vous ajoutez des instructions de débogage au script du déclencheur, cette option vous permet d'afficher la sortie de débogage dans le journal de débogage lorsque le déclencheur est en cours d'exécution.
    Événements
    Les événements sur lesquels le déclencheur s'exécute. Le déclencheur s'exécute chaque fois qu'un des événements spécifiés se produit sur un périphérique assigné ; vous devez donc assigner au moins un événement à votre déclencheur. Vous pouvez cliquer dans le champ ou commencer à taper un nom d'événement pour afficher une liste filtrée des événements disponibles.
    Les options avancées
    Options avancées des déclencheurs varient en fonction des événements sélectionnés. Par exemple, si vous sélectionnez l'événement HTTP_RESPONSE, vous pouvez définir le nombre d'octets de charge utile à mettre en mémoire tampon pour ces événements.

Rédiger un script de déclenchement

Le script de déclenchement spécifie les instructions que le déclencheur exécutera lorsqu'un événement système configuré pour le déclencheur se produira.

Before you begin

Nous vous recommandons d'ouvrir le site Référence API ExtraHop Trigger , qui contient les événements, les méthodes et les propriétés dont vous avez besoin pour votre déclencheur. Un lien est également disponible dans la fenêtre de l'éditeur de déclencheur du système ExtraHop.
  1. Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
  2. Cliquez sur l'icône Paramètres système , puis sur Déclencheurs.
  3. Cliquez sur Créer.
  4. Dans le volet de droite, saisissez le script du déclencheur dans une syntaxe de type JavaScript avec les événements, les méthodes et les propriétés du site Référence API ExtraHop Trigger .
    La figure suivante montre un exemple de script saisi dans l'onglet Éditeur :

    L'éditeur offre une fonction d'autocomplétion qui affiche une liste de propriétés et de méthodes en fonction de l'objet de classe sélectionné. Par exemple, tapez un nom de classe, puis un point (.) pour afficher une liste de propriétés et de méthodes disponibles, comme le montre la figure suivante :

  5. Cliquez sur Enregistrer.

    L'éditeur fournit une validation syntaxique de votre script. Lorsque vous enregistrez le déclencheur, le validateur signale les actions non valides, les erreurs de syntaxe ou les éléments dépréciés dans le script. Le cas échéant, le validateur affiche des remplacements pour les éléments obsolètes.

    Avertissement :Pour éviter de mauvaises performances du déclencheur, des résultats incorrects ou un déclencheur qui ne fonctionne pas, nous vous recommandons vivement de corriger le code ou de remplacer l'élément obsolète.

    La figure suivante présente un exemple de message d'erreur généré par le validateur de syntaxe :

Options avancées des déclencheurs

Vous devez configurer les déclencheurs pour qu'ils s'exécutent sur au moins un événement. En fonction de l'événement sélectionné, le volet Créer un déclencheur affiche des options de configuration avancées. Par exemple, la sélection de l'événement HTTP_RESPONSE vous permet de définir le nombre d'octets de charge utile à mettre en mémoire tampon chaque fois que cet événement se produit sur le système.

Le tableau suivant décrit les options avancées disponibles et les événements qui prennent en charge chaque option.
Option Description de l'option Événements pris en charge
Octets par paquet à capturer Spécifie le nombre d'octets à capturer par paquet. La capture commence par le premier octet du paquet. Spécifiez cette option uniquement si le script de déclenchement effectue une capture de paquets

. Une valeur de 0 indique que la capture doit recueillir tous les octets de chaque paquet

.
Tous les événements sont pris en charge, à l'exception de la liste suivante :
  • ALERT_RECORD_COMMIT
  • METRIC_CYCLE_BEGIN
  • METRIC_CYCLE_END
  • FLOW_REPORT
  • NEW_APPLICATION
  • NEW_DEVICE
  • SESSION_EXPIRE
L7 Payload Bytes to Buffer (octets de charge utile dans la mémoire tampon)
Remarque :Si plusieurs déclencheurs s'exécutent sur le même événement, le déclencheur dont la valeur de L7 Payload Bytes to Buffer est la plus élevée détermine la charge utile maximale de cet événement pour chaque déclencheur
.
  • CIFS_REQUEST
  • CIFS_RESPONSE
  • HTTP_REQUEST
  • HTTP_RESPONSE
  • ICA_TICK
  • LDAP_RESPONSE
Octets du presse-papiers Spécifie le nombre d'octets à mettre en mémoire tampon lors d'un transfert de presse-papiers Citrix.
  • ICA_TICK
Cycle métrique Spécifie la durée du cycle métrique, exprimée en secondes. Les valeurs suivantes sont valides :
  • 30sec
  • 5min
  • 1hr
  • 24hr
  • METRIC_CYCLE_BEGIN
  • METRIC_CYCLE_END
  • METRIC_RECORD_COMMIT
Types de métriques Spécifie le type de métrique par le nom brut de la métrique, tel que extrahop.device.http_server. Spécifiez plusieurs types de métriques dans une liste délimitée par des virgules.
  • ALERT_RECORD_COMMIT
  • METRIC_RECORD_COMMIT
Run trigger on each flow turn

Si cette option est activée, toutes les valeurs spécifiées pour les options Chaîne de correspondance du clientet Chaîne de correspondance du serveur sont ignorées

.
  • SSL_PAYLOAD
  • TCP_PAYLOAD
Plage de ports du client Spécifie la plage de ports du client

. Les valeurs valides sont comprises entre 0 et 65535

.
  • SSL_PAYLOAD
  • TCP_PAYLOAD
  • UDP_PAYLOAD
Octets du client à mettre en mémoire tampon La

valeur de cette option ne peut pas être définie sur 0 si la valeur de l'option Octets du serveur à mettre

en mémoire tampon est

également définie sur 0

.
  • SSL_PAYLOAD
  • TCP_PAYLOAD
Chaîne de recherche du tampon client Spécifie la chaîne de format qui indique quand commencer à mettre en mémoire tampon les données du client

.Toute valeur spécifiée pour cette option est ignorée si l'option Per Turn est activée

.
  • SSL_PAYLOAD
  • TCP_PAYLOAD
  • UDP_PAYLOAD
Plage de ports du serveur Spécifie la plage de ports du serveur

. Les valeurs valides sont comprises entre 0 et 65535

.
  • SSL_PAYLOAD
  • TCP_PAYLOAD
  • UDP_PAYLOAD
Server Bytes to Buffer (octets de serveur à mettre en mémoire tampon)

La valeur de cette option ne peut pas être définie sur 0 si la valeur de l'option Octets du client à mettre

en mémoire tampon est

également définie sur 0

.
  • SSL_PAYLOAD
  • TCP_PAYLOAD
Chaîne de recherche du tampon du serveur Spécifie la chaîne de format qui indique quand commencer à mettre les données en mémoire tampon.

Toute valeur spécifiée pour cette option est ignorée si l'option Per Turn est activée

.
  • SSL_PAYLOAD
  • TCP_PAYLOAD
  • UDP_PAYLOAD
Run trigger on all UDP packets (Lancer un déclencheur sur tous les paquets UDP) Active la capture de tous les datagrammes UDP.
  • UDP_PAYLOAD
Run FLOW_CLASSIFY on expiring, unclassified flows (Exécuter FLOW_CLASSIFY sur les flux non classifiés arrivant à expiration) Permet d'exécuter l'événement à l'expiration afin d'accumuler des mesures pour les flux qui n'ont pas été classés avant l'expiration.
  • FLOW_CLASSIFY
Published 2023-11-07