Générer des rapports pour superviser l’activité de l’utilisateur final

Cette rubrique contient les sections suivantes :

Survol de la génération de rapports

Secure Web Appliance génère des rapports généraux qui vous permettent de comprendre ce qui se passe sur le réseau et d’afficher les détails du trafic pour un domaine, un utilisateur ou une catégorie en particulier. Vous pouvez exécuter des rapports pour afficher un affichage interactif de l’activité du système sur une période donnée, ou vous pouvez planifier des rapports et les exécuter à des intervalles réguliers.

Thèmes connexes

Utilisation des noms d’utilisateur dans les rapports

Lorsque vous activez l’authentification, les rapports répertorient les utilisateurs en fonction de leur nom d’utilisateur lorsqu’ils s’authentifient avec le proxy Web. Par défaut, les noms d’utilisateurs sont écrits tels qu’ils apparaissent sur le serveur d’authentification. Cependant, vous pouvez choisir de rendre les noms d’utilisateurs non reconnaissables dans tous les rapports.


Note
Les administrateurs peuvent toujours voir les noms d’utilisateurs dans les rapports.

Procedure

Step 1

Choisissez Security Services > Reporting (Services de sécurité > Rapports), puis cliquez sur Edit Settings (Modifier les paramètres).

Step 2

Sous Local Reporting (Rapports locaux), sélectionnez Anonymize usernames in reports (Anonymiser les noms d’utilisateur dans les rapports).

Step 3

Envoyez et validez les modifications.

Pages de rapport

Secure Web Appliance propose les rapports suivants :

  • My Dashboard (Mon tableau de bord) (« page d’accueil » de la création de rapports; ce rapport est également accessible en cliquant sur l’icône d’accueil dans le bord gauche de la barre de menus)

  • Survol

  • Users (Utilisateurs)

  • Nombre d’utilisateurs

  • Sites Web

  • URL Categories (Catégories d’URL)

  • Visibilité de l’application

  • Protection contre les programmes malveillants

  • Cisco Secure Endpoint

  • Analyse de fichier

  • Mises à jour des verdicts Cisco Secure Endpoint

  • Risques de programmes malveillants des clients

  • Web Reputation Filters (Filtres de réputation Web)

  • L4 Traffic Monitor (Supervision du trafic de la couche 4)

  • Proxy SOCKS

  • Rapports par emplacement d’utilisateur

  • Suivi Web

  • Capacité du système

  • État du système

  • Rapports planifiés

  • Rapports archivés

Utilisation des pages de rapports

Les différentes pages de rapport fournissent un aperçu de l’activité du système et prennent en charge plusieurs options pour l’affichage des données du système. Vous pouvez également rechercher dans chaque page un site Web et des données propres aux clients.

Vous pouvez effectuer les tâches suivantes sur la plupart des pages de rapport :

Option

Lien vers la tâche

Modifier la plage de temps affichée dans un rapport

Modification de la plage de temps

Rechercher des clients et des domaines spécifiques

Recherche de données

Choisir les données à afficher dans les graphiques

Choix des données à représenter au format graphique

Exporter des rapports vers des fichiers externes

Impression et exportation des rapports à partir des pages de rapport

Modification de la plage de temps

Vous pouvez mettre à jour les données affichées pour chaque composant de sécurité en utilisant le champ Time Range (Plage de temps). Cette option vous permet de générer des mises à jour pour des plages de temps prédéfinies et de définir des plages de temps personnalisées d’une heure de début précise à une heure de fin précise.


Note
La plage de temps que vous sélectionnez est utilisée dans toutes les pages du rapport jusqu’à ce que vous sélectionniez une valeur différente dans le menu Time Range (Plage de temps).

Time Range (Plage de temps)

Les données sont retournées en...

Hour (Heure)

Soixante minutes complètes, plus jusqu’à cinq minutes supplémentaires.

Day (Jour)

Intervalles d’une heure pour les dernières 24 heures et incluant l’heure partielle actuelle.

Week (Semaine)

Intervalles d’une journée pour les 7 derniers jours plus le jour partiel courant.

Mois (30 jours)

Intervalles d’un journée pour les 30 derniers jours plus le jour partiel courant.

Hier

Les dernières 24 heures (00:00 à 23:59) en utilisant le fuseau horaire défini dans Secure Web Appliance.

Plage personnalisée

La plage de temps personnalisée que vous avez définie.

Lorsque vous choisissez Custom Range (Plage personnalisée), une boîte de dialogue s’affiche pour vous permettre de saisir les heures de début et de fin.


Note
Tous les rapports affichent des informations de date et d’heure en fonction du fuseau horaire configuré pour le système, indiqué par un décalage par rapport à l’heure de Greenwich (GMT). Cependant, les exportations de données affichent l’heure GMT uniquement pour s’adapter à plusieurs systèmes couvrant plusieurs fuseaux horaires à travers le monde.

Choix d’une plage de temps pour les rapports

La plupart des pages de rapports prédéfinies vous permettent de choisir une plage de temps pour les données à inclure. La plage de temps que vous sélectionnez est utilisée pour toutes les pages du rapport jusqu’à ce que vous sélectionniez une valeur différente dans le menu Time Range (Plage de temps).

Les options de plage de temps disponibles varient en fonction de l’appliance et selon les rapports par courriel et sur le Web sur l’appliance de gestion de la sécurité :


Note
Les plages de temps sur les pages de rapport sont affichées en tant que décalage par rapport à l’heure de Greenwich (GMT). Par exemple, l’heure du Pacifique est GMT + 7 heures (GMT + 07:00).

Note
Tous les rapports affichent des informations de date et d’heure en fonction du fuseau horaire configuré dans les systèmes, indiqué par un décalage par rapport à l’heure de Greenwich (GMT). Cependant, les exportations de données affichent l’heure GMT pour s’adapter à plusieurs systèmes dans plusieurs fuseaux horaires à travers le monde.

Recherche de données

Certains rapports comprennent un champ que vous pouvez utiliser pour rechercher des points de données particuliers. Lorsque vous recherchez des données, le rapport affine les données du rapport pour l’ensemble de données particulier que vous recherchez. Vous pouvez rechercher les valeurs qui correspondent exactement à la chaîne que vous entrez ou qui commencent par la chaîne que vous entrez. Les pages de rapport suivantes comprennent des champs de recherche :

Champs de recherche

Description

Users (Utilisateurs)

Recherchez un utilisateur par nom d’utilisateur ou adresse IP du client.

Web Sites (Sites Web)

Recherchez un serveur par domaine ou adresse IP de serveur.

URL Categories (Catégories d’URL)

Recherchez une catégorie d’URL.

Application Visibility (Visibilité de l’application)

Recherchez un nom d’application que le moteur AVC surveille et bloque.

Client Malware Risk (Risque lié aux programmes malveillants pour le client)

Recherchez un utilisateur par nom d’utilisateur ou adresse IP du client.

Note
Vous devez configurer l’authentification pour afficher les ID des utilisateurs clients ainsi que les adresses IP des clients.

Choix des données à représenter au format graphique

Les tableaux par défaut dans chaque page de rapports Web affichent les données couramment référencées, mais vous pouvez choisir d’afficher des données différentes à la place. Si une page contient plusieurs graphiques, vous pouvez modifier chaque graphique. Les options de tableau sont les mêmes que les en-têtes de colonne du ou des tableaux du rapport.

Procedure

Step 1

Cliquez sur le lien Chart Options (Options du graphique) sous un graphique.

Step 2

Choisissez les données à afficher.

Step 3

Cliquez sur Done (Terminé).

Rapports personnalisés

Vous pouvez créer une page de rapport personnalisée sur la en assemblant des graphiques et des tableaux à partir de pages de rapport existantes.

Destinataire

Faire ceci

Ajouter des modules à votre page de rapport personnalisé

Voir :

Afficher votre page de rapport personnalisé

  1. Choisissez Monitor > Email or Web > Reporting > Reporting > My Reports (Superviser > E-mail ou Web > Rapports > Rapports > Mes rapports).
  2. Sélectionnez la plage de temps pour afficherla plage de temps sélectionnée s’applique à tous les rapports, notamment tous les modules de la page My Reports (Mes rapports).

Les nouveaux modules ajoutés s’affichent en haut du rapport personnalisé.

Réorganiser les modules sur votre page de rapport personnalisé

Faites glisser et déposez les modules à l’emplacement souhaité.

Supprimer des modules de votre page de rapport personnalisé

Cliquez sur le [X] dans le coin supérieur droit du module.

Générer une version PDF ou CSV de votre rapport personnalisé

Choisissez Reporting > Archived Reports (Rapports > Rapports archivés) et cliquez sur Generate Report Now (Générer un rapport maintenant).

Générer régulièrement une version PDF ou CSV de votre rapport personnalisé

Choisissez Reporting > Scheduled Reports (Rapports > Rapports planifiés).

Modules ne pouvant pas être ajoutés aux rapports personnalisés

  • Résultats de la recherche , y compris les résultats de la recherche de suivi Web

Création de votre page de rapports personnalisés

Before you begin
Procedure

Step 1

Utilisez l’une des méthodes suivantes pour ajouter un module à votre page de rapport personnalisée :

Note

 
Certains modules ne sont disponibles que si vous utilisez une de ces méthodes. Si vous ne pouvez pas ajouter de module en utilisant une méthode, essayez une autre méthode.

  • Accédez à la page du rapport sous l’onglet contenant le module que vous souhaitez ajouter, puis cliquez sur le bouton [+] en haut du module.

  • Accédez à Reporting > My Reports (Web > Rapports > Mes Rapports), cliquez sur le bouton [+] (Module de rapport) en haut de l’une des sections, puis sélectionnez le module de rapport que vous voulez ajouter. Vous devrez peut-être cliquer sur [+] (Module du rapport) afin de rechercher le module qui vous intéresse.

    Vous ne pouvez ajouter chaque module qu’une seule fois; si vous avez déjà ajouté un module en particulier à votre rapport, l’option permettant de l’ajouter ne sera pas disponible.

Step 2

Si vous ajoutez un module que vous avez personnalisé (p. ex., en ajoutant, en supprimant ou en réordonnant des colonnes, ou en affichant des données autres que celles par défaut dans le tableau), personnalisez les modules sur la page My Reports (Mes rapports).

Les modules sont ajoutés avec les paramètres par défaut. La plage de temps du module d’origine n’est pas conservée.

Step 3

Si vous ajoutez un graphique qui inclut une légende distincte (par exemple, un graphique de la page de survol), ajoutez la légende séparément. Si nécessaire, faites-la glisser et déposez-la à côté des données qu’elle décrit.

Sous-domaines comparés aux domaines de deuxième niveau dans les rapports et le suivi

Dans le cadre des recherches de rapport et de suivi, les domaines de deuxième niveau (les domaines régionaux figurent à l’adresse http://george.surbl.org/two-level-tlds) sont traités différemment des sous-domaines, bien que les deux types de domaines puissent sembler être identiques. Par exemple :

  • Les rapports n’incluront pas les résultats pour un domaine à deux niveaux comme co.uk, mais incluront les résultats pour foo.co.uk. Les rapports incluent les sous-domaines du domaine principal de l’entreprise, par exemple, cisco.com.
  • Le suivi des résultats de recherche pour le domaine régional co.uk n’inclura pas les domaines comme foo.co.uk, tandis que les résultats de recherche pour cisco.com incluront les sous-domaines comme sous-domaine.cisco.com.

Impression et exportation des rapports à partir des pages de rapport

Vous pouvez générer une version PDF au format PDF de n’importe quelle page de rapport en cliquant sur le lien Printable (PDF) (Imprimable (PDF)) dans le coin supérieur droit de la page. Vous pouvez également exporter des données brutes sous forme de fichier de valeurs séparées par des virgules (CSV) en cliquant sur le lien Export (Exporter).

Étant donné que les exportations CSV n’incluent que des données brutes, les données exportées à partir d’une page de rapport Web peuvent ne pas inclure de données calculées telles que des pourcentages, même si ces données apparaissent dans le rapport Web.

Exportation des données du rapport

La plupart des rapports comprennent un lien d’exportation qui vous permet d’exporter des données brutes vers un fichier de valeurs séparées par des virgules (CSV). Après avoir exporté les données vers un fichier CSV, vous pouvez accéder aux données qu’il contient et les manipuler à l’aide d’applications telles que Microsoft Excel.

Les données CSV exportées affichent toutes les données de suivi des messages et de rapports selon le temps moyen de Greenwich (GMT), quel que soit le fuseau horaire défini sur Secure Web Appliance. Le but de la conversion de l’heure GMT est de permettre aux données d’être utilisées indépendamment de l’appliance ou lors du référencement de données à partir d’appliances se trouvent dans plusieurs fuseaux horaires.

L’exemple suivant est une entrée issue d’une exportation de données brutes du rapport sur la catégorie de protection contre les programmes malveillants, où l’heure avancée du Pacifique (PDT) est remplacée par GMT 07:00 : 

 Begin Timestamp, End Timestamp, Begin Date, End Date, Name,
		Transactions Monitored, Transactions Blocked, Transactions Detected 
  1159772400.0, 1159858799.0, 2006-10-02 07:00 GMT, 2006-10-03 06:59 GMT, Adware, 525, 2100, 2625

En-tête de catégorie

Valeur

Description

Begin Timestamp (Horodatage de début)

1159772400.0

Heure de début de la requête en nombre de secondes à partir de l’ère.

End Timestamp (Horodatage de fin)

1159858799.0

Heure de fin de la requête en nombre de secondes à partir de l’ère.

Begin Date (Date de début)

2006-10-02 07:00 GMT

Date de début de la requête.

End Date (Date de fin)

2006-10-03 06:59 GMT

Date à laquelle la requête s’est terminée.

Name (Nom)

(Nom) (Logiciels publicitaires)

Nom de la catégorie de programmes malveillants.

Transactions Monitored (Transactions surveillées)

525

Nombre de transactions surveillées.

Transactions Blocked (Transactions bloquées)

2100

Nombre de transactions bloquées.

Transactions Detected (Transactions détectées)

2625

Nombre total de transactions = (Nombre de transactions détectées) + (Nombre de transactions bloquées).


Note

 – Les en-têtes de catégorie sont différents pour chaque type de rapport.

- Si vous exportez des données CSV localisées, il est possible que les en-têtes ne s’affichent correctement dans certains navigateurs. Cela se produit parce que certains navigateurs peuvent ne pas utiliser le jeu de caractères approprié pour le texte localisé. Pour contourner ce problème, vous pouvez enregistrer le fichier sur votre ordinateur local et l’ouvrir dans n’importe quel navigateur Web à l’aide de la commande File > Open (Fichier > Ouvrir). Lorsque vous ouvrez le fichier, sélectionnez le jeu de caractères pour afficher le texte localisé.

Utilisation des pages de rapport interactives sur la nouvelle interface Web

Vous pouvez afficher les rapports pour Secure Web Appliance à l’aide de la liste déroulante Reports (Rapports), comme le montre la figure suivante :


Remarque

La page du rapport d’aperçu est la page de destination (la page affichée après la connexion). Le rechargement de la nouvelle interface Web à partir de n’importe quelle page de rapport ou de suivi charge la page de destination par défaut (page du rapport d’aperçu).

Illustration 1. Liste déroulante des rapports

Les rapports Web peuvent être classés comme suit : rapports généraux et rapports sur les menaces.

Pour accéder à la nouvelle interface Web, consultez Rapports sur les appliances Secure sur la nouvelle interface Web.

Thèmes connexes

Activation des rapports

Si votre organisation a plusieurs Secure Web Appliance et utilise une appliance Cisco de gestion de la sécurité de contenu pour gérer et afficher les données de rapports agrégées, vous devez activer les rapports centralisés sur chaque Secure Web Appliance.

Vous pouvez choisir le type de rapport en fonction de la configuration de l’appliance. Vous pouvez choisir de conserver tous les rapports localement. Si votre organisation a plusieurs Secure Web Appliance et qu’elle utilise une appliance Cisco Content Security Management, vous pouvez opter pour la production de rapports centralisés afin de gérer et d’afficher les données agrégées des rapports. Si vous choisissez les rapports centralisés ou les rapports locaux fournis , vous devez appliquer ces sélections sur chaque Secure Web Appliance.

Procedure

Step 1

Choisissez Security Services > Reporting (Services de sécurité > Rapports) et cliquez sur Edit Settings (Modifier les paramètres).

  1. Sélectionnez Local Reporting (Rapports locaux) pour activer la création de rapports sur l’appliance. Les rapports seront accessibles après la connexion au portail de l’appliance.

  2. Sélectionnez Centralized Reporting (Rapports centralisés) pour activer la création de rapports par l’intermédiaire de Cisco Content Security Management Appliance.

    Secure Web Appliance ne stocke toutes ses données collectées que pour les rapports locaux. Si les rapports centralisés sont activés sur l’appliance, Secure Web Appliance ne conserve que les données de capacité et d’état du système, et ce sont les seuls rapports disponibles sur Secure Web Appliance localement.

    Consultez la rubrique « Utilisation des rapports et du suivi centralisés du Web » dans le guide de l’utilisateur de votre Cisco Content Security Management Appliance pour en savoir plus sur la configuration de cette fonctionnalité sur l’appliance de gestion.

Step 2

Envoyez et validez les modifications.

Planification des rapports

Vous pouvez planifier l’exécution de rapports sur une base quotidienne, hebdomadaire ou mensuelle. Les rapports planifiés peuvent être configurés pour inclure les données de la journée précédente, des sept jours précédents ou du mois précédent.

Vous pouvez planifier des rapports pour les types de rapports suivants :

  • Survol

  • Users (Utilisateurs)

  • Sites Web

  • URL Categories (Catégories d’URL)

  • Visibilité de l’application

  • Protection contre les programmes malveillants

  • Cisco Secure Endpoint

  • Mises à jour des verdicts Cisco Secure Endpoint

  • Risques de programmes malveillants des clients

  • Web Reputation Filters (Filtres de réputation Web)

  • L4 Traffic Monitor (Supervision du trafic de la couche 4)

  • Proxy SOCKS

  • Rapports par emplacement d’utilisateur

  • Capacité du système

  • Mon tableau de bord

Ajout d’un rapport planifié

Procedure

Step 1

Choisissez Reporting > Scheduled Reports (Rapports > Rapports planifiés) et cliquez sur Add Scheduled Report (Ajouter un rapport planifié).

Step 2

Choisissez un Type de rapport.

Step 3

Entrez un Titre descriptif pour le rapport.

Évitez de créer plusieurs rapports sous le même nom.

Step 4

Choisissez une plage de temps pour les données incluses dans le rapport.

Step 5

Sélectionnez le Format du rapport généré.

Le format par défaut est PDF. La plupart des rapports vous permettent également d’enregistrer des données brutes dans un fichier CSV.

Step 6

Selon le type de rapport que vous configurez, vous pouvez spécifier différentes options de rapport, telles que le nombre de lignes à inclure et la colonne selon laquelle trier les données. Configurez ces options selon vos besoins.

Step 7

Dans la section Schedule (Planification), indiquez si vous souhaitez exécuter le rapport chaque jour, chaque semaine ou chaque mois, et à quelle heure.

Step 8

Dans le champ Email to (Envoyer un e-mail à), saisissez les adresses de courriel auxquelles le rapport généré doit être envoyé.

Si vous n’indiquez pas d’adresse de messagerie, le rapport est simplement archivé.

Step 9

Choisissez la langue du rapport pour les données.

Step 10

Envoyez et validez les modifications.

Modification des rapports planifiés

Procedure

Step 1

Choisissez Reporting > Scheduled Reports (Rapports > Rapports planifiés).

Step 2

Sélectionnez le titre du rapport dans la liste.

Step 3

Modifiez les paramètres.

Step 4

Envoyez et validez les modifications.

Suppression de rapports planifiés

Procedure

Step 1

Choisissez Reporting > Scheduled Reports (Rapports > Rapports planifiés).

Step 2

Cochez les cases correspondant aux rapports que vous souhaitez supprimer.

Step 3

Pour supprimer tous les rapports planifiés, cochez la case All (Tous).

Step 4

Supprimez et validez les modifications.

Note

 
Les versions archivées des rapports supprimés ne sont pas supprimées.

Création de rapports sur demande

Procedure

Step 1

Choisissez Reporting > Archived Reports (Rapports > Rapports archivés).

Step 2

Cliquez sur Generate Report Now (Générer un rapport maintenant).

Step 3

Choisissez un Type de rapport.

Step 4

Entrez un Titre descriptif pour le rapport.

Évitez de créer plusieurs rapports sous le même nom.

Step 5

Choisissez une plage de temps pour les données incluses dans le rapport.

Step 6

Sélectionnez le Format du rapport généré.

Le format par défaut est PDF. La plupart des rapports vous permettent également d’enregistrer des données brutes dans un fichier CSV.

Step 7

Selon le type de rapport que vous configurez, vous pouvez spécifier différentes options de rapport, telles que le nombre de lignes à inclure et la colonne selon laquelle trier les données. Configurez ces options selon vos besoins.

Step 8

Sélectionnez une des options de remise :

  • Archivez le rapport (il s’affichera dans la page des rapports archivés).
  • Envoyez maintenant le courriel aux destinataires; indiquez une ou plusieurs adresses de courriel.

Step 9

Choisissez la langue du rapport pour les données.

Step 10

Cliquez sur Deliver this Report (Remettre ce rapport) pour générer le rapport.

Step 11

Validez les modifications.

Rapports archivés

La page Reporting > Archived Reports (Rapports > Rapports archivés) répertorie les rapports archivés disponibles. Chaque nom dans la colonne Report Title (Titre du rapport) fournit un lien vers une vue de ce rapport. Le menu Show (Afficher) filtre les types de rapports répertoriés. Vous pouvez cliquer sur les en-têtes de colonne pour trier les données de chaque colonne.

L’appliance stocke jusqu’à 12 instances de chaque rapport planifié (jusqu’à 1000 rapports au total). Les rapports archivés sont stockés dans le répertoire /PERODIC_reports sur l’appliance. Les rapports archivés sont supprimés automatiquement. À mesure que de nouveaux rapports sont ajoutés, les anciens rapports sont supprimés pour maintenir le nombre à 1000. La limite de 12 instances s’applique à chaque rapport planifié du même nom et de la même plage de temps.

Résolution des problèmes liés aux rapports de supervision du trafic de la couche 4

Si le proxy Web est configuré comme un proxy de transfert et que l’option L4 Traffic Monitor (Supervision du trafic de la couche 4) est configurée pour surveiller tous les ports, l’adresse IP du port de données du proxy est enregistrée et affichée comme adresse IP du client dans les rapports. Si le proxy Web est configuré comme un proxy transparent, activez l’usurpation d’adresses IP pour enregistrer et afficher correctement les adresses IP des clients. Pour ce faire, consultez le Guide de l’utilisateur IronPort AsyncOS pour le Web.

Thèmes connexes