Observer
Lire la pilule SecOps et distinguer état nominal, maintenance, alerte et incident.
Fiche opérateur publique pour lire Waybar SecOps, interpréter les niveaux, lancer les diagnostics et cadrer une réponse à incident sans exposer les chemins privés.
Lire la pilule SecOps et distinguer état nominal, maintenance, alerte et incident.
Interpréter T, le compteur de maintenance du tooltip et les niveaux sans confondre maintenance et menace active.
Utiliser journal, rapport et résolution guidée plutôt qu'une commande large ou destructrice.
Nettoyer les tests, relancer les checks utiles et revenir à un état lisible.
Une stack SecOps complète peut devenir difficile à exploiter si l'opérateur ne sait pas quoi lire en premier. Le quickstart transforme les signaux Audit/FIM/Secure Boot/Waybar en routine simple et actionnable.
Le quickstart explique quoi faire selon l'état visible dans Waybar, sans ouvrir directement les fichiers privés.
texte widget classe action
OK T0 info aucune action
WARN T1 alerte ouvrir le journal guidé
CRIT Tn critique lancer le chemin incident rapide
La page clarifie la différence entre bruit attendu, persistance utilisateur et incident.
information activité attendue, maintenance, signal faible
moyen événement unique de persistance utilisateur
élevé signal fort ou persistance utilisateur corrélée
critique chemin incident: auth, sudo, boot ou combo persistance
maintenance attendue = compteur dans le tooltip
maintenance != sévérité moyenne
Les actions Waybar sont décrites comme opérations limitées, pas comme panneau d'administration complet.
clic gauche journal recommandé
clic milieu rapport recommandé
clic droit menu d'actions sûres
masqué du menu:
déploiement complet
rebaseline système
nettoyage large
Les commandes ci-dessous sont volontairement anonymisées: chemins, noms de machines, interfaces, dépôts, périphériques et actions destructrices sont remplacés par des placeholders.
<secops-status-script>
tail -n 30 <operator-state>/audit-security.log
tail -n 30 <integrity-state>/package-integrity.log
tail -n 30 <fim-state>/repo-fim.log
cat <secureboot-status-cache>
OK T0 est nominal
WARN, CRIT ou T>0 demande une revue
la maintenance attendue est comptée dans l'infobulle
l'infobulle État de santé OK confirme l'état nominal
systemctl --user status <audit-correlator-service> --no-pager
systemctl status <audit-collector-service> --no-pager
cat <correlator-last-event-id>
cat <correlator-spool-cursor>
stat <audit-collector-raw-events>
tail -n 50 <operator-state>/audit-events.log
tail -n 50 <operator-state>/audit-security.log
le service corrélateur est démarré
le heartbeat du collecteur est récent
le curseur du spool avance
les événements apparaissent dans les logs Morpheus
si ausearch contient des événements mais pas Morpheus, inspecter d'abord le collecteur et le spool
<secops-status-script>
tail -n 30 <operator-state>/audit-events.log
<secops-report-script> 24
<incident-lockdown-script>
lire d'abord audit-events
puis utiliser le rapport 24h
le rapport d'intégrité montre les écarts critique / eleve / moyen
le bundle incident est horodaté
critique reste visible pendant la maintenance
systemctl reset-failed <integrity-services>
<repo-fim-script> init <repo-target>
<system-fim-script> init <system-targets>
<secops-selftest-script>
les unités de test en échec sont réinitialisées
les diffs sont affichés avant toute rebaseline
chaque baseline est rafraîchie seulement après confirmation explicite
le reset est proposé uniquement lorsque les contrôles sont sains
le self-test valide moyen / eleve / critique puis revient en arrière
la page publique garde les commandes anonymisées
La première décision vient du widget: ne rien faire en OK T0, investiguer si WARN/CRIT/T>0.
L'assistant séquence contrôles, revue des diffs, confirmations, recontrôle et reset.
Le runbook rapide privilégie les événements d'audit, puis le rapport sur 24 heures et l'état d'intégrité.
Supplément de documentation privée anonymisé
Guide court pour l'exploitation quotidienne de Waybar SecOps, auditd et l'intégrité pacman/FIM. La page complète la documentation Auditd & SecOps: elle indique quoi regarder, dans quel ordre et quand escalader.
En régime nominal, l'état attendu est OK T0. Les maintenances attendues restent consultables dans l'infobulle et les journaux sans être présentées comme des alertes actives.
OK T0: aucune action immédiate; le compteur de maintenance reste disponible dans l'infobulle.WARN, CRIT, T>0 ou couleur jaune/rouge: ouvrir journal puis rapport.<secops-status-script>
tail -n 30 <operator-state>/audit-security.log
tail -n 30 <integrity-state>/package-integrity.log
tail -n 30 <fim-state>/repo-fim.log
cat <secureboot-status-cache>
| Niveau | Interprétation |
|---|---|
| information | Activité faible, bruit attendu ou maintenance. |
| moyen | Événement unitaire de persistance utilisateur. |
| élevé | Signal fort ou corrélation de persistance. |
| critique | Signal incident: auth, sudo, boot ou combinaison sensible. |
Les maintenances attendues sont comptées dans l'infobulle. Elles ne sont pas une sévérité moyenne et ne polluent plus la pilule principale.
systemctl --user status <audit-correlator-service> --no-pager
systemctl status <audit-collector-service> --no-pager
tail -n 20 <operator-state>/audit-security.log
| Interaction | Effet |
|---|---|
| Clic gauche | Ouvre le journal recommandé avec confirmation. |
| Clic milieu | Ouvre le rapport recommandé. |
| Clic droit | Résolution guidée des diffs ou état détaillé. |
L'assistant affiche les écarts et exige une confirmation distincte avant chaque rebaseline. Le déploiement complet et le nettoyage global restent hors du menu public.
systemctl start <package-integrity-service>
journalctl -u <package-integrity-service> -n 80 --no-pager
<repo-fim-script> check <repo-target>
tail -n 80 <repo-fim-log>
<system-fim-script> check <system-targets>
tail -n 80 <system-fim-log>
systemctl start <secureboot-check-service>
cat <secureboot-status-cache>
<audit-reset-script>
Les commandes réelles restent privées. La page publique conserve l'ordre opératoire et les états attendus sans publier les chemins exploitables.
<secops-status-script>
tail -n 30 <operator-state>/audit-events.log
<secops-report-script> 24
<incident-lockdown-script>
Le rapport intégrité doit fournir un résumé CRITICAL/HIGH/MEDIUM des chemins en diff, l'état des services, les extraits utiles et l'état Secure Boot.
systemctl --user status <audit-correlator-service> --no-pager
systemctl status <audit-collector-service> --no-pager
cat <correlator-last-event-id>
cat <correlator-spool-cursor>
stat <audit-collector-raw-events>
stat <audit-collector-heartbeat>
tail -n 50 <operator-state>/audit-events.log
tail -n 50 <operator-state>/audit-security.log
systemctl --user restart <audit-correlator-service>
Si les événements existent dans auditd mais pas dans les logs Morpheus, vérifier d'abord collecteur, spool, permissions de groupe et heartbeat avant de redémarrer le corrélateur.
systemctl reset-failed <integrity-services>
<repo-fim-script> init <repo-target>
<system-fim-script> init <system-targets>
<secops-selftest-script>
Les diffs sont affichés avant toute rebaseline, chaque domaine exige une confirmation explicite et le reset n'est proposé qu'après un contrôle sain. Le self-test automatique valide les niveaux moyen, élevé et critique puis revient à un état sain.