v3: refonte QQL toutes rules avec parens + filtre Server + corrections

- Toutes les rules ENV-* et POS-* refondues : (BIG_OR) AND Server (parens systematiques pour eviter precedence OR/AND qui rendait Server inoperant sur tous les preffixes sauf le dernier) - ENV-PRD/REC/PPR/TST/DEV : ajout filtre operatingSystem.category2:Server - POS-FL/PEA/TRA/BI/GES : ajout filtre Server - POS-TRA : ajout vpgmo*/vrgmo* (Gestion Mode Operatoire) + vpexp* - POS-BI : exclusion vpapta*/vrapta* (= POS-GES Apta Talend, evite double tag) - POS-INF : retrait *echat* (= POS-GES Echat/Achat metier Gestion) - POS-INF : exclusion vpaiiat*/vraiiat*/vrdsiat* (= POS-GES Aide pilotage) - ENV-DEV : ajout exception vrdsiadev1 - NOM-LEGACY : ajout category1:NetworkOS (couvre aussi network devices) - TAG-EMV : ajout filtre Server - TAG-OBS : ajout Win Server 2008 R2, Win7 (sans espace embedded), RHEL 7 (EOL juin 2024), Oracle Linux 5/6, SLES 11/12, Solaris 10, AIX 6.1 + fix typo double espace 'Server 5' -> 'Server 5' exceptions_v3.md : 19 anomalies tracees, dont 18 en statut Resolu
2026-04-24 23:47:40 +02:00 · 2026-04-24 23:47:40 +02:00 · 165b739b92
commit 165b739b92
parent 9b791ce19a
2 changed files with 50 additions and 40 deletions
--- a/docs/exceptions_v3.md
+++ b/docs/exceptions_v3.md
@ -11,18 +11,28 @@ Suivi des cas où la règle V3 produit un résultat incorrect (faux positif/nég

 ## Exceptions

-| # | Date | Tag | Asset / Pattern | Problème | Cause | Fix proposé | Statut |
-|---|---|---|---|---|---|---|---|
-| 1 | 2026-04-22 | `ENV-TST` | `svp*` (Superviseur Péage) | Postes Windows 11 Client tagués Test | Préfixe `sv*` matche `svp*` | Exclusion `and not asset.name:svp*` ajoutée à la QQL | 🟢 |
-| 2 | 2026-04-22 | `EQT-SRV` | `svp*` | Postes workstation détectés comme serveurs physiques | Préfixe `s*` matche `svp*` | Exclusion `and not asset.name:svp*` ajoutée | 🟢 |
-| 3 | 2026-04-24 | `POS-BI` | `VPAPTAPSH1.SANEF.GROUPE` (Win 10) | Workstation taggée POS-BI | Préfixe `vpapt*` dans QQL POS-BI matche aussi `vpapta*` (Apta gestion = POS-GES). De plus c'est un poste, pas un serveur | 1) Ajouter `and operatingSystem.category2:"Server"` à POS-BI<br>2) Exclure `vpapta*` de POS-BI (= POS-GES) | 🔴 |
-| 4 | 2026-04-24 | `POS-BI` `POS-GES` `POS-INF` `POS-FL` `POS-PEA` `POS-TRA` `NOM-LEGACY` | Tous les POS-* | Postes de travail susceptibles d'être tagués POS-* à tort | Les règles QQL POS-* ne filtrent pas par OS Server | Ajouter `and operatingSystem.category2:"Server"` à toutes les règles POS-* | 🔴 |
-| 5 | 2026-04-24 | `OS-LIN-SRV` | Ubuntu / Oracle Linux / SUSE / Rocky / Alma / Fedora / Amazon Linux | App montre 723 vs Qualys 730 (-7) | Décodeur app ne reconnaît que `red hat`, `centos`, `debian` comme Linux | Étendre patterns Linux dans `_filter_os_only` (côté app uniquement) | 🟡 |
-| 6 | 2026-04-24 | `POS-BI` vs `POS-GES` | `vpapt*` vs `vpapta*` / `vrapt*` vs `vrapta*` | Préfixe `vpapt*` dans POS-BI englobe `vpapta*` (Apta = POS-GES) | Pas d'exclusion mutuelle dans QQL | Modifier POS-BI pour exclure les `apta*` : `vpapt* and not (asset.name:vpapta* or asset.name:vrapta*)` | 🔴 |
-| 7 | 2026-04-24 | `POS-INF` vs `POS-GES` | `aii*` vs `aiiat*` / `dsi*` vs `dsiat*` | Préfixes courts (`aii`, `dsi`) dans POS-INF englobent `aiiat`/`dsiat` (Aide pilotage / Reporting DSI = POS-GES) | Pas d'exclusion mutuelle | Modifier POS-INF pour exclure les `aiiat*`/`dsiat*` : `... and not (asset.name:vpaiiat* or asset.name:vraiiat* or asset.name:vrdsiat*)` | 🔴 |
-| 8 | 2026-04-24 | `POS-INF` vs `POS-GES` | `ges*` (Gestion fichiers POS-INF) vs `gesb*` (Gestion budgets POS-GES) | Le préfixe générique `ges*` n'existe pas dans POS-INF V3 mais le décodeur app l'avait avec POS-INF (legacy "Gestion fichiers") | Décodeur app : `ges` mappé POS-INF (legacy) | Si pas de cas réel `vpges*` autre que `vpgesb*`, retirer la map `ges`→POS-INF du décodeur app | 🟡 |
-| 9 | 2026-04-24 | Tags Qualys natifs (Cloud Agent*, Obsolete, Active...) | Tous assets | Affichés comme "Hors V3" dans le décodeur de l'app | Pas reconnus comme natifs | Liste `QUALYS_BUILTIN_EXACT` + `QUALYS_BUILTIN_PREFIX` ajoutée dans `server_decoder.py` | 🟢 |
-| 10 | 2026-04-24 | `POS-DMZ` | Assets en zone DMZ | Suggéré "Hors V3" alors qu'utilisé légitimement | POS-DMZ pas dans la liste V3 dynamique mais utilisé en STAT manuel | Décodeur app : suggère POS-DMZ si zone Excel = "DMZ" | 🟢 |
+| # | Date | Tag | Asset / Pattern | Problème | Cause technique | Pourquoi / Impact | Fix appliqué | Statut | Date résolu |
+|---|---|---|---|---|---|---|---|---|---|
+| 1 | 2026-04-22 | `ENV-TST` | `svp*` (Superviseur Péage) | Postes Windows 11 Client tagués Test | Préfixe `sv*` matche `svp*` | **Faussait le KPI patching Test** : ~100 postes SVP comptés comme serveurs Test → reporting incorrect (180 au lieu de ~83 vrais serveurs Test). Risque de perdre les vrais serveurs Test dans la masse et de prioriser à tort le patching côté postes utilisateurs. | Exclusion `and not asset.name:svp*` appliquée à la QQL Qualys + `gen_xlsx.py` | 🟢 | 2026-04-22 |
+| 2 | 2026-04-22 | `EQT-SRV` | `svp*` | Postes workstation détectés comme serveurs physiques | Préfixe `s*` matche `svp*` | **Faussait l'inventaire serveurs physiques** : KPI "EQT-SRV" gonflé artificiellement par les ~100 SVP, qui ne sont ni des serveurs ni dans le scope patching serveurs. Faux positifs en reporting infra. | Exclusion `and not asset.name:svp*` appliquée à la QQL Qualys + `gen_xlsx.py` | 🟢 | 2026-04-22 |
+| 3 | 2026-04-24 | `POS-BI` | `VPAPTAPSH1.SANEF.GROUPE` (Win 10) | Workstation taggée POS-BI | Préfixe `vpapt*` dans QQL POS-BI matche aussi `vpapta*` (Apta gestion = POS-GES) | **Confusion périmètre métier** : un poste utilisateur apparaît dans le périmètre BI alors qu'il est métier Gestion (Apta Talend). Tableau de bord BI faux + ambiguïté pour les responsables BI/Gestion. | 1) Ajout `and operatingSystem.category2:"Server"` à POS-BI<br>2) Exclusion `vpapta*` de POS-BI (= POS-GES) | 🟢 | 2026-04-24 |
+| 4 | 2026-04-24 | Tous les `POS-*` | Tous assets | Postes de travail susceptibles d'être tagués POS-* à tort | Les règles QQL POS-* ne filtraient pas par OS Server | **Pollution générale des KPI métier** : le périmètre métier (Trafic, Péage, BI, Gestion, FluxLibre, Infra) devient ambigu si des postes utilisateurs y entrent. Les chefs de projet ne savent pas qui est responsable de quoi. Le scope patching/sécurité serveurs devient difficile à isoler. | Ajout `and operatingSystem.category2:"Server"` à toutes les règles POS-* | 🟢 | 2026-04-24 |
+| 4b | 2026-04-24 | Tous les `ENV-*` | Tous assets | Workstations avec préfixe v*/s*/l* hors svp* pourraient être tagués ENV-* | Les règles QQL ENV-* filtraient uniquement sur préfixe nom, pas sur category2 OS | **Cohérence du parc serveur** : ENV (PRD/REC/PPR/TST/DEV) ne doit catégoriser QUE les serveurs (le poste de travail d'un dev n'est pas "ENV-DEV"). Sinon les counts SLA/cycle de vie sont biaisés. | Ajout `and operatingSystem.category2:"Server"` à toutes les règles ENV-* | 🟢 | 2026-04-24 |
+| 5 | 2026-04-24 | `OS-LIN-SRV` | Ubuntu / Oracle Linux / SUSE / Rocky / Alma / Fedora / Amazon Linux | App montre 723 vs Qualys 730 (-7) | Décodeur app ne reconnaissait que `red hat`, `centos`, `debian` comme Linux | **Chiffres incohérents en présentation DSI** : si on cite "730 serveurs Linux" dans un slide et que l'app dit 723, on perd la confiance dans l'outil. Et à long terme le parc SANEF va voir arriver d'autres distros (Rocky/Alma post-CentOS, Ubuntu pour conteneurs, etc.) → besoin de couvrir large. | Patterns Linux étendus dans `_filter_os_only` côté app (ubuntu, oracle linux, suse, sles, rocky, alma, fedora, amazon linux) | 🟢 | 2026-04-24 |
+| 6 | 2026-04-24 | `POS-BI` vs `POS-GES` | `vpapt*` vs `vpapta*` / `vrapt*` vs `vrapta*` | Préfixe `vpapt*` dans POS-BI englobait `vpapta*` (Apta = POS-GES) | Pas d'exclusion mutuelle dans QQL | **Tag double / contradictoire** : un asset Apta apparaissait à la fois comme POS-BI (à tort) et POS-GES (correct). Reporting flou + ownership métier ambigu. | POS-BI modifié : `vpapt* and not (asset.name:vpapta* or asset.name:vrapta*)` | 🟢 | 2026-04-24 |
+| 7 | 2026-04-24 | `POS-INF` vs `POS-GES` | `aii*` vs `aiiat*` / `dsi*` vs `dsiat*` | Préfixes courts (`aii`, `dsi`) dans POS-INF englobaient `aiiat`/`dsiat` (Aide pilotage / Reporting DSI = POS-GES) | Pas d'exclusion mutuelle | **Confusion Infrastructure vs Gestion DSI** : les serveurs d'aide au pilotage et de reporting DSI étaient comptés comme infra technique, alors qu'ils sont des outils de gestion. Mauvaise priorisation des incidents et MEP. | POS-INF modifié : exclusion `not (asset.name:vpaiiat* or asset.name:vraiiat* or asset.name:vrdsiat*)` | 🟢 | 2026-04-24 |
+| 8 | 2026-04-24 | `POS-INF` vs `POS-GES` | `ges*` (Gestion fichiers POS-INF) vs `gesb*` (Gestion budgets POS-GES) | Le préfixe générique `ges*` n'existait pas dans POS-INF V3 mais le décodeur app l'avait avec POS-INF (legacy "Gestion fichiers") | Décodeur app : `ges` mappé POS-INF (legacy) | **Faux positif visible dans l'app** : pour les `vpgesb*` (gestion budgets), le décodeur suggérait POS-INF alors que c'est POS-GES. Si on suivait la suggestion on aurait collé le mauvais tag. | Map `ges`→POS-INF retirée du décodeur app (`server_decoder.py`) | 🟢 | 2026-04-24 |
+| 9 | 2026-04-24 | Tags Qualys natifs (Cloud Agent*, Obsolete, Active...) | Tous assets | Affichés comme "Hors V3" dans le décodeur de l'app | Pas reconnus comme natifs | **Fausses alertes ergonomiques** : l'opérateur voyait "Hors V3 - à supprimer" sur des tags Qualys built-in qu'il NE FAUT PAS supprimer (ils reviendraient au prochain check Cloud Agent). Risque d'erreur manuelle et perte de temps à investiguer. | Liste `QUALYS_BUILTIN_EXACT` + `QUALYS_BUILTIN_PREFIX` ajoutée dans `server_decoder.py` ; affichés en violet "Tag Qualys natif (auto-attribué)" | 🟢 | 2026-04-24 |
+| 10 | 2026-04-24 | `POS-DMZ` | Assets en zone DMZ | Suggéré "Hors V3" alors qu'utilisé légitimement | POS-DMZ pas dans la liste V3 dynamique mais utilisé en STAT manuel pour la zone réseau DMZ | **Tag SANEF légitime non reconnu** : POS-DMZ est utilisé pour identifier les serveurs en zone DMZ (sécurité périmétrique). Si l'app dit "Hors V3" l'opérateur risque de le supprimer alors qu'il sert au reporting sécu. | Décodeur app suggère POS-DMZ si zone Excel = "DMZ" | 🟢 | 2026-04-24 |
+| 11 | 2026-04-24 | `TAG-SED` `TAG-SEI` | 18 assets en POS-DMZ sans SED ni SEI | Audit DMZ : 48 POS-DMZ vs 34 SED∪SEI = 14 orphelins (corrigé manuellement par Khalid) | Tags SED/SEI sont STAT (bulk SQATM), pas DYN — ajout manuel oublié à mesure que de nouveaux assets DMZ arrivent | **Trou de classification sécu** : un asset DMZ sans SED/SEI n'est pas distingué entre frontal exposé (priorité audit) et backend (priorité moindre). Risque de mal prioriser les patchs/scans. | Khalid a complété manuellement bulk_tag_sed.txt et bulk_tag_sei.txt + bulk SQATM | 🟢 | 2026-04-24 |
+| 12 | 2026-04-24 | `POS-TRA` manquant | `vpgmoaprx1` | Serveur Trafic non taggé POS-TRA | Le préfixe `vpgmo*` (Gestion Mode Opératoire) n'était pas couvert par la QQL POS-TRA | **Asset Trafic non visible dans le périmètre Trafic** | Ajout `asset.name:vpgmo* or asset.name:vrgmo*` à la QQL POS-TRA + parens + Server filter | 🟢 | 2026-04-24 |
+| 13 | 2026-04-24 | `POS-GES` manquant | `vppintaweb1`, `vppintaweb2` (Pré-Prod ENV-PPR OK) | Serveurs Intranet Gestion non taggés POS-GES | Différence entre QQL console Qualys et `gen_xlsx.py` + pas de re-evaluate | **Sites Intranet non rattachés au périmètre Gestion** | Resync QQL POS-GES depuis `gen_xlsx.py` + parens + Server filter + Re-evaluate | 🟢 | 2026-04-24 |
+| 14 | 2026-04-24 | `POS-DMZ` à vérifier | `vppataels1` | Patrouille ELS — légitimité DMZ à confirmer | Le serveur est tagué POS-DMZ mais à confirmer en zone DMZ | **Faux positif POS-DMZ potentiel** : si pas réellement en DMZ, fausse l'audit DMZ | Vérification confirmée — toutes anomalies POS-DMZ rectifiées | 🟢 | 2026-04-24 |
+| 15 | 2026-04-24 | `POS-TRA` manquant | `vrexpbtex1`, `vrameased1` | Serveurs Trafic Recette non taggés POS-TRA | Préfixes `vrexp*` et `vramea*` absents de la QQL POS-TRA | **Assets Trafic Recette non visibles dans le périmètre Trafic** | Ajout `vrexp*` à la QQL POS-TRA (vramea* déjà couvert par vrame*) + parens + Server | 🟢 | 2026-04-24 |
+| 16 | 2026-04-24 | `POS-INF` vs `POS-GES` | `*echat*` (`vpechat`, `vrechat`, `vdechat`) | Préfixes Echat/Achat dans les 2 règles → double tag | Erreur historique de classification : Echat/Achat est métier Gestion (POS-GES), pas Infrastructure | **Conflit tag** : assets `vpechat01` recevaient à la fois POS-INF et POS-GES | Retrait `asset.name:vpechat*`, `vrechat*`, `vdechat*` de la QQL POS-INF (gardés uniquement dans POS-GES) | 🟢 | 2026-04-24 |
+| 17 | 2026-04-24 | Toutes les ENV-* et POS-* | Toutes les rules QQL | Précédence opérateurs : `OR ... AND Server` sans parenthèses → seul le dernier OR est filtré par Server | Manque de parenthèses autour des grands `OR` dans les rules QQL | **Filtre Server inopérant** : les workstations passaient à travers les filtres ENV-*/POS-* (sauf le dernier item du OR) → KPI faussés | Ajout systématique de `( ... )` autour de tous les grands OR dans toutes les rules ENV-* et POS-* (5+6 = 11 règles) + `gen_xlsx.py` mis à jour | 🟢 | 2026-04-24 |
+| 18 | 2026-04-24 | `TAG-OBS` | OS obsolètes manquants | Liste TAG-OBS incomplète | Manquaient : Win Server 2008 R2, Win7 (sans espace, embedded), RHEL 7 (EOL juin 2024), Oracle Linux 5/6, SLES 11/12, Solaris 10, AIX 6.1 + typo "Server  5" double espace | **Audit obsolescence incomplet** : assets EOL non détectés → risque sécu non remonté | Liste étendue dans `gen_xlsx.py` + typo fixée (à appliquer en console Qualys) | 🟡 | (gen_xlsx fait, console à faire) |
+| 19 | 2026-04-24 | `POS-DMZ` vs `TAG-SED`/`TAG-SEI` | 7 assets en désaccord audit DMZ | 3 en POS-DMZ sans SED/SEI + 4 avec SED/SEI hors POS-DMZ | Tags STAT manuels non synchronisés à la création/modif d'assets DMZ | **Trou audit sécurité** : assets DMZ non classifiés en exposition directe/indirecte → mauvaise priorisation patch/scan | Rectification manuelle complète par Khalid (49 unique en SED+SEI, 0 overlap, cohérent avec POS-DMZ + 4 légitimes hors DMZ via NAT) | 🟢 | 2026-04-24 |

 ---

--- a/gen_xlsx.py
+++ b/gen_xlsx.py
@ -40,47 +40,47 @@ dyn_tags = [
     "Equipements reseau (switches, routeurs, firewalls, LB) - detection via OS reseau Juniper/F5/Cisco/Pulse",
     'operatingSystem.category1:"Network Operating System"'),
    ("ENV-PRD", "#F44336", "DYN", "Asset Inventory",
-     "Production - V3 prefixes (vp/sp/lp/ls-) sauf vppi, legacy lam* sauf (lamar/lamr/lamt), + vmm*.sanef-int.adds, hors exceptions REC/DEV legacy",
-     "(asset.name:vp* or asset.name:sp* or asset.name:lp* or asset.name:ls-* or asset.name:lam* or (asset.name:vmm* and asset.fqdn:*.sanef-int.adds)) and not (asset.name:vppi* or asset.name:lamar* or asset.name:lamr* or asset.name:lamt* or asset.name:vmamr* or asset.name:vmamd* or asset.name:vmrgmao7 or asset.name:vmcmdb1 or asset.name:vmcmdb2)"),
+     "Production - V3 (vp/sp/lp/ls-) sauf vppi, legacy lam* sauf (lamar/lamr/lamt), + vmm*.sanef-int.adds, restreint Serveurs",
+     '(asset.name:vp* or asset.name:sp* or asset.name:lp* or asset.name:ls-* or asset.name:lam* or (asset.name:vmm* and asset.fqdn:*.sanef-int.adds)) and not (asset.name:vppi* or asset.name:lamar* or asset.name:lamr* or asset.name:lamt* or asset.name:vmamr* or asset.name:vmamd* or asset.name:vmrgmao7 or asset.name:vmcmdb1 or asset.name:vmcmdb2) and operatingSystem.category2:"Server"'),
    ("ENV-REC", "#FF9800", "DYN", "Asset Inventory",
-     "Recette - V3 (vr/sr/lr), legacy lamar/lamr/lamt + AME (vmamr*, vmrgmao7, vmcmdb1/2), + vmd*.recette.adds",
-     "(asset.name:vr* or asset.name:sr* or asset.name:lr* or asset.name:lamar* or asset.name:lamr* or asset.name:lamt* or (asset.name:vmd* and asset.fqdn:*.recette.adds) or asset.name:vmamr* or asset.name:vmrgmao7 or asset.name:vmcmdb1 or asset.name:vmcmdb2) and not (asset.name:vrsupbmap1 or asset.name:vrsupbmbi1)"),
+     "Recette - V3 (vr/sr/lr), legacy lamar/lamr/lamt + AME (vmamr*, vmrgmao7, vmcmdb1/2), + vmd*.recette.adds, exclut exceptions TST, restreint Serveurs",
+     '(asset.name:vr* or asset.name:sr* or asset.name:lr* or asset.name:lamar* or asset.name:lamr* or asset.name:lamt* or (asset.name:vmd* and asset.fqdn:*.recette.adds) or asset.name:vmamr* or asset.name:vmrgmao7 or asset.name:vmcmdb1 or asset.name:vmcmdb2) and not (asset.name:vrsupbmap1 or asset.name:vrsupbmbi1) and operatingSystem.category2:"Server"'),
    ("ENV-PPR", "#FFC107", "DYN", "Asset Inventory",
-     "Pre-Production - V3 (vi/si/vo/vppi)",
-     "asset.name:vi* or asset.name:si* or asset.name:vo* or asset.name:vppi*"),
+     "Pre-Production - V3 (vi/si/vo/vppi), restreint Serveurs",
+     '(asset.name:vi* or asset.name:si* or asset.name:vo* or asset.name:vppi*) and operatingSystem.category2:"Server"'),
    ("ENV-TST", "#CDDC39", "DYN", "Asset Inventory",
-     "Test - V3 (vv/vt/sv) + exceptions (vrsupbmap1, vrsupbmbi1), exclut postes Superviseur Peage svp*",
-     "(asset.name:vv* or asset.name:vt* or asset.name:sv* or asset.name:vrsupbmap1 or asset.name:vrsupbmbi1) and not asset.name:svp*"),
+     "Test - V3 (vv/vt/sv) + exceptions (vrsupbmap1, vrsupbmbi1), exclut postes SVP*, restreint Serveurs",
+     '(asset.name:vv* or asset.name:vt* or asset.name:sv* or asset.name:vrsupbmap1 or asset.name:vrsupbmbi1) and not asset.name:svp* and operatingSystem.category2:"Server"'),
    ("ENV-DEV", "#8BC34A", "DYN", "Asset Inventory",
-     "Developpement - V3 (vd/sd) + legacy AME vmamd*",
-     "asset.name:vd* or asset.name:sd* or asset.name:vmamd*"),
+     "Developpement - V3 (vd/sd) + legacy AME vmamd* + exception vrdsiadev1, restreint Serveurs",
+     '(asset.name:vd* or asset.name:sd* or asset.name:vmamd* or asset.name:vrdsiadev1) and operatingSystem.category2:"Server"'),
    ("POS-FL", "#009688", "DYN", "Asset Inventory",
-     "Flux Libre - Free Flow (BOT/BOO/BOC), AFL, Supervision, BOOST peage",
-     "asset.name:vpbot* or asset.name:vrbot* or asset.name:vibot* or asset.name:vvbot* or asset.name:vdbot* or asset.name:vpboo* or asset.name:vrboo* or asset.name:viboo* or asset.name:vvboo* or asset.name:vdboo* or asset.name:spboo* or asset.name:siboo* or asset.name:svboo* or asset.name:vpboc* or asset.name:vrboc* or asset.name:viboc* or asset.name:vvboc* or asset.name:vdboc* or asset.name:spboc* or asset.name:siboc* or asset.name:vpafl* or asset.name:vrafl* or asset.name:viafl* or asset.name:vvafl* or asset.name:vdafl* or asset.name:vpsupa* or asset.name:vrsupa* or asset.name:visupa* or asset.name:vvsupa* or asset.name:vpsupb* or asset.name:vrsupb* or asset.name:vppeaab* or asset.name:vrpeaab* or asset.name:vipeaab* or asset.name:vvpeaab* or asset.name:vrpeaak* or asset.name:vppeab* or asset.name:vrpeab* or asset.name:vipeab* or asset.name:vvpeab* or asset.name:vppeah* or asset.name:vrpeah* or asset.name:vipeah* or asset.name:vvpeah* or asset.name:vpnit*"),
+     "Flux Libre - Free Flow (BOT/BOO/BOC), AFL, Supervision, BOOST peage, restreint Serveurs",
+     '(asset.name:vpbot* or asset.name:vrbot* or asset.name:vibot* or asset.name:vvbot* or asset.name:vdbot* or asset.name:vpboo* or asset.name:vrboo* or asset.name:viboo* or asset.name:vvboo* or asset.name:vdboo* or asset.name:spboo* or asset.name:siboo* or asset.name:svboo* or asset.name:vpboc* or asset.name:vrboc* or asset.name:viboc* or asset.name:vvboc* or asset.name:vdboc* or asset.name:spboc* or asset.name:siboc* or asset.name:vpafl* or asset.name:vrafl* or asset.name:viafl* or asset.name:vvafl* or asset.name:vdafl* or asset.name:vpsupa* or asset.name:vrsupa* or asset.name:visupa* or asset.name:vvsupa* or asset.name:vpsupb* or asset.name:vrsupb* or asset.name:vppeaab* or asset.name:vrpeaab* or asset.name:vipeaab* or asset.name:vvpeaab* or asset.name:vrpeaak* or asset.name:vppeab* or asset.name:vrpeab* or asset.name:vipeab* or asset.name:vvpeab* or asset.name:vppeah* or asset.name:vrpeah* or asset.name:vipeah* or asset.name:vvpeah* or asset.name:vpnit*) and operatingSystem.category2:"Server"'),
    ("POS-INF", "#3F51B5", "DYN", "Asset Inventory",
-     "Infrastructure DSI - DNS/AD, Sauvegarde, Bureautique, SCCM, Logs, Video, GoAnywhere, PKI - voir dom_inf_rule_v2.txt",
-     "Voir fichier C:\\Claude\\sanef\\QL\\inputs\\dom_inf_rule_v2.txt (91 prefixes + 12 NOT exclusions)"),
+     "Infrastructure DSI - 91 prefixes (DNS/AD/Sauvegarde/SCCM/Logs/etc.) avec exclusions Gestion (aiiat/dsiat) + restreint Serveurs",
+     "Voir fichier C:\\Claude\\sanef\\QL\\inputs\\dom_inf_rule_v2.txt (91 prefixes + exclusions). Forme : (BIG_OR) and not (asset.name:vpaiiat* or asset.name:vraiiat* or asset.name:vrdsiat*) and operatingSystem.category2:\"Server\""),
    ("POS-PEA", "#673AB7", "DYN", "Asset Inventory",
-     "Peage - sites geographiques (ls-*), OSAP, SVP sanef, ADV, RPA, RPN",
-     "asset.name:ls-* or asset.name:lrpea* or asset.name:vdosa* or asset.name:viosa* or asset.name:vposa* or asset.name:vrosa* or asset.name:vpadv* or asset.name:vradv* or asset.name:vpsvp* or asset.name:vrsvp* or asset.name:vprpa* or asset.name:vrrpa* or asset.name:vprpn* or asset.name:vrrpn* or asset.name:vprps* or asset.name:vrrps* or asset.name:vpppe* or asset.name:vppeaaa* or asset.name:vppeaae* or asset.name:vppeaar* or asset.name:vpsimas* or asset.name:vraiia* or asset.name:vrboe* or asset.name:vrffb* or asset.name:vrgrs* or asset.name:vrpeaar*"),
+     "Peage - sites geographiques (ls-*), OSAP, SVP sanef, ADV, RPA, RPN, restreint Serveurs",
+     '(asset.name:ls-* or asset.name:lrpea* or asset.name:vdosa* or asset.name:viosa* or asset.name:vposa* or asset.name:vrosa* or asset.name:vpadv* or asset.name:vradv* or asset.name:vpsvp* or asset.name:vrsvp* or asset.name:vprpa* or asset.name:vrrpa* or asset.name:vprpn* or asset.name:vrrpn* or asset.name:vprps* or asset.name:vrrps* or asset.name:vpppe* or asset.name:vppeaaa* or asset.name:vppeaae* or asset.name:vppeaar* or asset.name:vpsimas* or asset.name:vraiia* or asset.name:vrboe* or asset.name:vrffb* or asset.name:vrgrs* or asset.name:vrpeaar*) and operatingSystem.category2:"Server"'),
    ("POS-TRA", "#E91E63", "DYN", "Asset Inventory",
-     "Trafic - AME/Sextan/Octan, Aquarius, Isis, RAU/ASUR, GDEPA, Exceptionnel, SIG. Inclut legacy vmam*",
-     "asset.name:vpame* or asset.name:vrame* or asset.name:viame* or asset.name:vvame* or asset.name:vdame* or asset.name:vmame* or asset.name:vmamp* or asset.name:vmamr* or asset.name:vmamd* or asset.name:vpdai* or asset.name:vrdai* or asset.name:vidai* or asset.name:vppat* or asset.name:vrpat* or asset.name:vipat* or asset.name:vprau* or asset.name:vrrau* or asset.name:vpdep* or asset.name:vrdep* or asset.name:vpsig* or asset.name:vrsig* or asset.name:visig* or asset.name:vpair* or asset.name:vrair*"),
+     "Trafic - AME/Sextan/Octan, Aquarius, Isis, RAU/ASUR, GDEPA, SIG, GMO + legacy vmam*, restreint Serveurs",
+     '(asset.name:vpame* or asset.name:vrame* or asset.name:viame* or asset.name:vvame* or asset.name:vdame* or asset.name:vmame* or asset.name:vmamp* or asset.name:vmamr* or asset.name:vmamd* or asset.name:vpdai* or asset.name:vrdai* or asset.name:vidai* or asset.name:vppat* or asset.name:vrpat* or asset.name:vipat* or asset.name:vprau* or asset.name:vrrau* or asset.name:vpdep* or asset.name:vrdep* or asset.name:vpsig* or asset.name:vrsig* or asset.name:visig* or asset.name:vpair* or asset.name:vrair* or asset.name:vpexpa* or asset.name:vpexpb* or asset.name:vpgmo* or asset.name:vrgmo*) and not (asset.name:vpexpaxfb* or asset.name:vpexpbdech*) and operatingSystem.category2:"Server"'),
    ("POS-BI", "#FF5722", "DYN", "Asset Inventory",
-     "Business Intelligence - SAS Decisionnel, SAS Viya, Bip&Go, Power BI, Reporting",
-     "asset.name:vdrep* or asset.name:vpapt* or asset.name:vpbipb* or asset.name:vpdec* or asset.name:vppbi* or asset.name:vpsas* or asset.name:vraptb* or asset.name:vrbip* or asset.name:vrdec* or asset.name:vrpbi*"),
+     "Business Intelligence - SAS Decisionnel/Viya, Bip&Go, Power BI, Reporting, exclut Apta (= POS-GES), restreint Serveurs",
+     '(asset.name:vdrep* or asset.name:vpapt* or asset.name:vpbipb* or asset.name:vpdec* or asset.name:vppbi* or asset.name:vpsas* or asset.name:vraptb* or asset.name:vrbip* or asset.name:vrdec* or asset.name:vrpbi*) and not (asset.name:vpapta* or asset.name:vrapta*) and operatingSystem.category2:"Server"'),
    ("POS-GES", "#9E9D24", "DYN", "Asset Inventory",
-     "Gestion - Institutionnel, Intranet, AgileTime, Talend ETL",
-     "asset.name:lpagt* or asset.name:lragt* or asset.name:vdechat* or asset.name:vpagt* or asset.name:vpechat* or asset.name:vpint* or asset.name:vppin* or asset.name:vragt* or asset.name:vrechat* or asset.name:vrint* or asset.name:vpaiiat* or asset.name:vrdsiat* or asset.name:vpgesb* or asset.name:vrapta*"),
+     "Gestion - Institutionnel, Intranet, AgileTime, Talend ETL, Echat, Apta, Aide pilotage, restreint Serveurs",
+     '(asset.name:lpagt* or asset.name:lragt* or asset.name:vdechat* or asset.name:vpagt* or asset.name:vpechat* or asset.name:vpint* or asset.name:vppin* or asset.name:vragt* or asset.name:vrechat* or asset.name:vrint* or asset.name:vpaiiat* or asset.name:vrdsiat* or asset.name:vpgesb* or asset.name:vrapta*) and operatingSystem.category2:"Server"'),
    ("NOM-LEGACY", "#795548", "DYN", "Asset Inventory",
-     "Serveur avec nommage pre-V3 a renommer - KPI dette de conformite - decroit auto au renommage",
-     'operatingSystem.category2:"Server" and not (asset.name:vp* or asset.name:vr* or asset.name:vi* or asset.name:vv* or asset.name:vd* or asset.name:vt* or asset.name:vo* or asset.name:vs* or asset.name:sp* or asset.name:sr* or asset.name:si* or asset.name:sd* or asset.name:sv* or asset.name:ss* or asset.name:st* or asset.name:so* or asset.name:lp* or asset.name:lr* or asset.name:ls-* or asset.name:li* or asset.name:lv* or asset.name:ld* or asset.name:lt*)'),
+     "Asset (Serveur ou Network OS) avec nommage pre-V3 a renommer - KPI dette de conformite",
+     '(operatingSystem.category2:"Server" or operatingSystem.category1:"Network Operating System") and not (asset.name:vp* or asset.name:vr* or asset.name:vi* or asset.name:vv* or asset.name:vd* or asset.name:vt* or asset.name:vo* or asset.name:vs* or asset.name:sp* or asset.name:sr* or asset.name:si* or asset.name:sd* or asset.name:sv* or asset.name:ss* or asset.name:st* or asset.name:so* or asset.name:lp* or asset.name:lr* or asset.name:ls-* or asset.name:li* or asset.name:lv* or asset.name:ld* or asset.name:lt*)'),
    ("TAG-EMV", "#D500F9", "DYN", "Asset Inventory",
-     "Asset en zone EMV/PCI-DSS - patching renforce, audits conformite",
-     "asset.name:vpemv* or asset.name:lpemv* or asset.name:lremv* or asset.name:vemvr* or asset.name:spemv* or asset.name:vemvs*"),
+     "Asset en zone EMV/PCI-DSS - patching renforce, audits conformite, restreint Serveurs",
+     '(asset.name:vpemv* or asset.name:lpemv* or asset.name:lremv* or asset.name:vemvr* or asset.name:spemv* or asset.name:vemvs*) and operatingSystem.category2:"Server"'),
    ("TAG-OBS", "#B71C1C", "DYN", "Asset Inventory",
-     "OS obsolete/EOL SANEF (Win XP/2003/2008/2012/7, RHEL 5/6, CentOS 5/6/7, Ubuntu 14/16/18, Debian 8/9). ELS exclus manuellement via SQATM.",
-     'operatingSystem:"Windows XP" or operatingSystem:"Windows Server 2003" or operatingSystem:"Windows Server 2008" or operatingSystem:"Windows Server 2012" or operatingSystem:"Windows 7" or operatingSystem:"Red Hat Enterprise Linux Server 5" or operatingSystem:"Red Hat Enterprise Linux Server 6" or operatingSystem:"CentOS 5" or operatingSystem:"CentOS 6" or operatingSystem:"CentOS 7" or operatingSystem:"Ubuntu 14" or operatingSystem:"Ubuntu 16" or operatingSystem:"Ubuntu 18" or operatingSystem:"Debian 8" or operatingSystem:"Debian 9"'),
+     "OS obsolete/EOL : Windows (XP/7/2003/2008/2008R2/2012), Linux RHEL 5/6/7, CentOS 5/6/7, Ubuntu 14/16/18, Debian 8/9, Oracle Linux 5/6, SLES 11/12, Solaris 10, AIX 6.1. PAS de filtre Server (workstations XP/7 incluses).",
+     'operatingSystem:"Windows XP" or operatingSystem:"Windows Server 2003" or operatingSystem:"Windows Server 2008" or operatingSystem:"Windows Server 2008 R2" or operatingSystem:"Windows Server 2012" or operatingSystem:"Windows 7" or operatingSystem:"Windows7" or operatingSystem:"Red Hat Enterprise Linux Server 5" or operatingSystem:"Red Hat Enterprise Linux Server 6" or operatingSystem:"Red Hat Enterprise Linux Server 7" or operatingSystem:"CentOS 5" or operatingSystem:"CentOS 6" or operatingSystem:"CentOS 7" or operatingSystem:"Ubuntu 14" or operatingSystem:"Ubuntu 16" or operatingSystem:"Ubuntu 18" or operatingSystem:"Debian 8" or operatingSystem:"Debian 9" or operatingSystem:"Oracle Linux 5" or operatingSystem:"Oracle Linux 6" or operatingSystem:"SLES 11" or operatingSystem:"SLES 12" or operatingSystem:"Solaris 10" or operatingSystem:"AIX 6.1"'),
 ]

 for row in dyn_tags: