Kurzanleitung für NetIQ Sentinel 7.0.1
Die folgenden Informationen helfen Ihnen, Sentinel in kurzer Zeit zu installieren und auszuführen.
1.0 Erfüllen der Systemanforderungen
Überprüfen Sie, ob die Mindestsystemanforderungen für die Installation von Sentinel erfüllt sind.
Hardwareanforderungen für 500 EPS:
-
Arbeitsspeicher: 6.7 GB
-
Festplatte: 4 x 500 GB, 7200-RPM-Festplatten auf RAID 1, mit 256 MB Cache oder gleichwertigem Storage Area Network (SAN)
-
Prozessoren: 1 Intel Xeon X5470 3,33 GHz (4 Core)-CPU
Betriebssysteme:
-
SUSE Linux Enterprise Server (SLES) 11 SP 1
-
Red Hat Enterprise Linux (RHEL) 6
Virtuelle Maschinen:
-
VMWare ESX 4.0
-
Xen 4.0
-
Hyper-V Server 2008 R2DVD, nur ISO-Datei
ISO-DVD:
-
Hyper-V Server 2008 R2
-
Hardware ohne installiertes Betriebssystem
Informationen zu den Hardwareanforderungen für weniger bzw. mehr als 500 EPS finden Sie unter Erfüllen der Systemanforderungen
im NetIQ Sentinel 7.0.1-Installations- und Konfigurationshandbuch.
2.0 Installieren von Sentinel
Sie können Sentinel entweder als eigenständige Installation oder als Appliance installieren.
2.1 Installation auf Hardware
Bei der Standardinstallation von Sentinel werden alle Sentinel-Komponenten auf einem Computer installiert. Weitere Informationen zur benutzerdefinierten Installation und zur Installation von Sentinel mit einem anderen als dem root-Benutzer finden Sie unter Installation von Sentinel
im NetIQ Sentinel 7.0.1-Installations- und Konfigurationshandbuch.
So installieren Sie Sentinel
-
Laden Sie die Sentinel-Installationsdatei von der Novell Downloads-Webseite herunter:
-
Wählen Sie im Feld
den Eintrag aus. -
Klicken Sie auf
. -
Klicken Sie in der Spalte mit dem Titel
auf die Schaltfläche zum Herunterladen von . -
Klicken Sie auf
und geben Sie dann Ihren Kundennamen und Ihr Passwort an. -
Klicken Sie neben der Installationsversion für Ihre Plattform auf
.
-
-
Extrahieren Sie die Installationsdatei mit folgendem Befehl:
tar xfz <install_filename>
Ersetzen Sie <install_filename> durch den tatsächlichen Namen der Installationsdatei.
-
Führen Sie das Skript install-sentinel mit folgendem Befehl aus:
./install-sentinel
-
Geben Sie die Nummer der gewünschten Sprache für die Installation an und drücken Sie die Eingabetaste.
Der Standardwert ist „3“ für Englisch.
Die Endbenutzer-Lizenzvereinbarung wird in der ausgewählten Sprache angezeigt.
-
Drücken Sie die Leertaste, um die Lizenzvereinbarung durchzulesen.
-
Geben Sie yes (ja) bzw. y ein, um die Lizenz zu akzeptieren und mit der Installation fortzufahren.
Diese Installation kann einige Minuten dauern.
-
Wenn Sie dazu aufgefordert werden, geben Sie „1“ ein, um mit der Standardinstallation von Sentinel 7.0 fortzufahren.
-
Geben Sie zweimal das Passwort für das standardmäßige Admin-Konto ein, das während der Konfiguration erstellt wird.
Detaillierte Informationen finden Sie unter Installation von Sentinel
im NetIQ Sentinel 7.0.1-Installations- und Konfigurationshandbuch.
2.2 Installation der Appliance
Die Appliance ist für virtuelle VMWare ESX-, Xen- und Hyper-V-Plattformen verfügbar. Die Appliance kann auch auf Hardware installiert werden. Die folgenden Anweisungen gelten für VMWare ESX Server. Anweisungen für die anderen Plattformen finden Sie unter Installation der Appliance
im NetIQ Sentinel 7.0.1-Installations- und Konfigurationshandbuch.
-
Laden Sie die Installationsdatei für die VMware-Appliance herunter.
Die korrekte Datei für die VMware-Appliance enthält vmx im Dateinamen.
-
Richten Sie eine ESX-Datenablage ein, auf der das Appliance-Image installiert werden kann.
-
Melden Sie sich als Administrator an dem Server an, auf dem Sie die Appliance installieren möchten.
-
Extrahieren Sie mit folgendem Befehl das komprimierte Appliance-Image vom Computer, auf dem VM Converter installiert ist:
tar zxvf <install_file>
Ersetzen Sie <install_file> durch den tatsächlichen Dateinamen.
-
Um das VMware-Image auf den ESX-Server zu importieren, verwenden Sie den VMware Converter und folgen Sie den Anweisungen auf dem Bildschirm des Installationsassistenten.
-
Melden Sie sich am ESX-Server an.
-
Wählen Sie das importierte VMware-Image der Appliance und klicken Sie auf das Symbol
. -
Wählen Sie die gewünschte Sprache aus und klicken Sie auf
. -
Wählen Sie das Tastatur-Layout aus und klicken Sie auf
. -
Lesen und akzeptieren Sie die Software-Lizenzvereinbarung für Novell SUSE Linux Enterprise Server.
-
Lesen und akzeptieren Sie die NetIQ Sentinel-Endbenutzer-Lizenzvereinbarung.
-
Geben Sie im Bildschirm für den Hostnamen und den Domänennamen die entsprechenden Namen ein.
-
Stellen Sie sicher, dass die Option
ausgewählt ist. -
Wählen Sie
. Die Konfigurationen für den Hostnamen werden gespeichert. -
Führen Sie einen der folgenden Vorgänge aus:
-
Um die aktuellen Netzwerkeinstellungen zu verwenden, wählen Sie im Bildschirm
die Option aus. -
Um die Netzwerkeinstellungen zu ändern, wählen Sie
aus und nehmen Sie die gewünschten Änderungen vor.
-
-
Klicken Sie auf
, um die Netzwerkeinstellungen zu speichern. -
Legen Sie Uhrzeit und Datum fest, klicken Sie auf
und anschließend auf .Zum Ändern der NTP-Konfiguration nach der Installation rufen Sie YaST von der Befehlszeile der Appliance aus auf. Mit WebYast können Sie zwar die Uhrzeit und das Datum ändern, nicht jedoch die NTP-Konfiguration.
Wenn die Zeit unmittelbar nach der Installation nicht synchronisiert erscheint, führen Sie den folgenden Befehl aus, um NTP neu zu starten:
rcntp restart
-
Legen Sie das root-Passwort für Novell SUSE Linux Enterprise Server fest und klicken Sie auf .
-
Legen Sie das root-Passwort fest und klicken Sie auf .
-
Legen Sie das admin-Passwort für Sentinel und das dbauser-Passwort fest und klicken Sie auf
. -
Klicken Sie auf
. Die Netzwerkeinstellungen werden gespeichert.Notieren Sie sich nach dem Abschluss der Installation die IP-Adresse der Appliance, die in der Konsole angezeigt wird.
Informationen zur Konfiguration nach der Installation finden Sie unter Konfiguration der Appliance nach der Installation
im NetIQ Sentinel 7.0.1-Installations- und Konfigurationshandbuch.
3.0 Zugriff auf die Sentinel-Weboberfläche
Nach der Installation von Sentinel besteht der nächste Schritt im Zugriff auf die Sentinel-Weboberfläche, wo Sie Verwaltungsaufgaben ausführen und Sentinel zum Erfassen von Daten konfigurieren können.
Geben Sie in einem Webbrowser folgende URL ein, um auf die Weboberfläche zuzugreifen:
https://<IP_Adresse_Sentinel_Server>:8443
„8443“ ist der Standardwert für den Port.
4.0 Erfassen von Daten
Die Datenerfassung erfolgt durch die Connectors und Collectors. In Sentinel sind standardmäßig einige Connectors und Collectors installiert und konfiguriert.
Standardmäßig sind auf dem Sentinel-Server TCP-, UDP- und SSL-Server installiert. Wenn Sie die Appliance verwenden, werden die Syslog-Server automatisch konfiguriert, sobald sie Ereignisse aus der lokalen Syslog-Datei empfangen.
Sie können Syslog-Geräte, z. B. Linux-Server, so konfigurieren, dass diese Geräte Informationen an die Syslog-Server senden. Außerdem können Sie zusätzlich Connectors konfigurieren, mit denen Sentinel Daten erfasst.
4.1 Konfiguration eines Linux-Servers zum Senden von Syslog-Informationen an Sentinel
Der Sentinel-Server enthält einen vorkonfigurierten Syslog-Ereignisquellenserver, der folgende Ports auf eingehende Verbindungen überwacht:
-
TCP: 1468
-
UDP: 1514
-
SSL: 1443
Befolgen Sie die nachstehenden Anweisungen, um einen Linux-Server zum Senden von Ereignissen an den TCP-Syslog-Ereignisquellenserver zu konfigurieren.
So konfigurieren Sie die Syslog-Datei unter Linux:
-
Öffnen Sie die Datei /etc/syslog-ng/syslog-ng.conf.
-
Fügen Sie am Ende der Datei syslog-ng.conf folgende Befehlszeilen hinzu.
# Forward all messages to Sentinel: # destination d_slm { tcp("127.0.0.1" port(1468)); }; log { source(src); destination(d_slm); };
-
Ändern Sie den TCP-Wert in die IP-Adresse des Linux-Servers.
-
Speichern und schließen Sie die Datei.
-
Starten Sie den Syslog-Dienst neu:
/etc/init.d/syslog restart
Details dazu, wie Sie Geräte zum Senden von Informationen an den Syslog-Connector konfigurieren können, finden Sie in der Syslog-Connector-Dokumentation auf der Sentinel-Plugins-Webseite.
4.2 Konfiguration der Datenerfassung für Windows
Um Daten aus einem Windows-System zu erfassen müssen Sie einen Windows-Ereignis (WMI)-Connector konfigurieren. Der Windows-Ereignis-Connector wird auf dem Collector-Manager installiert und empfängt Ereignisse vom Windows-Ereigniserfassungsdienst, der auf dem Windows-Server installiert ist.
Windows-Ereignis-Connector konfigurieren
-
Melden Sie sich an der Sentinel-Weboberfläche an.
https://<IP_Adresse_Sentinel_Server>:8443
„8443“ ist der Standardport.
-
Klicken Sie in der Symbolleiste auf
und dann auf . -
Melden Sie sich am Sentinel Control Center mit dem Benutzernamen und Passwort des Administrators an und klicken Sie auf
. -
Klicken Sie in der Symbolleiste auf
> . -
Fügen Sie im Collector-Manager einen Windows-spezifischen Collector hinzu.
Ein Windows-spezifischer Collector muss konfiguriert sein, bevor Sie einen Windows-Ereignis-Connector hinzufügen können.
-
Klicken Sie mit der rechten Maustaste auf den Collector-Manager und klicken Sie dann auf
. -
Wählen Sie
in der Spalte aus und wählen Sie dann in der Spalte die entsprechende Windows- bzw. Active Directory-Version. -
Klicken Sie auf
. -
Wählen Sie die anzuzeigenden Skripte aus und klicken Sie auf
. -
Ändern Sie beliebige Konfigurationsparameter und klicken Sie dann auf
. -
Legen Sie zusätzliche Konfigurationsparameter für den Collector fest und klicken Sie dann auf
.
-
-
Fügen Sie den Windows-Ereignis-Connector zum in Schritt 5 erstellten Collector hinzu:
-
Klicken Sie mit der rechten Maustaste auf den Collector und klicken Sie dann auf
. -
Wählen Sie den Windows-Ereignis-Connector aus und klicken Sie auf
. -
Konfigurieren Sie die Netzwerkeinstellungen für den Windows-Ereignis-Connector-Server und klicken Sie dann auf
. -
Konfigurieren Sie die SSL-Einstellungen und klicken Sie dann auf
. -
Wählen Sie aus, wie der Windows-Ereignis-Connector verwaltet werden soll:
-
Manuell: Wählen Sie diese Option aus, um die Ereignisquelle manuell zu verwalten.
-
Automatisch: Wählen Sie diese Option aus, um automatisch mit Active Directory zu synchronisieren.
-
-
Klicken Sie auf
. -
Geben Sie den Benutzerberechtigungsnachweis für die Verbindung zum Windows-Ereigniserfassungsdienst und zur Ereignisquelle an.
-
Geben Sie die Konfigurationsparameter an und klicken Sie dann auf
.
-
-
Fügen Sie eine Ereignisquelle zum Windows-System hinzu, in dem die Daten erfasst werden sollen.
-
Klicken Sie mit der rechten Maustaste auf den Windows-Ereignis-Connector und klicken Sie dann auf
. -
Geben Sie die IP-Adresse oder den Hostname des Windows-Systems an
oder
Wählen Sie ein Windows-System aus Active Directory aus. Klicken Sie dann auf
. -
Wählen Sie einen Verbindungsmodus für die Ereignisquelle aus und klicken Sie dann auf
. -
Geben Sie die Konfigurationsparameter für die Ereignisquelle an und klicken Sie dann auf
.
-
Windows-Ereigniserfassungsdienst auf dem Windows-Server installieren
-
Vergewissern Sie sich, dass Sie auf dem Windows-Server ein Benutzerkonto erstellt haben, das über die entsprechenden Rechte verfügt, um den Windows-Ereigniserfassungsdienst auszuführen und Ereignisse von den Windows-Ereignisprotokollen auf Windows-Fernsystemen zu erfassen. Folgende Rechte sind erforderlich:
-
Zugriffsberechtigung auf die Windows-Ereignisprotokolle
-
WMI-Berechtigungen
-
DOCM-Berechtigungen
-
Der Distributed COM-Benutzergruppe müssen ACL-Rechte zum Lesen, Schreiben und Löschen für alle Ereignisprotokolltypen zugewiesen werden.
-
Leseberechtigung für das Sicherheitsereignisprotokoll
-
Der Benutzer muss über Administratorrechte zum Installieren des Windows-Agenten verfügen.
-
Der Benutzer muss über das Recht
verfügen.
Weitere Informationen finden Sie in der Windows-Ereignis-Connector-Dokumentation auf der Sentinel-Plugins-Webseite. Informationen zu den Berechtigungen finden Sie in den Kapiteln 4 und 5.
-
-
Kopieren Sie die Datei WindowsEvent-CollectionService.msi aus der .zip-Datei des Windows-Ereignis-Connectors auf den Windows-Server, auf dem der Windows-Ereigniserfassungsdienst installiert werden soll.
-
Doppelklicken Sie auf die Datei WindowsEvent-CollectionService.msi, um den Einrichtungsassistenten für den Windows-Ereigniserfassungsdienst zu starten.
-
Klicken Sie auf dem Begrüßungsbildschirm auf
. -
(Bedingt) Lesen Sie den Warnhinweis zum beschränkten Support und klicken Sie dann auf
. -
Akzeptieren Sie den Endbenutzer-Lizenzvertrag und klicken Sie auf
. -
Befolgen Sie die nachstehenden Anweisungen, um die Konfiguration des Windows-Ereigniserfassungsdiensts benutzerdefiniert anzupassen:
Weitere Funktionen: Wählen Sie die zu installierenden Funktionen aus. Nicht alle Funktionen werden standardmäßig installiert. Folgende Funktionen sind verfügbar:
-
Datenerfassungsdienst: Installiert den Windows-Ereigniserfassungsdienst, der mit Sentinel kommuniziert.
-
Dokumentation: Installiert die Dokumentation, die im Lieferumfang des Connectors enthalten ist.
Standort: (Optional) Ändern Sie den standardmäßigen Installationsstandort, indem Sie auf Programme\Novell\SentinelWECS.
klicken und einen neuen Standort auswählen. Der Standardinstallationsstandort istSpeicherplatzauslastung: (Optional) Klicken Sie auf
, um zu ermitteln, ob ausreichend Speicherplatz für die Installation des Windows-Ereigniserfassungsdiensts verfügbar ist. -
-
Klicken Sie auf
. -
Legen Sie das Dienstkonto fest, das der Windows-Ereigniserfassungsdienst zur Verbindung mit externen Windows-Ereignisquellen verwendet.
Lokales Systemkonto: Wählen Sie diese Option aus, um den Windows-Ereigniserfassungsdienst als Benutzer mit lokalem Systemkonto auszuführen. Wenn Sie diese Option auswählen, müssen Sie beim Bereitstellen des Windows-Ereigniserfassungsdiensts auf dem Collector-Manager den Benutzerberechtigungsnachweis angeben.
Dieser Kontoname: Wählen Sie diese Option aus, um den Windows-Ereigniserfassungsdienst als bestimmten Benutzer bzw. Domänenbenutzer auszuführen. Geben Sie den Berechtigungsnachweis des Benutzers an, der über die Rechte zum Ausführen des Windows-Ereigniserfassungsdiensts verfügt.
Das System mit dem Windows-Ereigniserfassungsdienst muss auf jedem zu überwachenden Ereignisquellensystem über Zugriff zum Lesen des Windows-Ereignisprotokolls verfügen. Den erstellten Benutzern müssen daher auf jedem Ereignisquellensystem entsprechende Berechtigungen zugewiesen werden.
Starten Sie nach der Installation den Dienst: Wählen Sie diese Option aus, wenn der Windows-Ereigniserfassungsdienst sofort nach der Installation gestartet werden soll.
-
Klicken Sie auf
. -
Klicken Sie auf
, um den Windows-Ereigniserfassungsdienst zu installieren. -
Klicken Sie zum Beenden des Konfigurationsassistenten auf
.
Nach der Installation muss der Windows-Ereigniserfassungsdienst konfiguriert werden.
Windows-Ereigniserfassungsdienst konfigurieren
-
Öffnen Sie die Datei eventManagement.config in einem Texteditor.
Standardmäßig befindet sich die Datei unter Programme\Novell\SentinelWECS.
-
Kopieren Sie im Abschnitt <client> die Zeile mit der Angabe endPoint address und fügen Sie die Zeile unterhalb der bestehenden Zeile ein. Ersetzen Sie die bestehende IP-Adresse mit der IP-Adresse des Servers (Collector-Manager), mit dem der Windows-Ereigniserfassungsdienst eine Verbindung erstellt. Fügen Sie die Portnummer hinzu, über die der Dienst mit dem Connector kommuniziert.
Beispiel:
<client> <!-- Additional collectors/plugins can be added with different host/ port configurations --> <!-- <endPoint address="tcp://127.0.0.1:1024" behaviorConfiguration="localhost" />--> <endPoint address="tcp://<IP_address_Sentinel_server:<port_number>" behaviorConfiguration="localhost" />--> </client>
-
Sie können beliebig viele Connectors konfigurieren, indem Sie Schritt 2 wiederholen. Es kann ein Agent für mehrere Connectors oder ein Agent pro Connector konfiguriert werden.
-
Speichern und schließen Sie die Datei eventManagement.config.
-
Öffnen Sie das Fenster „Dienste“, um den Windows-Ereigniserfassungsdienst zu starten.
-
Klicken Sie auf
> , um das Dialogfeld „Ausführen“ zu öffnen. -
Geben Sie services.msc ein und klicken Sie auf .
-
-
Wählen Sie den Eintrag
aus, drücken Sie die rechte Maustaste und wählen Sie aus, um Windows-Ereigniserfassungsdienst zu starten. -
Schließen Sie das Fenster „Dienste“.
Weitere Informationen über Microsoft Active Directory, den Windows-Collector und den Windows-Ereignis (WMI)-Connector finden Sie auf der Sentinel-Plugins-Webseite.
4.3 Konfiguration zusätzlicher Connectors und Collectors
Die verfügbaren Connectors und Collectors werden während der Installation von Sentinel auf dem Sentinel-Server installiert. Oft sind jedoch neue und aktualisierte Connectors und Collectors verfügbar.
Überprüfen Sie auf der Sentinel-Plugins-Webseite, ob aktualisierte Versionen der Connectors bzw. Collectors verfügbar sind.
Informationen zur Konfiguration eines nicht bereits standardmäßig konfigurierten Connectors oder Collectors finden Sie unter Hinzufügen zusätzlicher Sentinel-Komponenten
im NetIQ Sentinel 7.0.1-Installations- und Konfigurationshandbuch.
5.0 Weitere Schritte
Sentinel ist nun installiert. Um Sie bei der Konfiguration von Sentinel zu unterstützen, stehen Ihnen zwei Handbücher zur Verfügung: NetIQ Sentinel 7.0.1 Administration Guide (NetIQ Sentinel 7.0.1-Administrationshandbuch) und NetIQ Sentinel 7.0.1 User Guide (NetIQ Sentinel 7.0.1-Benutzerhandbuch).
Das Administrationshandbuch enthält Informationen zu Konfigurationsaufgaben, die nur von einem Benutzer mit Administratorrechten ausgeführt werden können. Beispiel:
Weitere Informationen zu diesen und anderen Administrationsaufgaben finden Sie im NetIQ Sentinel 7.0.1 Administration Guide (NetIQ Sentinel 7.0.1-Administrationshandbuch).
Das Benutzerhandbuch enthält Anleitungen zu Aufgaben, die von Benutzern in Sentinel ausgeführt werden können. Beispiel:
Weitere Informationen zu diesen und anderen Benutzeraufgaben finden Sie im NetIQ Sentinel 7.0.1 User Guide (NetIQ Sentinel 7.0.1-Benutzerhandbuch).
Die Konfigurationsmöglichkeiten in Sentinel umfassen unter anderem die Ereignisanalyse, das Hinzufügen von Daten anhand von Korrelationsregeln, das Erstellen von Grundwerten und die Konfiguration von Workflows. Die Informationen im NetIQ Sentinel 7.0.1 Administration Guide (NetIQ Sentinel 7.0.1-Administrationshandbuch) unterstützen Sie bei der Konfiguration dieser Sentinel-Funktionen.
6.0 Rechtliche Hinweise:
NetIQ Corporation ("NetIQ") leistet keinerlei Gewähr bezüglich des Inhalts oder Gebrauchs dieser Dokumentation. Insbesondere werden keine ausdrücklichen oder stillschweigenden Gewährleistungen hinsichtlich der handelsüblichen Qualität oder Eignung für einen bestimmten Zweck übernommen. Ferner behält NetIQ sich das Recht vor, diese Dokumentation zu revidieren und ihren Inhalt jederzeit zu ändern, ohne dass für NetIQ die Verpflichtung entsteht, Personen oder Organisationen von diesen Änderungen in Kenntnis zu setzen. NetIQ übernimmt keine Gewährleistung oder Haftung in Bezug auf jede Software und schließt jede ausdrückliche oder stillschweigende Gewährleistung bezüglich der Marktgängigkeit sowie der Eignung für einen bestimmten Zweck aus. Ferner·behält·NetIQ·sich·das·Recht·vor,·die·Software·jederzeit·ganz·oder·teilweise·zu·ändern,·ohne·dass·für·NetIQ·die·Verpflichtung·entsteht,·Personen·oder·Organisationen·von·diesen·Änderungen·in·Kenntnis·zu·setzen.·Alle im Zusammenhang mit dieser Vereinbarung zur Verfügung gestellten Produkte oder technischen Informationen unterliegen möglicherweise den US-Gesetzen zur Exportkontrolle sowie den Handelsgesetzen anderer Länder. Sie stimmen zu, alle Gesetze zur Exportkontrolle einzuhalten und alle für den Export, Reexport oder Import von Lieferungen erforderlichen Lizenzen oder Klassifikationen zu erwerben. Sie erklären sich damit einverstanden, nicht an juristische Personen, die in der aktuellen US-Exportausschlussliste enthalten sind, oder an in den US-Exportgesetzen aufgeführte terroristische Länder oder Länder, die einem Embargo unterliegen, zu exportieren oder zu reexportieren. Sie stimmen zu, keine Lieferungen für verbotene nukleare oder chemisch-biologische Waffen oder Waffen im Zusammenhang mit Flugkörpern zu verwenden. NetIQ übernimmt keine Haftung für Ihr Versäumnis, die notwendigen Ausfuhrgenehmigungen einzuholen. Copyright © 2012 Novell, Inc. Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche Genehmigung des Herausgebers darf kein Teil dieser Veröffentlichung reproduziert, fotokopiert, übertragen oder in einem Speichersystem verarbeitet werden. Die Rechte für alle Marken von Drittanbietern liegen bei den jeweiligen Eigentümern. Weitere Informationen erhalten Sie von NetIQ unter folgender Anschrift: 1233 West Loop South, Houston, Texas 77027 USA www.netiq.com