Sentinel 7.4.4.1 发行说明

问题： 如果在 Sentinel HA 中将主动节点转换为 FIPS 140-2 模式，则不会全面执行将所有被动节点转换为 FIPS 140-2 模式的同步操作。需要手动启动同步。(Bug 1014472)

解决方法： 请执行下列步骤：

问题： Sentinel 无法通过 Sentinel Link Connector 接收事件。(Bug 996775)

解决方法： Sentinel Link 连接器版本 2011.1r4 解决了此问题。此版本在 Sentinel 插件网站上正式发布后，您可以从预览部分下载此连接器的预览版本。

问题： NetIQ eDirectory 工具无法通过平台代理连接到审计连接器。因此，Sentinel 无法从 eDirectory 接收事件。出现此问题的原因是，eDirectory 工具使用 MD5 RSA 证书算法，该算法已在 Sentinel 7.4 SP2 使用的 Java 8 更新 77 中弃用。(Bug 985312)

解决方法： 要允许 eDirectory 工具使用自定义证书，请执行 NetIQ 知识库文章 7017764 中所述的步骤。

问题： 将设备升级到版本 7.4 SP1 和更高版本时，Sentinel 显示以下警告：

解决方法： 忽略该警告。这对升级没有影响。

问题： 无法使用 Sentinel SDK 创建报告。(Bug 966406)

解决方法： 若要使用 Sentinel SDK 创建报告，请执行在 NetIQ 知识库文章 7017293 中提到的步骤。

问题： Sentinel 7.3 SP1 中包含的安全漏洞修复与对安全连接的通讯机制更改有关。这些更改与 Sentinel UNIX 代理 7.4 不兼容。因此，Sentinel 无法接收来自 Sentinel UNIX 代理 7.4 的事件。(Bug 953990)

解决方法： 目前没有任何解决方法。当 Sentinel UNIX 代理的兼容版本可用时，这个问题将得到解决。

问题： 将 Sentinel 设备升级到版本 7.3 SP1 及更高版本后，尝试将 NFS 配置为辅助储存位置时，Sentinel 显示一个错误。(Bug 934851)

解决方法： 升级 Sentinel 设备后，使用以下命令重启动 SLES 操作系统：

问题： 将 Sentinel 从 7.3 版本升级到 7.3 SP1 版本并启动 Sentinel 服务器时，您可能会在服务器日志中看到以下异常：

解决方法： 不必在意该异常。没有因为该异常对 Sentinel 的性能产生影响。

问题： Sentinel 使用 Diffie-Hellman 协议与安全配置管理器进行通讯。作为修复 Logjam 漏洞的一部分，Sentinel 中的 Diffie-Hellman 协议的证书密钥大小已增加至 2048。但是，安全配置管理器使用默认的证书密钥大小；也就是 1024。由于这种不匹配，安全配置管理器无法再与 Sentinel 进行通讯。(Bug 935987)

解决方法： 将安全配置管理器升级到版本 6.1。有关详细信息，请参见 NetIQ 安全配置管理器 6.1 发行说明。

问题： Sentinel 警报视图和警报仪表板不会在 IP 地址字段中显示含有 IPv6 地址的警报。(Bug 924874)

解决方法： 要在 Sentinel 中查看含有 IPv6 地址的警报，请执行在 NetIQ 知识库文章 7016555 中提到的步骤。

问题： Sentinel Link 连接器中存在着 Bar Mitzvah 安全漏洞。Sentinel Link 连接器在 SSL 和 TSL 协议中使用 RC4 算法，这可能会允许针对某个流中的初始字节进行明文恢复攻击。有关详细信息，请参见 CVE-2015-2808。(Bug 933741)

解决方法： Sentinel Link 连接器版本 2011.1r4 解决了此问题。此版本在 Sentinel 插件网站上正式发布后，您可以从预览部分下载此连接器。

问题： 如果收集器分析事件支持多个连接模式，则代理管理器连接器版本 2011.1r3 不会设置事件中的 CONNECTION_MODE 属性。(Bug 880564)

解决方法： 代理管理器连接器版本 2011.1r5 及更高版本可以解决此问题。此版本在 Sentinel 插件网站上正式发布后，您可以从预览部分下载此连接器。

问题： Sentinel 代理管理器忽略原始数据文件大小配置的 SMServiceHost.exe.config 文件中 RawDataTapFileSize 属性中所指定的值，并且当文件大小达到 10 MB 时停止写入原始数据文件。(Bug 867954)

解决方法： 在文件大小达到 10 MB 时，将原始数据文件的内容手动复制到其他文件，并清除原始数据文件的内容，以便 Sentinel 代理管理器能将新数据写入该文件。

问题： 在 Sentinel 的升级安装中，在 Web 界面的提示表中搜索警报属性时，该搜索不会返回警报字段的完整列表。但是，如果您清除该搜索，则会在提示表中正确显示警报字段。(Bug 914755)

解决方法： 目前没有任何解决方法。

问题： 在尝试将人类可读格式的 IPv6 地址字段同步到外部数据库时，数据同步失败。有关配置 Sentinel 来填充人类可读点标记格式的 IP 地址字段的信息，请参见《NetIQ Sentinel 管理指南》中的创建数据同步策略。(Bug 913014)

解决方法： 若要修复此问题，请在目标数据库中手动将 IP 地址字段的最大大小更改为不少于 46 个字符，然后重新同步此数据库。

问题： 如果在您的角色的安全过滤器为空且您的角色没有事件查看许可权限的情况下运行事件搜索，则该搜索无法完成。该搜索不显示任何有关无效事件查看许可权限的错误讯息。(Bug 908666)

解决方法： 使用以下选项之一更新此角色：

问题： 在编辑从 Sentinel 7.2 升级到后续版本的已保存搜索时，在日程表页中缺少用于指定搜索报告 CSV 中的输出字段的事件字段面板。(Bug 900293)

解决方法： 在升级 Sentinel 后，重创建并重安排搜索来查看日程表页中的事件字段面板。

问题： 当您通过单击该规则的关联摘要页的活动统计面板的 Fire 计数旁边的图标，搜索部署或启用该规则后生成的所有关联事件时，Sentinel 不会返回任何关联事件。(Bug 912820)

解决方法： 将事件搜索页中 From 字段的值更改为一个早于此字段中填充时间的时间，并再次单击搜索。

问题： 当您在警报视图中单击选择全部来选择警报、取消选择几个警报和修改警报时，在刷新的警报视图中还会选择新进来的警报。这会导致选择进行修改的警报计数错误，同时看上去您正在修改新进来的警报。但是，只有最初选择的警报得到修改。(Bug 904830)

解决方法： 如果您使用自定义时间范围创建警报视图，则警报视图中将不会显示新的警报。

问题： 历史安全智能 (SI) 数据需要很长时间才能装载到具有高每秒事件数 (EPS) 装载的 Sentinel 系统中。(Bug 908599)

解决方法： 如果您正在通过历史数据创建安全智能仪表板，如有可能，请计划在系统负载较低时再部署此仪表板。目前没有任何其他的解决方法。

问题： 在安全智能基线重新生成期间，基线的开始和结束日期不正确，并显示为 1/1/1970。(Bug 912009)

解决方法： 在完成基线的重新生成后，更新正确的日期。

问题： 如果在单个分区中有大量索引的事件，运行搜索时，Sentinel 服务器会关闭。(Bug 913599)

解决方法： 通过在一天中至少打开两个分区的方式，创建保留策略。打开多个分区有助于减少分区中索引的事件数量。

问题： 当您使用 report_dev_setup.sh 脚本为防火墙异常配置 Sentinel 端口时，Sentinel 显示错误。(Bug 914874)

解决方法： 通过以下步骤，为防火墙异常配置 Sentinel 端口：

问题： 当在 Microsoft Active Directory 和 Windows Collector 上启用通用主机名解析服务收集器时，Sentinel 通用收集器的性能会下降。当远程 Collector Manager 发送事件时，EPS 下降 50%。(Bug 906715)

解决方法： 目前没有任何解决方法。

问题： 当您在 FIPS 140-2 模式下安装 Sentinel 时，连接到安全智能数据库的连接器无法启动，并且 Sentinel 无法访问安全智能、Netflow 和警报数据。(Bug 915241)

解决方法： 在 FIPS 140-2 模式中进行安装和配置后，重启动 Sentinel。

问题： 默认情况下，当安装 Sentinel 设备时，网络接口为未配置。(Bug 867013)

解决方法： 配置网络接口步骤：

问题： 当在 Sentinel 中导出搜索结果时，如果您修改操作系统语言设置，Web 浏览器可能显示一则错误信息。(Bug 834874)

解决方法： 若要正确导出搜索结果，请执行任一下列操作：

问题： 在大于 2 TB 磁盘空间的系统上，Sentinel 在安装后可能无法自动启动。(Bug 846296)

解决方法： 作为一种一次性的活动，通过指定以下命令来手动启动 Sentinel 服务：

问题： 在 Sentinel 设备安装中，如果您在 Kerberos 模块中配置 Kerberos 鉴定，控制台会显示一条成功配置 Kerberos 客户端的配置讯息。但是，在您重新查看 Kerberos 模块时，“启用 Kerberos 鉴定”选项处于取消选中状态。(Bug 843623)

解决方法： 目前没有任何解决方法。

问题： 当您等待一个报告结果 PDF（具体而言，100 万个事件的报告结果）打开时，如果单击另一个报告结果 PDF 进行查看，则不会显示报告结果。(Bug 804683)

解决方法： 再次单击第二个报告结果 PDF 即可查看报告结果。

问题： 在 Sentinel 环境中启用了 FIPS 140-2 模式时，如果对代理管理器使用 Windows 鉴定，将导致与代理管理器数据库的同步失败。(Bug 814452)

解决方法： 在 Sentinel 环境中启用了 FIPS 140-2 模式时，对代理管理器使用 SQL 鉴定。

问题： 在非 FIPS 140-2 模式下成功完成了 Sentinel 高可用性安装，但会显示以下错误两次：

解决方法： 目前没有任何可用的修复或解决方法。虽然安装程序会显示错误，但 Sentinel 高可用性配置将在非 FIPS 140-2 模式下成功地正常工作。

问题： 从 Sentinel 7.2 以前的版本进行设备更新失败，因为更新程序包的供应商已从 Novell 更改为 NetIQ。(Bug 780969)

解决方法： 使用 zypper 命令更新设备。有关详细信息，请参见《NetIQ Sentinel 安装和配置指南》中的使用 zypper 升级设备。

问题： 当系统上已存在同名的关联规则时，解决方案管理器不会安装关联规则。控制台中会记录 NullPointerException 错误。(Bug 713962)

解决方法： 确保所有关联规则具有唯一名称。

问题： 当您从 Web 界面执行 Sentinel Link 操作时，即使从 Sentinel Control Center 进行的 Sentinel Link 连接器集成器测试失败，Sentinel 也会显示一条成功讯息。(Bug 710305)

解决方法： 目前没有任何解决方法。

问题： 当安全智能仪表板和异常定义具有相同的名称时，“异常细节”页面上将会禁用仪表板链接。(Bug 715986)

解决方法： 在创建仪表板和异常定义时，确保使用唯一的名称。

问题： 当 Sentinel Web 界面的计算机时钟比 Sentinel 服务器时钟慢时，Sentinel Web 界面会在活动搜索作业的“持续时间”和“已接受”列中显示负数。例如，当 Sentinel Web 界面时钟设置为 1:30 PM，而 Sentinel 服务器时钟设置为 2:30 PM 时，“持续时间”和“已接受”列便会显示负数。(Bug 719875)

解决方法： 确保您用于访问 Sentinel Web 界面的计算机上的时间与 Sentinel 服务器计算机上的时间相同或快于该时间。

问题： 当您登录到安全性仪表板并进行 IssueSAMLToken 审计事件的搜索操作时，IssueSAMLToken 审计事件将显示错误的主机名 (InitiatorUserName) 或（IP 地址）SourceIP。(Bug 870609)

解决方法： 目前没有任何解决方法。

问题： 在收集事件数据时，Sentinel 代理管理器不会截获带有 Null 值的 Windows 插入字符串字段。(Bug 838825)

解决方法： 目前没有任何解决方法。