Sentinel 7.1.1 提供了几项增强功能,并解决了以前版本的特定问题。本文档概述了您应安装此服务包的原因。
其中的很多改进都是直接按照我们客户提供的建议做出的。我们非常感谢您在百忙中抽时间提供宝贵的意见。我们衷心地希望您能一如既往地帮助我们确保产品满足您的一切需求。您可以在 Sentinel 社区支持论坛中发布反馈信息,这是我们的社区网站,其中还包括产品通知、博客和产品用户组。
有关此服务包和最新发行说明的详细信息,请参见 Sentinel 7.1 文档网站。
以下部分概述了此服务包提供的增强功能以及解决的问题:
Sentinel 添加了对以下操作系统版本的支持:
SUSE Linux Enterprise Server 11 服务包 3(64 位)
FIPS 模式下的 Red Hat Enterprise Linux 6.4(64 位)
Sentinel 7.1.1 的全新安装版包括用于网络安全的解决方案包,可帮助解决您企业中的网络安全问题。此解决方案包提供了一个基于控制的框架和各种报告,可帮助您监视和管理网络安全。有关此解决方案包的详细信息,请参见 Sentinel 插件网站上的“用于网络安全的解决方案包”文档。
要在 Sentinel 7.1.1 的升级安装中使用此解决方案包,请从 Sentinel 插件网站下载并安装此解决方案包。
Sentinel 7.1.1 的全新安装版包括几个最新版本的 Sentinel 插件。这些插件包括最新软件修复、文档更新和增强功能。有关详细信息,请参见 Sentinel 插件网站上的特定插件文档。
Sentinel 7.1.1 的升级安装将 Syslog Integrator 更新到版本 2011.1r1,该版本大幅提升了性能。
此服务包包括以下增强功能:
Sentinel 7.1.1 现在包括 Java 7 更新 40,该更新包括几个安全漏洞的修复。
注:要在已安装 Java 7 更新 40 的客户端计算机上使用 Sentinel 控制中心,必须在 Java 控制面板中启用日志记录。有关详细信息,请参见部分 4.0, 已知问题。
创建关联规则时,除了按事件字段的相同值对事件进行分组外,现在还可以根据事件字段的不同值对事件进行分组。
Sentinel 提供了全新的用户界面,用于在关联规则中对事件进行分组。要对事件进行分组,请选择分组依据下拉列表,根据要对事件进行分组的方式,拖放按字段分组或不同字段列表中的所需事件字段。
现在可以创建用于储存收藏夹报告和搜索的文件夹,它可以帮助您轻松查找和管理这些报告和搜索。
此服务包改善了 Sentinel 在搜索和报告方面的系统性能,还提高了系统在高负载下的稳定性。
在创建动态列表时,您不再需要手动指定最大元素数。默认情况下,Sentinel 现在将最大元素数设置为 1000。您可以根据需要更改该值。
除了以小时和天为单位指定临时元素的生命周期外,您现在还能够以分钟为单位指定。当您想要列表元素只保持几分钟处于活动状态时,此增强功能特别有用。例如,现在可以在 15 分钟后拒绝访问特定用户帐户或 IP 地址。
您现在可以将 Sentinel 配置为在升级之前自动备份配置数据和基线安全智能数据。启用此自动备份功能会导致升级过程需要更长时间,并将需要更多磁盘空间。要估计所需的附加时间和磁盘空间,请使用 -c 和 -b 选项手动运行备份实用程序。
要配置自动数据备份,请执行以下步骤:
打开 /etc/opt/novell/sentinel/config/configuration.properties 文件。
添加以下属性,并将其值设置为 true:
sentinel.upgrade.backup=true
保存更改。
升级 Sentinel 时,它会自动备份配置数据和基线安全智能数据,并将备份文件储存在 /var/opt/novell/sentinel/data/updates 目录中。
注:您必须根据需要手动备份其他数据,如事件数据、原始事件数据、安全智能数据库等。有关备份和恢复数据的详细信息,请参见《Sentinel 7.1 管理指南》中的备份和恢复数据。
Sentinel 7.1.1 针对以下问题提供了软件修复。有关以前版本中的软件修复和增强功能的列表,请参见 Sentinel 7.1 文档网站。
问题: Sentinel 控制中心在已安装 Java 7 更新 45 的客户端计算机上不起动。(BUG 846699)
修复: Sentinel 控制中心现在可以在 Java 7 更新 45 中起动。
问题: 在 Sentinel 7.1.0.1 及更高版本中,关联的事件讯息字段显示关联规则的说明,而不是触发了关联事件的事件的说明。电子邮件警报也显示关联规则的说明。(BUG 840953)
修复: 您现在可以将关联的事件讯息字段的说明设置为触发了关联事件的事件的说明:
在 $ESEC_CONFIG_HOME/config/configuration.properties 文件中添加以下属性:
sentinel.correlation.eventformat=7.1
重启动 Sentinel 服务器。
问题: Sentinel 设备没有所需的模块,无法为 WebYaST 配置 Active Directory 鉴定。(BUG 828616)
修复: Sentinel 设备现在包括对 WebYaST 支持 Active Directory 鉴定所需的模块。
问题: 如果分组依据事件字段包含空值,Sentinel 不在报告中包括此类事件。(BUG 810398)
修复: 现在,报告包括包含空值的事件。
问题: 当您通过 iTRAC 工作流程模板执行事件 (Incident) 命令时,附件中的 XML 文件不包含事件 (Incident) 细节,以及已添加到事件 (Incident) 中的事件 (Event)。(BUG 796615)
修复: 现在,XML 文件包含事件 (Incident) 细节,以及已添加到事件 (Incident) 中的事件 (Event)。
问题: 使用 Internet Explorer 10 查看 Sentinel Web 控制台时,浏览器错误地显示了某些图标。(BUG 807670)
修复: Sentinel 现在以标准模式起动,并且 Web 控制台上的所有图标都正确显示。
问题: Sentinel 允许您通过 Mongo shell 访问 MongoDB 中的安全智能信息。(BUG 842556)
修复: Sentinel 现在要求您鉴定到 MongoDB 才能访问安全智能信息。
问题: 在非 FIPS 模式下进行 LDAP 鉴定时,Sentinel 不信任知名的证书颁发机构 (CA)(例如 Verisign)。如果知名的 CA 对 LDAP 服务器证书进行签名,而您未在 LDAP 设置中显式指定 LDAP 服务器证书,则 Sentinel 不会与 LDAP 服务器建立安全连接。LDAP 鉴定将失败。(BUG 832626)
修复: 默认情况下,Sentinel 现在信任用于 LDAP 鉴定的知名 CA。
问题: 无法将包含超过 50,000 个事件的搜索结果导出到文件。(BUG 840027)
修复: 现在可以将包含最多 200,000 个事件的搜索结果导出到文件。
问题: 在 Sentinel 7.1 设备的升级安装中,Sentinel 将代理管理器事件源服务器部署在端口 1590 上。但是,该端口未打开,无法接受进来的 TCP 连接。(BUG 827611)
修复: 现在,端口 1590 已打开,可以接受进来的 TCP 连接。
问题: 查看触发器选项显示了未触发关联事件的事件。(BUG 832857)
修复: 查看触发器选项现在仅显示触发了关联事件的事件。
问题: 当 EPS 率较高时,由于资源不可用,与数据库的连接有时会延迟几个小时。Sentinel 频繁地记录错误“线程请求的连接尚未返回到池中”。(BUG 719244)
修复: Sentinel 现在提高了系统稳定性和性能,从而减少了在进行数据库连接时的延迟。
问题: 当您起动 Sentinel 控制中心时,它将显示警告讯息“Sentinel 控制中心数字签名已失效”。(BUG 816020)
修复: 已续订 Sentinel 控制中心数字证书。
您可以从 Sentinel 7.0 或更高版本升级到 Sentinel 7.1.1。
有关硬件要求、支持的操作系统和浏览器的信息,请参见《NetIQ Sentinel 7.1 安装和配置指南》中的了解系统要求
。
从 Novell 下载网站下载服务包。您可以将升级安装脚本配置为在升级 Sentinel 之前,备份配置数据和基线安全智能数据。有关详细信息,请参见配置数据和基线安全智能数据的自动备份。
以下部分提供有关升级 Sentinel 的信息:
注:升级 Sentinel 后,请在客户端计算机上清除 Java Web Start 超速缓存,以便使用最新版本的 Sentinel 应用程序。可以通过使用 javaws -clearcache 命令或 Java 控制中心来清除 Java Web Start 超速缓存。有关详细信息,请参见 http://www.java.com/en/download/help/plugin_cache.xml。
有关升级到 Sentinel 7.1.1 的信息,请参见《NetIQ Sentinel 7.1 安装和配置指南》中的“升级 Sentinel”。
在高可用性安装程序中升级 Sentinel 传统安装时,先升级群集中的被动节点,然后再升级主动群集节点。
在群集中启用维护模式:
crm configure property maintenance-mode=true
维护模式可以帮助您在更新 Sentinel 时,避免对正在运行的群集资源产生任何干扰。可以从任何群集节点运行此命令。
校验维护模式是否处于活动状态:
crm status
群集资源应显示为处于非受管状态。
升级被动群集节点:
停止群集堆栈:
rcopenais stop
停止群集堆栈可确保群集资源仍然可以访问,并可避免节点防护。
以 root 身份登录要升级 Sentinel 的服务器。
从 tar 文件提取安装文件:
tar xfz <install_filename>
在您提取安装文件的目录中运行以下命令:
./install-sentinel --cluster-node
在升级完成后,重启动群集堆栈:
rcopenais start
对所有被动群集节点重复执行步骤 3。
升级主动群集节点:
备份您的配置,然后创建 ESM 导出。
有关备份数据的详细信息,请参见《NetIQ Sentinel 7.1 管理指南》中的备份和恢复数据
https://www.netiq.com/documentation/sentinel71/s71_admin/data/bookinfo.html#bookinfo。
停止群集堆栈:
rcopenais stop
停止群集堆栈可确保群集资源仍然可以访问,并可避免节点防护。
以 root 身份登录要升级 Sentinel 的服务器。
运行以下命令从 tar 文件提取安装文件:
tar xfz <install_filename>
在您提取安装文件的目录中运行以下命令:
./install-sentinel
在升级完成后,启动群集堆栈:
rcopenais start
在群集中禁用维护模式:
crm configure property maintenance-mode=false
可以从任何群集节点运行此命令。
校验维护模式是否处于非活动状态:
crm status
群集资源应显示为处于已启动状态。
(可选)校验 Sentinel 升级是否成功:
rcsentinel version
当您从 Sentinel 7.0.1 或更早版本升级设备时,升级将在 WebYaST 中失败,因为此增补程序的供应商名称已从 Novell 更改为 NetIQ。必须使用 zypper patch 命令来升级设备。
要使用 zypper 升级设备,请执行以下操作:
备份您的配置,然后创建 ESM 导出。有关详细信息,请参见《NetIQ Sentinel 7.1 管理指南》中的备份和恢复数据
。
以根用户身份登录到设备控制台。
运行以下命令:
/usr/bin/zypper patch
输入 1 以接受将供应商从 Novell 更改为 NetIQ。
输入 Y 以继续操作。
输入 yes 以接受许可证协议。
重启动 Sentinel 设备。
如果将 Sentinel 从 7.0 升级到 7.1.1 并且 Sentinel 安装在非默认位置,请以 novell 用户身份运行以下命令:
ln -s
"$RPM_INSTALLATION_PREFIX/opt/novell/sentinel/3rdparty/activemq/activemq-all-5.4.2.jar"
"$RPM_INSTALLATION_PREFIX/opt/novell/sentinel/lib/activemq-all-5.4.2.jar"
其中,$RPM_INSTALLATION_PREFIX 是 Sentinel 的安装位置。
NetIQ Corporation 将努力确保我们的产品提供高品质的解决方案,以满足企业的软件需求。目前正在研究以下问题。如果需要有关任何问题的进一步帮助,请联系技术支持。
问题: 在大于 2 TB 的系统上,Sentinel 在安装后可能无法自动启动。(BUG 846296)
解决方法: 作为一种一次性的活动,通过在 /usr/sbin/rcsentinel 中指定以下命令来手动启动 Sentinel 服务:
rcsentinel -start
问题: 在 Kerberos 模块中,当您选择启用 Kerberos 鉴定,配置 Kerberos 鉴定,并单击保存时,控制台将显示一条讯息以确认 Kerberos 客户端配置已成功。但是,未启用 Kerberos 鉴定,当您再次查看 Kerberos 模块时,启用 Kerberos 鉴定选项处于取消选择状态。(BUG 843623)
解决方法: 目前没有任何解决方法。
问题: 如果已在客户端计算机上安装了 Java 7 更新 40,Sentinel 控制中心不起动。(BUG 841921)
解决方法: 在控制面板 > 程序 > Java > 高级中,选择启用日志记录,或者升级 Java 版本。
问题: 当您对使用自定义端口的 Sentinel 安装执行完整服务器备份时,备份操作失败。(BUG 844062)
解决方法: 在 /opt/novell/sentinel/bin/backup_util.sh 文件中,将 PORT_PARAM 参数值更改为自定义 Web 服务器端口号,保存该文件,然后重新运行 backup_util.sh 脚本。
我们的目标是提供满足您的需要的文档。如果您有改进建议,请发送电子邮件至 Documentation-Feedback@netiq.com。我们会重视您的意见,欢迎您提供建议。
有关详细的联系信息,请参见支持联系信息网站。
一般的公司和产品信息请参见 NetIQ Corporate 网站。
如需与您的同行以及 NetIQ 专家进行交流,不妨积极参加 Qmunity,这是我们的社区网站,提供产品论坛、产品通知、博客和产品用户组等内容。
NetIQ Sentinel 受美国专利(专利号为 05829001)的保护。
本文档及其中所述软件按许可协议或保密协议的条款提供,并受这些条款的约束。除非在此类许可协议或保密协议中有明确规定,否则 NETIQ CORPORATION 将按“原样”提供本文档及其中所述软件,不做任何明示或暗示的保证(包括但不限于对用于具体目的的适销性或适用于的暗示保证)。美国的某些州不允许免除对某些交易的明示或暗示保证,因此本声明可能不适用于您。
为明确起见,特此声明:任何模块、适配器或其他类似的材料(统称“模块”),均根据与之相关或与之进行互操作的 NetIQ 产品或软件的相应版本按《最终用户许可协议》的条款和条件进行许可,访问、复制或使用某个“模块”,即表示您同意受此类条款的约束。如果您不同意《最终用户许可协议》的条款,则将无权使用、访问或复制“模块”,因此,您必须销毁“模块”的所有副本,并联系 NetIQ 以寻求进一步的指导。
未经 NetIQ Corporation 的事先书面许可,不得转借、销售或赠予本文档及其中所述软件,除非法律另外许可。除非在此类许可协议或保密协议中有明确规定,否则,未经 NetIQ Corporation 的事先书面同意,不得对本文档或其中所述软件中的任何部分进行复制,也不得将其储存在检索系统中,或以任何形式或任何方式(包括电子方式、机械方式等)进行传输。本文档中的某些公司、名称和数据仅用于说明,不得代表真实的公司、个人或数据。
本文档可能包含不准确的技术信息或印刷错误。此处的信息将定期进行更改。这些更改可能会纳入本文档的新版中。NetIQ Corporation 可能会随时对本文档所述软件进行改进或更改。
美国政府的有限权利:如果本软件和文档是由美国政府、代表美国政府或由美国政府的主要承包商或分包商(任何层级)根据 48 C.F.R. 227.7202-4(针对国防部 (DOD) 采购)以及 48 C.F.R. 2.101 和 12.212(针对非 DOD 采购)的规定获取的,则美国政府对本软件和文档的各方面权利(包括使用、修改、复制、发布、执行、显示或披露本软件或文档的权利),将受许可协议中规定的商业许可权利和限制的约束。
©2013 NetIQ Corporation 及其子公司。保留所有权利。
有关 NetIQ 商标的信息,请参见 http://www.netiq.com/company/legal/。