Sentinel 7.1 包含新的功能,改进了可用性,并解决了以前存在的多个问题。其中的很多改进都是直接按照我们客户提供的建议做出的。我们非常感谢您在百忙中抽时间提供宝贵的意见。我们衷心地希望您能一如既往地帮助我们确保产品满足您的一切需求。您可以在 Sentinel 社区支持论坛中发布反馈信息,这是我们的社区网站,其中还包括产品通知、博客和产品用户组。
您可以从 Sentinel 7.0 或更高版本升级到 Sentinel 7.1,或者执行全新安装。Sentinel 7.1 包含每个 Sentinel 7.0 服务包与热修复中提供的所有修复和功能。有关以前版本中的新增功能的信息,请参见 Sentinel 文档网站中的“以前的版本”部分。
要下载本产品,请参见 Novell 下载网站。有关此版本和最新发行说明的详细信息,请参见 Sentinel 文档网站。
以下部分概述了本版本提供的关键特性和功能,以及在本版本中解决的问题:
现在,Sentinel 可让您灵活地执行基于代理的数据收集。您可以决定是要使用基于代理的数据收集方法,还是要使用传统的无代理数据收集方法,具体取决于哪种方法对您的环境最有利。有关基于代理的数据收集的信息,请参见《NetIQ Sentinel 7.1 管理指南》中的配置基于代理的数据收集
。
Sentinel 7.1 利用符合联邦信息处理标准 (FIPS) 140-2 的功能,高度安全的环境能够满足美国联邦机构与客户的安全要求。现在,Sentinel 已被通用准则重新认证为 EAL3+ 等级,并提供 FIPS 140-2 Inside。有关详细信息,请参见《NetIQ Sentinel 7.1 安装和配置指南》中的在 FIPS 140-2 模式下运行 Sentinel
。
Sentinel 7.1 为 ISO 27000 系列提供解决方案包,可帮助您解决企业中与 ISO 27002 管理和安全相关的问题。此解决方案包提供基于控制的框架和各种报告,可帮助您校验您的组织是否符合 ISO/IEC 27002:2005 信息安全标准。有关此解决方案包的详细信息,请参见 Sentinel 插件网站上的“适用于 ISO 27000 系列的解决方案包”文档。
Sentinel 7.1 提供经过正式验证和测试的高可用性 (HA) 配置,更易于设置和配置。有关详细信息,请参见《NetIQ Sentinel 7.1 安装和配置指南》中的为实现高可用性配置 Sentinel
。
Sentinel 7.1 在用户界面 (UI) 方面引入了多种更改,改进了以下功能的可用性:
报告:
基于现有报告创建报告的功能: 现在,可通过以下方式创建新报告:首先选择现有报告,然后根据需要细化报告准则。
查看报告模板事件: 现在,无需安排报告即可直接查看报告模板事件。搜索结果可让您预览生成报告时会发生的情况,并可让您做进一步的调查。
在特定时区中查看报告数据: 现在,可以选择要填充报告数据的时区。此功能目前仅适用于 ISO 解决方案包报告。
详细的报告电子邮件: 报告电子邮件现在包含有关报告的详细信息。您可以查看使用的报告定义、报告结果名称、生成报告的用户、生成报告的时间,等等。
为报告分组: 随着报告数量日渐增多,管理所有报告可能变得困难重重。默认情况下,Sentinel 现在将按类别为报告分组。Sentinel 还允许您将分组更改为“无”,将所有报告和搜索列在一个标题下面。Sentinel 使用星形符号高亮显示收藏夹项目,并在每个组中先为收藏夹项目排序。
“事件列表”类型的报告: Sentinel 不再将“事件列表”类型的报告视为某种类型的报告,而是将其视为“搜索”。现在,Sentinel 允许您将搜索准则保存为搜索,使您能够重复使用该准则以交互方式执行相同的搜索,或者安排搜索将事件收集到 CSV 文件中。
构建搜索和准则:
现在,Sentinel 提供新的准则字段,并允许您通过使用“添加准则”对话框来细化准则。这些新字段取代了整个 Sentinel 控制台中以往使用的所有“过滤器”和“标记”选择字段。在“添加准则”对话框中,您可以通过使用最近用过的准则和现有的过滤器与标记来构建新准则。
当您执行搜索时,Sentinel 现在会显示搜索进度。当您针对大量的事件执行搜索时,知道进度特别有帮助。搜索进度对话框提供选项来让您干预搜索,以及只显示到目前为止收集到的结果。您还可以取消当前的搜索,对搜索查询进行细化以减少搜索结果。
如果您没有正确地指定搜索查询是否需要区分大小写,Sentinel 现在会显示相应的讯息,指出指定的搜索查询无效。
关联:
现在,您只需单击一下鼠标,Sentinel 就可让您重新部署修改的规则。在您修改规则后,Sentinel 现在会显示一条包含重新部署链接的提示。由于此项增强功能,您无需手动单击鼠标多次,就能重新部署修改的规则。
过滤器:
现在,您可以像创建搜索一样创建过滤器。现在,Sentinel 提供了相应的选项,让您通过指定过滤准则或使用现有过滤器和标记来创建过滤器。
Sentinel 不再将过滤器视为搜索,而是将其视为保存的可共享准则。您可以将此准则用作搜索的构建块,以及用来细化其他准则。
除了上列更改外,Sentinel Web 控制台中的某些元素的标题、图标和位置也发生了更改,旨在提高可用性。有关详细信息,请参见《NetIQ Sentinel 7.1 用户指南》中的相关章节。
Sentinel 7.1 的新安装包括最新版本的几个 Sentinel 插件。这些版本包含插件的最新软件修复、文档更新和增强功能。有关详细信息,请参见 Sentinel 插件网站上的特定插件文档。
Sentinel 7.1 的升级安装提供了以下插件的新版本和更新版本,以确保插件与 Sentinel 7.1 及更新版本兼容。
代理管理器连接器 2011.1r1 - 新连接器
LDAP Integrator 2011.1r1
SOAP 集成器 2011.1r1
SMTP 集成器 2011.1r1
Sentinel 核心解决方案包 2011.1r4
注:升级安装不升级单个收集器。对于 Sentinel 代理管理器,您必须升级基于主机的事件源收集器,以确保它们是兼容的。
Sentinel 7.1 包含以下增强功能:
Sentinel 7.1 已将 PostgreSQL 升级到版本 9.1.9,修复了一些安全漏洞。
如果在安装过程中现有的 UDP 内核缓冲区值小于 67108864,Sentinel 7.1 会将该值增大到 67108864。增大默认的 UDP 内核缓冲区值可减少网络丢包现象,从而可以防止丢弃事件。
关闭分区的默认宽限时间现在为 10 分钟,而不是 24 小时。缩短宽限期使您不必等到 24 小时后备份分区,同时还提供合理的时间让您将延期到达的事件加入到事件储存中。您可以根据需要更改默认值。要自定义关闭分区的宽限期,请参见《NetIQ Sentinel 7.1 管理指南》中的设置关闭事件数据分区的宽限期
。
现在,当您创建一个解决方案包时,您可以在该解决方案包中包含过滤器和搜索。有关详细信息,请参见《NetIQ Sentinel 7.1 管理指南》中的使用解决方案包
。
为了防止不必要的磁盘空间占用,并使系统更稳定,Sentinel 现在针对从连接器复制原始数据事件设置了 100,000 个原始数据事件的限制。当达到了限制数目 100,000 时,Sentinel 会自动取消选择将原始数据复制到文件选项,并停止复制原始数据。如果您要再次收集原始数据,请编辑连接器,并选择将原始数据复制到文件选项。您也可以根据需要更改默认限制。有关详细信息,请参见《NetIQ Sentinel 7.1 管理指南》中的设置原始数据限制
。
现在,ISO 设备安装程序默认包含内核固件包,为物理服务器提供硬件驱动程序。
范围映射不再限制为使用一个 NumberRange 类型的键列。现在,您可以使用一个 NumberRange 类型的键列,以及零个或多个 String 类型的其他键列。例如,您可以创建一个映射,其中列出企业中需要匹配主机名和时间范围的每台服务器的允许维护时间。有关范围映射的详细信息,请参见《NetIQ Sentinel 7.1 管理指南》中的添加数字范围映射定义
。
当 LDAP 测试连接失败时,Sentinel 现在会显示详细错误讯息,以帮助您更有效地排查问题。
现在,Sentinel 设备配置页包含将 Sentinel 设备安装到硬盘(仅适用于 Live DVD 映像)复选框,可以自动运行 yast2 live-installer 命令将 ISO 设备安装在物理服务器上。在安装过程中,您再也不必运行 yast2 live-installer 命令。默认情况下选中此复选框。如果取消选中此复选框,设备将不会安装在物理服务器上,并且只会以 LIVE DVD 模式运行。如果您决定将 LIVE DVD 模式的设备安装到硬盘,仍可以运行 yast2 live-installer 命令。
Sentinel 7.1 针对以下问题提供了软件修复。有关以前版本中的软件修复和增强功能的列表,请参见 Sentinel 7.1 文档网站。
问题: Sentinel 多次记录了 TimerThreadPool 异常,并且如果 appuser 口令包含下列任一特殊字符,iTRAC 将无法正常工作:“+”、“\”、“#”或“,”。(BUG 717679)
修复程序: Sentinel 现在允许使用包含特殊字符的口令。
问题: 如果 JDBC 连接 URL 包含特殊字符,iTRAC 将无法连接到数据库。(BUG 570933)
修复程序: 现在,即使 JDBC 连接 URL 包含特殊字符,iTRAC 也能成功连接到数据库。
问题: 在某些情况下,当 Sentinel 服务器关闭,或者从远程收集器管理器到服务器的链接断开时,远程收集器管理器将无法超速缓存生成的事件。(BUG 787716)
修复程序: 现在,远程收集器管理器可以在不影响数据收集的情况下超速缓存事件。
问题: 如果同一个单词多次出现在事件字段的过滤准则中,则过滤器将不在仪表板中显示事件。(BUG 795825)
修复程序: 现在,即使同一个单词多次出现在过滤准则中,过滤器也在仪表板中显示相关事件。
问题: 细化面板中的值区分大小写,而实际搜索功能不区分大小写。因此,Sentinel 将每个事件字段视为值相同的唯一字段(区分大小写时除外),并在细化面板中显示错误的结果。(BUG 788584)
修复程序: 现在,Sentinel 可以合并忽略大小写的事件字段值,并在细化面板中显示事件字段的整合结果。
问题: 在事件视图中,当您单击调查并选择任意选项以查看某个事件 (Incident) 的事件 (Event) 时,会导致搜索查询无效,并且不会显示该事件 (Incident) 的事件 (Event)。(BUG 782336)
修复程序: 现在,Sentinel 将显示事件 (Incident) 的相关事件 (Event)。
问题: 除非客户设置的变量是使用 setmemory.sh 脚本设置的,否则该脚本无法导出此类变量。(BUG 760106)
修复程序: Sentinel 现在可以导出客户设置的变量。
问题: 当您卸装 Sentinel 或任何 Sentinel 部件时,卸装脚本会卸装系统中的其他 Novell 产品。在极少数情况下,当找不到 Sentinel 产品清单文件,或者未完全安装或升级 Sentinel 或其部件时,会出现此问题。(BUG 779756)
修复程序: 在卸装 Sentinel 或其任何部件时,卸装脚本不再卸装其他 Novell 产品。
问题: 当您从收集器包提取报告后,尝试为其他 Sentinel 平台上载该报告时,该报告无法导入。但是,错误讯息将记录到错误日志中。(BUG 803629)
修复程序: 现在,Sentinel 将显示一条讯息,指示您选择上载的插件不是受支持的类型。
问题: 当您通过 iTRAC 工作流程模板执行事件 (Incident) 命令时,附件中的 XML 文件不包含事件 (Incident) 细节,以及已添加到事件 (Incident) 中的事件 (Event)。(BUG 796615)
修复程序: 现在,XML 文件包含事件 (Incident) 细节,以及已添加到事件 (Incident) 中的事件 (Event)。
问题: 对于名称较长的关联规则,Sentinel 将多次显示单个规则的已部署状态图标,因为该规则在关联面板中跨越多行。(BUG 808801)
修复程序: 现在,即使关联规则跨越多行,Sentinel 也只会显示该规则的一个图标。
有关硬件要求、支持的操作系统和浏览器的信息,请参见《NetIQ Sentinel 7.1 安装和配置指南》中的了解系统要求
。
要安装 Sentinel 7.1,请参见《NetIQ Sentinel 7.1 安装和配置指南》。
您可以从 Sentinel 7.0 或更高版本升级到 Sentinel 7.1。要升级到 Sentinel 7.1,请参见《NetIQ Sentinel 7.1 安装和配置指南》中的升级 Sentinel
。
NetIQ Corporation 将努力确保我们的产品提供高品质的解决方案,以满足企业的软件需求。以下问题目前正在研究中。如果需要有关任何问题的进一步帮助,请联系技术支持。
有关以前版本的 Sentinel 中的已知问题列表,请参见 Sentinel 7.1 文档网站中的“以前版本”部分。
问题: 在安装远程收集器管理器时,如果您指定的口令包含特殊字符(如“$”、“"”、“\”或“/”),则安装将无法继续,并导致错误。(BUG 812111)
解决方法: 不要在远程收集器管理器口令中使用特殊字符。
问题: 当您重启动远程收集器管理器设备时,UDP 端口上连接的 Syslog 事件源将丢失连接。(BUG 795057)
解决方法: 在发布本文档时没有可用的解决方法。
问题: 当您在 Identity Manager 中创建用户时,Sentinel 不会在人员选项卡中填充用户身份信息。之所以出现此问题,是因为 Driver for Sentinel 与 Sentinel 7.1 不兼容。(BUG 803725)
解决方法: 在发布本文档时没有可用的修复或解决方法。可解决此问题的驱动程序更新版本很快将在 Novell 下载网站上提供。如果需要在您的环境中使用 Driver for Sentinel,请在安装 Sentinel 7.1 之前,校验驱动程序更新的可用性。
问题: 如果未选择始终信任来自此发布者的内容,Sentinel 控制中心将不起动,并显示证书验证失败错误。(BUG 786572)
解决方法: 出现此错误的原因是,Java 7 中的某些设置已禁用。要启用这些设置,请执行以下操作:
起动 Java 控制面板 (jcontrol)。
单击高级,然后启用以下设置:
检查要撤消的发布者证书
启用联机证书验证
起动 Sentinel 控制中心。它可能会提示您安装 concurrent.jar 文件。
单击安装以安装该文件。
问题: 当您针对大量(例如 200 个以上)的事件执行“记录到 Syslog”操作时,Sentinel 只对前 25 个事件执行该操作,然后停止执行并发生 IO 异常。(BUG 807446)
修复程序: Syslog 集成器版本 2011.1r1 及更高版本可以解决此问题。但是,在发布本文档时尚未发布 2011.1r1 版本。您可以从 Sentinel 预发布插件网站下载集成器的预发布版本。
问题: 当您等待一个报告结果 PDF(具体而言,100 万个事件的报告结果)打开时,如果单击另一个报告结果 PDF 进行查看,则不会显示报告结果。(BUG 804683)
解决方法: 再次单击第二个报告结果 PDF 即可查看报告结果。
问题: 在 Sentinel 环境中启用了 FIPS 模式时,如果对代理管理器使用 Windows 鉴定,将导致与代理管理器数据库进行的同步失败。(BUG 814452)
解决方法: 在 Sentinel 环境中启用了 FIPS 模式时,对代理管理器使用 SQL 鉴定。
问题: 为 Sentinel 服务器上的 Linux 操作系统(RHEL 或 SLES)启用了 FIPS 时,Sentinel 中的通用因特网文件系统 (CIFS) 储存功能将会失败。(BUG 793720)
这是 Linux 内核中的已知问题:如果为操作系统启用 FIPS,则装入 CIFS 共享将会失败。有关详细信息,请参见:
解决方法: 在发布本文档时没有可用的修复或解决方法。
问题: 部署在非 FIPS 远程收集器管理器(已连接到处于 FIPS 模式的 Sentinel 服务器)上的审计连接器的数据收集失败。(BUG 809425)
解决方法: 审计连接器版本 2011.1r2 及更高版本可以解决此问题。但是,在发布本文档时尚未发布 2011.1r2 版本。您可以从 Sentinel 预发布插件网站下载连接器的预发布版本。
问题: 当您在处于 FIPS 模式的 Sentinel 服务器上使用 SCP 或 CIFS 作为文件事件源时,文件连接器将无法正常工作。(BUG 808343)
解决方法: 文件连接器版本 2011.1r2 及更高版本可以解决此问题。但是,如果 SCP 为文件事件源,则此连接器只有在部署到非 FIPS 远程收集器管理器中时才能正常工作。在发布本文档时尚未发布 2011.1r2 版本。您可以从 Sentinel 预发布插件网站下载此连接器的预发布版本。
问题: 在 Internet Explorer 8 及更高版本中,某些 Sentinel 应用程序映像未显示在 Web 界面的某些部分(例如左侧导航面板、“收集”页、“应用程序”页等)中。(BUG 785361)
修复程序: 这是 Microsoft Internet Explorer 8 及更高版本中的已知问题。要修复此问题,请执行 Winhelponline.com 中提到的步骤,或者与 Microsoft 技术支持联系。
问题: 在使用 Internet Explorer 8 作为浏览器的 Windows Server 2003 SP2 64 位和 Windows XP SP3 64 位操作系统中,无法起动 Sentinel Web 界面。(BUG 786822)
修复程序: 出现此问题的原因是,Sentinel 对 Web 服务器证书使用了 SHA256RSA 签名算法。某些版本的 Windows 操作系统无法识别签名算法为 SHA256RSA 的 Web 服务器证书。要修复此问题,必须使用 Microsoft 提供的热修复来升级操作系统。有关详细信息,请参见 Microsoft 支持网站。
问题: 在 Internet Explorer 10 中,Web 界面中的某些图标显示不正确。(BUG 815252)
解决方法: 这是个别问题。每当发生这种情况时,请按如下所示设置默认浏览器设置:
按 F12。
将浏览器模式设置为“IE 10”。
将文档模式设置为“标准”。
问题: 如果启用了 FIPS 模式,则 Sentinel 高可用性安装显示 Sentinel 服务器 configuration.properties 文件不正确。请检查配置文件,然后重新运行 convert_to_fips.sh 脚本,以在 Sentinel 服务器中启用 FIPS 模式错误。但是,此安装将成功完成。(BUG 817828)
解决方法: 在发布本文档时没有可用的修复或解决方法。虽然安装程序会显示错误,但 Sentinel 高可用性配置将在 FIPS 模式下成功地正常工作。
问题: 如果处于高可用性模式的目标 Sentinel 服务器在添加为目标时,迁移到不是正在运行 Sentinel 的高可用性群集节点,则分布式搜索将失败。(BUG 816719)
解决方法: 将目标服务器 IP 地址更改为处于高可用性模式的 Sentinel 服务器的通用群集 IP 地址。
问题: 当您在高可用性模式下执行 Sentinel 的无提示安装并且启用了 FIPS 模式时,安装程序不检查是否有所需的 NSS 包。(BUG 815941)
解决方法: 在开始安装之前,确保系统上有所需的 NSS 包。
问题: 在非 FIPS 模式下进行 Sentinel 高可用性安装显示 /opt/novell/sentinel/setup/configure.sh:行 1045:[:参数太多错误两次。但是,此安装将成功完成。(BUG 810764)
解决方法: 在发布本文档时没有可用的修复或解决方法。虽然安装程序会显示错误,但 Sentinel 高可用性配置将在非 FIPS 模式下成功地正常工作。
问题: 事件源管理和 Sentinel Web 控制台中的帮助菜单显示 HTTP 404 错误,并且未起动 Sentinel 文档网站。(BUG 814138)
解决方法: 要查看最新的 Sentinel 文档,请访问 Sentinel 7.1 文档网站。
问题: 将 Xen 设备升级到 Sentinel 7.1 后,如果您重命名仪表板,然后删除该重命名的仪表板,则 Sentinel 将显示错误。但是,Sentinel 将成功地删除仪表板。(BUG 816542)
解决方法: 在发布本文档时尚没有解决方法。
我们的目标是提供满足您的需要的文档。如果您有改进建议,请发送电子邮件至 Documentation-Feedback@netiq.com。我们会重视您的意见,欢迎您提供建议。
有关详细的联系信息,请参见支持联系信息网站。
一般的公司和产品信息请参见 NetIQ Corporate 网站。
如需与您的同行以及 NetIQ 专家进行交流,不妨积极参与 NetIQ 论坛,这是我们的社区网站,提供产品论坛、产品通知、博客和产品用户组等内容。
NetIQ Sentinel 受美国专利号 05829001 保护。
本文档及其中所述软件按许可协议或保密协议的条款提供,并受这些条款的约束。除非在此类许可协议或保密协议中有明确规定,否则 NETIQ CORPORATION 将按“原样”提供本文档及其中所述软件,不做任何明示或暗示的保证(包括但不限于对用于具体目的的适销性或适用于的暗示保证)。美国的某些州不允许免除对某些交易的明示或暗示保证,因此本声明可能不适用于您。
为明确起见,特此声明:任何模块、适配器或其他类似的材料(统称“模块”),均根据与之相关或与之进行互操作的 NetIQ 产品或软件的相应版本按《最终用户许可协议》的条款和条件进行许可,访问、复制或使用某个“模块”,即表示您同意受此类条款的约束。如果您不同意《最终用户许可协议》的条款,则将无权使用、访问或复制“模块”,因此,您必须销毁“模块”的所有副本,并联系 NetIQ 以寻求进一步的指导。
未经 NetIQ Corporation 的事先书面许可,不得转借、销售或赠予本文档及其中所述软件,除非法律另外许可。除非在此类许可协议或保密协议中有明确规定,否则,未经 NetIQ Corporation 的事先书面同意,不得对本文档或其中所述软件中的任何部分进行复制,也不得将其储存在检索系统中,或以任何形式或任何方式(包括电子方式、机械方式等)进行传输。本文档中的某些公司、名称和数据仅用于说明,不得代表真实的公司、个人或数据。
本文档可能包含不准确的技术信息或印刷错误。此处的信息将定期进行更改。这些更改可能会纳入本文档的新版中。NetIQ Corporation 可能会随时对本文档所述软件进行改进或更改。
美国政府的有限权利:如果本软件和文档是由美国政府、代表美国政府或由美国政府的主要承包商或分包商(任何层级)根据 48 C.F.R. 227.7202-4(针对国防部 (DOD) 采购)以及 48 C.F.R. 2.101 和 12.212(针对非 DOD 采购)的规定获取的,则美国政府对本软件和文档的各方面权利(包括使用、修改、复制、发布、执行、显示或披露本软件或文档的权利),将受许可协议中规定的商业许可权利和限制的约束。
©2013 NetIQ Corporation 及其子公司。保留所有权利。
有关 NetIQ 商标的信息,请参见 http://www.netiq.com/company/legal/。