Sentinel 7.2.2 包含新的功能,改进了可用性,并解决了多个问题。
其中的很多改进都是直接按照我们客户提供的建议做出的。我们非常感谢您在百忙中抽时间提供宝贵的意见。我们衷心地希望您能一如既往地帮助我们确保产品满足您的一切需求。您可以在 NetIQ 社区(我们的在线社区,其中还包括产品信息、博客以及指向有用资源的链接)中的 Sentinel 论坛上张贴反馈。
NetIQ 网站上提供了本产品 HTML 和 PDF 格式的文档,您无需登录即可访问该文档网页。如果您对文档改进有任何建议,请单击张贴在 Sentinel NetIQ 文档页 HTML 版本文档的任一页底部的评论该主题。要下载该产品,请参见 Sentinel 产品升级网站。
只有在升级 Sentinel 安装而不是进行新安装时才能使用 Sentinel 7.2.2。您可以从 Sentinel 7.0 或后续版本升级到 Sentinel 7.2.2。
以下部分概述了此版本提供的关键特性和功能,以及在此版本中解决的问题:
Sentinel 7.2.2 包括对 Microsoft Internet Explorer Web 浏览器 11 版本的支持。
Sentinel 7.2.2 包括 Java 7 update 72,该更新包括几个安全漏洞的修复。
Sentinel 7.2.2 添加了对生成 .csv 格式的 Sentinel Reports 的支持。
要生成 .csv 格式的报告:
请在 /etc/opt/novell/sentinel/config/obj-component.JasperReportingComponent.properties 文件中编辑以下条目,如下所示:
reporting.csv.enable=true
reporting.csv.outputdir=<必须储存报告的目录>
您指定的目录必须拥有 novell 许可权限。
重启动 Sentinel。
在生成报告时,此报告以 .csv 的格式储存在指定为 reporting.csv.outputdir 属性的文件夹中。
现在 Sentinel 设备包括有助于数据同步活动的同步实用程序。
Sentinel 7.2.2 改进了系统的整体性能,同时也提高了系统在高事件负载情况下的稳定性。
Sentinel 7.2.2 包括用于解决以前几个问题的软件修复。
有关以前版本中的软件修复和增强功能的列表,请参阅以前版本。
问题: 在 iTRAC 中创建工作流程时,如果电子邮件中包含双引号 (“ ”),则 Sentinel 显示错误。(BUG 880401)
修复: Sentinel 7.2.2 修改了 iTRAC 中的电子邮件规则允许电子邮件中出现双引号。
问题: 在 iTRAC 中创建工作流程时,如果电子邮件中包含新行字符,则 Sentinel 显示错误。(BUG 452424)
修复: Sentinel 7.2.2 修改了 iTRAC 中的电子邮件规则允许电子邮件中出现新行字符。
问题: SSL 3.0 中存在的漏洞可能允许计算安全连接的纯文本。有关详细信息,请参见 CVE-2014-3566。(BUG 901536 和 BUG 901493)
修复: Sentinel 7.2.2 修复了以下端口的漏洞:
10013
61616
8443
现在开放端口只能使用 TLS 协议。Sentinel 7.2.2 禁用所有 SSL 2.0 和 SSL 3.0 协议,以及这些端口上的加密法。
问题: 如果禁用任何用户,则不正确的验证检查会阻止您创建新用户。在创建新用户时,Sentinel 显示以下错误:
SEN-30005::A database user with the name:<new_user> already exists. Please use a different user name.
(BUG 799946)
修复: 现在,甚至在禁用任何用户的情况下,您也可以创建新用户。
问题: 对 Sentinel 插件配置参数的验证检查不足,这允许鉴定的用户触发已插入参数的代码执行。(BUG 894622)
修复: Sentinel 7.2.2 适当地验证参数。
问题: 数据同步以十六进制而不是可读的格式将 SourceIP、TargetIP 和其他 IP 地址字段填充到外部数据库。(BUG 887969)
修复: 默认情况下,出于效率原因,Sentinel 以十六进制格式填充 IP 地址字段。通过执行以下步骤,您可以选择自动以可读的点表示法填充 IP 地址字段:
以 novell 用户身份登录 Sentinel 服务器。
打开 /etc/opt/novell/sentinel/config/configuration.properties 文件。
将 datasync.saveIPinDottedNotation 属性设置为 true。
重新启动 Sentinel 服务器。
注:要暂挂 IPv6 格式的 IP 地址,目标数据库必须拥有可以暂挂长达 39 个字节字符串的目标字段。
问题: 在用户验证原始数据文件的完整性或从 Web UI 下载原始数据文件时,Sentinel 不会创建内部审计事件。(BUG 897097)
修复: 在用户验证原始数据文件的完整性时,Sentinel 会创建以下审计事件:
如果完整性验证通过,则创建 VerifyRawDataFileIntegrity 审计事件。
如果完整性验证失败,则创建 VerifyRawDataFileIntegrity-*-Failed 事件。
在用户下载原始数据文件时,则创建 DownloadRawDataFiles 审计事件。
问题: 在具有多个收集器管理器的 Sentinel 环境中,收集器管理器缓存事件,因为来自于收集器管理器的延迟计算效率不高。在具有多个收集器管理器的 Sentinel 环境中,这会造成性能和稳定性问题。(BUG 903306)
修复: Sentinel 7.2.2 改进了延迟计算机制,提高了 Sentinel 的性能。
问题: 在升级到 Sentinel 7.2 的系统中,SessionType 字段在可用事件列表和提示表中不可用。(BUG 891922)
修复: 现在 SessionType 字段在升级到 Sentinel 7.2 的系统中可用。
问题: 一些默认的 RDD 策略没有一套保留期值,从而防止删除表中与数据同步策略相关联的条目。其结果是,该表的大小继续增加,并占用磁盘空间。(BUG 894562)
修复: 默认情况下,将所有 RDD 策略中的保留期值设置为 30 天。但是,您可以更改保留期值。
要更改保留期值,请执行以下操作:
以 novell 用户身份登录 Sentinel 服务器。
打开 /etc/opt/novell/sentinel/config/configuration.properties 文件。
添加 default.global.datasync.retentionperiod 属性,并将其设置为必需值。
重新启动 Sentinel 服务器。
问题: 在将 Sentinel 7.1.1 或较早版本升级至 Sentinel 7.1.2 或后续版本时,默认情况下触发安全智能 (SI) 数据迁移。这可能导致迁移出现问题。(BUG 899374)
修复: 现在,Sentinel 默认禁用 SI 数据迁移。如果您选择启用此功能,请执行 部分 3.1, 后升级配置 中指定的过程。
问题: 当排队等候关联和活动视图的事件已满达 99% 时,即使关联引擎已经停止,Sentinel 性能仍会下降。即使较少的事件发送至 Sentinel 服务器时,这也会发生。例如,即使关联引擎停止,不到 1500 个 EPS 也会填满队列。(BUG 907943)
修复: Sentinel 7.2.2 提高了事件处理组件的性能,如储存、关联和活动视图。
问题: SI 仪表板占用大量内存,导致 Sentinel 服务器停机。(BUG 906615)
修复: 通过改进 SI 处理机制,Sentinel 7.2.2 修复了此问题。
问题: 您无法在 Sentinel HA 环境中执行分布式搜索。在您配置分布式搜索,并将 Sentinel HA 群集指定为目标时,Sentinel 触发异常。(BUG 907376)
修复: Sentinel 7.2.2 更新了 Sentinel HA 环境中的分布式搜索。
问题: Sentinel 插件中一些方法的文档不提供使用 Sentinel 插件 REST API 的方式。(BUG 892361)
修复: Sentinel 插件文档包括如何使用 REST API 执行各种操作的示例。
有关硬件要求、支持的操作系统和浏览器的信息,请参见《NetIQ Sentinel 安装和配置指南》中的满足系统要求。
您可以从 Sentinel 7.0 或后续版本升级到 Sentinel 7.2.2。
从 NetIQ 下载网站下载 Sentinel 安装程序。有关升级到 Sentinel 7.2.2 的信息,请参见https://www.netiq.com/documentation/sentinel72/s721_install/data/byve9ey.html《NetIQ Sentinel 安装和配置指南》中的升级 Sentinel。
如果您正在从 Sentinel 7.1.1 或较早版本升级,默认情况下,安装程序不会迁移安全智能 (SI) 数据。
要手动将 Sentinel 7.1.1 或较早版本中的 SI 数据迁移至 Sentinel 7.2.2,请完成以下步骤:
以 novell 用户身份登录 Sentinel 服务器。
打开 /etc/opt/novell/sentinel/config/server.xml 文件。
在 BaseliningRuntime 组件部分中添加以下属性:
<property name="baselining.migration.check">true</property>
重新启动 Sentinel 服务器。
如果 SI 数据较大,则迁移可能需要很长时间。
嵌入式 PostgreSQL 数据库的 Sentinel 7.0.3.1 及其更早版本。如果您从 Sentinel 7.0.3.1 或其更早版本升级,PostgreSQL 数据库将经历主要升级。嵌入式 PostgreSQL 数据库的主要升级过程将创建只在升级过程失败时有用的备份文件。因此,在成功升级后,您应该清理这些文件以回收它们占据的磁盘空间。有关清理旧 PostgreSQL 文件的更多信息,请参见https://www.netiq.com/documentation/sentinel72/s721_install/data/byve9ey.html《NetIQ Sentinel 安装和配置指南》中的升级 Sentinel。
在将安全配置管理器 (SCM) 配置为发送合规性信息到 Sentinel 时,SCM 管理员可以通过以下两种方法对其进行配置:
将合规性信息作为事件进行发送。
将合规性信息作为事件进行发送,随附挂接报告。
如果 SCM 管理员配置为将合规性信息作为带有挂接的事件进行发送,您可以从 SCM 接收合规性信息,而无需在 Sentinel 中执行任何配置。只有在 SCM 管理员必须配置为将合规性信息作为事件进行发送的情况下,才可以执行来自《NetIQ Sentinel 管理指南》的“安全配置管理器”合规性细节
中所指定的配置过程。
NetIQ Corporation 将努力确保我们的产品提供高品质的解决方案,以满足企业的软件需求。以下问题目前正在研究中。如果需要有关任何问题的进一步帮助,请联系技术支持。
问题: 在从 Sentinel 7.2 升级至 Sentinel 7.2.1 或 7.2.2 后,在升级前就创建并安排的搜索不显示事件字段。(BUG 900293)
解决方法: 在升级 Sentinel 后,您必须重创建并重安排这些您在升级之前创建并安排的搜索。
问题: 在 Sentinel HA 中,/etc/hosts 文件包含带有主机名的回写 IP 地址 (127.0.0.2),这导致同步问题。(BUG 906920)
解决方法: 在 /etc/hosts 文件中去除回写 IP 地址 (127.0.0.2)。
问题: 当您查看更改保护事件,并单击“更改保护”图标以查看报告时,Sentinel 提示您使用 Sentinel 身份凭证重新登录。(BUG 896816)
解决方法: 目前没有任何解决方法。
问题: 默认情况下,当安装 Sentinel 设备时,网络接口为未配置。(BUG 867013)
解决方法: 配置网络接口步骤:
在网络配置页面,单击网络接口。
选择网络接口并单击编辑。
选择动态地址,然后选择 DHCP 或静态分配 IP 地址。
单击下一步,然后单击确定。
问题: 当在 Sentinel 中导出搜索结果时,如果您修改操作系统语言设置,Web 浏览器可能显示一则错误信息。(BUG 834874)
解决方法: 若要正确导出搜索结果,请执行任一下列操作:
当导出搜索结果时,去除导出文件名中的任何特殊字符(ASCII 字符除外)。
启用操作系统语言设置中的 UTF-8,重启计算机,然后重启 Sentinel 服务器。
问题: 当您使用端口转发或者目标网络地址转换 (DNAT) 起动 Sentinel Web 控制台时,Sentinel Web 控制台会显示一个空网页。(BUG 694732)
解决方法: 不使用端口转发或者目标网络地址转换 (DNAT) 的方式起动 Sentinel Web 控制台。
问题: 当您创建或重新生成一条安全智能基线时,Sentinel 将成功创建基线,但显示一则错误讯息。(BUG 848067)
解决方法: 请忽略该错误讯息。创建基线可能需要几分钟时间。
问题: 如果辅助存储器能够存储数据的天数小于主存储器能够存储数据的天数,Sentinel 不会有效利用主存储器磁盘空间。为释放空间而从辅助存储器中删除的分区也会从主存储器器中移除。(BUG 860888)
解决方法: 为辅助存储器分配足够多的空间来存放您想在线保持的数据的总天数(可被搜索的)。
有关更多信息,请参见《NetIQ Sentinel 管理指南》中的事件数据
。
问题: 在大于 2 TB 磁盘空间的系统上,Sentinel 在安装后可能无法自动启动。(BUG 846296)
解决方法: 作为一种一次性的活动,通过在 /usr/sbin/rcsentinel 中指定以下命令来手动启动 Sentinel 服务:
rcsentinel -start
问题: 如果您在 Kerberos 模块中配置 Kerberos 鉴定,控制台显示一条成功配置 Kerberos 客户端的配置讯息。但是,在您重新查看 Kerberos 模块时,取消选择“启用 Kerberos 鉴定”选项。(BUG 843623)
解决方法: 目前没有任何解决方法。
问题: 在安装远程收集器管理器时,如果您指定的口令包含特殊字符(如“$”、“"”、“\”或“/”),则安装将出现错误。(BUG 812111)
解决方法: 不要在远程收集器管理器口令中使用特殊字符。
问题: 当您重启动远程收集器管理器设备时,UDP 端口上连接的 Syslog 事件源将丢失连接。(BUG 795057)
解决方法: 目前没有任何可用的解决方法。
问题: 当您等待一个报告结果 PDF(具体而言,100 万个事件的报告结果)打开时,如果单击另一个报告结果 PDF 进行查看,则不会显示报告结果。(BUG 804683)
解决方法: 再次单击第二个报告结果 PDF 即可查看报告结果。
问题: 在 Sentinel 环境中启用了 FIPS 模式时,如果对 Agent Manager 使用 Windows 鉴定,将导致与 Agent Manager 数据库进行的同步失败。(BUG 814452)
解决方法: 在 Sentinel 环境中启用了 FIPS 模式时,对 Agent Manager 使用 SQL 鉴定。
问题: 如果启用 FIPS 模式,Sentinel 高可用性安装显示以下错误:
Sentinel 服务器 configuration.properties 文件不正确。请检查配置文件,然后重新运行 convert_to_fips.sh 脚本,以在 Sentinel 服务器中启用 FIPS 模式。
但是,此安装将成功完成。(BUG 817828)
解决方法: 目前没有任何可用的修复或解决方法。虽然安装程序会显示错误,但 Sentinel 高可用性配置将在 FIPS 模式下成功地正常工作。
问题: 在非 FIPS 模式下成功完成了 Sentinel 高可用性安装,但会显示两次以下错误:
/opt/novell/sentinel/setup/configure.sh: line 1045: [:自变量过多
(BUG 810764)
解决方法: 目前没有任何可用的修复或解决方法。虽然安装程序会显示错误,但 Sentinel 高可用性配置将在非 FIPS 模式下成功地正常工作。
问题: 从 Sentinel 7.2 以前的版本进行设备更新失败,因为更新程序包的供应商已从 Novell 更改为 NetIQ。(BUG 780969)
解决方法: 使用 zypper 命令更新设备。有关详细信息,请参见《NetIQ Sentinel 安装和配置指南》中的使用 zypper 升级设备。
问题: 如果在口令中指定了 $ 字符,则 Sentinel 会以不同的方式将口令储存在数据库中,具体视 $ 在口令中的位置而定。如果口令以特殊字符 $ 开头,则 Sentinel 会使用文件名储存口令。如果字符 $ 位于该口令中间的某个位置,则 Sentinel 会在字符 $ 所在的位置将口令截断。(BUG 734500)
解决方法: 实际口令储存在 home/novell/.pgpass 文件中。从此文件中获取口令,然后登录到 Sentinel。例如,如果已将口令指定为 abc$123,则 Sentinel 会以 abc 的形式将口令储存在 .pgpass 文件中。您可以通过将 abc 指定为口令登录到 Sentinel。
问题: 当系统上已存在同名的关联规则时,解决方案管理器不会安装关联规则。控制台中会记录 NullPointerException 错误。(BUG 713962)
解决方法: 确保所有关联规则具有唯一名称。
问题: 当您从 Web 控制台中执行 Sentinel Link 操作时,即使从 Sentinel 控制中心进行的 Sentinel Link 连接器集成器测试失败,Sentinel 也会显示一条成功讯息。(BUG 710305)
解决方法: 目前没有任何解决方法。
问题: 当安全智能仪表板和异常定义具有相同的名称时,“异常细节”页面上将会禁用仪表板链接。(BUG 715986)
解决方法: 在创建仪表板和异常定义时,确保使用唯一的名称。
问题: 当 Sentinel Web 控制台的计算机时钟比 Sentinel 服务器时钟慢时,Sentinel Web 控制台会在活动搜索作业的“持续时间”和“已接受”列中显示负数。例如,当 Sentinel Web 控制台时钟设置为 1:30 PM,而 Sentinel 服务器时钟设置为 2:30 PM 时,“持续时间”和“已接受”列便会显示负数。(BUG 719875)
解决方法: 确保您用于访问 Sentinel Web 控制台的计算机上的时间与 Sentinel 服务器计算机上的时间相同或快于该时间。
问题: 当您登录到安全性仪表板并进行 IssueSAMLToken 审计事件的搜索操作时,IssueSAMLToken 审计事件将显示错误的主机名 (InitiatorUserName) 或(IP 地址)SourceIP。(BUG 870609)
解决方法: 目前没有任何解决方法。
问题: Sentinel Web 控制台中的事件源选项卡将远程收集器管理器运行状态不正确地显示为警告。(BUG 895343)
解决方法: 在常规信息部分中,检查远程收集器管理器的延迟持续时间。如果延迟不到五秒钟,则可以忽略此警告状态。
问题: 您不能导出带有 50,000 个事件以上的分布式搜索结果。(BUG 863985)
解决方法: 目前没有任何解决方法。
问题: 当 NetIQ Identity Manager Designer 安装在客户端计算机上并且 Designer 使用系统 JRE 时,Sentinel 控制中心不起动。Designer 需要将一些支持的 jar 文件(如 xml-apis.jar)添加到 lib/endorsed 目录。xml-apis.jar 文件中的一些类将覆盖 Sentinel 控制中心所使用的系统 JRE 中的相应类。(BUG 888085)
解决方法: 将 Designer 配置为使用它自己的 JRE。
问题: Sentinel 7.2.1 包含 Oracle Java 1.7 update 65,它含有一个关于 FIPS 模式下 RSA 客户端密钥交换的已知问题。有关更多信息,请参见 Java SE 开发包 7,Update 51 发行说明。当 Sentinel 运行于 FIPS 模式下,并试图接收来自安全性管理器以及 Sentinel Agent Manager 等客户端的连接时,这将引起连接错误。(BUG 872305)
解决方法: 为了成功建立 FIPS 兼容模式下的 SSL 连接,将所有 Sentinel 服务器上的 Java 版本降级至 Java 7 update 45(该版本无密钥交换问题)。
有关更多信息,请参见 NetIQ 支持知识库中 TID 7014980 的说明。
注:为了成功建立 Sentinel Agent Manager 和运行于 FIPS 模式的 Sentinel 之间的连接,请确保安装或升级到 Sentinel Agent Manager 连接器 2011.1r3。若要下载 Sentinel Agent Manager 连接器,请参见 Sentinel 插件网站。
问题: 如果来自网络设备的网络流数据不包含包信息,Sentinel Web 控制台中的网络流图表显示为空。(BUG 875055)
解决方法: 配置网络设备以使其能发送这三个计数器:字节、流和包。关于配置网络设备,请参见相关网络设备文档。
问题: 讯息队列服务 (mqsvc.exe) 占用 Sentinel Agent Manager 中的中心计算机的大量内存。Microsoft 讯息队列 (MSMQ) 不进行远程事务读取之后的清理操作。有关该问题的更多信息,请参见 http://support.microsoft.com/kb/2566230。(BUG 869980)
解决方法: 确保 mqsvc.exe 不占用大量内存,请执行以下操作:
应用来自 Microsoft 网站的最新 Microsoft 讯息队列 (MSMQ) 的热修复。
与 MSMQ 日志大小的增长量成比例地增加总体内存。
问题: Agent Manager 使用证书进行中心计算机和代理之间的鉴定。当升级 Windows 操作系统时,Microsoft Windows 中的一个已知问题删除一些证书,防止 Agent Manager 在升级后进行重启动。(BUG 847891)
解决方法: 在升级 Windows 之前,通过执行以下步骤,备份 Agent Manager 系统证书,并在升级 Windows 之后将其恢复:
导出注册表项:
以管理员身份打开命令提示符,并输入命令打开注册表。
在注册表编辑器中,展开 HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>SystemCertificates。
在 SystemCertificates 下面,右键单击 NetIQ 安全性管理器文件夹,并选择导出。保存注册表项为 .reg文件。
备份 .reg文件。
(有条件)如果您改变了 SAM 证书安装的默认位置,请从自定义位置备份证书。
(有条件)如果您为中心计算机和代理之间的鉴定安装了任何自定义证书,请备份自定义证书。
进行 Windows 升级。
双击生成的 .reg文件,将证书步骤 1导入注册表。
重启 Agent Manager 服务。
问题: 在收集事件数据时,Agent Manager 不会截获带有 Null 值的 Windows 插入字符串字段。(BUG 838825)
解决方法: 目前没有任何解决方法。
我们的目标是提供满足您的需要的文档。如果您有改进建议,请发送电子邮件至 Documentation-Feedback@netiq.com。我们会重视您的意见,欢迎您提供建议。
有关详细的联系信息,请参见支持联系信息网站。
一般的公司和产品信息请参见 NetIQ Corporate 网站。
如需与您的同行以及 NetIQ 专家进行交流,不妨成为我们社区的活跃成员。NetIQ 在线社区会提供产品信息以及有用资源、博客和社交媒体渠道的实用链接。
NetIQ Sentinel 受美国专利(专利号为 05829001)的保护。
本文档及其中所述软件按许可证协议或保密协议的条款提供,并受这些条款的约束。除非在此类许可证协议或保密协议中有明确规定,否则 NETIQ CORPORATION 将按“原样”提供本文档及其中所述软件,不做任何明示或暗示的保证(包括但不限于对用于具体目的的适销性或适用于的暗示保证)。美国的某些州不允许免除对某些交易的明示或暗示保证,因此本声明可能不适用于您。
为明确起见,特此声明:任何模块、适配器或其他类似的材料(统称“模块”),均根据与之相关或与之进行互操作的相应版本 NetIQ 产品或软件的《最终用户许可协议》的条款与条件进行许可,访问、复制或使用某个“模块”,即表示您同意受此类条款的约束。如果您不同意《最终用户许可证协议》的条款,则将无权使用、访问或复制“模块”,因此,您必须销毁“模块”的所有副本,并联系 NetIQ 以寻求进一步的指导。
未经 NetIQ Corporation 的事先书面许可,不得转借、销售或赠予本文档及其中所述软件,除非法律另外许可。除非在此类许可证协议或保密协议中有明确规定,否则,未经 NetIQ Corporation 的事先书面同意,不得对本文档或其中所述软件中的任何部分进行复制,也不得将其储存在检索系统中,或以任何形式或任何方式(包括电子方式、机械方式等)进行传输。本文档中的某些公司、名称和数据仅用于说明,不得代表真实的公司、个人或数据。
本文档可能包含不准确的技术信息或印刷错误。此处的信息将定期进行更改。这些更改可能会纳入本文档的新版中。NetIQ Corporation 可能会随时对本文档所述软件进行改进或更改。
美国政府的有限权利:如果本软件和文档是由美国政府、代表美国政府或由美国政府的主要承包商或分包商(任何层级)根据 48 C.F.R. 227.7202-4(针对国防部 (DOD) 采购)以及 48 C.F.R. 2.101 和 12.212(针对非 DOD 采购)的规定获取的,则美国政府对本软件和文档的各方面权利(包括使用、修改、复制、发布、执行、显示或披露本软件或文档的权利),将受许可证协议中规定的商业许可权利和限制的约束。
© 2015 NetIQ Corporation。保留所有权利。
有关 NetIQ 商标的信息,请参见 http://www.netiq.com/company/legal/。