Sentinel 7.4 包含多項全新功能、提升可用性,並且解決許多之前的問題。
這些改進許多是為了直接因應來自顧客的建議。我們衷心感謝您撥冗提供可貴的建議。也期盼您能繼續協助以確保我們的產品能滿足您所有的需求。您可以在 NetIQ 社群的 Sentinel 論壇中張貼意見反應,NetIQ 是我們的線上社群,其中也包含產品資訊、部落格,以及實用資源的連結。
NetIQ 網站上提供了本產品 HTML 與 PDF 格式的文件,您無需登入即可存取該文件頁面。若您有任何改善文件的建議,請到 Sentinel NetIQ 文件頁面,按一下頁面上所張貼的任何 HTML 文件版本頁面底部的「對本主題發表意見」。要下載本產品,請查看 Sentinel 產品升級網站。
如需此版本說明的最新版本,請參閱 Sentinel 7.4 版本說明。
下列幾節將概述重要功能和加強功能,以及本版本已解決的問題:
Sentinel 已在下列平台上經過測試與認證:
作業系統︰ SUSE Linux Enterprise Server (SLES) 11 Service Pack 4 (64 位元)。
SLES 11 SP4 只在傳統的安裝上認證過。
資料同步: Microsoft SQL Server 2014.
如需有關已認證平台的詳細資訊,請參閱「Sentinel 技術資訊」頁面。
除了管理報告許可外,Sentinel 現在提供精細的報告許可,可讓您在提供使用者許可供使用特定的報告作業時,同時限制其他報告作業:
輸入報告: 管理報告許可現在僅允許使用者建立、輸出、執行與刪除報告。若要輸入報告,使用者現在必須有輸入報告許可。
執行報告: 僅允許使用者執行報告。
共享報告: 允許使用者與其他角色共享報告。
如需有關許可的詳細資訊,請參閱《NetIQ Sentinel 管理指南》中的「設定角色和使用者
」。
現在您可以與其他角色共享報告,也可以控制誰能夠存取立即可用的報告:
與其他角色共享報告: 您可以將您的報告與其他角色共享,無須轉讓報告的完全擁有權。當您與其他角色共享報告時,該角色的使用者能視其擁有的報告許可,決定其能檢視或執行報告,但他們無法刪除報告。
限制存取立即可用的報告: 依預設,所有的 Sentinel 使用者都能看到立即可用的報告。這些報告的結果可能包含敏感的稽核資料,而也許您不會想要所有使用者都能存取該資料。您可以視需要限制報告的可見度,決定只有您、您角色中的使用者,或是所選角色中的使用者,才能看見特定內容。
附註:只有管理員角色中的使用者才能限制立即可用報告的可見度。
如需詳細資訊,請參閱《NetIQ Sentinel 使用者指南》中的「使用報告
」。
對警示執行充分的調查後,您可以判定是否有嚴重的問題,以及安全分析師是否需要進一步調查警示。Sentinel 現在可讓您提升事件的這類警示,但不會失去您在調查警示期間所進行的所有工作。如需有關提升事件警示的詳細資訊,請參閱《NetIQ Sentinel 使用者指南》中的「提升事件警示
」。
Sentinel 現在於「警示詳細資料」頁面中提供「搜尋」圖示,可針對觸發該警示的事件啟始搜尋作業。顯示事件時,您可以使用與在「搜尋」頁面上執行其他事件的類似方式,對警示觸發事件執行必要的動作。如需有關檢視「警示詳細資料」頁面的詳細資訊,請參閱《NetIQ Sentinel 使用者指南》中的「檢視警示
」。
Sentinel 現在提供名為「序列逾時」的新關連規則類型。此規則會偵測何時有一或多個事件未依照指定的序列發生。在指定時段內,若符合第一個子規則的事件後面未接著符合第二個子規則的事件時,序列逾時規則即會引發。例如,您可以建立序列逾時規則來偵測伺服器已停止但未在 5 分鐘間隔內再次啟動的情境。如需有關序列逾時規則的詳細資訊,請參閱《NetIQ Sentinel 使用者指南》中的「序列逾時規則
」。
安裝與設定收集器管理員與關連引擎時,您不再需要從 activemqusers.properties 檔案複製使用者身分證明。為了增強安全性並容易使用,Sentinel 現在允許您使用管理員使用者身分證明來設定收集器管理員與關連引擎。如需詳細資訊,請參閱《NetIQ Sentinel 安裝和組態指南》中的「安裝 Sentinel
」。
現在您可透過建立 SSL 連接的方式,在 Sentinel 伺服器與外部資料庫之間建立一個安全、加密的通訊通道。如需詳細資訊,請參閱《NetIQ Sentinel 管理指南》中的「啟用 SSL 通訊以同步化資料
」。
Sentinel 7.4 現在包括 Java 8 更新程式 60,其中包含數個安全性弱點的修復。
附註:NetIQ Change Guardian 4.2 和更新版本中提供對應的 Java 安全性弱點修復項目。因此,若要從 Change Guardian 接收事件,您必須安裝 Change Guardian 4.2 和更新版本。如果您已經有負責將事件傳送至 Sentinel 的 Change Guardian 伺服器,在您升級至 Sentinel 7.4 前,您必須先將 Change Guardian 伺服器、代理程式和規則編輯器升級至 4.2 版,確保 Sentinel 在升級後仍會繼續從 Change Guardian 收到事件。
Sentinel 7.4 現在包括 PostgreSQL 9.4.1,其中包含數個安全性弱點的修復項目。
Sentinel 7.4 包括新版和更新版 Sentinel 外掛程式。您必須執行全新安裝才能使用最新版的「收集器」和「連接器」。新版和升級安裝皆提供最新的集成商和動作版本。如需升級安裝 Sentinel 7.4,請造訪 Sentinel 外掛程式網站,從其中的特定文件檢閱最新版「收集器」和「連接器」的修訂歷程,接著再決定要下載及安裝哪種外掛程式。
Sentinel 7.4 包含多項軟體修復功能,可解決許多問題。
如需之前版本的軟體修復清單和加強功能,請參閱特定的版本資訊。
問題: 如果您在建立新使用者時按下「儲存」多次,Sentinel 會嘗試為同一個使用者項目建立多個使用者並記錄例外。(錯誤 944475)
修復: 在您按一下「儲存」後,Sentinel 會將其停用,直到儲存新使用者記錄為止。此外,Sentinel 一次僅允許建立一個使用者項目。這可確保不會儲存同一個使用者的多個項目。
問題: 將 Sentinel Agent Manager 設定為預設的系統地區設定時,Sentinel Agent Manager 連接器在 ObserverEventTime 事件欄位中顯示錯誤的資料。因此,資料與時間值會視系統語言而不同。(錯誤 929551)
修復: 無論 Sentinel Agent Manager 中的系統語言為何,Sentinel Agent Manager 連接器現在會在 ObserverEventTime 事件欄位中顯示正確的資料。
問題: Sentinel Web 介面允許潛在的攻擊者包含能造成點擊劫持的內容。(錯誤 949924)
修復: Sentinel Web 介面現在不允許包含任何外部內容。
問題: 當您將動作 (任何「建立警示」以外的動作) 與關連規則相關聯或取消關聯時,會失去自定的關連事件欄位。(錯誤 949389)
修復: 當您將動作與關連規則相關聯或取消關聯時,不再失去自定的關連事件欄位。
問題: 安裝收集器管理員時,如果您指定包含特殊字元的密碼 (例如「$」、「"」、「\」或「/」),安裝會失敗並出現錯誤。(錯誤 812111)
修復:
收集器管理員安裝程序現在已修改。您不再需要指定收集器管理員使用者身分證明。您現在必須指定可接受特殊字元的管理員使用者密碼。如需詳細資訊,請參閱《NetIQ Sentinel 安裝和組態指南》>「安裝Sentinel」中的「安裝收集器管理員和關連引擎
」一節。
問題: 從 NetIQ Security Manager 移轉至 Sentinel Agent Manager 後,某些 Security Manager 資料庫仍存在。這些資料庫必須在 Sentinel Agent Manager 中取消關聯。(錯誤 920939)
修復: 在移轉完成後,Sentinel Agent Manager 內的 Security Manager 資料庫現已取消關聯。
問題: 如果您在 Sentinel 解除安裝後再次安裝,Sentinel 會安裝失敗。(錯誤 924567)
修復: 已更新 Sentinel 安裝程序以解決此問題。現在您可以在 Sentinel 解除安裝後再次安裝。
問題: 在搜尋結果中,Sentinel 會為使用客戶變數的事件欄位顯示簡短名稱,而非顯示事件欄位的顯示名稱。(錯誤 950361)
修復: Sentinel 現在於搜尋結果中會顯示事件欄位的完整名稱。
問題: 當「其他」系列項目有大量的值時,即時事件檢視會變得無法使用,因為已失去資料的正確性。(錯誤 948003)
修復: 「其他」系列項目預設為停用。如果您想要使用「其他」系列項目,請按一下事件檢視中的「其他」將其啟用。
問題: 當 EPS 高的時候,事件檢視中「區域」類型的圖表未清楚顯示。(錯誤 947891)
修復: Sentinel 現在於堆疊區域圖中顯示事件檢視。
問題: 在「導覽」面板中,Sentinel 未顯示可用的儀表板數目。(錯誤 948081)
修復: Sentinel 現在會顯示可用儀表板數目。
問題: 如果圖例名稱過長,這些名稱會佔用大量空間,且圖表無法正確顯示。(錯誤 949310)
修復: 現在 Sentinel 在圖示名稱過長時會將名稱截短至 24 個字元。
問題: 當您呼叫 EPSHistory REST API 時,會建立用於讀取 eps.data 的新檔案描述子,且描述子永不關閉。這會產生錯誤鏡像複製區檔案描述子。(錯誤 947974)
修復: Sentinel 現在會正確關閉檔案描述子。
如需有關硬體需求、支援的作業系統及瀏覽器等資訊,請參閱 Sentinel 技術資訊網站。
如需安裝 Sentinel 7.4 的詳細資訊,請參閱《NetIQ Sentinel 安裝與組態指南》。
您可以將 Sentinel 7.0 或更新版本升級到 Sentinel 7.4。
Sentinel 7.4 與 Change Guardian 4.2 以上版本相容。如果您有負責傳送事件給 Sentinel 的 Change Guardian 伺服器,則在您升級至 Sentinel 7.4 前,您必須先將 Change Guardian 伺服器、代理程式和規則編輯器升級至 4.2 版,確保 Sentinel 在升級後仍會繼續從 Change Guardian 收到事件。
從 NetIQ 下載網站下載 Sentinel 安裝程式。如需升級到 Sentinel 7.4 的詳細資訊,請參閱《NetIQ Sentinel 安裝與組態指南》中的「升級 Sentinel」
。
您只能在 Sentinel 7.3.2 或更新版本上及您手動升級 NetIQ Change Guardian RPM 時,使用 WebYaST 升級裝置,如 Sentinel 7.3.2 版本說明的「升級 NetIQ Change Guardian RPM
」所述。
您必須使用 zypper 指令行公用程式才可升級 Sentinel 7.3.2 之前版本的裝置,這是因為升級需要使用者互動才能完成。WebYaST 無法協助處理必要的使用者互動。如需有關使用 zypper 升級裝置的資訊,請參閱《NetIQ Sentinel 安裝和組態指南》中的「使用 zypper 升級裝置
」。
(錯誤 956278)
如果您升級的是 Sentinel 7.2.2 以下的版本,請執行下列動作:
升級後,「搜尋代理使用者」角色將不具有「允許使用者管理警示」許可。角色必須擁有此許可,才能執行遠端警示搜尋。手動指定「允許使用者管理警示」許可至「搜尋代理使用者」角色。
如需詳細資訊,請參閱《NetIQ Sentinel 管理指南》中的「設定角色和使用者」
。
如要讓新版的 Sentinel 與 Sentinel 文件一致,請在升級後將「搜尋代理使用者」角色重新命名為「資料代理使用者」。
NetIQ Corporation 致力確保我們的產品能提供最優質的解決方案,以符合您的企業軟體需求。以下是現在正在研究的問題。若您有任何問題需要進一步的協助,請聯絡技術支援。
Sentinel 7.3.1 和更新版本內含的 Java 8 更新與安全性弱點修復項目可能會影響下列外掛程式:
Cisco SDEE Connector
服務通告協定 (Service Advertising Protocol, SAP) 連接器
因應措施整合器
針對任何外掛程式的相關問題,NetIQ 將根據標準的缺陷處理規則排列優先程度並修正問題。如需有關支援規則的詳細資訊,請參閱支援規則。
節 5.2, 當您在主動節點中修改組態檔案時,必須手動在 Sentinel High Availability 中啟動同步化
節 5.3, 將 Sentinel 升級為 7.3.1 和更新版本之後,無法接收來自 Sentinel UNIX Agent 7.4 的事件
節 5.5, 當您將 Sentinel 7.3.1 之前的版本升級至 7.3.1 版與更新版本時,Sentinel 伺服器記錄出現例外
節 5.6, 將 Sentinel 升級為 7.3.1 和更新版本之後,無法接收來自 Secure Configuration Manager 的事件
節 5.20, 在已升級 Sentinel 裝置安裝上使用 report_dev_setup.sh 程序檔設定防火牆例外的 Sentinel 連接埠時發生錯誤
節 5.23, 安全情報資料庫和警示儀表板在已啟用 FIPS 140-2 的 Sentinel 已升級自定安裝中有時會無法運作
節 5.38, Sentinel Agent Manager 不會擷取包含 Null 值的 Windows 插入字串欄位
問題: 當您在收集器管理員或關連引擎的自定安裝中執行 configure.sh 指令碼時,Sentinel 會顯示下列錯誤:
Error getting the client keystore file. Refer to /two/var/opt/novell/sentinel/log/install.log for detailed error messages.
(錯誤 956466)
解決方式: 忽略此錯誤。組態如預期般繼續進行。
問題: 在 Sentinel High Availability (HA) 中,當您透過更新組態檔案或變更主動節點中的 Sentinel Web 介面來自定 Sentinel 時,被動節點未反映變更。必須手動啟動同步化。
例如,您在下列情境中必須手動啟動同步化:
當您透過為下列內容更新 /etc/opt/novell/sentinel/config/databasePlatforms.xml 檔案的方式,變更通訊協定為 SSL 時:
ssl=require
Sentinel 為 FIPS 模式時,將所有被動節點轉換為 FIPS 模式的同步化未執行完成。在此類情境中發生容錯移轉時,Sentinel Web 介面未啟動。
當您變更主動節點中的 LDAP 組態時,該組態未同步化成被動節點。因為如此,您將無法在被動節點中驗證 LDAP 帳戶。
(錯誤 956702 和錯誤 954472)
解決方式: 當您修改組態檔案時,或因為您在 Sentinel Web 介面中進行變更而使檔案遭到修改時,請執行下列步驟新增該檔案或目錄,以手動同步化:
在主動節點上使用 root 使用者身分登入。
在 /etc/csync2/csync2.cfg 檔案中新增下行,以新增檔案或目錄進行同步化:
include <檔案名稱或目錄>;
例如:
如果您已在 /etc/opt/novell/sentinel/config/databasePlatforms.xml 檔案中將通訊通訊協定變更為 SSL,請新增下行:
include /etc/opt/novell/sentinel/config/databasePlatforms.xml;
如果您想要將被動節點同步化成 FIPS 模式,請新增下行:
include /etc/opt/novell/sentinel/config/nonfips_backup;
如果您已經更新 LDAP 組態,請新增下行:
include /etc/opt/novell/sentinel/config/auth.login;
執行下列指令手動啟動同步化:
csync2 -x -v
這將同步化所有被動節點上的更新。
問題: Sentinel 7.3.1 包含的安全性弱點修正程式包括安全連線通訊機制的變更。這些變更不與 Sentinel UNIX 代辦 7.4 相容,因此 Sentinel 無法接收來自 Sentinel UNIX 代辦 7.4 的事件。(錯誤 953990)
解決方式: 目前尚未提供解決方式。Sentinel UNIX 代辦相容版本推出後即可解決此問題。
問題: 將 Sentinel 裝置升級為 7.3.1 版之後,當您嘗試將 NFS 設定為次要儲存位置時, Sentinel 顯示錯誤。(錯誤 934851)
解決方式: Sentinel 裝置完成升級後,請使用下列指令重新啟動 SLES 作業系統:
init 6
問題: 當您將 Sentinel 從 7.3 版升級為 7.3.1 版並啟動 Sentinel 伺服器時,您可能會在伺服器記錄中看到下列例外:
Invalid length of data object ......
(錯誤 933640)
解決方式: 忽略例外。此例外不會影響 Sentinel 效能。
問題: Sentinel 使用 Diffie-Hellman 通訊協定與 Secure Configuration Manager 通訊。 作為修正 Logjam 漏洞的一環,Diffie-Hellman 通訊協定在 Sentinel 中的證書金鑰大小已增加為 2048。不過,Secure Configuration Manager 會使用預設的證書金鑰大小;即為 1024。由於不相符,因此 Secure Configuration Manager 將無法再與 Sentinel 通訊。(錯誤 935987)
解決方式: 在 Secure Configuration Manager 提供修正程式之前,您可以執行下列步驟:
警告:執行此因應措施將覆寫 Sentinel 7.3.1 版本說明中安全性漏洞修正程式
所述的 Logjam 漏洞。
以 novell 使用者身分登入並開啟 /etc/opt/novell/sentinel/config/configuration.properties 檔案。
在前面加上 #來加上下列行備註:
jdk.tls.ephemeralDHKeySize=2048
重新啟動 Sentinel。
問題: Sentinel 警示檢視和警示儀表板不會顯示 IP 位址欄位包含 IPv6 位址的警示。(錯誤 924874)
解決方式: 若要在 Sentinel 中檢視包含 IPv6 位置的警示,請執行 NetIQ 知識庫文章 7016555 中提到的步驟。
問題: Sentinel Link 連接器中存在 Bar Mitzvah 安全性漏洞。Sentinel Link 連接器使用 SSL 和 TSL 通訊協定中的 RC4 演算法,其可能會允許針對資料流啟始位元組的純文字攻擊。如需詳細資訊,請參閱 CVE-2015-2808。(錯誤 933741)
解決方式: Sentinel Link 連接器版本 2011.1r4 和更新版本可解決此問題。在 Sentinel 外掛程式網站正式發行前,您可從「預覽」區段下載該連接器。
問題: 若剖析事件的連接器支援多個連接模式,Agent Manager 連接器版本 2011.1r3 無法設定事件中的 CONNECTION_MODE 屬性。(錯誤 880564)
解決方式: Agent Manager 連接器版本 2011.1r5 和更新版本可解決此問題。在 Sentinel 外掛程式網站正式發行前,您可從「預覽」區段下載該連接器。
問題: Sentinel Agent Manager 會針對原始資料檔案大小組態忽略在 SMServiceHost.exe.config 檔案的 RawDataTapFileSize 屬性中指定的值,並在檔案大小達到 10 MB 時停止寫入原始資料檔案。(錯誤 867954)
解決方式: 手動將原始資料檔案的內容複製至其他檔案,然後在檔案大小達到 10 MB 時將它清除,讓 Sentinel Agent Manager 可將新資料寫入其中。
問題: 在已升級的 Sentinel 安裝中,當您在 Web 介面的「秘訣」表格中搜尋警示屬性時,搜尋無法傳回警示欄位的完整清單。不過,若您清除搜尋,「秘訣」表格中的警示欄位即可正確顯示。(錯誤 914755)
解決方式: 目前尚未提供解決方式。
問題:
當您嘗試以人類看得懂的格式同步化 IPv6 位址欄位至外部資料庫時,資料同步化失敗。如需設定 Sentinel 以人可讀識的點標記格式填入 IP 位址欄位的詳細資訊,請參閱《NetIQ Sentinel 管理指南》
中的「建立資料同步化規則」。(錯誤 913014)
解決方式: 若要修正此問題,請在目標資料庫中將 IP 位址欄位的大小上限手動變更為至少 46 個字元,然後重新同步化資料庫。
問題: 若在您角色的安全性過濾器空白時執行事件搜尋,但您的角色沒有事件檢視許可,搜尋就不會完成。搜尋不會顯示任何關於無效事件檢視許可的錯誤訊息。(錯誤 908666)
解決方式: 使用下列其中一個選項更新角色:
在「僅符合準則的事件」欄位中指定一個準則。若角色的使用者不應看到任何事件,您可輸入「NOT sev:[0 TO 5]」。
選取「檢視系統事件」。
選取「檢視所有的事件資料 (包括未經處理資料和 NetFlow 資料)」。
問題: 當編輯從 Sentinel 7.2 升級至新版的已儲存搜尋時,用於在搜尋報告 CSV 中指定輸出欄位的「事件欄位」面板在排程頁面中遺失。(錯誤 900293)
解決方式: 在升級 Sentinel 後,重新建立並重新編程搜尋以在排程頁面中檢視「事件欄位」面板。
問題: 在規則的「關連摘要」頁面中按一下「活動統計資料」面板上「引發計數」旁的圖示,當您搜尋在規則已部署或已啟用後產生的所有關連事件時,Sentinel 不會傳回任何關連事件。(錯誤 912820)
解決方式: 將「事件搜尋」頁面中「從」欄位中的值變更至比欄位中填入時間更早的時間,然後再按一下「搜尋」。
問題: 當您在警示檢視中按一下「全部選取」以選取警示、取消選取少數警示和修改警示時,也會在重新整理後的警示檢視中選取新收到的警示。這會造成已選取要修改的警示計數錯誤,而且看起來好像您也要修改新收到的警示。不過,系統只會修改原始已選取的警示。(錯誤 904830)
解決方式: 若您使用自定時間範圍建立警示檢視,就不會有新警示顯示在警示檢視中。
問題: 歷史安全情報 (SI) 資料需要很長時間才能在具有高每秒事件量(EPS)負載的 Sentinel 系統中載入。(錯誤 908599)
解決方式: 若您要使用歷史資料建立安全情報儀表板,請計劃在系統上的負載較低時部署儀表板 (若可能)。目前尚未提供其他解決方式。
問題: 在安全情報基線重新產生期間,基線的開始和結束日期錯誤並顯示 1/1/1970。(錯誤 912009)
解決方式: 基線重新產生完成後,即會更新正確日期。
問題: 若單一分割區中有大量已編製索引的事件,當您執行搜尋時,Sentinel 伺服器會關閉。(錯誤 913599)
解決方式: 建立保留規則,讓一天內至少有兩個分割區開啟。有一個以上的分割區開啟可協助減少在分割區中已編製索引的事件數目。
您可以建立根據 estzhour 欄位過濾事件的保留規則,該欄位會追蹤當天的時間。因此,您可使用 estzhour:[0 TO 11] 做為過濾器來建立一個保留規則,然後使用 estzhour:[12 TO 23] 做為過濾器來建立另一個保留規則。
如需詳細資訊,請參閱《NetIQ Sentinel 管理指南》中的「設定資料保留規則」
。
問題: 當您使用 report_dev_setup.sh 程序檔設定防火牆例外的 Sentinel 連接埠時,Sentinel 會顯示錯誤。(錯誤 914874)
解決方式: 若要設定防火牆例外的 Sentinel 連接埠,請執行下列操作:
開啟 /etc/sysconfig/SuSEfirewall2 檔案。
變更下行:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
至
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
重新啟動 Sentinel。
問題: 在 Microsoft Active Directory 和 Windows 收集器上啟用一般主機名稱解析服務收集器時,Sentinel 一般收集器效能會降低。當遠端收集器管理員傳送事件時,EPS 會降低 50%。(錯誤 906715)
解決方式: 目前尚未提供解決方式。
問題: 當您在 FIPS 140-2 模式中安裝 Sentinel 時,安全情報資料庫的連接器無法啟動,Sentinel 也無法存取安全情報、Netflow 和警示資料。(錯誤 915241)
解決方式: 在 FIPS 140-2 模式中進行安裝和設定後,重新啟動 Sentinel。
問題: 當您從非 root 使用者所安裝且在 FIPS 140-2 模式中設定的 Sentinel 自定安裝升級至 Sentinel 時,安全性智慧資料庫和警示儀表板有時會無法啟動。(錯誤 916285)
解決方式: 請執行以下步驟:
跳至 <自定安裝目錄>/opt/novell/sentinel/bin 以瞭解 Sentinel 編列索引服務。
執行以下指令:
。/si_db.sh status
驗證是否已顯示下列輸出:
Connection between alert store and indexing service is running. Security Intelligence database is running. Indexing service is running.
若上述三項服務中有任一項未執行,請執行下列步驟。
執行下列指令以停止 Sentinel:
rcsentinel stop
以 novell 使用者身分登入 Sentinel 伺服器。
執行以下指令:
<自定安裝目錄>/opt/novell/sentinel/bin/si_db.sh startnoauth
執行以下指令以新增 dbauser 和 appuser 使用者:
cd <自定安裝目錄>/opt/novell/sentinel/3rdparty/mongodb/bin
。/mongo
use admin
db.addUser ("dbauser", "novell")
use analytics
db.addUser ("appuser", "novell")
exit
停止 MongoDB 資料庫:
<自定安裝目錄>/opt/novell/sentinel/bin/si_db.sh stop
執行以下步驟以新增加密密碼欄位:
執行以下指令以取得 novell 使用者的加密密碼:
<自定安裝目錄>/opt/novell/sentinel/bin/encryptpwd -e novell
隨即會顯示加密密碼。例如:
bVWOzu6okMmMCkgM0aHeQ==
在 configuration.properties 檔案中,更新包含加密密碼的 baselining.sidb.password 和 baselining.sidb.dbpassword 屬性。例如:
baselining.sidb.password=9bVWOzu6okMmMCkgM0aHeQ==
baselining.sidb.dbpassword=9bVWOzu6okMmMCkgM0aHeQ==
使用以下指令結束 novell 使用者帳戶,並以 root 使用者的身分啟動 Sentinel:
rcsentinel start
附註:執行 configure.sh 程序檔,視需要重設密碼。如需有關執行 configure.sh 程序檔的詳細資訊,請參閱《NetIQ Sentinel 安裝與組態指南》中的「安裝後修改組態」
。
問題: 安裝 Sentinel 裝置時,網路介面未按預設完成設定。(錯誤 867013)
解決方式: 要設定網路介面:
在「網路組態」頁面中,按一下「網路介面」。
選取網路介面並按一下「編輯」。
選取「動態位址」,接著選取「DHCP」或「靜態指定的 IP 位址」。
按一下「下一步」,接著按「確定」。
問題: 當輸出搜尋結果到 Sentinel 時,網頁瀏覽器可能在您修改操作系統語言設定時顯示錯誤。(錯誤 834874)
解決方式: 要正確輸出搜尋結果,請執行下列其中一個步驟:
輸出搜尋結果時,同時移除輸出檔名中的任何特殊字元 (不在 ASCII 字元內)。
啟用操作系統語言設定中的 UTF-8,重新啟動機器,接著重新啟動 Sentinel 伺服器。
問題: 在磁碟空間超過 2 TB 的系統上,Sentinel 在安裝之後可能無法自動啟動。(錯誤 846296)
解決方式: 指定下列指令來手動啟用 Sentinel 服務,此為一次性活動:
rcsentinel start
問題: 在 Sentinel 裝置安裝中,若您以 Kerberos 模組設定 Kerberos 驗證,主控台會顯示 Kerberos 用戶端設定成功的確認訊息。不過,當您再次檢視 Kerberos 模組時,「啟用 Kerberos 驗證」選項不會選取。(錯誤 843623)
解決方式: 目前尚未提供解決方式。
問題: 在等待一個報告結果 PDF 開啟時 (特別是 1 百萬個事件的報告結果),若按下其他要檢視的報告結果 PDF,報告結果無法顯示。(錯誤 804683)
解決方式: 再次按下第二個報告結果 PDF 以檢視報告結果。
問題: 當 Sentinel 環境中啟用 FIPS 140-2 模式時,使用代辦管理員的 Windows 驗證會造成與代辦管理員資料庫同步失敗。(錯誤 814452)
解決方式: 當 Sentinel 環境中啟用 FIPS 140-2 模式時,使用代辦管理員的 SQL 驗證。
問題: 若啟用 FIPS 140-2 模式,Sentinel 高可用性安裝會顯示下列錯誤:
Sentinel 伺服器 configuration.properties 檔案不正確。請檢查組態檔案,然後在 Sentinel 伺服器上再次執行 convert_to_fips.sh 程序檔。
不過,安裝已順利完成。(錯誤 817828)
解決方式: 目前尚未提供修復或因應措施。雖然安裝程式顯示錯誤,但是 Sentinel 高可用性組態在 FIPS 140-2 模式中仍可成功運作。
問題: 已成功使用 FIPS 140-2 模式完成安裝 Sentinel 高可用性,但出現下列錯誤兩次:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(錯誤 810764)
解決方式: 目前尚未提供修復或因應措施。雖然安裝程式顯示錯誤,但是 Sentinel 高可用性組態在非 FIPS 140-2 模式中仍可順利運作。
問題: 無法更新 Sentinel 7.2 之前版本的裝置,因為更新套件的廠商已從 Novell 變更為 NetIQ。(錯誤 780969)
解決方式:
使用 zypper 指令來升級裝置。如需詳細資訊,請參閱../../s74_install/data/b151b4y3.html#b151b4y3《NetIQ Sentinel 安裝及組態指南》中的
「使用 zypper 將裝置升級」。
問題: 當系統中已有相同名稱的關連規則存在時,解決方案管理員不會再安裝其他相同名稱的關連規則。主控台中會記錄 NullPointerException 錯誤。(錯誤 713962)
解決方式: 請確認所有的關連規則都具有唯一的名稱。
問題: 當您從 Web 主控台執行 Sentinel Link 動作時,即使透過「Sentinel 控制中心」執行 Sentinel Link 連接器整合器測試失敗,Sentinel 仍會顯示成功訊息。(錯誤 710305)
解決方式: 目前尚未提供解決方式。
問題: 當「安全情報儀表板」與異常定義具有相同名稱時,「異常詳細資料」頁面上的儀表板連結會停用。(錯誤 715986)
解決方式: 請確認在建立儀表板和異常定義時使用唯一的名稱。
問題: Sentinel Web 介面電腦時鐘的時間晚於 Sentinel 伺服器時鐘的時間時,Sentinel Web 介面的「主動搜尋工作持續時間」和「存取日期」欄中會顯示負值。例如,當 Sentinel Web 介面時鐘設為 2:30 PM,而 Sentinel 伺服器設為 1:30 PM 時,「持續時間」和「存取日期」欄會顯示負值。(錯誤 719875)
解決方式: 請確認用來存取 Sentinel Web 介面的電腦時間與 Sentinel 伺服器電腦上的時間相同或較晚。
問題: 當您登入安全性儀表板並執行搜尋 IssueSAMLToken 稽核事件時,IssueSAMLToken 稽核事件顯示不正確的主機名稱 (InitiatorUserName) 或 (IP 位址) SourceIP 。(錯誤 870609)
解決方式: 目前尚未提供解決方式。
問題: 在收集事件資料時,Sentinel Agent Manager 不會擷取包含 Null 值的 Windows 插入字串欄位。(錯誤 838825)
解決方式: 目前尚未提供解決方式。
我們的目標是提供符合您需求的文件。若您要提出任何改進建議,請將電子郵件傳送到 Documentation-Feedback@netiq.com。我們重視您的意見並期待您提出建議。
如需詳細的聯絡人資訊,請參閱支援聯絡人資訊網站。
如需一般的企業和產品資訊,請參閱 NetIQ 企業網站。
如需與同事和 NetIQ 專家進行互動對話,歡迎成為我們社群的活躍成員。NetIQ 線上社群提供產品資訊以及有用資源、部落格和社群媒體通道的實用連結。
如需 NetIQ 法律聲明、免責聲明、擔保聲明、出口與其他使用限制、美國政府限制的權利、專利政策與 FIPS 法規遵循的相關資訊,請參閱 http://www.netiq.com/company/legal/。
Copyright © 2015 NetIQ Corporation.保留所有權利。
如需 NetIQ 註冊商標相關資訊,請參閱 http://www.netiq.com/company/legal/。所有的協力廠商商標均為其個別擁有廠商的財產。