NetIQ Documentation: Sentinel Log Manager 1.2.2-Installationshandbuch - Produktübersicht

1.1 Produktübersicht

Novell Sentinel Log Manager 1.2 bietet Unternehmen eine flexible und skalierbare Protokollmanagementlösung. Als Protokollmanagementlösung bewältigt Novell Sentinel Log Manager grundlegende Protokollerfassungs- und -verwaltungsherausforderungen. Das Produkt stellt außerdem eine vollständige Lösung mit Hauptaugenmerk auf Reduzierung der Kosten und der Komplexität des Risikomanagements sowie Vereinfachung von Konformitätsanforderungen bereit.

Abbildung 1-1 Architektur von Novell Sentinel Log Manager

Novell Sentinel Log Manager umfasst folgende Funktionen:

Mit den verteilten Suchfunktionen können Kunden erfasste Ereignisse nicht nur auf dem lokalen Sentinel Log Manager-Server, sondern auch auf einem oder mehreren Sentinel Log Manager-Servern von einer zentralen Konsole aus suchen.
Integrierte Konformitätsberichte vereinfachen die Erstellung von entsprechenden Berichten für Revisions- oder forensische Analysen.
Durch den Einsatz nicht herstellerspezifischer Speichertechnologie können Kunden ihre vorhandene Infrastruktur nutzen und die Kosten noch besser kontrollieren.
Eine verbesserte browserbasierte Benutzeroberfläche trägt dank Unterstützung der Erfassung, Speicherung, Berichterstellung und Suche nach Protokolldaten erheblich zur Vereinfachung von Überwachungs- und Managementaufgaben bei.
Granulare und effiziente Kontrollen und Anpassungen für IT-Administratoren durch neue Gruppen- und Benutzerberechtigungsfunktionen bieten mehr Transparenz in Bezug auf IT-Infrastrukturaktivitäten.

Dieser Abschnitt enthält folgende Informationen:

1.1.1 Ereignisquellen

Novell Sentinel Log Manager erfasst Daten aus Ereignisquellen, die Protokolle für Syslog, Windows-Ereignisprotokoll, Dateien, Datenbanken, SNMP, Novell Audit, Security Device Event Exchange (SDEE), Check Point Open Platforms for Security (OPSEC) und andere Speichermechnismen und Protokolle generieren.

Sentinel Log Manager unterstützt alle Ereignisquellen, sofern geeignete Connectors zur Analyse der Daten aus diesen Ereignisquellen zur Verfügung stehen. Novell Sentinel Log Manager stellt Collectors für viele Ereignisquellen bereit. Der generische Ereignis-Collector erfasst und verarbeitet Daten aus nicht erkannten Ereignisquellen, die über geeignete Connectors verfügen.

Über die Ereignisquellenverwaltungs-Schnittstelle können Sie die Ereignisquellen für die Datenerfassung konfigurieren.

Eine vollständige Liste der unterstützten Ereignisquellen finden Sie unter Abschnitt 2.6, Unterstützte Ereignisquellen.

1.1.2 Ereignisquellenverwaltung

Über die Ereignisquellenverwaltungs-Schnittstelle können Sie die Sentinel 6.0 und 6.1 Connectors und Collectors importieren und konfigurieren.

In der Live-Ansicht des Ereignisquellenverwaltungs-Fensters können Sie die folgenden Aufgaben ausführen:

Hinzufügen oder Bearbeiten von Verbindungen zu Ereignisquellen unter Verwendung von Konfigurationsassistenten
Anzeigen des Echtzeitstatus der Verbindungen zu den Ereignisquellen
Importieren oder Exportieren der Konfiguration von Ereignisquellen in die bzw. aus der Live-Ansicht
Anzeigen und Konfigurieren von Connectors und Collectors, die mit Sentinel installiert werden
Importieren oder Exportieren von Connectors und Collectors aus einem bzw. in ein zentrales Repository
Überwachen des über die konfigurierten Collectors und Connectors erfolgenden Datenflusses
Anzeigen der Rohdateninformationen
Entwickeln, Konfigurieren und Erstellen der Komponenten der Ereignisquellenhierarchie und Ausführen der erforderlichen Aktionen zur Verwendung dieser Komponenten

Weitere Informationen finden Sie im Abschnitt "Ereignisquellenverwaltung" des Sentinel-Benutzerhandbuchs.

1.1.3 Datenerfassung

Novell Sentinel Log Manager erfasst Daten aus konfigurierten Ereignisquellen mit Hilfe von Connectors und Collectors.

Collectors sind Skripts, die Daten aus verschiedenen Ereignisquellen analysieren und in die normalisierte Sentinel-Ereignisstruktur integrieren. In einigen Fällen erfasst sie auch andere Arten von Daten aus externen Datenquellen. Jeder Collector sollte mit einem kompatiblen Connector bereitgestellt werden. Connectors erleichtern die Konnektivität zwischen Sentinel Log Manager Collectors und Ereignis- oder Datenquellen.

Novell Sentinel Log Manager stellt einen verbesserten webbasierten Benutzeroberflächen-Support für Syslog und Novell Audit zur Verfügung, um problemlos Daten aus verschiedenen Ereignisquellen zu erfassen.

Novell Sentinel Log Manager erfasst Daten mit verschiedenen Verbindungsmethoden:

Der Syslog-Connector akzeptiert und konfiguriert automatisch Syslog-Datenquellen, die Daten über UDP (User Datagram Protocol), TCP (Transmission Control Protocol) oder das sichere TLS (Transport Layer System) senden.
Der Audit-Connector akzeptiert und konfiguriert automatisch für Revisionen geeignete Novell-Datenquellen.
Der Datei-Connector liest Protokolldateien.
Der SNMP-Connector empfängt SNMP-Traps.
Der JDBC-Connector liest Daten aus Datenbanktabellen aus.
Der WMS-Connector greift auf Windows-Ereignisprotokolle auf Desktops und Servern zu.
Der SDEE-Connector stellt eine Verbindung mit Geräten her, die das SDEE-Protokoll unterstützen. Hierzu gehören z. B. Cisco-Geräte.
Der Check Point LEA (Log Export API)-Connector erleichtert die Integration zwischen Sentinel Collectors und Check Point Firewall-Servern.
Der Sentinel-Link-Connector nimmt Daten von anderen Novell Sentinel Log Manager-Servern entgegen.
Der Prozess-Connector nimmt Daten von benutzerdefinierten Prozessen entgegen, die Ereignisprotokolle ausgeben.

Sie können auch eine zusätzliche Lizenz zum Herunterladen von Connectors auf SAP- und Mainframe-Betriebssysteme erwerben.

Um eine Lizenz zu erwerben, rufen Sie uns unter 1-800-529-3400 an oder wenden Sie sich an den Novell Technical Support.

Weitere Informationen zum Konfigurieren von Connectors finden Sie in den Connector-Dokumenten auf der Sentinel -Plugins-Website.

Weitere Informationen zum Konfigurieren der Datensammlung finden Sie unter Configuring Data Collection (Konfigurieren der Datensammlung) im Sentinel Log Manager 1.2.2 Administration Guide (Sentinel Log Manager 1.2-Administrationshandbuch).

HINWEIS:Sie müssen stets die aktuelle Version der Collectors und Connectors herunterladen und importieren. Aktualisierte Collectors und Connectors werden regelmäßig auf der Sentinel 6.1-Plugins-Website veröffentlicht. Aktualisierungen der Connectors und Collectors umfassen Problembehebungen, Unterstützung für zusätzliche Ereignisse und Leistungsverbesserungen.

1.1.4 Collector-Manager

Der Collector-Manager stellt eine flexible Datenerfassungsstelle für Sentinel Log Manager bereit. Bei der Installation von Novell Sentinel Log Manager wird ein Collector-Manager standardmäßig mit installiert. Sie können Collector-Manager-Instanzen auch remote an geeigneten Orten Ihres Netzwerks installieren. Diese Remote-Collector-Manager-Instanzen führen Connectors und Collectors aus und leiten die erfassten Daten zum Speichern und Verarbeiten an Novell Sentinel Log Manager weiter.

Informationen zum Installieren von zusätzlichen Collector-Manager-Instanzen finden Sie unter Installieren zusätzlicher Collector-Manager-Instanzen.

1.1.5 Datenspeicherung

Der Datenfluss verläuft von Datenerfassungskomponenten zu Datenspeicherkomponenten. Diese Komponenten verwenden einen dateibasierten Datenspeicher und ein Indizierungssystem, um die erfassten Geräteprotokolldaten aufzubewahren, sowie eine PostgreSQL-Datenbank zur Aufbewahrung von Novell Sentinel Log Manager-Konfigurationsdaten.

Die Daten werden in einem komprimierten Format auf dem Serverdateisystem gespeichert und anschließend zur langfristigen Aufbewahrung an einem konfigurierten Speicherort abgelegt. Die Daten können entweder lokal oder in einer remote bereitgestellten SMB (CIFS)- oder NFS-Freigabe gespeichert werden. Die Datendateien werden basierend auf dem in der Datenaufbewahrungsrichtlinie festgelegten Zeitplan am lokalen Speicherort und an den vernetzten Speicherorten gelöscht.

Sie können die Datenaufbewahrungsrichtlinien so konfigurieren, dass Daten am Speicherort gelöscht werden, wenn die Zeitbegrenzung für die Datenaufbewahrung für die entsprechenden Daten überschritten wird oder wenn der verfügbare Speicherplatz unter die angegebene Datenträgerkapazität sinkt.

Weitere Informationen zum Konfigurieren der Datenspeicherung finden Sie unter Configuring Data Storage (Konfigurieren der Datenspeicherung) im Sentinel Log Manager 1.2.2 Administration Guide (Sentinel Log Manager 1.2-Administrationshandbuch).

1.1.6 Suche und Berichterstellung

Die Komponenten für die Suche und Berichterstellung unterstützen Sie dabei, die Ereignisprotokolldaten sowohl in lokalen als auch in vernetzten Datenspeicherungs- und Indizierungssystemen zu suchen und in Berichten zusammenzustellen. Die gespeicherten Ereignisdaten können entweder generisch oder über spezifische Ereignisfelder wie Quellbenutzername gesucht werden. Die entsprechenden Suchergebnisse können weiter eingegrenzt oder gefiltert werden und als Berichtvorlage zur künftigen Verwendung gespeichert werden.

Im Lieferumfang von Sentinel Log Manager sind vorinstallierte Berichte enthalten. Außerdem können Sie zusätzliche Berichte hochladen. Berichte können planmäßig oder bei Bedarf ausgeführt werden.

Eine Liste der Standardberichte finden Sie unter Reporting (Berichterstellung) im Sentinel Log Manager 1.2.2 Administration Guide (Sentinel Log Manager 1.2-Administrationshandbuch).

Weitere Informationen zum Suchen von Ereignissen und Erstellen von Berichten finden Sie unter Searching Events (Suchen von Ereignissen) und Reporting (Berichterstellung) im Sentinel Log Manager 1.2.2 Administration Guide (Sentinel Log Manager 1.2.2-Administrationshandbuch).

1.1.7 Sentinel Link

Sentinel Link kann verwendet werden, um Ereignisdaten von einem Sentinel Log Manager an einen anderen weiterzuleiten. Bei einem hierarchischen Aufbau von Sentinel Log Managern können vollständige Protokolle an mehreren regionalen Standorten beibehalten werden, während wichtigere Ereignisse an einen einzelnen Sentinel Log Manager zur zentralisierten Suche und Berichterstellung weitergeleitet werden.

Außerdem kann Sentinel Link wichtige Ereignisse an Novell Sentinel, ein vollständiges System zur Verwaltung von Sicherheitsinformationsereignissen (Security Information Event Management, SIEM), weiterleiten. Dort wird die Korrelation erweitert, es werden Störungen beseitigt und hochwertige kontextabhängige Informationen wie kritische Serverzustände oder Identitätsinformationen von einem Identitätsverwaltungssystem eingespeist.

1.1.8 Webbasierte Benutzeroberfläche

Im Lieferumfang von Novell Sentinel Log Manager ist eine webbasierte Benutzeroberfläche zum Konfigurieren und Verwenden von Log Manager enthalten. Die Funktionalität der Benutzeroberfläche wird durch einen Webserver und eine grafische Benutzeroberfläche bereitgestellt, die auf Java Web Start basieren. Alle Benutzeroberflächen kommunizieren über eine verschlüsselte Verbindung mit dem Server.

Mithilfe der Benutzeroberfläche von Novell Sentinel Log Manager können Sie folgende Aufgaben erledigen:

Ereignisse suchen
Die Suchkriterien als Berichtsschablone speichern
Berichte anzeigen und verwalten
Die Ereignisquellenverwaltungs-Schnittstelle zum Konfigurieren der Datensammlung für andere Datenquellen als Syslog und Novell-Anwendungen starten (nur Administratoren)
Die Datenweiterleitung konfigurieren (nur Administratoren)
Das Sentinel Collector-Manager-Installationsprogramm für die Remote-Installation herunterladen (nur Administratoren)
Den Status der Ereignisquellen anzeigen (nur Administratoren)
Die Datensammlung für Syslog- und Novell-Datenquellen konfigurieren (nur Administratoren)
Den Datenspeicher konfigurieren und den Zustand der Datenbank anzeigen (nur Administratoren)
Die Datenarchivierung konfigurieren (nur Administratoren)
Zugehörige Aktionen zum Senden übereinstimmender Ereignisdaten an Ausgabekanäle konfigurieren (nur Administratoren)
Benutzerkonten und Berechtigungen verwalten (nur Administratoren)