NetIQ Documentation: Guía de instalación de Sentinel Log Manager 1.2.2 - Descripción general del producto

1.1 Descripción general del producto

Novell Sentinel Log Manager 1.2 ofrece a las organizaciones una solución de gestión de registros flexible y escalable. Novell Sentinel Log Manager es una solución de gestión de registros que soluciona los desafíos básicos de la gestión y recopilación de registros y además ofrece una completa solución enfocada en reducir el coste y la complejidad del control del riesgo y simplificar los requisitos de conformidad.

Figura 1-1 Arquitectura Novell Sentinel Log Manager

Novell Sentinel Log Manager tiene las siguientes funciones:

Las funciones de búsqueda distribuida permiten a los clientes buscar eventos recopilados no sólo en el servidor local de Sentinel Log Manager sino también en uno o varios servidores de Sentinel Log Manager desde una consola centralizada.
Informes de conformidad previamente creados para simplificar la tarea de generar informes de conformidad para auditoría o análisis forenses.
Al utilizar tecnología de almacenamiento no patentada, los clientes pueden aprovechar su infraestructura existente para gestionar los costes.
Interfaz del usuario basada en navegador que admite la recopilación, almacenamiento, generación de informes y búsqueda de datos de registro para simplificar considerablemente las tareas de supervisión y gestión.
Controles eficientes y granulares y personalización para administradores de TI a través de nuevas funciones de permisos de usuarios y grupos que proporcionan una mayor transparencia a las actividades de la infraestructura de TI.

Esta sección incluye la siguiente información:

1.1.1 Orígenes de eventos

Novell Sentinel Log Manager recopila datos de orígenes de eventos que generan registros en syslog, el registro de eventos de Windows, archivos, bases de datos, SNMP, Novell Audit (auditoría de Novell), Security Device Event Exchange (SDEE), Check Point Open Platforms for Security (OPSEC) y otros protocolos y mecanismos de almacenamiento.

Sentinel Log Manager admite todos los orígenes de eventos si existen recopiladores adecuados para analizar los datos de dichos orígenes de eventos. Novell Sentinel Log Manager proporciona recopiladores para numerosos orígenes de eventos. El Recopilador de eventos genérico recopila y procesa los datos de orígenes de eventos no reconocidos que tienen conectores adecuados.

Puede configurar los orígenes de eventos para la recopilación de datos mediante la interfaz Gestión de orígenes de eventos.

Para ver una lista completa de orígenes de eventos admitidos, consulte la Sección 2.6, Orígenes de eventos admitidos.

1.1.2 Gestión de orígenes de eventos

La interfaz Gestión de orígenes de eventos le permite importar y configurar los conectores y recopiladores de Sentinel 6.0 y 6.1.

Puede realizar las siguientes tareas a través de la vista activa de la ventana de Gestión de orígenes de eventos:

Agregar o editar conexiones a orígenes de eventos utilizando los asistentes de configuración.
Ver en tiempo real el estado de las conexiones a orígenes de eventos.
Importar o exportar la configuración de orígenes de eventos hacia o desde la Vista activa.
Ver y configurar conectores y recopiladores que están instalados con Sentinel.
Importar o exportar conectores y recopiladores desde o hacia un repositorio centralizado.
Supervisar el flujo de datos a través de los recopiladores y conectores configurados.
Ver la información de los datos en bruto.
Diseñar, configurar y crear los componentes de la jerarquía de orígenes de eventos y ejecutar las acciones requeridas utilizando estos componentes.

Para obtener más información, consulte la sección Gestión de orígenes de eventos en la Guía del usuario de Sentinel.

1.1.3 Recopilación de datos

Novell Sentinel Log Manager recopila datos de los orígenes de eventos configurados con la ayuda de conectores y recopiladores.

Los recopiladores son guiones que analizan los datos de una variedad de orígenes de eventos en una estructura de eventos normalizada de Sentinel, o en algunos casos recopilan otras modalidades de datos de fuentes de datos externas. Cada recopilador se debe distribuir con un conector compatible. Los conectores facilitan la conectividad entre los recopiladores de Sentinel Log Manager y los orígenes de datos o eventos.

Novell Sentinel Log Manager proporciona una interfaz mejorada del usuario basada en la Web para syslog y Novell Audit que permite recopilar fácilmente registros de diversos orígenes de eventos.

Novell Sentinel Log Manager recopila datos por medio una variedad de métodos de conexión:

El conector de syslog acepta y configura de forma automática los orígenes de datos de syslog que envían datos a través del Protocolo de datagrama del usuario (UDP), el Protocolo de control de transmisión (TCP) o el Sistema de capas de transporte (TLS) seguro.
El conector de auditoría acepta y configura de forma automática los orígenes de datos de Novell habilitados para auditoría.
El conector de archivo lee los archivos de registro.
El conector de SNMP recibe los mensajes de alerta SNMP.
El conector JDBC lee tablas de la base de datos.
El conector WMS accede a los registros de eventos de Windows en los escritorios y los servidores.
El conector SDEE se conecta a los dispositivos que admiten el protocolo SDEE, como por ejemplo los dispositivos de Cisco.
El conector de Log Export API (LEA) de Check Point facilita la integración entre los recopiladores de Sentinel y los servidores de cortafuegos Check Point.
El conector de Sentinel Link acepta datos de otros servidores de Novell Sentinel Log Manager.
El conector de procesos acepta datos de procesos creados de forma personalizada que producen registros de eventos.

También puede adquirir una licencia adicional para descargar conectores para SAP y sistemas operativos mainframe.

Para obtener la licencia, llame al 1-800-529-3400 o póngase en contacto con Asistencia técnica de Novell.

Para obtener más información sobre cómo configurar los conectores, consulte la documentación sobre los conectores en el sitio Web de módulos auxiliares (plug-in) de Sentinel .

Para obtener más información sobre la configuración de recopilación de datos, consulte la sección Configuración de recopilación de datos de Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2.2).

NOTA:Siempre debe descargar e importar la versión más reciente de los recopiladores y los conectores. Los recopiladores y conectores actualizados se publican con regularidad en el sitio Web de módulos auxiliares (plug-in) de Sentinel 6.1. Las actualizaciones de los conectores y recopiladores incluyen soluciones, asistencia para eventos adicionales y mejoras de rendimiento.

1.1.4 Gestor de recopiladores

El gestor de recopiladores proporciona un punto de recopilación de datos flexible para Sentinel Log Manager. Novell Sentinel Log Manager instala un gestor de recopiladores por defecto durante la instalación. No obstante, puede instalar gestores de recopiladores de manera remota en ubicaciones adecuadas dentro de la red. Estos gestores de recopiladores ejecutan conectores y recopiladores y distribuyen los datos recopilados a Novell Sentinel Log Manager para su almacenamiento y recopilación.

Para obtener información sobre la instalación de gestores de recopiladores adicionales, consulte Instalación de gestores de recopiladores adicionales.

1.1.5 Almacenamiento de datos

Los datos fluyen entre los componentes de recopilación de datos y los componentes de almacenamiento de datos. Estos componentes utilizan un sistema de indexado y almacenamiento de datos basado en archivos que mantiene los datos de registro de los dispositivos recopilados, y una base de datos PostgreSQL que mantiene los datos de configuración de Novell Sentinel Log Manager.

Los datos se almacenan en un formato comprimido en el sistema de archivos del servidor y luego se almacenan en una ubicación configurada para su almacenamiento a largo plazo. Los datos se pueden almacenar a nivel local o en un recurso SMB montado a distancia (CIFS) o en un recurso compartido NFS. Los archivos de datos se suprimen de las ubicaciones de almacenamiento locales y de red en función del programa configurado en la directiva de retención de datos.

Puede configurar las directivas de retención de datos para suprimir datos de la ubicación de almacenamiento si se ha excedido el tiempo límite de retención de datos para determinados datos o si el espacio disponible disminuye por debajo de un valor especificado de espacio en el disco.

Para obtener más información sobre la configuración del almacenamiento de datos, consulte Configuración de almacenamiento de datos en Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2).

1.1.6 Búsqueda y generación de informes

Los componentes de búsqueda y generación de informes le ayudan a buscar y generar informes sobre los datos del registro de eventos en los sistemas de indexado y de almacenamiento tanto locales como de red. Los datos de eventos almacenados se pueden buscar de forma genérica o en campos de eventos específicos como el nombre de usuario de origen. Estos resultados de búsqueda se pueden delimitar o filtrar aún más y guardarlos en una plantilla de informes para su uso en el futuro.

Sentinel Log Manager incluye informes previamente instalados. También puede cargar informes adicionales. Puede ejecutar informes según un programa o siempre que sea necesario.

Para obtener información sobre una lista de informes por defecto, consulte Generación de informes en Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2).

Para obtener más información sobre la búsqueda de eventos y la generación de informes, consulte los apartados Searching Events (Búsqueda de eventos) y Reporting (Generación de informes) de la Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2.2).

1.1.7 Sentinel Link

Sentinel Link se puede utilizar para remitir datos de eventos desde un servidor Sentinel Log Manager a otro. Con un conjunto jerárquico de gestores Sentinel Log Manager, se pueden conservar registros completos en diversas ubicaciones regionales, mientras que los eventos más importantes se remiten a un único Sentinel Log Manager para realización de informes y búsquedas centralizadas.

Además, Sentinel Link puede remitir eventos importantes a Novell Sentinel, un sistema de gestión de eventos de información de seguridad (SIEM) completo, para correlación avanzada, solución de incidentes e inyección de información de contexto de gran valor como, por ejemplo, la importancia del servidor o información de identidad desde un sistema de gestión de identidades.

1.1.8 Interfaz de usuario basada en Web

Novell Sentinel Log Manager incluye una interfaz de usuario basada en la Web para configurar y usar el gestor de registros. La funcionalidad de la interfaz del usuario la facilita un servidor Web y una interfaz gráfica del usuario basada en Java Web Start. Todas las interfaces del usuario se comunican con el servidor por medio de una conexión cifrada.

Puede usar la interfaz Web de Novell Sentinel Log Manager para realizar las tareas siguientes:

Buscar eventos
Guardar los criterios de búsqueda como una plantilla de informe
Ver y gestionar informes
Lanzar la interfaz Gestión de orígenes de eventos para configurar la recopilación de datos para los orígenes de eventos que no sean syslog o las aplicaciones de Novell (sólo administradores)
Configurar la remisión de datos (sólo administradores)
Descargar el instalador del Gestor de recopiladores Sentinel para una instalación remota (sólo administradores)
Ver la actividad de los orígenes de eventos (sólo administradores)
Configurar la recopilación de datos para los orígenes de datos de syslog y Novell (sólo administradores)
Configurar el almacenamiento de datos y ver la actividad de la base de datos (sólo administradores)
Configurar el archivado de datos (sólo administradores)
Configurar acciones asociadas para enviar los datos de evento coincidentes a los canales de salida (sólo para los administradores).
Gestionar cuentas y permisos de usuarios (sólo administradores)