Sentinel 8.1 SP1 incluye nuevas funciones, facilita el uso y resuelve varios de los problemas anteriores.
Muchas de estas mejoras se realizaron en respuesta directa a las sugerencias de nuestros clientes. A todos les agradecemos su tiempo y su valiosa aportación. Esperamos que sigan ayudándonos a garantizar que nuestros productos satisfagan todas sus necesidades. Puede publicar comentarios en el foro de Sentinel, nuestra comunidad en línea que también incluye información sobre productos, blogs y enlaces a recursos útiles.
La documentación de este producto está disponible en el sitio Web de NetIQ en formato HTML y PDF, en una página que no requiere entrar a una sesión. Si tiene sugerencias de mejoras para la documentación, haga clic en el icono de comentarios en cualquier página de la versión HTML de la documentación publicada en la documentación de Sentinel . Para descargar este producto, consulte el sitio Web de actualizaciones del producto Sentinel.
En las secciones siguientes se describen las principales mejoras y funciones, además de los problemas que soluciona esta nueva versión:
Sentinel 8.1.1 incluye correcciones para resolver la vulnerabilidad Sweet32 (CVE-2016-2183).
Ahora Sentinel incluye Java 8 Update 152, que integra correcciones para varias vulnerabilidades de seguridad.
Sentinel 8.1.1 incluye las mejoras siguientes:
Nuevos eventos de auditoría para los mensajes "No se pudo correlacionar"
Se ha añadido la capacidad de asignar el permiso Ver resultados del informe a una función
Capacidad de definir la hora de finalización para la sincronización de datos
Capacidad de añadir hasta 60 caracteres en un nombre de usuario
Mejoras en la frecuencia de actualización del tamaño de retención de datos sin procesar
Columna summary_key como clave principal para las tablas de resumen de eventos
Sentinel ahora genera eventos de auditoría para los mensajes "No se pudo correlacionar" que se producen cuando:
Los eventos llegan tarde con una diferencia de tiempo superior a 30 segundos.
El buffer de reordenación está lleno.
(Error 1018336)
Problema: Los clientes solicitaron la capacidad de crear una función que permita a un usuario ver los resultados del informe, pero no ejecutar o suprimir informes. El permiso Ver resultados del informe existe, pero no se puede otorgar a una función en Gestión de usuarios/funciones. (Error 1047479)
Solución: Ahora puede conseguir que el permiso Ver resultados del informe esté visible en Gestión de usuarios/funciones para asignar este permiso a una función. Siga estos pasos:
Abra el archivo /etc/opt/novell/sentinel/config/ui-configuration.properties para editarlo.
Añada la siguiente propiedad:
viewReportResults.hideUI=false
Guarde los cambios.
Salga y reinicie la interfaz de usuario Web.
También debe pulsar Control F5 para borrar la caché del navegador.
Acceda a Gestión de usuarios/funciones y cree una función nueva.
Debería aparecer el permiso Ver resultados del informe.
Al editar informes, el selector de fecha ya no muestra la fecha en la que se ejecutó por última vez el informe. Ahora se establece por defecto en la fecha actual para evitar la necesidad de hacer clic en muchos meses en adelante si la hora de inicio es anterior a la fecha actual. (Error 1016005)
Ahora puede definir la hora de finalización de una directiva de sincronización de datos para que pueda sincronizar datos solo para determinados intervalos de tiempo. Esta función solo está disponible para las directivas de sincronización de datos nuevas y no para las directivas existentes. (Error 1053484)
Ahora puede introducir un máximo de 60 caracteres en el campo Nombre de usuario al crear usuarios. (Error 1063025)
Se han realizado las siguientes mejoras para el intervalo de actualización del tamaño de retención de datos sin procesar en la interfaz de usuario Almacenamiento> Eventos> Retención de datos:
Se ha cambiado el intervalo de actualización por defecto del tamaño de retención de datos sin procesar a cada 12 horas para evitar problemas de rendimiento cuando los datos sin procesar presenten un gran tamaño.
El intervalo de tiempo límite por defecto se ha cambiado a cada 60 minutos.
Puede personalizar estos valores por defecto si es necesario:
Entre en el servidor de Sentinel como el usuario novell.
En el directorio /etc/opt/novell/sentinel/config, cree un archivo como: obj-component.DiskStatisticsCache.properties.
En el archivo de propiedades, defina las propiedades en el valor que desee, como se indica a continuación:
<obj-component id="DiskStatisticsCache"> <class>esecurity.ccs.comp.auth.DiskStatisticsCache</class> <property name="onlineRawDataCheckInterval">value_in_milliseconds</property> <property name="onlineRawDataTaskTimeoutPeriod">value_in_milliseconds</property> </obj-component>
Reinicie el servidor Sentinel.
(Error 1027773)
La columna summary_key de las tablas de resumen de eventos ahora es la clave principal, lo que permite que otras herramientas de bases de datos se beneficien de los metadatos adecuados. (Error 1048739)
Sentinel 8.1.1 incluye correcciones de software que solucionan los siguientes problemas:
Los resultados de búsqueda incluidos en el archivo CSV exportado están en blanco
La API Rest de EventSearch no funciona después de actualizar Sentinel 7.4.3 a Sentinel 8.0.1
Sentinel no responde después de habilitar la integración de ISE
El panel de ajuste preciso muestra un error durante la búsqueda
La documentación de la API de Sentinel no muestra todas las bibliotecas necesarias
Los campos de eventos no muestran la información de Collector Manager
La vista de alertas filtra correctamente los datos de "Todas las alertas nuevas"
Los resultados de búsqueda de la federación de datos contienen eventos duplicados
La sincronización de datos no funciona después de actualizar Sentinel a la versión 8.1.0.1
La sección Agent Manager de la interfaz principal de Sentinel aparece atenuada
Se produce un error en la generación de informes si los eventos contienen caracteres especiales
Collector Manager no se reinicia cuando hay desplazamientos de eventos de gran tamaño
La función de alerta automática actualiza siempre EventThroughputUtilization al 100 % de uso
El puesto final de la API REST collectormgr-status muestra un estado incorrecto
report_dev_setup.sh no realiza una copia de seguridad del archivo de configuración del cortafuegos
El botón Probar conectividad de Sentinel Agent Manager Console se inicia con un ping
No se pueden ver las alertas con datos IPv6 en las vistas de alertas
Problema: Al exportar resultados de búsqueda que incluyen eventos del almacenamiento secundario, el archivo CSV solo contiene los encabezados y no los resultados de búsqueda reales. (Errores 1043709 y 1073502)
Solución: El archivo CSV ahora incluye los resultados de búsqueda que exporte.
Las notificaciones por correo electrónico ahora muestran correctamente AM o PM. (Error 1040423)
La interfaz principal de Sentinel se lanza correctamente. (Error 1047106)
La API Rest de EventSearch finaliza correctamente sin que aparezcan excepciones. (Error 1038133)
Problema: El motor de correlación no activa los eventos del día actual si el evento anterior tenía una marca horaria posterior a la fecha de época. Muestra la excepción El búfer de reordenación de correlación está lleno y, al final, se bloquea. (Error 1036765)
Solución: El motor de correlación activa ahora los eventos del día actual sin que aparezcan excepciones.
Problema: Dos o tres días después de la integración de ISE, Sentinel deja de responder. Los registros del servidor de Sentinel incluían el siguiente mensaje, que indicaba excepciones de memoria insuficiente y la imposibilidad de crear subprocesos:
java.lang.OutOfMemoryError: unable to create new native thread
Este problema se debe a la gran cantidad de actualizaciones de asignaciones que activa la integración de ISE, así como a un problema específico de las asignaciones con exactamente una clave "RANGE" más una o varias claves "STRING". Cuando se produjo este conjunto específico de circunstancias, Sentinel creó un directorio h2temp por separado para cada valor único de la clave de cadena. Esto significaba que cuando el archivo ISE ipmap.csv tenía 6000 entradas o más (como podría ser habitual durante las horas de funcionamiento normales), Sentinel volvería a crear los 6000 directorios h2temp o más durante cada actualización de asignaciones de 30 segundos. (Error 1036765)
Solución: La asignación por defecto utilizada para almacenar asignaciones, que contiene específicamente una clave "RANGE" más una o varias claves "STRING", ahora es una asignación de memoria. La asignación no utiliza una base de datos H2 y, por lo tanto, no tiene que crear la gran cantidad de directorios h2temp.
NOTA:Puede configurar si las asignaciones de rango/clave utilizan objetos que requieren directorios temporales. Añada la nueva propiedad del sistema sentinel.mapping.h2.useDbRangeMap al archivo configuration.properties. Esta propiedad del sistema tiene los siguientes valores:
false: utilice los objetos DataObjectKeyRangeMap, que no requieren directorios temporales (valor por defecto).
true: utilice los objetos DBRangeMapDataObjectStorage, que requieren directorios temporales.
Problema: Si ejecuta una búsqueda de eventos y, a continuación, hace clic en el botón Buscar mientras la búsqueda aún se está ejecutando, el panel de ajuste preciso muestra el siguiente mensaje:
Recuentos de campos basados en los primeros 0 eventos.
(Error 999743)
Solución: El botón Buscar ahora está inhabilitado mientras se está ejecutando la búsqueda. Una vez completadas todas las tareas, el botón Buscar volverá a estar disponible.
Problema: La documentación de la API no muestra todas las bibliotecas de descarga de clientes que necesita la API REST para funcionar correctamente. (Error 1047684)
Solución: La documentación de la API de Sentinel muestra ahora todas las bibliotecas de descarga de clientes que necesita la API REST.
Problema: Cuando un servidor de Sentinel pierde contacto con Collector Manager, el servidor genera los eventos internos LostContactWithCollectorManager y CollectorManagerDown. Los campos de eventos CollectorNodeName(port) y CollectorManagerId(rv21) de estos eventos internos no muestran la información relacionada con Collector Manager. (Error 1050941)
Solución: Los campos de eventos CollectorNodeName(port) y CollectorManagerId(rv21) muestran ahora correctamente el nombre y el ID de Collector Manager.
Todos los informes programados se ejecutan ahora correctamente. (Error 1051167)
Los informes "Sentinel Core Top 10" y "Sentinel Core Top 10 Dashboard" ahora tardan menos tiempo en ejecutarse. (Error 1040660)
Esta versión resuelve un problema por el que Sentinel mostraba erróneamente todas las alertas, aunque se seleccionase el filtro Todas las alertas nuevas en la vista de alertas. (Error 991732)
La API REST /SentinelRESTServices/objects/plugin proporciona ahora información de módulos auxiliares en formato legible. (Error 992162)
La tarea programada búsqueda ahora se ejecuta correctamente. (Error 1049055)
El informe "Sentinel Core Top 10" ahora se ejecuta correctamente. (Error 1055336)
Problema: Al utilizar la federación de datos para buscar eventos en un entorno distribuido, en la página Resultados de búsqueda, se muestran eventos duplicados. (Error 1048000)
Solución: En la página Resultados de búsqueda, ya no se muestran eventos duplicados.
Esta versión resuelve un problema en el que el proceso de sincronización de datos de agentes (ETL) se interrumpe con una excepción si un agente añadido se ha sincronizado con Sentinel antes de que Sentinel Agent Manager recopilara los atributos del agente. (Error 1050192)
El motor de correlación ahora indica el estado como inactivo cuando se encuentra en este modo. (Error 1062386)
Problema: Cuando el campo Mensaje de un evento tiene más de 8000 caracteres, Sentinel trunca el mensaje. Imprime los primeros 8000 caracteres, así como los caracteres truncados, junto con el siguiente mensaje en los registros, lo que provoca que los registros incluyan la información del mensaje:
El valor del atributo msg es demasiado largo. El tamaño es de 4096 utf-8 (cada carácter puede ser multibyte); el máximo es de 4000 bytes, por lo que se truncarán <truncated_characters>
(Error 927550)
Solución: Sentinel ahora muestra solo 256 caracteres del mensaje truncado en el registro server0.0.
La sincronización de datos funciona correctamente después de actualizar Sentinel a 8.1.0.1. (Error 1052566)
Problema: En la pestaña Recopilación de datos > Orígenes de eventos, la secciónAgent Manager aparece atenuada y se debe utilizar Sentinel Control Center para realizar cualquier operación. (Error 1008335)
Solución: La sección Agent Manager ahora está habilitada en la interfaz principal de Sentinel.
La generación de informes se realiza correctamente, incluso aunque los eventos contengan caracteres especiales. (Error 1060132)
Ahora Collector Manager se reinicia correctamente y procesa los desplazamientos de los orígenes de eventos según lo esperado. (Error 1049771)
Problema: La función de alerta automática actualiza siempre EventThroughputUtilization al 100 % de uso, incluso aunque no se esté generando ninguna alerta. (Error 1065679)
Solución: La función de alerta automática ahora muestra el porcentaje real de EventThroughputUtilization.
Problema: Cuando hay varias instancias de Collector Manager configuradas en un servidor Sentinel, el puesto final de la API collectormgr-status muestra el error 404 no encontrado, incluso aunque las instancias de Collector Manager estén presentes. (Error 1011921)
Solución: La API collectormgr-status ahora muestra el estado correctamente.
El guión report_dev_setup.sh ahora realiza una copia de seguridad del archivo de configuración del cortafuegos para que pueda restablecer fácilmente la configuración en caso de error. El guión también incluye mejoras para aumentar la facilidad de uso. (Error 752657)
NOTA:Solo se realiza una copia de seguridad del archivo SuSEfirewall2 si el puerto de PostgreSQL no se ha añadido a la configuración del cortafuegos de SUSE.
Problema: La opción Probar conectividad se inicia con un ping, lo que indica un riesgo de seguridad.(Error 1009722)
Solución: El botón Probar conectividad ya no utiliza un paquete ICMP (ping) seguido de un comando HTTP en el puerto del conector como parte de su procedimiento de prueba. Ahora solo utiliza el comando HTTP para validar si la conexión se ha establecido correctamente. Esto puede provocar que la prueba de conectividad tarde hasta un minuto más en completarse cuando el extremo remoto no esté activo o no responda adecuadamente.
Problema: Debido a un cambio en el almacenamiento de contraseñas de Sentinel 7.4 SP1, se muestra el siguiente error al actualizar el dispositivo desde versiones anteriores a 7.4 SP1:
Failed to set encrypted password
(Error 967764)
Solución: Sentinel ya no muestra el mensaje de advertencia.
Problema: Al actualizar Sentinel de la versión 7.3 a 7.3 SP1 e iniciar el servidor Sentinel, puede aparecer la siguiente excepción en el registro del servidor:
Invalid length of data object ......
(Error 933640)
Solución: Sentinel ya no muestra la excepción durante la actualización.
Problema: Las vistas y las consolas de alertas de Sentinel no muestran las alertas que tienen direcciones IPv6 en los campos de dirección IP. (Error 924874)
Solución: Las vistas y las consolas de alertas ahora muestran las alertas que tienen direcciones IPv6 en los campos de dirección IP.
Para obtener información acerca de los requisitos de hardware y los sistemas operativos y navegadores compatibles, consulte la página de información técnica de Sentinel.
Para obtener información acerca de la instalación de Sentinel 8.1.1, consulte la NetIQ Sentinel Installation and Configuration Guide (Guía de instalación y configuración de NetIQ Sentinel).
La actualización a Sentinel 8.1.1 puede realizarse desde Sentinel 7.4 y versiones posteriores. Para obtener más información sobre la actualización a Sentinel 8.1.1, consulte la NetIQ Sentinel Installation and Configuration Guide (Guía de instalación y configuración de NetIQ Sentinel).
NetIQ Corporation se esfuerza por garantizar que nuestros productos ofrezcan soluciones de calidad para sus necesidades de software empresarial. Se están investigando los siguientes asuntos. Si necesita más ayuda con algún problema, póngase en contacto con el departamento de Asistencia técnica.
La actualización de Java 8 incluida en Sentinel podría afectar a los siguientes módulos auxiliares:
Cisco SDEE Connector
Conector SAP (XAL)
Remedy Integrator
Si tiene problemas con estos módulos auxiliares (plug-ins), NetIQ priorizará y corregirá los problemas de acuerdo con las directivas estándar de gestión de defectos. Para obtener más información sobre las directivas de servicio técnico, consulte el sitio Web sobre directivas de servicio técnico.
Sección 5.1, Sentinel no puede ejecutar informes locales con una licencia EPS por defecto
Sección 5.2, No se puede convertir Sentinel al modo FIPS debido a un problema con NSS de Mozilla
Sección 5.3, Correlation Engine se desconecta tras la actualización
Sección 5.5, No se puede iniciar la consola de visualización de eventos
Sección 5.6, No es posible instalar Sentinel en SLES 11 SP4 en el modo FIPS
Sección 5.9, La búsqueda de eventos no responde si no dispone de permisos para ver eventos
Sección 5.17, Inexactitudes en las columnas Duración y Accedido de las tareas de búsqueda activas
Sección 5.21, No es posible ver más de un resultado de informe a la vez
Problema: Si su entorno tiene la licencia por defecto de 25 EPS y ejecuta un informe, este generará el siguiente error:
License for Distributed Search feature is expired (La licencia de búsqueda distribuida ha caducado)
Solución: Para ejecutar informes en el mismo JVM que Sentinel, realice los siguientes pasos:
Entre en el servidor Sentinel y abra el archivo /etc/opt/novell/sentinel/config/server.xml.
Busque la siguiente propiedad:
<property name="reporting.process.oktorunstandalone">verdadero</property>
Cambie el valor de configuración a falso:
<property name="reporting.process.oktorunstandalone">falso</property>
Reinicie Sentinel.
Problema: Si intenta convertir Sentinel (servidor, RCM o RCE) al modo FIPS durante la instalación o después, un problema con los paquetes NSS de Mozilla proporcionados por el sistema operativo SLES 12 impide que la conversión se complete correctamente. La conversión se detiene cuando se solicita la contraseña de la base de datos del almacén de claves FIPS, aunque la contraseña especificada cumpla con los criterios esperados. (Error 1065329)
Solución: Para convertir Sentinel al modo FIPS, realice los siguientes pasos:
Entre en el servidor de Sentinel, RCM o RCE como usuario raíz.
Lance el gestor de software de YaST:
yast sw_single
Busque los siguientes paquetes e instale la versión más reciente o actualice a ella:
mozilla-nss-tools
libfreebl3-hmac
libsoftokn3-hmac
Limpie los artefactos de los intentos de conversión a FIPS anteriores:
rm -rf /etc/opt/novell/sentinel/3rdparty/nss rm /etc/opt/novell/sentinel/3rdparty/newpwfile
Vuelva a intentar realizar la conversión a FIPS.
Problema: Los cambios recientes en el procedimiento de validación de reglas de Sentinel provocan un error en la conexión del Correlation Engine si su entorno tiene una regla anterior implementada con una sintaxis incorrecta. (Error 1039598)
Solución: Para volver a conectar el Correlation Engine, puede corregir la sintaxis en la regla que está causando el problema y, a continuación, reiniciar a Sentinel.
Para buscar la regla y la sintaxis correcta, realice los pasos siguientes:
En el archivo server.log, busque Failed to initialize CorrelationEngine (Error al inicializar Correlation Engine).
Por ejemplo, si busca Failed to initialize CorrelationEngine (Error al inicializar Correlation Engine), verá un mensaje de registro similar al siguiente:
Mié May 17 10:58:09 CDT 2017|INFO|Hilo de inicio de contenedor|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Failed to initialize CorrelationEngine (Error al inicializar Correlation Engine)
Desplácese hacia arriba para ver el mensaje de registro anterior, que especifica la regla y muestra la sintaxis. Será similar al siguiente:
Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate (Mié May 17 10:58:09 CDT 2017|SEVERE|Hilo de inicio de contenedor|esecurity.base.ccs.proxy.ComponentElementProxy.activate)
Root cause: Duration must be within a day (antlr.RecognitionException) (Causa raíz: la duración máxima debe ser de un día (antlr. RecognitionException))
esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))
En este ejemplo, el mensaje de registro indica que el problema se ha producido porque el intervalo de tiempo especificado era superior a un día. La sintaxis de la regla especifica más segundos (86460) que los contenidos en un día (86400).
Entre en Sentinel.
Abra una pestaña nueva del navegador.
En la pestaña nueva, vaya a la siguiente dirección URL:
https://<SU IP DE SENTINEL>:8443/SentinelRESTServices/objects/correlation-rule
Para buscar el nombre de la regla y el identificador en la lista de reglas de correlación, busque un elemento único de la sintaxis de regla, como 86460.
(Condicional) Si no puede encontrar el nombre de la regla y el identificador en la lista de reglas de correlación, siga los pasos siguientes:
En un indicador de comandos, cambie al usuario novell. Utilice el comando siguiente:
su - novell
Cambie al directorio /opt/novell/sentinel/bin.
Utilice el comando SQL siguiente:
./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%UniqueText%'"
Donde UniqueText es una parte exclusiva de la sintaxis de regla, como 86460.
(Condicional) Si ya no ha cambiado el usuario de novell, abra un indicador de comandos y cambie al usuario novell. Utilice el comando siguiente:
su - novell
Cambie al directorio /opt/novell/sentinel/bin.
Verifique que la regla se encuentra en la base de datos. Utilice el comando SQL siguiente:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
Donde RuleID es el ID de la regla que figura anteriormente.
Actualice la regla con un filtro nuevo que no active un error durante la validación. Utilice el comando SQL siguiente:
./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=RuleID"
Donde RuleID es el ID de la regla que figura anteriormente.
Verifique que el filtro se ha cambiado en la base de datos. Utilice el comando SQL siguiente:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
Donde RuleID es el ID de la regla que figura anteriormente.
Detenga Sentinel. Utilice el comando siguiente:
./server.sh stop
Reinicie Sentinel. Utilice el comando siguiente:
./server.sh start
Problema: Al convertir el nodo activo al modo FIPS 140-2 en la configuración de alta disponibilidad de Sentinel, la sincronización para convertir todos los nodos pasivos al modo FIPS 140-2 no se realiza por completo. Debe iniciar manualmente la sincronización. (Error 1014472)
Solución: Sincronice manualmente todos los nodos pasivos al modo FIPS 140-2 de la siguiente forma:
Entre a la sesión como usuario root en el nodo activo.
Abra el archivo /etc/csync2/csync2.cfg.
Cambie la línea siguiente:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
a
include /etc/opt/novell/sentinel/3rdparty/nss;
Guarde el archivo csync2.cfg.
Ejecute el comando siguiente para iniciar la sincronización de forma manual:
csync2 -x -v
Problema: Un problema impide que Internet Explorer 11 abra la consola de visualización de eventos. (Error 981308)
Solución: Utilice un navegador distinto para ver o modificar la consola de visualización.
Problema: Si intenta instalar Sentinel en un equipo que está ejecutando el sistema operativo SLES 11 SP4 en el modo FIPS, se producirá un error en el proceso de instalación. (Error 990201)
Solución: Asegúrese de que el sistema operativo no está en modo FIPS y, a continuación, realice los pasos siguientes:
Instale Sentinel. Para obtener más información, consulte la sección Installing Sentinel
(Instalación de Sentinel) en la Sentinel Installation and Configuration Guide (Guía de instalación y configuración de Sentinel).
Habilite el servidor de Sentinel para su ejecución en modo FIPS. Para obtener más información, consulte la sección Enabling Sentinel Server to Run in FIPS 140-2 Mode
(Habilitación del servidor de Sentinel para su ejecución en el modo FIPS 140-2) en la Sentinel Installation and Configuration Guide (Guía de instalación y configuración de Sentinel).
Utilice el siguiente comando con el fin de habilitar el sistema operativo para que se ejecute en modo FIPS:
fips=1 /boot/grub/menu.lst
Problema: Después de habilitar SSDM, cuando se entra a la interfaz principal de Sentinel, el navegador mostrará una página en blanco. (Error 1006677)
Solución: Cierre el navegador y entre de nuevo a la interfaz principal de Sentinel. Este problema solo ocurre en una ocasión: la primera vez que entra a la interfaz principal de Sentinel después de habilitar SSDM.
Problema: En las instalaciones actualizadas de Sentinel, cuando se buscan atributos de alerta en la tabla Sugerencias de la interfaz principal, la búsqueda no devuelve la lista completa de campos de alerta. Sin embargo, los campos de alerta se muestran correctamente en la tabla Sugerencias al borrar la búsqueda. (Error 914755)
Solución: No existe ninguna solución por el momento.
Problema: Si ejecuta una búsqueda de evento cuando no tiene seleccionado ningún filtro de seguridad para su función y dicha función no tiene permisos para ver eventos, la búsqueda no se llevará a cabo. La búsqueda no muestra ningún mensaje de error acerca de los permisos para ver eventos no válidos. (Error 908666)
Solución: Actualice la función con una de las opciones siguientes:
Especifique un criterio en el campo Solo eventos que coinciden con los criterios. Si los usuarios de la función no deben ver ningún evento, puede introducir NOT sev:[0 TO 5].
Seleccione Ver eventos del sistema.
Seleccione Ver todos los datos de eventos (incluidos los datos en bruto y los datos de NetFlow).
Problema: Cuando se edita una búsqueda guardada que se actualizó de Sentinel 7.2 a una versión posterior, la página Programación no muestra el panel Campos de evento, usado para especificar campos de salida en el archivo CSV de informe de la búsqueda. (Error 900293)
Solución: Después de actualizar Sentinel, vuelva a crear y programar la búsqueda para ver el panel Campos de evento en la página Programación.
Problema: Sentinel no devuelve ningún evento correlacionado cuando se buscan todos los eventos correlacionados que se generaron después de implantar o habilitar la regla, haciendo clic en el icono situado junto a Número de activaciones en el panel Estadísticas de actividad de la página de resumen de correlaciones para dicha regla. (Error 912820)
Solución: Cambie el valor del campo Desde en la página de búsqueda de eventos por una hora anterior a la que se muestra en el campo y vuelva a hacer clic en Buscar.
Problema: Durante la regeneración de la línea de base de inteligencia de seguridad, las fechas de inicio y fin de la línea de base son incorrectas y se muestra 1/1/1970. (Error 912009)
Solución: Las fechas correctas se actualizan al finalizar la regeneración de la línea de base.
Problema: Sentinel muestra un error cuando se utiliza el guion report_dev_setup.sh para configurar los puertos de Sentinel para excepciones de cortafuegos. (Error 914874)
Solución: Siga estos pasos para configurar los puertos de Sentinel para excepciones de cortafuegos:
Abra el archivo /etc/sysconfig/SuSEfirewall2.
Cambie la línea siguiente:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
a
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Reinicie Sentinel.
Problema: El rendimiento del recopilador genérico de Sentinel se deteriora cuando se habilita el recopilador genérico de servicios de resolución de nombres de host en Microsoft Active Directory y Windows Collector. El EPS se reduce en un 50% cuando las instancias remotas de Collector Manager envían eventos. (Error 906715)
Solución: No existe ninguna solución por el momento.
Problema: Si tiene el modo FIPS 140-2 habilitado en su entorno de Sentinel, la autenticación de Windows para Agent Manager impide la sincronización con la base de datos de Agent Manager. (Error 814452)
Solución: Utilice la autenticación de SQL para Agent Manager cuando tenga el modo FIPS 140-2 habilitado en su entorno de Sentinel.
Problema: La instalación de alta disponibilidad de Sentinel en un modo diferente de FIPS 140-2 se realiza correctamente, pero muestra el error siguiente dos veces:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Error 810764)
Solución: Se trata de un error previsto y puede ignorarlo de forma segura. A pesar de que el instalador muestra un error, la configuración de alta disponibilidad de Sentinel funciona correctamente en el modo diferente de FIPS 140-2.
Problema: La interfaz principal de Sentinel muestra números negativos en las columnas Accedido y Duración de tareas de búsqueda activas cuando el reloj del ordenador de la interfaz principal de Sentinel está atrasado con respecto al reloj del servidor Sentinel. Por ejemplo, las columnas Duración y Accedido muestran números negativos cuando el reloj de la interfaz principal de Sentinel está fijado en la 1:30 PM y el reloj del servidor de Sentinel en las 2:30 PM. (Error 719875)
Solución: Asegúrese de que la hora en el ordenador que utiliza para acceder a la interfaz principal de Sentinel sea igual o posterior a la hora del ordenador del servidor Sentinel.
Problema: Cuando entra a la consola de seguridad y realiza una búsqueda en el evento de auditoría IssueSAMLToken, el evento IssueSAMLToken muestra un nombre de host (InitiatorUserName) o una IP de origen (dirección IP) incorrectos. (Error 870609)
Solución: No existe ninguna solución por el momento.
Problema: El servidor Sentinel se apaga al ejecutar una búsqueda si hay muchos eventos indexados en una sola partición. (Error 913599)
Solución: Cree directivas de retención de modo que haya al menos dos particiones abiertas en un día. El hecho de tener más de una partición abierta contribuye a reducir el número de eventos indexados en las particiones.
Puede crear directivas de retención que filtren los eventos en función del campo estzhour, que rastrea la hora del día. Por lo tanto, puede crear una directiva de retención con el filtro estzhour:[0 TO 11] y otra con el filtro estzhour:[12 TO 23].
Para obtener más información, consulte Configuring Data Retention Policies
(Configuración de directivas de retención de datos) en la NetIQ Sentinel Administration Guide (Guía de administración de NetIQ Sentinel).
Problema:
La sincronización de datos falla cuando intenta sincronizar campos de dirección IPv6 en un formato legible para el ser humano con bases de datos externas. Para obtener más información acerca de cómo configurar Sentinel para que llene los campos de dirección IP en un formato de notación con punto legible para el ser humano, consulte la sección Creating a Data Synchronization Policy
(Creación de una directiva de sincronización de datos) de la NetIQ Sentinel Administration Guide (Guía de administración de NetIQ Sentinel). (Error 913014)
Solución: Para solucionar este problema, cambie manualmente el tamaño máximo de los campos de dirección IP a al menos 46 caracteres en la base de datos de destino y vuelva a sincronizar la base de datos.
Problema: Mientras espera a que se abra el archivo PDF de resultado de informe, especialmente en el caso de los resultados de informe de 1 millón de eventos, el resultado no se mostrará si hace clic en otro archivo PDF de resultado de informe. (Error 804683)
Solución: Vuelva a hacer clic en el segundo archivo PDF de resultado de informe para ver el resultado.
Nuestro objetivo es proporcionar documentación que satisfaga sus necesidades. Si tiene sugerencias para mejorar, envíelas por correo electrónico a Documentation-Feedback@netiq.com. Agradecemos sus comentarios y estamos deseando oír sus sugerencias.
Para obtener información de contacto detallada, consulte el sitio web de Información de contacto del servicio técnico.
Para obtener información general sobre productos y la empresa, consulte el sitio web corporativo de NetIQ.
Para mantener conversaciones interactivas con sus colegas y con expertos de NetIQ, hágase miembro activo de nuestra comunidad. La comunidad en línea de NetIQ proporciona información sobre productos, enlaces útiles a recursos interesantes, blogs y canales de redes sociales.
Para obtener información acerca de los avisos legales, las marcas comerciales, las renuncias de responsabilidad, las garantías, la exportación y otras restricciones de uso de NetIQ, los derechos restringidos del Gobierno estadounidense, la directiva de patentes y el cumplimiento de la norma FIPS, consulte el sitio http://www.netiq.com/company/legal/.
Copyright © 2018 NetIQ Corporation. Todos los derechos reservados.