NetIQ Documentation: Guida all'installazione di Sentinel Log Manager 1.2.2 - Panoramica sul prodotto

1.1 Panoramica sul prodotto

Novell Sentinel Log Manager 1.2 offre alle aziende una soluzione di gestione dei log flessibile e scalabile. Novell Sentinel Log Manager è una soluzione di gestione dei log, creata per fornire tutte le attività principali di gestione e raccolta dei log e distribuire una risposta completa mirata a ridurre i costi, la complessità del rischio di gestione e a semplificare i requisiti di conformità.

Figura 1-1 Architettura di Novell Sentinel Log Manager

Novell Sentinel Log Manager dispone delle seguenti funzionalità:

Le capacità di ricerca distribuita consentono ai clienti di eseguire le ricerche degli eventi raccolti non solo sul server locale di Sentinel Log Manager ma anche su uno o più server Sentinel Log Manager da un'unica console centralizzata.
I rapporti di conformità esistenti semplificano il task di generazione dei rapporti di conformità per la revisione e l'analisi forense.
Grazie all'utilizzo di tecnologia di memorizzazione non proprietaria, i clienti possono potenziare la propria infrastruttura esistente per gestire ulteriormente i costi.
Un'interfaccia utente migliorata basata su browser supporta la raccolta, la memorizzazione, la generazione dei rapporti e la realizzazione delle ricerche dei dati di log per facilitare e rendere più efficaci i task di monitoraggio e gestione.
I controlli e le personalizzazioni differenziati ed efficienti per amministratori IT, possibili grazie alle nuove funzionalità di autorizzazione per gruppi e utenti, forniscono una migliore trasparenza nell'intera attività dell'infrastruttura IT.

Questa sezione contiene le seguenti informazioni:

1.1.1 Origini evento

Novell Sentinel Log Manager raccoglie i dati dalle origini evento che generano i log per syslog, log degli eventi Windows, file, database, SNMP, Novell Audit, Security Device Event Exchange (SDEE), Check Point Open Platforms for Security (OPSEC) e altri meccanismi e protocolli di memorizzazione.

Sentinel Log Manager supporta tutte le origini evento, sempre che siano servizi di raccolta compatibili per l'analisi dei dati provenienti da tutte le origini evento menzionate. Novell Sentinel Log Manager fornisce i servizi di raccolta per numerose origini evento. Il Servizio di raccolta eventi generico raccoglie ed elabora i dati provenienti da origini evento sconosciute dotate di servizi di raccolta compatibili.

Le origini evento per la raccolta dei dati possono essere configurate utilizzando l'interfaccia Gestione origine eventi.

Per un elenco completo delle origini evento supportate, vedere Sezione 2.6, Origini evento supportate.

1.1.2 Gestione origini eventi

Grazie all'interfaccia Gestione origine eventi è possibile importare e configurare i connettori e i servizi di raccolta di Sentinel 6.0 e 6.1.

I seguenti task possono essere realizzati mediante la visualizzazione in diretta della finestra Gestione origini eventi:

Aggiungere o modificare le connessioni alle origini evento mediante le configurazioni guidate.
Visualizzare in tempo reale lo stato delle connessioni alle origini evento.
Importare o esportare le configurazioni delle origini evento dalla o alla visualizzazione in diretta.
Visualizzare e configurare i connettori e i servizi di raccolta installati con Sentinel.
Importare o esportare i connettori e i servizi di raccolta da o a un archivio centralizzato.
Controllare il flusso dei dati tramite i connettori e i servizi di raccolta configurati.
Visualizzare le informazioni sui dati non elaborati.
Progettare, configurare e creare i componenti di gerarchia dell'origine evento ed eseguire le azioni necessarie mediante tali componenti.

Per ulteriori informazioni, consultare la sezione relativa alla Gestione origini eventi della Guida dell'utente di Sentinel.

1.1.3 Raccolta dei dati

Novell Sentinel Log Manager raccoglie i dati dalle origini evento configurate mediante il supporto dei connettori e dei servizi di raccolta.

I servizi di raccolta sono degli script che analizzano sintatticamente i dati, i quali provengono da origini evento di vario tipo, nella struttura eventi normalizzata di Sentinel oppure, in alcuni casi, raccolgono dati di formato diverso provenienti da origini evento esterne. Ogni servizio di raccolta deve essere installato insieme a un connettore compatibile. I connettori semplificano la connettività tra i servizi di raccolta di Sentinel Log Manager e le origini evento o le origini dati.

Grazie al supporto fornito mediante un'interfaccia utente basata su Web migliorata per syslog e Novell Audit, Novell Sentinel Log Manager consente di raccogliere i log da origini evento diverse in modo molto più semplice.

Novell Sentinel Log Manager consente di raccogliere i dati utilizzando una vasta gamma di metodi di connessione:

Il connettore Syslog accetta e configura automaticamente le origini dati syslog che inviano i dati mediante i protocolli User Datagram Protocol (UDP), Transmission Control Protocol (TCP) oppure mediante il protocollo sicuro Transport Layer System (TLS).
Il connettore Audit accetta e configura automaticamente le origini dati Novell abilitate per la revisione.
Il connettore di file legge i file di log.
Il connettore SNMP riceve i trap SNMP.
Il connettore JDBC legge i dati provenienti dalle tabelle del database.
Il connettore WMS effettua l'accesso ai log degli eventi Windows sui desktop e sui server.
Il connettore SDEE connette i dispositivi che supportano il protocollo SDEE come, ad esempio, i dispositivi Cisco.
Il connettore Log Export API (LEA) per i dispositivi Check Point consente l'integrazione tra i servizi di raccolta Sentinel e i server firewall Check Point.
Il connettore di collegamento a Sentinel accetta i dati provenienti da altri server di Novell Sentinel Log Manager.
Il connettore dei processi accetta i dati provenienti dai processi personalizzati che restituiscono i log degli eventi.

È possibile acquistare anche un'ulteriore licenza per effettuare il download dei connettori per SAP e i sistemi operativi mainframe.

Per ottenere la licenza, chiamare il numero 1-800-529-3400 oppure contattare il supporto tecnico Novell.

Per ulteriori informazioni sulla configurazione dei connettori, fare riferimento alla relativa documentazione nel sito Web dei plug-in di Sentinel .

Per ulteriori informazioni sulla configurazione della raccolta di dati, consultare Configuring Data Collection (Configurazione della raccolta dei dati) nella Sentinel Log Manager 1.2.2 Administration Guide (Guida all'amministrazione di Sentinel Log Manager 1.2).

NOTA:È necessario importare ed effettuare sempre il download della versione più recente dei servizi di raccolta e dei connettori. I servizi di raccolta e i connettori aggiornati vengono pubblicati periodicamente nel sito Web dei plug-in di Sentinel 6.1 . Gli aggiornamenti ai connettori e ai servizi di raccolta comprendono correzioni, supporto per eventi aggiuntivi e miglioramenti da apportare alle prestazioni.

1.1.4 Gestione servizi di raccolta

La Gestione servizi di raccolta offre un punto di raccolta dei dati flessibile per Sentinel Log Manager. Durante l'installazione di Novell Sentinel Log Manager, di default viene installata anche un'istanza di Gestione servizi di raccolta. Tuttavia, le istanze di Gestione servizi di raccolta possono essere installate in modalità remota nelle posizioni della rete che si reputano più adatte. Tali istanze remote eseguono i connettori e i servizi di raccolta e inoltrano i dati raccolti a Novell Sentinel Log Manager affinché possano essere memorizzati ed elaborati.

Per informazioni sull'installazione di ulteriori istanze di Gestione servizi di raccolta, fare riferimento a Installazione di Gestioni servizi di raccolta aggiuntive.

1.1.5 Memorizzazione dei dati

I dati procedono dai componenti della raccolta di dati verso quelli specifici per la memorizzazione dei dati. Tali componenti utilizzano un sistema di memorizzazione dei dati e indicizzazione basato su file per mantenere i dati di log dei dispositivi raccolti e un database PostgreSQL che consente di conservare i dati di configurazione di Novell Sentinel Log Manager.

I dati vengono memorizzati in un formato compresso nel file system del server, quindi vengono memorizzati in un'ubicazione configurata per la memorizzazione a lungo termine. I dati possono essere memorizzati localmente oppure in una condivisione SMB (CIFS) o NFS il cui montaggio sia stato realizzato in modalità remota. I file di dati vengono eliminati dalle ubicazioni di memorizzazione in rete o locali in base alla pianificazione configurata nella norma di permanenza dei dati

Le norme di permanenza dei dati possono essere configurate in modo che i dati vengano eliminati dall'ubicazione di memorizzazione nell'eventualità che sia stato superato il limite del periodo di permanenza per quei dati specifici oppure che lo spazio a disposizione sia diminuito superando i limiti specificati dal valore dello spazio su disco.

Per ulteriori informazioni sulla configurazione della memorizzazione dei dati, consultare Configuring Data Storage (Configurazione della memorizzazione dei dati) nella Sentinel Log Manager 1.2.2 Administration Guide (Guida all'amministrazione di Sentinel Log Manager 1.2).

1.1.6 Ricerca e generazione di rapporti

I componenti per la realizzazione delle ricerche e la generazione dei rapporti facilitano la ricerca e la creazione di rapporti dei dati del log degli eventi nei sistemi di memorizzazione e indicizzazione dei dati sia locali che in rete. È possibile effettuare la ricerca dei dati evento memorizzati in modo generico oppure in base a campi evento specifici come, ad esempio, il nome utente di origine. I risultati di tali ricerche possono essere ottimizzati o filtrati ulteriormente e salvati come un modello di rapporto per un utilizzo successivo.

Sentinel Log Manager dispone di rapporti preinstallati. È possibile anche effettuare l'upload di ulteriori rapporti. I rapporti possono essere generati in base a una pianificazione o a esigenze più specifiche.

Per ulteriori informazioni sull'elenco dei rapporti di default, consultare Generazione di rapporti nella Sentinel Log Manager 1.2.2 Administration Guide (Guida all'amministrazione di Sentinel Log Manager 1.2).

Per ulteriori informazioni sulla ricerca di eventi e sulla generazione di rapporti, consultare Searching Events (Ricerca di eventi) e Reporting (Generazione di rapporti) nella Sentinel Log Manager 1.2.2 Administration Guide (Guida all'amministrazione di Sentinel Log Manager 1.2.2).

1.1.7 Collegamento Sentinel

Collegamento Sentinel può essere utilizzato per inoltrare i dati evento da un Sentinel Log Manager a un altro. Con una serie gerarchica di Sentinel Log Manager, è possibile conservare log completi in più ubicazioni per area, mentre gli eventi più importanti vengono inoltrati a un singolo Sentinel Log Manager per l'esecuzione delle ricerche e la generazione di rapporti in modo centralizzato.

Collegamento Sentinel consente anche di inoltrare eventi importanti a Novell Sentinel, un sistema SIEM (Security Information Event Management) completo per la correlazione avanzata, la soluzione dei casi e l'immissione di informazioni contestuali di valore elevato come informazioni sulla criticità o sull'identità del server da un sistema di gestione delle identità.

1.1.8 Interfaccia utente basata sul Web

Novell Sentinel Log Manager è dotato di un'interfaccia utente basata sul Web che facilita la configurazione e l'utilizzo della Gestione log di Sentinel. La funzionalità dell'interfaccia utente viene fornita da un server Web e da un'interfaccia grafica basata su Java Web Start. Tutte le interfacce utente comunicano con il server mediante una connessione cifrata.

È possibile utilizzare l'interfaccia Web di Novell Sentinel Log Manager per eseguire i seguenti task:

Ricerca di eventi
Salvataggio dei criteri di ricerca come modello di rapporto
Visualizzazione e gestione dei rapporti
Avvio dell'interfaccia Gestione origine eventi per configurare la raccolta dei dati per le origini dati diverse da syslog e dalle applicazioni Novell. (solo amministratori)
Configurazione dell'inoltro dei dati (solo amministratori)
Esecuzione del download del programma di installazione della Gestione servizi di raccolta per l'installazione remota (solo amministratori)
Visualizzazione dello stato delle origini evento (solo amministratori)
Configurazione della raccolta dei dati per syslog e le origini evento Novell (solo amministratori)
Configurazione della memorizzazione dei dati e visualizzazione dello stato del database (solo amministratori)
Configurazione dell'archiviazione dei dati (solo amministratori)
Configurazione delle azioni associate per l'invio dei dati evento corrispondenti ai canali di output (solo amministratori)
Gestione degli account utente e delle autorizzazioni (solo amministratori)