Sentinel 8.1 Service Pack 1 offre nuove funzioni, maggiore semplicità di utilizzo e soluzioni a diversi problemi riscontrati nelle versioni precedenti.
Molti miglioramenti sono stati apportati in base ai suggerimenti forniti dai clienti, che ringraziamo per la loro valida collaborazione. Confidiamo che anche in futuro continueranno ad aiutarci a migliorare i nostri prodotti affinché possano soddisfare tutte le loro esigenze. È possibile pubblicare commenti e opinioni nel forum di Sentinel, la nostra comunità online, che include anche informazioni sui prodotti, blog e collegamenti a risorse utili.
La documentazione su questo prodotto è disponibile in formato HTML e PDF sul sito Web di NetIQ, all'interno di una pagina a cui è possibile accedere senza eseguire il login. Se si desidera fornire suggerimenti su come migliorare la documentazione, fare clic sull'icona dei commenti in una pagina qualsiasi della versione HTML della documentazione pubblicata nella pagina relativa alla documentazione di Sentinel . Per effettuare il download del prodotto, visitare il sito Web di upgrade di Sentinel.
Nelle sezioni seguenti sono illustrati le funzioni principali e i miglioramenti, oltre ai problemi risolti in questo rilascio:
Sentinel 8.1.1 include correzioni che consentono di risolvere la vulnerabilità all'attacco Sweet32 (CVE-2016-2183).
Sentinel include Java 8 Update 152, il quale contiene correzioni per numerose vulnerabilità della sicurezza.
Sentinel 8.1.1 include i miglioramenti seguenti:
Nuovi eventi di revisione per i messaggi 'Impossibile eseguire la correlazione'
Aggiunta della possibilità di assegnare l'autorizzazione Visualizza risultati rapporto a un ruolo
Miglioramenti apportati agli intervalli di tempo correlati alla modifica
Possibilità di impostare l'ora di fine per la sincronizzazione dei dati
Possibilità di aggiungere fino a 60 caratteri per un nome utente
Miglioramenti della frequenza di aggiornamento della dimensione della permanenza dati non elaborati
Utilizzo della colonna summary_key come chiave primaria per le tabelle di riepilogo degli eventi
Sentinel è ora in grado di generare eventi di revisione per i messaggi 'Impossibile eseguire la correlazione'. Questi messaggi vengono visualizzati quando:
Gli eventi arrivano in ritardo con uno scarto superiore a 30 secondi.
Il buffer dei riordini è pieno.
(Bug 1018336)
Problema: i clienti hanno richiesto la possibilità di poter creare un ruolo per consentire a un utente di visualizzare i risultati dei rapporti, ma non di eseguirli o eliminarli. L'autorizzazione Visualizza risultati rapporto esiste, ma non è possibile concederla a un ruolo in Gestione utente/ruolo. (Bug 1047479)
Correzione: è ora possibile rendere visibile l'autorizzazione Visualizza risultati rapporto in Gestione utente/ruolo affinché sia possibile assegnarla a un ruolo. Completare la seguente procedura:
Aprire il file /etc/opt/novell/sentinel/config/ui-configuration.properties per la modifica.
Aggiungere la seguente proprietà:
viewReportResults.hideUI=false
Salvare le modifiche.
Chiudere e riavviare l'interfaccia utente Web.
È inoltre necessario premere Control-F5 per svuotare la cache del browser.
Accedere a Gestione utente/ruoloe creare un nuovo ruolo.
Verrà visualizzata l'autorizzazione Visualizza risultati rapporto.
Quando si modificano i rapporti, lo strumento di selezione della data non visualizza più la data in cui il rapporto è stato eseguito l'ultima volta. Di default, viene ora visualizzata la data corrente per evitare di dover fare clic su molti mesi futuri, nel caso in cui la data di inizio sia antecedente alla data corrente. (Bug 1016005)
È ora possibile impostare l'ora di fine per una policy di sincronizzazione dei dati affinché sia possibile sincronizzare i dati solo per alcuni intervalli di tempo. Questa funzionalità è disponibile solo per le nuove policy di sincronizzazione dei dati, ma non per le policy di sincronizzazione dei dati esistenti. (Bug 1053484)
Durante la creazione degli utenti, è ora possibile immettere un numero massimo di 60 caratteri nel campo Nome utente. (Bug 1063025)
Nell'interfaccia utente Storage > Eventi > Permanenza dati sono stati apportati i seguenti miglioramenti all'intervallo di aggiornamento della dimensione della permanenza dati non elaborati:
L'intervallo di aggiornamento della dimensione della permanenza dati non elaborati di default è stato modificato a ogni 12 ore, al fine di evitare problemi di prestazioni quando i dati non elaborati sono di grandi dimensioni.
L'intervallo di timeout di default è stata modificato a ogni 60 minuti.
È possibile personalizzare questi valori default, se necessario:
Eseguire il login al server Sentinel come utente novell.
Nelladirectory /etc/opt/novell/sentinel/config, creare un file con il nome: obj-component. DiskStatisticsCache.properties.
Nel file delle proprietà impostare le proprietà per il valore desiderato nel modo seguente:
<obj-component id="DiskStatisticsCache"> <class>esecurity.ccs.comp.auth.DiskStatisticsCache</class> <property name="onlineRawDataCheckInterval">value_in_milliseconds</property> <property name="onlineRawDataTaskTimeoutPeriod">value_in_milliseconds</property> </obj-component>
Riavviare il server Sentinel.
(Bug 1027773)
La colonna summary_key nelle tabelle di riepilogo degli eventi è ora la chiave primaria, permettendo ad altri strumenti del database di trarre vantaggio dai metadati corretti. (Bug 1048739)
Sentinel 8.1.1 include correzioni software che risolvono i seguenti problemi:
I risultati della ricerca nei file CSV esportati non includono dati
Le notifiche via e-mail per i rapporti pianificati non visualizzano gli indicatori orari AM o PM
L'API Rest EventSearch non funziona dopo l'upgrade da Sentinel 7.4.3 a Sentinel 8.0.1
Sentinel non risponde dopo l'abilitazione dell'integrazione di ISE
Nel pannello di ottimizzazione viene visualizzato il messaggio Errore durante la ricerca
La documentazione delle API di Sentinel non contiene tutte le librerie necessarie
I campi degli eventi non visualizzano alcuna informazione su Gestione servizi di raccolta
La vista degli avvisi filtra correttamente i dati per 'tutti i nuovi avvisi'
I risultati della ricerca di federazione dei dati contengono eventi duplicati
Sentinel Agent Manager Sincronizza gli agenti senza eccezioni
Correlation Engine indica lo stato non in linea quando il motore è in realtà inattivo
Errori nei log del server quando il campo Messaggio nell'evento contiene oltre 8.000 caratteri
La sincronizzazione dei dati non funziona dopo l'upgrade di Sentinel alla versione 8.1.0.1
La sezione Gestione agenti nella schermata principale di Sentinel è disattivata
La generazione dei rapporti non riesce se gli eventi contengono caratteri speciali
Gli avvisi automatici aggiornano sempre EventThroughputUtilization al 100% di utilizzo
L'endpoint dell'API REST collectormgr-status visualizza uno stato non corretto
Lo script report_dev_setup non esegue il backup del file di configurazione del firewall
Impossibile visualizzare nelle viste avvisi gli avvisi contenenti dati IPv6
Problema: quando si esportano i risultati della ricerca che includono eventi provenienti dallo storage secondario, il file CSV contiene solo le intestazioni e non i risultati effettivi della ricerca. (Bug 1043709, Bug 1073502)
Correzione: il file CSV include ora i risultati della ricerca esportati.
Le notifiche e-mail visualizzano ora correttamente gli indicatori orari AM o PM (Bug 1040423)
La schermata principale di Sentinel viene ora avviata correttamente. (Bug 1047106)
L'API Rest EventSearch viene eseguita correttamente senza alcuna eccezione. (Bug 1038133)
Problema: Correlation Engine non attiva gli eventi della giornata corrente se l'evento precedente presentava una registrazione dell'orario oltre la data dell'epoca. Viene visualizzata l'eccezione buffer riordini correlazione pieno e infine il motore si blocca. (Bug 1036765)
Correzione: Correlation Engine attiva ora gli eventi della giornata corrente senza eccezioni.
Problema: due o tre giorni dopo l'integrazione di ISE, Sentinel non risponde. I log del server Sentinel includono il seguente messaggio, il quale indica eccezioni di memoria esaurita e che non è stato possibile creare i thread:
java.lang.OutOfMemoryError: unable to create new native thread
Questo problema deriva dal numero elevato di aggiornamenti delle mappe attivati dall'integrazione di ISE, oltre a un problema specifico delle mappe con includono esattamente una chiave "RANGE" e più una o più chiavi "STRING". Quando si verificano queste circostanze specifiche, Sentinel crea una directory h2temp separata per ogni valore univoco della chiave STRING. Questo significa che quando il file ipmap.csv contiene oltre 6.000 voci (come potrebbe accadere durante il normale funzionamento), Sentinel ricreerà le directory h2temp con oltre 6000 voci per ciascun aggiornamento della mappa eseguito ogni 30 secondi. (Bug 1036765)
Correzione: la mappa di default utilizzata per memorizzare le mappe, la quale contiene in particolare una chiave "RANGE" più una o più chiavi "STRING", è ora una mappa in memoria. La mappa non utilizza un database H2, pertanto la creazione di più directory h2temp non è necessaria.
NOTA:È possibile configurare le mappe intervallo/chiave in modo che utilizzino oggetti che richiedono directory temporanee. Aggiungere la nuova proprietà di sistema sentinel.mapping.h2.useDbRangeMap al file Configuration. Properties di Sentinel. Questa proprietà di sistema presenta i seguenti valori:
false: vengono utilizzati gli oggetti DataObjectKeyRangeMap, che non richiedono directory temporanee (valore di default)
true: vengono utilizzati gli oggettiDBRangeMapDataObjectStorage, che richiedono directory temporanee
Problema: se si esegue una ricerca per gli eventi e si fa clic sul pulsante Ricerca quando la ricerca è ancora in esecuzione, nel pannello di ottimizzazione viene visualizzato il seguente messaggio:
Il campo esegue il conteggio in base ai primi eventi 0.
(Bug 999743)
Correzione: il pulsante Ricerca è ora disabilitato mentre la ricerca è in esecuzione. Al termine di tutti i processi, il pulsante Ricerca sarà nuovamente disponibile.
Problema: la documentazione delle API non contiene tutte le librerie di scaricamento client che l'API REST richiede per il corretto funzionamento. (Bug 1047684)
Correzione: la documentazione delle API di Sentinel contiene ora tutte le librerie di scaricamento client che l'API REST richiede.
Problema: quando un server Sentinel perde il contatto con una Gestione servizi di raccolta, genera gli eventi interniLostContactWithCollectorManager e CollectorManagerDown. I campi degli eventi CollectorNodeName(port) e CollectorManagerId(rv21) non visualizzano le informazioni relative a Gestione servizi di raccolta. (Bug 1050941)
Correzione: i campi degli eventi CollectorNodeName(port) e CollectorManagerId(rv21) visualizzano ora correttamente il nome e l'ID di Gestione servizi di raccolta.
Tutti i rapporti vengono ora eseguiti correttamente. (Bug 1051167)
I rapporti Sentinel Core Top 10 e Sentinel Core Top 10 Dashboard di Sentinel vengono ora eseguiti in minor tempo (Bug 1040660)
Questa versione risolve il problema riscontrato quando Sentinel visualizza erroneamente tutti gli avvisi anche se si è scelto il filtro Tutti i nuovi avvisi in Visualizza avvisi. (Bug 991732)
L'API REST /SentinelRESTServices/objects/plugin fornisce ora le informazioni del plug-in in un formato leggibile (Bug 992162)
Il processo Lavoro pianificato viene ora eseguito correttamente. (Bug 1049055)
Il rapporto Sentinel Core Top 10 viene ora eseguito correttamente. (Bug 1055336)
Problema: quando si utilizza la federazione dei dati per ricercare gli eventi in un ambiente distribuito, la pagina Risultati della ricerca visualizza eventi duplicati. (Bug 1048000)
Correzione: nella pagina Risultati della ricerca non vengono più visualizzati eventi duplicati.
Questa versione risolve il problema in cui il processo di sincronizzazione dei dati dell'agente (ETL) non riusciva e generava un'eccezione se un agente aggiunto si sincronizzava con Sentinel prima che Sentinel Agent Manager avesse raccolto gli attributi dell'agente. (Bug 1050192)
Correlation Engine ora indica lo stato inattivo quando è effettivamente nello stato inattivo. (Bug 1062386)
Problema: quando il campo Messaggio di un evento include oltre 8.000 caratteri, Sentinel tronca il messaggio. Vengono stampati i primi 8.000 caratteri, nonché i caratteri troncati con il seguente messaggio nei log per creare i log completati con le informazioni del messaggio:
Il valore dell'attributo msg è troppo lungo. La dimensione è 4.096 utf-8 (ogni carattere potrebbe essere multibyte), il max è 4.000 byte, troncamento < caratteri_troncati >
(Bug 927550)
Correzione: Sentinel visualizza ora solo 256 caratteri del messaggio troncato nel log del server0.0.
La sincronizzazione dei dati funziona correttamente dopo l'upgrade di Sentinel alla versione 8.1.0.1. (Bug 1052566)
Problema: nella scheda Raccolta dei dati > Origini eventi la sezione Gestione agenti non è attiva ed è necessario utilizzare Sentinel Control Center per eseguire qualsiasi operazione. (Bug 1008335)
Correzione: la sezione Gestione agenti è ora abilitata nella schermata principale di Sentinel.
La generazione dei rapporti non riesce anche se gli eventi contengono caratteri speciali (Bug 1060132)
Gestione servizi di raccolta viene ora riavviato quando sono presenti differenze degli eventi di grandi dimensioni (Bug 1049771)
Problema: gli avvisi automatici aggiornano sempre EventThroughputUtilization al 100% di utilizzo anche se non sono presenti avvisi da generare. (Bug 1065679)
Correzione: gli aggiornamenti automatici degli avvisi visualizzano ora la percentuale EventThroughputUtilization effettiva.
Problema: quando sono presenti più istanze di Gestione servizi di raccolta configurate con un singolo server Sentinel, l'endpoint dell'API collectormgr-status visualizza l'errore404 not found anche se le Gestioni servizi di raccolta sono presenti. (Bug 1011921)
Correzione: ora l'API collectormgr-status visualizza correttamente lo stato.
Lo scriptreport_dev_setup consente ora di eseguire il backup del file di configurazione del firewall consentendo di eseguire facilmente il ripristino in caso di errori. Lo script include inoltre miglioramenti per aumentare la facilità di utilizzo. (Bug 752657)
NOTA:Il backup del file SuSEfirewall2 viene eseguito solo quando la porta di PostgreSQL non viene aggiunta alla configurazione del firewall SUSE.
Problema: il pulsante Test della connettività si avvia con un comando Ping, il che indica un problema di sicurezza.(Bug 1009722)
Correzione: il pulsante Test della connettività non utilizza più un pacchetto ICMP (Ping) seguito da un comando HTTP alla porta del connettore come parte della procedura test. Ora utilizza solo il comando HTTP per verificare se la connessione è riuscita. Questo potrebbe causare il prolungamento di un minuto dell'esecuzione del test della connettività quando il dispositivo remoto non è attivo o non risponde correttamente.
Problema: una modifica alla memorizzazione della password in Sentinel 7.4 SP1 genera la visualizzazione dell'errore seguente quando si esegue l'upgrade dell'applicazione da versioni precedenti alla 7.4 SP1:
Failed to set encrypted password
(Bug 967764)
Correzione: Sentinel non visualizza più il messaggio di avviso.
Problema: Quando si esegue l'upgrade di Sentinel dalla versione 7.3 alla versione 7.3 SP1 e si avvia il server Sentinel, nel log del server potrebbe apparire l'eccezione seguente:
Invalid length of data object ......
(Bug 933640)
Correzione: Sentinel non visualizza più l'eccezione durante l'upgrade.
Problema: nelle viste e nei dashboard degli avvisi di Sentinel non vengono visualizzati gli avvisi con indirizzi IPv6 nei campi degli indirizzi IP. (Bug 924874)
Correzione: le viste e i dashboard degli avvisi visualizzano ora avvisi con indirizzi IPv6 nei campi degli indirizzi IP.
Per informazioni su requisiti hardware, sistemi operativi supportati e browser, visitare la pagina delle informazioni tecniche su Sentinel.
Per informazioni sull'installazione di Sentinel 8.1.1, vedere la Guida all'installazione e alla configurazione di NetIQ Sentinel.
È possibile eseguire l'upgrade a Sentinel 8.1.1 da Sentinel 7.4 e versioni successive. Per informazioni sull'upgrade a Sentinel 8.1.1, vedere Guida all'installazione e alla configurazione di NetIQ Sentinel.
NetIQ Corporation si impegna affinché i propri prodotti forniscano soluzioni di qualità che soddisfino le esigenze software aziendali. I problemi elencati di seguito sono attualmente in fase di studio. Per ulteriore assistenza relativamente a un problema, rivolgersi al supporto tecnico.
L'aggiornamento Java 8 incluso in Sentinel potrebbe avere ripercussioni sui seguenti plug-in:
Connettore Cisco SDEE
Connettore (XAL) SAP
Integratore Remedy
Per eventuali problemi con tali plug-in, NetIQ definirà le priorità e fornirà le soluzioni in base alle policy standard di gestione dei difetti. Per ulteriori informazioni sulle policy di supporto, vedere la pagina relativa alle policy di supporto.
Sezione 5.1, Impossibile eseguire i rapporti locali con la licenza EPS di default
Sezione 5.3, Correlation Engine si disconnette al termine dell'upgrade
Sezione 5.5, Impossibile avviare il dashboard di visualizzazione degli eventi
Sezione 5.6, Impossibile installare Sentinel in SLES 11 SP4 in modalità FIPS
Sezione 5.17, Imprecisioni nelle colonne Durata e Accesso eseguito del lavoro di ricerca attivo
Sezione 5.21, Impossibile visualizzare più di un risultato dei rapporti contemporaneamente
Problema: se nell'ambiente è presente la licenza di default per 25 EPS e si esegue un rapporto, l'operazione ha esito negativo e viene restituito l'errore seguente:
License for Distributed Search feature is expired (La licenza per la ricerca distribuita è scaduta)
Soluzione: per eseguire i rapporti nella stessa JVM di Sentinel, effettuare le operazioni seguenti:
Eseguire il login al server Sentinel e aprire il file /etc/opt/novell/sentinel/config/server.xml.
Individuare la proprietà seguente:
<property name="reporting.process.oktorunstandalone">true</property>
Modificare l'impostazione in false.
<property name="reporting.process.oktorunstandalone">false</property>
Riavviare Sentinel.
Problema: se durante o dopo l'installazione si tenta di convertire Sentinel (Server, RCM o RCE) in modalità FIPS, si verifica un problema con i pacchetti NSS di Mozilla che sono forniti dal sistema operativo SLES 12 che impedisce il corretto completamento della conversione. La conversione si interrompe quando viene richiesta la password del database dell'archivio chiavi FIPS anche se la password specificata soddisfa i criteri previsti. (Bug 1065329)
Soluzione: Per convertire Sentinel in modalità FIPS, completare i passaggi seguenti:
Eseguire il login al Server Sentinel, RCM o RCE come utente root.
Avviare Gestione del software YaST:
yast sw_single
Ricercare i seguenti pacchetti e installare o eseguire l'upgrade alla versione più recente:
mozilla-nss-tools
libfreebl3-hmac
libsoftokn3-hmac
Eliminare gli elementi relativi ai tentativi di conversione FIPS precedenti:
rm -rf /etc/opt/novell/sentinel/3rdparty/nss rm /etc/opt/novell/sentinel/3rdparty/newpwfile
Riprovare a eseguire la conversione FIPS.
Problema: le recenti modifiche apportate al modo in cui Sentinel convalida le regole fanno sì che Correlation Engine non riesca a connettersi, nel caso in cui nell'ambiente dell'utente sia presente una regola distribuita meno recente con sintassi errata. (Bug 1039598)
Soluzione: per connettere di nuovo Correlation Engine, è possibile correggere la sintassi della regola che causa il problema, quindi riavviare Sentinel.
Per trovare la regola e correggerne la sintassi, eseguire la procedura seguente:
Nel file server.log, cercare Failed to initialize CorrelationEngine.
Ad esempio, quando si cerca Failed to initialize CorrelationEngine, viene visualizzato un messaggio di log analogo al seguente:
Wed May 17 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Failed to initialize CorrelationEngine
Scorrere verso l'alto per visualizzare il messaggio di log precedente, nel quale viene indicata la regola e ne viene mostrata la sintassi. Il messaggio è analogo al seguente:
Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Root cause: Duration must be within a day (antlr.RecognitionException)
esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))
In questo esempio, il messaggio di log indica che il problema si è verificato perché la durata specificata era superiore a un giorno. La sintassi della regola riporta un numero maggiore di secondi (86460) rispetto a quelli di un giorno (86400).
Eseguire il login a Sentinel.
Aprire una nuova scheda del browser.
In questa nuova scheda, accedere all'URL seguente:
https://<YOUR SENTINEL IP>:8443/SentinelRESTServices/objects/correlation-rule
Per trovare il nome e l'ID della regola nell'elenco di regole di correlazione, cercare una parte univoca della sintassi della regola, ad esempio, 86460.
(Condizionale) Se non è possibile trovare il nome e l'ID della regola nell'elenco delle regole di correlazione, eseguire la procedura seguente:
In un prompt di comandi, passare all'utente novell. Utilizzare il seguente comando:
su -novell
Passare alla directory /opt/novell/sentinel/bin.
Utilizzare il seguente comando SQL:
./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%UniqueText%'"
In questo caso, UniqueText rappresenta la parte univoca relativa alla sintassi della regola, ad esempio, 86460.
(Condizionale) Se non è stato già eseguito il passaggio all'utente novell, aprire un prompt dei comandi e passare all'utente novell. Utilizzare il seguente comando:
su -novell
Passare alla directory /opt/novell/sentinel/bin.
Verificare che la regola si trovi nel database. Utilizzare il seguente comando SQL:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
In questo caso, RuleID corrisponde all'ID della regola trovata in precedenza.
Aggiornare la regola con un nuovo filtro che non genera un errore durante la convalida. Utilizzare il seguente comando SQL:
./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=RuleID"
In questo caso, RuleID corrisponde all'ID della regola trovata in precedenza.
Verificare che il filtro sia stato modificato nel database. Utilizzare il seguente comando SQL:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
In questo caso, RuleID corrisponde all'ID della regola trovata in precedenza.
Arrestare Sentinel. Utilizzare il seguente comando:
./server.sh stop
Riavviare Sentinel. Utilizzare il seguente comando:
./server.sh start
Problema: quando si converte il nodo attivo alla modalità FIPS 140-2 in Sentinel High Availability, la sincronizzazione per convertire tutti i nodi passivi alla modalità FIPS 140-2 non viene eseguita completamente. La sincronizzazione deve essere avviata manualmente. (Bug 1014472)
Soluzione: sincronizzare manualmente tutti i nodi passivi alla modalità FIPS 140-2 come indicato di seguito:
Eseguire il login come utente root nel nodo attivo.
Aprire il file /etc/csync2/csync2.cfg.
Modificare la riga seguente:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
come segue
include /etc/opt/novell/sentinel/3rdparty/nss;
Salvare il file csync2.cfg.
Avviare manualmente la sincronizzazione eseguendo il comando seguente:
csync2 -x -v
Problema: un problema impedisce a Internet Explorer 11 di aprire il dashboard di visualizzazione degli eventi. (Bug 981308)
Soluzione: per visualizzare o modificare il dashboard di visualizzazione, utilizzare un browser diverso.
Problema: se si tenta di installare Sentinel in un computer in cui il sistema operativo SLES 11 SP4 viene eseguito in modalità FIPS, la procedura di installazione ha esito negativo. (Bug 990201)
Soluzione: verificare che il sistema operativo non sia in modalità FIPS ed effettuare i passaggi seguenti:
Installare Sentinel. Per ulteriori informazioni, consultare Installazione di Sentinel
nella Guida alla configurazione e all'installazione di NetIQ Sentinel.
Abilitare l'esecuzione in modalità FIPS del server Sentinel. Per ulteriori informazioni, vedere Abilitazione dell'esecuzione in modalità FIPS 140-2 nel server Sentinel
nella Guida all'installazione e alla configurazione di Sentinel.
Per abilitare l'esecuzione del sistema operativo in modalità FIPS, utilizzare il comando seguente:
fips=1 /boot/grub/menu.lst
Problema: dopo aver abilitato SSDM, quando si esegue il login all'interfaccia principale di Sentinel, il browser visualizza una pagina vuota. (Bug 1006677)
Soluzione: chiudere il browser e ripetere il login all'interfaccia principale di Sentinel. Questo problema si verifica quando si esegue il login all'interfaccia principale di Sentinel per la prima volta dopo aver abilitato SSDM.
Problema: nelle installazioni di upgrade di Sentinel, quando si cercano attributi degli avvisi nella tabella Suggerimenti dell'interfaccia principale di Sentinel, la ricerca non restituisce l'elenco completo dei campi degli avvisi. Tuttavia, i campi degli avvisi vengono visualizzati correttamente nella tabella Suggerimenti se la ricerca viene annullata. (Bug 914755)
Soluzione: non è ancora disponibile una soluzione.
Problema: se si effettua una ricerca di eventi quando il filtro di sicurezza del ruolo è vuoto e il ruolo utilizzato non dispone di autorizzazioni per la visualizzazione degli eventi, la ricerca non viene completata. Non vengono visualizzati messaggi di errore relativi alle autorizzazioni non valide per la visualizzazione degli eventi. (Bug 908666)
Soluzione: aggiornare il ruolo utilizzando una delle opzioni seguenti:
Specificare i criteri nel campo Solo eventi che corrispondono ai criteri. Se gli utenti del ruolo non devono visualizzare alcun evento, è possibile immettere NOT sev:[0 TO 5].
Selezionare Visualizzare eventi di sistema.
Selezionare Visualizza tutti i dati dell'evento (inclusi i dati non elaborati e quelli NetFlow).
Problema: quando si modifica una ricerca salvata di cui è stato eseguito l'upgrade da Sentinel 7.2 a una versione più recente, il pannello Campi evento, utilizzato per specificare i campi di output nel file CSV del rapporto di ricerca, non è presente nella pagina della pianificazione. (Bug 900293)
Soluzione: dopo aver eseguito l'upgrade di Sentinel, per visualizzare il pannello Campi evento nella pagina della pianificazione, ricreare e ripianificare la ricerca.
Problema: in Sentinel non viene restituito alcun evento correlato quando si cercano tutti gli eventi correlati generati dopo l'installazione o l'abilitazione della regola facendo clic sull'icona accanto a Totale attivazioni nel pannello Statistiche attività della pagina Riepilogo correlazione per la regola. (Bug 912820)
Soluzione: modificare il valore nel campo Da della pagina Ricerca evento impostando un orario precedente a quello popolato nel campo e fare nuovamente clic su Cerca.
Problema: quando si rigenera la linea di base di Security Intelligence, le relative date iniziale e finale sono errate e viene visualizzato il valore 1/1/1970. (Bug 912009)
Soluzione: al termine della rigenerazione della linea di base le date vengono aggiornate correttamente.
Problema: in Sentinel viene visualizzato un errore quando si utilizza lo script report_dev_setup.sh per configurare le porte di Sentinel per le eccezioni del firewall. (Bug 914874)
Soluzione: configurare le porte di Sentinel per le eccezioni del firewall eseguendo le operazioni seguenti:
Aprire il file /etc/sysconfig/SuSEfirewall2.
Modificare la riga seguente:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
come segue
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Riavviare Sentinel.
Problema: le prestazioni del servizio di raccolta generico di Sentinel diminuiscono quando lo si abilita per la risoluzione dei nomi host in Microsoft Active Directory e nel servizio di raccolta di Windows. Il valore EPS diminuisce del 50% quando le istanze remote di Collector Manager inviano eventi. (Bug 906715)
Soluzione: non è ancora disponibile una soluzione.
Problema: quando nell'ambiente Sentinel è abilitata la modalità FIPS 140-2, l'utilizzo dell'autenticazione Windows per Gestione agenti causa un errore di sincronizzazione con il database di Gestione agenti. (Bug 814452)
Soluzione: quando nell'ambiente Sentinel è abilitata la modalità FIPS 140-2, utilizzare l'autenticazione SQL per Gestione agenti.
Problema: l'installazione di Sentinel ad alta disponibilità in modalità non FIPS 140-2 viene eseguita correttamente ma appare per due volte l'errore seguente:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bug 810764)
Soluzione: si tratta di un errore previsto che può essere ignorato. Anche se il programma di installazione visualizza un errore, la configurazione ad alta disponibilità di Sentinel funziona correttamente in modalità non FIPS 140-2.
Problema: quando l'orologio del computer dell'interfaccia principale di Sentinel è indietro rispetto a quello del server Sentinel, l'interfaccia principale di Sentinel visualizza numeri negativi nelle colonne Durata e Accesso eseguito del lavoro di ricerca attivo. Vale a dire che se l'orologio dell'interfaccia principale di Sentinel è impostato alle 13:30 e il server Sentinel è impostato alle 14:30, in queste colonne sono visualizzati numeri negativi. (Bug 719875)
Soluzione: assicurarsi che l'ora del computer utilizzato per accedere all'interfaccia principale di Sentinel sia la stessa o successiva a quella del computer del server Sentinel.
Problema: quando si esegue il login al dashboard di Security Intelligence e si cerca l'evento di revisione IssueSAMLToken, il nome host (InitiatorUserName) o l'indirizzo IP (SourceIP) vengono visualizzati in modo errato nell'evento di revisione IssueSAMLToken. (Bug 870609)
Soluzione: non è ancora disponibile una soluzione.
Problema: quando si effettua una ricerca, il server Sentinel viene chiuso in caso di numero elevato di eventi in una sola partizione. (Bug 913599)
Soluzione: creare policy di permanenza affinché nel corso di una giornata siano aperte almeno due partizioni. L'utilizzo di più partizioni aperte contribuisce a ridurre il numero di eventi indicizzati nelle partizioni stesse.
Si possono creare policy di permanenza che filtrino gli eventi in base al campo estzhour utilizzato per controllare l'orario della giornata. È quindi possibile creare una policy di permanenza utilizzando estzhour:[0 TO 11] come filtro e un'altra con estzhour:[12 TO 23].
Per ulteriori informazioni, vedere Configuring Data Retention Policies
(Configurazione delle policy di permanenza dei dati) nella NetIQ Sentinel Administration Guide (Guida all'amministrazione di NetIQ Sentinel).
Problema:
la sincronizzazione dei dati ha esito negativo quando si tenta di sincronizzare con database esterni i campi degli indirizzi IPv6 in formato leggibile dall'uomo. Per informazioni sulla configurazione di Sentinel affinché i campi degli indirizzi IP vengano popolati utilizzando la notazione col punto leggibile dall'uomo, vedere Creating a Data Synchronization Policy
(Creazione di una policy di sincronizzazione dei dati) nella NetIQ Sentinel Administration Guide (Guida all'amministrazione di NetIQ Sentinel). (Bug 913014)
Soluzione: per risolvere questo problema, modificare manualmente la dimensione massima dei campi degli indirizzi IP impostando almeno 46 caratteri nel database di destinazione, quindi ripetere la sincronizzazione del database.
Problema: mentre si attende l'apertura del PDF dei risultati dei rapporti, specialmente i risultati di rapporti relativi a un milione di eventi, se si seleziona un altro PDF relativo ad altri risultati dei rapporti per visualizzarne i contenuti, i risultati non vengono visualizzati. (Bug 804683)
Soluzione: fare nuovamente clic sul secondo PDF dei risultati dei rapporti per visualizzarlo.
NetIQ desidera fornire tutta la documentazione necessaria per indicare le soluzioni più appropriate alle esigenze degli utenti. Per suggerimenti relativi a miglioramenti, inviare un'e-mail all'indirizzo Documentation-Feedback@netiq.com. La collaborazione degli utenti è una fonte preziosa e saremo lieti di ricevere qualsiasi suggerimento.
Per informazioni di contatto dettagliate, vedere il sito Web delle informazioni di contatto del supporto tecnico.
Per informazioni relative al prodotto o di carattere più generale sull'azienda, vedere il sito Web di NetIQ Corporate.
Per conversazioni interattive con colleghi ed esperti NetIQ, è necessario diventare un membro attivo della nostra comunità. La comunità online di NetIQ fornisce informazioni sui prodotti, collegamenti utili a risorse preziose, blog e canali social media.
Per ulteriori informazioni su note legali, marchi, dichiarazioni di non responsabilità, garanzie, esportazioni e altre limitazioni di utilizzo, diritti limitati dal governo degli Stati Uniti, politiche sui brevetti e conformità FIPS di NetIQ, consultare http://www.netiq.com/company/legal/.
Copyright © 2018 NetIQ Corporation. Tutti i diritti riservati.