Sentinel 8.0には、新機能が追加され、さらに使いやすくなっており、以前にあった問題もいくつか解決されています。
これらの改善の多くは、お客様から直接ご提案いただいたものです。皆様の貴重なお時間とご意見に感謝いたします。弊社の製品が皆様のご期待に添えるよう、引き続きお力添えを賜りたく存じます。フィードバックは当社オンラインコミュニティ「NetIQ Communities」のSentinelフォーラムからお寄せください。こちらのコミュニティには、製品情報、ブログ、役立つリソースへのリンクなども掲載されています。
本製品のマニュアルは、NetIQ WebサイトからHTML形式およびPDF形式で入手することができます。ログインしなくてもマニュアルページにアクセスできます。マニュアルを改善するためのご提案がございましたら、NetIQ Documentationページに掲載されている本マニュアルのHTML版で、各ページのコメントアイコンをクリックしてください。本製品をダウンロードするには、Sentinel製品のアップグレードWebサイトをご覧ください。
このリリースノートの最新バージョンは、『Sentinel 8.0リリースノート』を参照してください。
次のセクションでは、本リリースの主な機能と拡張、さらに解決された問題について概説します。
大規模なデータを格納および管理するために、Cloudera's Distribution Including Apache Hadoop (CDH)フレームワークをSentinelで設定できるようになりました。Hadoopベースのスケーラブルなストレージは、1台のSentinelサーバでデータの収集と視覚化を非常に大きなEPS(約100万イベント/秒)までシームレスにスケールアップする機能を提供します。
スケーラブルなストレージ付きのSentinelは、Sentinelスケーラブルデータマネージャ(SSDM)と呼ばれます。SSDMバージョンのSentinelには、イベントを詳細に検索、表示、および分析するために役立つ強力でカスタマイズ可能なイベント視覚化ダッシュボードが用意されています。SSDMと、従来のストレージを備えたSentinelを階層型のシステムで組み合わせると、アラート機能、相関、およびアノマリ検出などの高度な分析機能を実行できます。
スケーラブルなストレージはオプションです。EPSの負荷によっては、スケーラブルなストレージと従来のストレージのどちらを使用するかを選択できます。スケーラブルなストレージの詳細については、『NetIQ Sentinelインストールと設定ガイド』の「データストレージの考慮事項
」を参照してください。
メモ:スケーラブルなストレージ設定は、Sentinelの新規インストールでのみ使用できます。この機能を使用するには、更新されたライセンスキーを適用する必要があります。更新されたライセンスキーは、ご注文と配送ポータルまたはNetIQサポートから入手できます。
SentinelのWebコンソールは、Sentinelのメインインタフェースと呼ばれるようになりました。
Sentinel 8.0には、脅威へのレスポンスのダッシュボードが導入されました。このダッシュボードには現在のワークロードの概要が示され、アラートがステータス、割り当て、および優先度などのグループに分けて表示されます。アラートがこのようにグループ分けされていると、他のアラートの優先順位を決める前に、自分に割り当てられたアラートに注目して優先度を判断できます。
オペレータの役割を割り当てられたユーザは、アラートを閲覧して優先順位を決めるための主要なユーザインタフェースとして、脅威へのレスポンスのダッシュボードを利用します。アラートを管理する許可を与えられたユーザも、脅威へのレスポンスのダッシュボードを使用できます。Sentinelのメインインタフェースでアラートビューを使用することを望むユーザは、左側のナビゲーションにある[Sentinel Main]をクリックできます。
Sentinelに認定されたプラットフォームにいくつかの更新があります。
Sentinelで、次のプラットフォームが認定されました。
従来型インストール:
SUSE Linux Enterprise Server 12 SP1 64ビット
Red Hat Enterprise Linux Server 7.2 64ビット
アプライアンスインストール: VMware ESX 6.0 (ISOとOVFの両方)
イベントソース: Security Agent for UNIX 7.5
Webブラウザ: Microsoft Edge
Sentinelでは、次のプラットフォームが非推奨になりました。
従来型インストール:
SUSE Linux Enterprise Server 11 SP3 64ビット
Red Hat Enterprise Linux Server 6.6 64ビット
アプライアンスインストール: Citrix XenServer 6.5 (ISOおよびOVFの両方)
Webブラウザ: Microsoft Internet Explorer 10
データの同期: Microsoft SQL Server 2005
認定プラットフォームの詳細は、「Technical Information for Sentinel」ページを参照してください。
Sentinel Control Centerのアクティブビューが非推奨になり、リアルタイムにイベントを表示するために複数のユーザインタフェースを切り替える必要がなくなりました。Sentinelのメインインタフェースにあるリアルタイムイベントビューを使用できます。このビューでは、イベントをリアルタイムで表示する高度なオプションが提供されます。
詳細については、『NetIQ Sentinel User Guide
』の「Viewing Events in Real-Time」を参照してください。
Sentinelには、TenantID (tid)という名前の新しいイベントフィールドが組み込まれました。テナントごとに一意のIDが生成されます。TenantNameが変更されても、この一意なIDは変更されません。今後は、特定のテナントのイベントを検索するために、tidイベントフィールドを使用できます。SSDMは、テナント単位のイベントおよび生データの分離を、tidフィールドに基づいて実行します。
Sentinel 8.0には、次の機能拡張が施されています。
一部のSentinelコンポーネントでは、通信にTLSv1.0を使用できます。セキュリティ対策を強化して既知の脆弱性を回避するために、Sentinelでは、TLSv1.0を無効にし、TLSv1.1やTLSv1.2など、より高いバージョンのTLSを使用できるようになりました。詳細については、『NetIQ Sentinel Administration Guide』の「Enabling Higher Versions of TLS for Communication
」を参照してください。
メッセージ(msg)イベントフィールドのサイズが4000文字から8000文字に引き上げられました。Sentinelの前のバージョンでメッセージ(msg)イベントフィールドを外部データベースと同期するデータ同期ポリシーを作成した場合は、フィールドのサイズ増加に対応して外部データベーステーブルのターゲット列のサイズを変更する必要があります。データの同期の詳細については、『NetIQ Sentinel Administration Guide』の「Configuring Data Synchronization
」を参照してください。
管理者の役割を持つ任意のユーザがCollector ManagerおよびCorrelation Engineをインストールできるようになりました。
以前は、adminユーザだけにCollector ManagerとCorrelation Engineをインストールする許可が与えられました。そのため、Collector ManagerとCorrelation Engineをインストールする担当者がadminユーザの資格情報にアクセスする必要が生じて、組織のセキュリティ方針が順守されなくなる場合がありました。現在では、管理者の役割を持つ任意のユーザの資格情報を使用してCollector ManagerとCorrelation Engineをインストールできるようになりました。(バグ982716)
Sentinel 8.0では、最小限の権限の原則に基づいたベストプラクティスを反映するように、ユーザ役割のデフォルトの許可が変更されました。変更後のユーザ役割には、「インシデント変更」許可が与えられません。既存の環境で混乱が生じないようにするため、変更されたアクセス許可はアップグレードには適用されません。Sentinel 8.0にアップグレードする場合、NetIQでは、ユーザ役割のアクセス許可を手動で変更することをお勧めします。詳細については、『NetIQ Sentinel Administration Guide』の「Configuring Roles and Users」を参照してください
。
Sentinelによって生成される一時データの管理を簡素化するために、Sentinel 8.0では、Sentinel一時ファイル用に次のディレクトリが追加されます。
/var/opt/novell/sentinel/tmp
既存の/tmpディレクトリには、オペレーティングシステムの一時ファイルだけが格納されるようになります。
Sentinel 8.0にはJava 8 Update 102が組み込まれています。このリリースでは、いくつかのセキュリティ脆弱性に対する修正が加えられています。
Sentinel 8.0には、いくつかの問題を解決するソフトウェア修正が含まれています。
問題: Sentinelでは、エクスポートした関連付けディレクトリ内のイベント関連付けデータがクリーンアップされません。そのため、ディレクトリのサイズが増加し、パフォーマンスの問題が発生する可能性があります。(バグ891686)
修正:
Sentinelでは、デフォルトで14日間、エクスポートした関連付けディレクトリにあるイベント関連付けデータが保持されるようになりました。ただし、この保持期間は変更することができます。イベント関連付けデータの保持期間を設定する方法の詳細については、『NetIQ Sentinel Administration Guide』の「Configuring the Retention Period for the Event Associations Data
」を参照してください。
問題: コレクタのインスタンスは、データの処理に1つのCPUスレッドを使用します。その結果、イベントソースから大量のデータが送られると、コンピュータ上に未使用のCPUリソースがある場合でも、コレクタに過負荷がかかることがあります。(バグ908321)
修正: 複数のスレッドを使用するようコレクタのインスタンスを設定することができます。この強化を加えることで、コレクタが1秒あたりに処理可能なイベント数が増加します。
スレッド数を設定するには、[コレクタの編集]ダイアログボックスで[コレクタの設定]タブをクリックします。[スレッド数]を、使用するスレッドの数に設定します。詳細については、『NetIQ Sentinel Administration Guide』の「Connecting to Event Sources
」を参照してください。
メモ:この変更は、1つのイベントを解析するために複数のメッセージを必要とするイベントソースには影響しません。
問題: SentinelをFIPSモードに変換する場合、コンピュータ上に32ビットと64ビットのNSS用RPMがどちらもあると、変換プロセスは失敗します。必要な1つ以上の64ビットNSSパッケージをプロセスが見つからないというエラーメッセージが表示されますが、これは間違っています。(バグ978639)
修正: 変換プロセスで64ビットのNSS RPMが正しく認識されるようになりました。
問題: Sentinelの高可用性(HA)において、環境設定ファイルを更新することにより、またはSentinelのメインインタフェースで変更を加えることにより、アクティブノードでSentinelをカスタマイズした場合に、パッシブノードにその変更が反映されません。手動で同期を開始する必要があります。
たとえば、次に示すシナリオでは、手動で同期を開始する必要があります。
以下のように/etc/opt/novell/sentinel/config/databasePlatforms.xmlファイルのプロパティを更新することにより、通信プロトコルをSSLに変更した場合。
ssl=require
SentinelがFIPSモードになっていると、すべてのパッシブノードをFIPSモードに変換する同期は、完全には実行されません。そのようなシナリオでフェ-ルオーバーが発生すると、Sentinelのメインインタフェースが起動しません。
アクティブノードのLDAP設定を変更すると、変更はパッシブノードに同期されません。このため、パッシブノードでLDAPアカウントを認証することができません。
(バグ845850)
修正: Sentinelの高可用性(HA)において、アクティブノード上で次のいずれかの方法でSentinelをカスタマイズした場合に、変更がパッシブノードに正しく反映されるようになりました。
環境設定ファイルを更新する
Sentinelのメインインタフェースで変更を加える
変更を加えた後に、アクティブノード上でcsync2 -x -vを実行してください。
ハードウェア要件、サポートされるオペレーティングシステム、およびブラウザについて詳しくは、Sentinel技術情報ページを参照してください。
Sentinel 8.0のインストールに関する詳細については、『NetIQ Sentinelインストールと設定ガイド』を参照してください。
Sentinel 7.3以降からSentinel 8.0にアップグレードすることができます。
NetIQダウンロードWebサイトからSentinelインストーラをダウンロードしてください。Sentinel 8.0へのアップグレードの詳細については、『NetIQ Sentinelインストールと設定ガイド』の「Sentinelのアップグレード
」を参照してください。
Sentinel 8.0はChange Guardian 4.2以降と互換性があります。
アップグレードする前に、ご使用の環境でこのバージョンのSentinelと互換性のあるバージョンのChange Guardianが実行されていない場合は、まずChange Guardianのサーバ、エージェント、およびポリシーエディタをバージョン4.2以降にアップグレードする必要があります。
WebYaSTを使用してSentinelアプライアンス7.3 SP2以降をアップグレードできるのは、『Sentinel 7.3.2リリースノート』の「Upgrading NetIQ Change Guardian RPM
」の説明に従ってNetIQ Change Guardian RPMを手動でアップグレードした場合に限ります。
Sentinel 7.3 SP2より前のバージョンからアプライアンスをアップグレードする場合は、アップグレードを完了するのにユーザ対話が必要となるため、zypperコマンドラインユーティリティを使用します。WebYaSTでは、必要なユーザ対話を実行できません。zypperを使用したアプライアンスのアップグレードについて、詳しくは『NetIQ Sentinelインストールと設定ガイド』の「zypperを使用したアプライアンスのアップグレード
」を参照してください。
(バグ956278)
NetIQ Corporationは、弊社の製品が企業のソフトウェアの必要にかなった質の高いソリューションを提供できるよう努めています。次の問題は、現在調査中です。いずれかの問題についてさらに支援が必要な場合は、テクニカルサポートに連絡してください。
Sentinelに含まれているJava 8のアップデートは、次のプラグインに影響を与える可能性があります。
Cisco SDEEコネクタ
SAP (XAL)コネクタ
Remedy Integrator
これらのプラグインの問題について、NetIQが標準の欠陥処理ポリシーに従って問題の優先度を定め、修正します。サポートポリシーの詳細については、サポートポリシーを参照してください。
セクション 5.1, HAモードのSSDMがElasticsearchセキュリティプラグインの環境設定ファイルに正しくデータを取り込まない
セクション 5.7, 7.4 SP1より前のバージョンからSentinelアプライアンスをアップグレードするときに誤った警告が表示される
セクション 5.8, Sentinelスケーラブルデータマネージャに変換した後、Sentinelのメインインタフェースに空白のページが表示される
セクション 5.11, Sentinelを7.3 SP1より前のバージョンから7.3 SP1以降のバージョンにアップグレードするときのSentinelサーバログの例外
セクション 5.14, 関連付けられているコレクタが複数の接続モードをサポートしている場合、エージェントマネージャコネクタはイベントの接続モードプロパティを設定しない
セクション 5.15, Sentinel Agent Manager 7.3でRawDataTapFileSize設定が考慮されない
セクション 5.16, ヒントテーブル検索がアップグレードされたSentinelインストール環境でアラートフィールドの完全なリストを返さない
セクション 5.21, ベースラインの再生成中、セキュリティインテリジェンスダッシュボードに無効なベースライン期間が表示される
セクション 5.22, 単一のパーティションに多数のイベントが存在すると検索の実行中にSentinelサーバがシャットダウンする
セクション 5.24, 汎用ホスト名解決サービスコレクタが有効であるとSentinel汎用コレクタパフォーマンスが低下する
セクション 5.25, FIPS 140-2モードのSentinelが、セキュリティインテリジェンス、Netflow、およびアラートデータにアクセスできない
セクション 5.29, 非FIPS 140-2モードでSentinel高可用性インストールを実行すると、エラーが表示される
セクション 5.31, IssueSAMLToken監査イベントがセキュリティインテリジェンスダッシュボードに間違った情報を表示する
問題: 高可用性モードのSSDMがElasticsearchセキュリティプラグインの環境設定ファイルに、HAクラスタノードの適切なIPアドレスを取り込みません。その結果、検索とイベント視覚化ダッシュボードにエラーが表示されます。
解決策: Elasticsearchセキュリティプラグインをインストールした後に、Elasticsearchクラスタの各ノードで、次の手順を実行します。
ElasticsearchをインストールしたユーザとしてElasticsearchノードにログインします。
次のように、HAクラスタの各アクティブノードとパッシブノードの物理IPアドレスのエントリを<Elasticsearchのインストールディレクトリ>/plugins/elasticsearch-security-plugin/elasticsearch-ip-whitelist.txtファイルに追加します。
<クラスタノード物理IP>:<ターゲットElasticsearch HTTPポート>
各エントリを新しい行に追加し、ファイルを保存します。
次のように、<Elasticsearchインストールディレクトリ>/plugins/elasticsearch-security-plugin/plugin-configuration.propertiesファイルで、authServer.hostプロパティをHAクラスタの仮想IPアドレスに設定します。
authServer.host=<クラスタ仮想IP>
Elasticsearchを再起動します。
問題: SSDMの環境で、デフォルトオプションを指定してタイルマップの視覚化を作成する場合、Kibanaに関する問題により、イベント視覚化ダッシュボードで新しいタイルマップの視覚化が機能しません。Kibana問題の詳細については、https://github.com/elastic/kibana/issues/7717を参照してください。(バグ1001909)
解決策: 新しいタイルマップ視覚化を作成するときに、[オプション]の下で[WMS準拠マップサーバ(WMS compliant map server)]を選択します。
問題: Kibanaに関する問題により、Internet Explorer 11でイベント視覚化ダッシュボードを開くことが妨げられます。(バグ981308)
解決策: 視覚化ダッシュボードを表示または変更するには、別のブラウザを使用します。
問題: FIPSモードでSLES 11 SP4オペレーティングシステムが実行されているコンピュータ上にSentinelをインストールしようとすると、インストールプロセスが失敗します。(バグ990201)
解決策: オペレーティングシステムがFIPSモードでないことを確認してから、次の手順を実行します。
Sentinelをインストールします。詳細については、『Sentinelインストールと設定ガイド』の「Sentinelのインストール
」を参照してください。
SentinelサーバをFIPSモードで実行できるようにします。詳細については、『Sentinelインストールと設定ガイド』の「SentinelサーバをFIPS 140-2モードで実行する
」を参照してください。
オペレーティングシステムをFIPSモードで実行できるようにするには、次のコマンドを使用します。
fips=1 /boot/grub/menu.lst
問題: Sentinelで、Sentinel Link Connectorからイベント受信することができません。(バグ989784)
解決策: Sentinel Link Connectorバージョン2011.1r4ではこの問題が解決されています。SentinelプラグインWebサイトで正式にリリースされるまでは、プレビューバージョンのConnectorをプレビューセクションからダウンロードできます。
問題: NetIQ eDirectory Instrumentationは、プラットフォームエージェントを介して監査コネクタに接続できません。その結果、Sentinelでは、eDirectoryからイベントを受信できません。この問題が発生する原因は、Sentinel 8.0で使われているJava 8 update 77で非推奨となったMD5 RSA証明書アルゴリズムをeDirectory Instrumentationが使用しているためです。(バグ985312)
解決策: eDirectoryインストラメンテーションでカスタム証明書を使用できるようにするには、NetIQ Knowledgebase Article 7017764に記載されている手順を実行してください。
問題: Sentinel 7.4 SP1でパスワードのストレージが変更になったため、7.4 SP1より前のバージョンからアプライアンスをアップグレードするときに、次のエラーが表示されます。
Failed to set encrypted password
(バグ967764)
解決策: この警告は予期されるものであり、無視してかまいません。アップグレードに影響はありません。
問題: SSDMを有効にした後、Sentinelのメインインタフェースにログインすると、ブラウザに空白のページが表示されます。(バグ1006677)
解決策: ブラウザを閉じ、Sentinelのメインインタフェースに再ログインします。この問題は、SSDMを有効にした後、Sentinelのメインインタフェースに初めてログインしたときに、1回限り発生します。
問題: com.novell.sentinel.spark.StreamingEventIndexerジョブがIPv6をサポートしていません。イベントにIPv6アドレスが含まれている場合、ジョブは失敗します。(バグ1006975)
解決策: これを回避するには、IPの種類を文字列に変更します。この変更を行うには、テクニカルサポートにお問い合わせください。
問題: スケーラブルストレージを有効にした後、SSDMのサーバログに、次のメッセージの複数のインスタンスが表示されます。
SEVERE|TimerThreadPool pool|esecurity.ccs.comp.scalablestorage.KibanaVisualAnalyticsUtil.initializeKibanaMappingSearchUnsuccessful in initializing the kibana mapping search call with status code 400
(バグ1009662)
解決策: これらのメッセージは、無視しても安全です。機能的な影響はありません。
問題: Sentinelをバージョン7.3からバージョン7.3 SP1にアップグレードし、Sentinelサーバを起動すると、以下の例外がサーバログに記録されることがあります。
Invalid length of data object ......
(バグ933640)
解決策: 例外を無視します。この例外によるSentinelのパフォーマンスへの影響はありません。
問題: Sentinelアラートビューおよびアラートダッシュボードで、IPアドレスフィールドにIPv6アドレスを使用したアラートが表示されません。(バグ924874)
解決策: SentinelでIPv6アドレスが関係するアラートを表示するには、NetIQナリッジベース記事7016555で言及されている手順を実行してください。
問題: SentinelリンクコネクタにBar Mitzvahセキュリティ脆弱性がある。Sentinelリンクコネクタでは、SSLおよびTSLプロトコルでRC4アルゴリズムが使用されており、そのためにストリームの先頭バイトに対するプレーンテキスト回復攻撃が可能になる場合があります。詳細については、CVE-2015-2808を参照してください。(バグ933741)
解決策: Sentinel Link Connectorバージョン2011.1r4ではこの問題が解決されています。SentinelプラグインWebサイトで正式にリリースされるまでは、コネクタをプレビューセクションからダウンロードできます。
問題: イベントを解析するコレクタが複数の接続モードをサポートしている場合、エージェントマネージャコネクタのバージョン2011.1r3はイベントのCONNECTION_MODEプロパティを設定しません。(バグ880564)
解決策: エージェントマネージャコネクタのバージョン2011.1r5でこの問題は解決しています。SentinelプラグインWebサイトで正式にリリースされるまで、コネクタはプレビューセクションからダウンロードできます。
問題: Sentinel Agent Manager 7.3は、SMServiceHost.exe.configファイルのRawDataTapFileSize属性に指定されている生データファイルサイズ設定の値を無視して、ファイルサイズが10MBに達すると生データファイルへの書き込みを停止します。(バグ867954)
解決策: ファイルサイズが10 MBに達したら、生データファイルの中身を別のファイルに手動でコピーしてから中身を消去すると、Sentinelエージェントマネージャが新しいデータを書き込めるようになります。
問題: Sentinelのアップグレードされたインストール環境で、Sentinelのメインインタフェースのヒントテーブルのアラート属性を検索すると、アラートフィールドの完全な一覧が返されません。しかし、検索を消去すると、ヒントテーブルにアラートフィールドが正常に表示されます。(バグ914755)
解決策: 現時点で解決策はありません。
問題:
目視可能文字形式のIPv6アドレスフィールドを外部データベースと同期しようとするとデータ同期が失敗します。IPアドレスフィールドにドット表記の目視可能文字形式で取り込むようにSentinelを構成するには、『NetIQ Sentinel Administration Guide』の「Creating a Data Synchronization Policy
」で詳細情報を参照してください。(バグ913014)
解決策: この問題を解決するには、ターゲットデータベースでIPアドレスフィールドの最大サイズを手動で最低46文字に変更してから、データベースを再同期してください。
問題: ユーザの役割のセキュリティフィルタが空白で、イベント表示許可がない役割であると、イベント検索を実行しても検索が完了しません。検索には、無効なイベント表示許可に関するエラーメッセージは表示されません。(バグ908666)
解決策: 以下のいずれかのオプションを使用して、役割をアップデートしてください。
[この基準に一致するイベントのみ]フィールドに条件を指定します。その役割のユーザにイベントが表示されないようにするには、NOT sev:[0 TO 5]と入力します。
[システムイベントの表示]を選択します。
[すべてのイベントデータを表示(生データとNetFlowデータを含む)]を選択します。
問題: Sentinel 7.2から新しいバージョンにアップグレードされた保存済み検索を編集する際、検索レポートCSVの出力フィールドを指定するのに使用する[イベントフィールド]パネルがスケジュールページにありません。(バグ900293)
解決策: Sentinelをアップグレードしたら、スケジュールページに[イベントフィールド]パネルが表示されるように、検索を再作成して再スケジュールします。
問題: ルールの相関要約ページの[アクティビティ統計情報]パネルの[起動回数]の隣にあるアイコンをクリックすることにより、ルールが展開または有効化された後に生成されたすべての相関イベントを検索しても相関イベントが返されません。(バグ912820)
解決策: イベント検索ページの[開始]フィールドの値を、フィールドに取り込まれた時間よりも早い時間に変更してから、再び[検索]をクリックします。
問題: セキュリティインテリジェンスベースラインの再生成中に、ベースラインの開始日と終了日が誤って「1/1/1970」と表示されます。(バグ912009)
解決策: ベースラインの再生成が完了すると、正しい日付にアップデートされます。
問題: 単一のパーティションで索引付けされたイベントが多数ある場合、検索の実行中にSentinelサーバがシャットダウンします。(バグ913599)
解決策: 1日に少なくとも2つのパーティションが開かれるように保持ポリシーを作成します。1つ以上のパーティションが開かれるようにすることで、パーティションで索引付けされたイベント数を減らすことができます。
[estzhour]フィールドに基づいてイベントをフィルタリングする保持ポリシーを作成して、特定の時間帯を追跡します。つまり、estzhour:[0 TO 11]をフィルタとして使用して1つの保持ポリシーを作成し、estzhour:[12 TO 23]をフィルタとして使用して別の保持ポリシーを作成できます。
詳細については『NetIQ Sentinel Administration Guide』の「Configuring Data Retention Policies
」を参照してください。
問題: report_dev_setup.shスクリプトを使用して、ファイアウォール例外のSentinelポートを構成すると、Sentinelでエラーが発生します。(バグ914874)
解決策: 次の手順を実行して、ファイアウォール例外のSentinelポートを構成してください。
/etc/sysconfig/SuSEfirewall2ファイルを開きます。
次の行を変更します。変更前:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
変更後:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Sentinelを再起動します。
問題: Microsoft Active DirectoryおよびWindows Collector上で汎用ホスト名解決サービスコレクタが有効である場合、Sentinel汎用コレクタパフォーマンスが低下します。リモートCollector Manager instancesがイベントを送信するとEPSが50%減少します。(バグ906715)
解決策: 現時点で解決策はありません。
問題: FIPS 140-2モードでSentinelをインストールすると、セキュリティインテリジェンスデータベースへのコネクタが開始されないため、Sentinelはセキュリティインテリジェンス、Netflow、およびアラートデータにアクセスできません。(バグ915241)
解決策: FIPS 140-2モードでインストールと構成をしたら、Sentinelを再起動してください。
問題: オペレーティングシステムの言語設定が変更されていると、Sentinelで検索結果をエクスポートするときにWebブラウザがエラーを表示することがあります。(バグ834874)
解決策: 検索結果を適切にエクスポートするには、次のいずれかを行ってください。
検索結果をエクスポートする際、エクスポートファイル名から特殊文字(ASCII文字以外)を除く。
オペレーティングシステム言語設定でUTF-8を有効にし、マシンを再起動してから、Sentinelサーバを再起動する。
問題: 1つのレポート結果のPDF (特に、100万イベントの特定のレポート結果の場合)が開くのを待っている間に、別のレポート結果のPDFをクリックしても表示されません。(バグ804683)
解決策: 2番目のレポート結果のPDFをもう一度クリックすると、レポート結果が表示されます。
問題: Sentinel環境でFIPS 140-2モードが有効になっていると、エージェントマネージャにWindows認証を使用したときに、エージェントマネージャデータベースとの同期が失敗します。(バグ814452)
解決策: ご使用のSentinel環境でFIPS 140-2モードが有効になっている場合は、エージェントマネージャにSQL認証を使用してください。
問題: 非FIPS 140-2モードでSentinel高可用性インストールを実行すると、正常に完了しますが、次のエラーが2回表示されます。
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(バグ810764)
解決策: このエラーは予期されるものであり、無視してかまいません。インストーラはエラーを表示しますが、Sentinel高可用性環境設定は非FIPS 140-2モードで正常に動作します。
問題: SentinelのメインインタフェースのコンピュータのクロックがSentinelサーバのクロックより遅れている場合、Sentinelのメインインタフェースの[アクティブな検索ジョブ]の[期間]列と[アクセス]列に負の数値が表示されます。たとえば、Sentinelのメインインタフェースのクロックが1:30 PMに設定され、Sentinelサーバのクロックが2:30 PMに設定されていると、[期間]列と[アクセス]列に負の数値が表示されます。(バグ719875)
解決策: Sentinelのメインインタフェースのアクセスに使用するコンピュータの時間が、Sentinelサーバコンピュータの時間と同じ、またはSentinelサーバコンピュータの時間より進んでいることを確認してください。
問題: セキュリティダッシュボードにログインし、IssueSAMLToken監査イベントの検索を実行すると、IssueSAMLToken監査イベントが間違ったホスト名(InitiatorUserName)または(IPアドレス) SourceIPを表示します。(バグ870609)
解決策: 現時点で解決策はありません。
弊社の目標は、お客様のニーズを満たすマニュアルの提供です。改良点に関するご意見は、Documentation-Feedback@netiq.comまで電子メールでお寄せください。貴重なご意見をぜひお寄せください。
詳細な連絡先情報については、サポート連絡先情報Webサイトを参照してください。
一般的な会社情報と製品情報については、NetIQ CorporateのWebサイトを参照してください。
他のユーザやNetIQのエキスパートとやり取りするには、弊社のコミュニティのアクティブなメンバーになってください。NetIQオンラインコミュニティでは、製品情報、有益なリソースへの役立つリンク、ブログ、およびソーシャルメディアチャネルが用意されています。
NetIQの保証と著作権、商標、免責事項、保証、輸出、およびその他の使用制限、米国政府の規制による権利、特許ポリシー、およびFIPSコンプライアンスの詳細については、http://www.netiq.com/company/legal/を参照してください。
Copyright © 2016 NetIQ Corporation. All Rights Reserved.