Sentinel 8.1 SP1には、新機能が追加され、さらに使いやすくなっており、以前にあった問題もいくつか解決されています。
これらの改善の多くは、お客様から直接ご提案いただいたものです。皆様の貴重なお時間とご意見に感謝いたします。弊社の製品が皆様のご期待に添えるよう、引き続きお力添えを賜りたく存じます。フィードバックは当社オンラインコミュニティ「Sentinelフォーラム」からお寄せください。こちらのコミュニティには、製品情報、ブログ、役立つリソースへのリンクなども掲載されています。
本製品のマニュアルは、NetIQ WebサイトからHTML形式およびPDF形式で入手することができます。ログインしなくてもマニュアルページにアクセスできます。マニュアルを改善するためのご提案がございましたら、Sentinel Documentationページに掲載されている本マニュアルのHTML版で、各ページのコメントアイコンをクリックしてください。本製品をダウンロードするには、Sentinel製品のアップグレードWebサイトをご覧ください。
次のセクションでは、本リリースの主な機能と拡張、さらに解決された問題について概説します。
Sentinel 8.1.1には、Sweet32 (CVE-2016-2183)の脆弱性を解決するための修正が含まれています。
Sentinelには、Java 8 Update 152が組み込まれています。このリリースでは、いくつかのセキュリティ脆弱性に対する修正が加えられています。
Sentinel 8.1.1には、次の機能拡張が施されています。
Sentinelでは、次の場合に発生する「Failed To Correlate」メッセージに対して監査イベントを生成するようになりました。
30秒より長い時間差でイベントが遅れて到着した場合。
再配列バッファがいっぱいになった場合。
(バグ1018336)
問題: ユーザがレポート結果を表示できるが、レポートの実行や削除は行えないという役割を作成してほしいとのご要望をお客様からいただきました。レポート結果の表示許可は存在しますが、[ユーザ/役割管理]でその許可を役割に付与することはできません。(バグ1047479)
修正: レポート結果の表示許可が[ユーザ/役割管理]で表示されるようになったため、この許可を役割に割り当てることがきます。次の手順に従います。
/etc/opt/novell/sentinel/config/ui-configuration.propertiesファイルを編集用に開きます。
次のプロパティを追加します。
viewReportResults.hideUI=false
変更を保存します。
終了し、Web UIを再起動します。
また、<Ctrl>+<F5>を押してブラウザのキャッシュを消去する必要もあります。
[ユーザ/役割管理]に移動し、新しい役割を作成します。
レポート結果の表示許可が表示されているはずです。
レポートの編集時に、レポートが最後に実行された日付が[日付の選択]に表示されなくなりました。デフォルトが現在の日付になるため、[開始時刻]が現在の日付よりも前の場合に、1カ月ずつ何回もクリックして進める必要がなくなります。(バグ1016005)
データ同期ポリシーの終了時刻を設定できるようになったため、特定の時間範囲に対してのみデータを同期できるようになりました。この機能は新しいデータ同期ポリシーでのみ使用することができます。既存のデータ同期ポリシーに対しては使用できません。(バグ1053484)
ユーザの作成時に、[ユーザ名]フィールドに最大60文字まで入力できるようになりました。(バグ1063025)
生データ保持サイズの更新間隔の機能を次のように拡張しました([ストレージ]>[イベント]>[データ保持]ユーザインタフェース)。
生データのサイズが大きい場合にパフォーマンスの問題を回避するために、デフォルトの生データ保持サイズの更新間隔を12時間ごとに変更しました。
デフォルトのタイムアウト間隔を60分ごとに変更しました。
必要に応じて、これらのデフォルト値をカスタマイズできます。
Sentinelサーバにnovellユーザとしてログインします。
/etc/opt/novell/sentinel/configディレクトリに、obj-component.DiskStatisticsCache.propertiesというファイルを作成します。
プロパティファイルで、次のようにしてプロパティに目的の値を設定します。
<obj-component id="DiskStatisticsCache"> <class>esecurity.ccs.comp.auth.DiskStatisticsCache</class> <property name="onlineRawDataCheckInterval">value_in_milliseconds</property> <property name="onlineRawDataTaskTimeoutPeriod">value_in_milliseconds</property> </obj-component>
Sentinelサーバを再起動します。
(バグ1027773)
イベントサマリテーブルでsummary_key列がプライマリキーになったため、他のデータベースツールで適切なメタデータを活用できます。(バグ1048739)
Sentinel 8.1.1には、次の問題を解決するソフトウェア修正が含まれています。
Sentinel 7.0.3.xまたはそれより前のバージョンからアップグレードした場合にアプライアンスでSentinelメインが起動しない
Sentinel 7.4.3からSentinel 8.0.1にアップグレードした後にEventSearch Rest APIが動作しない
前のイベントのタイムスタンプがエポック日付をまたいでいる場合にCorrelation Engineで現在日のイベントがトリガされない
Sentinel Coreトップ10およびSentinel Coreトップ10ダッシュボードの各レポートの実行時間が長い
/SentinelRESTServices/objects/plugin REST APIはプラグイン情報を暗号化された形式で提供
Correlation Engineが実際にはアイドル状態であるときにそのエンジンのステータスがオフラインとして示される
Sentinelを7.3 SP1より前のバージョンから7.3 SP1以降のバージョンにアップグレードするときのSentinelサーバログの例外
問題: セカンダリストレージからのイベントを含む検索結果をエクスポートした場合、CSVファイルにはヘッダのみが含まれていて、実際の検索結果は含まれていません。(バグ1043709、バグ1073502)
修正: CSVファイルに、エクスポートした検索結果が含まれるようになりました。
電子メール通知にAMまたはPMが適切に表示されるようになりました。(バグ1040423)
Sentinelメインが正常に起動するようになりました。(バグ1047106)
EventSearch Rest APIは、例外を出さずに正常に完了するようになりました。(バグ1038133)
問題: 前のイベントのタイムスタンプがエポック日付をまたいでいる場合に、Correlation Engineで現在日のイベントがトリガされません。例外Correlation reorder buffer is fullが表示され、最終的にはクラッシュします。(バグ1036765)
修正: Correlation Engineは、例外を出さずに現在日のイベントをトリガするようになりました。
問題: ISE統合を有効にした2、3日後に、Sentinelが応答しなくなります。Sentinelサーバのログには次のメッセージが含まれており、メモリ不足の例外が発生してスレッドを作成できないことを示しています。
java.lang.OutOfMemoryError: unable to create new native thread
この問題は、ISE統合によってトリガされるマップ更新の数が非常に多いことと、ちょうど1つの「RANGE」のキーと1つまたは複数の「STRING」キーを使うマップに固有の問題があることに原因があります。ちょうどそのような条件が整うと、Sentinelでは、固有のStringキー値ごとに別々のh2tempディレクトリが作成されます。これは、ISE ipmap.csvファイルに6000個を超えるエントリ(通常の稼働時間中に生成される標準的な数)がある場合に、30秒間隔でマップが更新されるたびにSentinelによって6000個を超えるh2tempディレクトリが再作成されることを意味します。(バグ1036765)
修正: ちょうど1つの「RANGE」キーと1つまたは複数の「STRING」キーを含むマップを保存するために、デフォルトでメモリ内のマップを使用するようになりました。このマップはH2データベースを使用していないため、多くのh2tempディレクトリを作成する必要がありません。
メモ:RANGE/KEYのマップで一時ディレクトリを必要とするオブジェクトを使用するかどうかは、開発者が設定できます。Sentinelのconfiguration.propertiesファイルに新しいsentinel.mapping.h2.useDbRangeMapシステムプロパティを追加します。このシステムプロパティには次のような値があります。
false: DataObjectKeyRangeMapオブジェクトを使用します。このオブジェクトは一時ディレクトリを必要としません(デフォルト値)
true: DBRangeMapDataObjectStorageオブジェクトを使用します。このオブジェクトは一時ディレクトリを必要とします
問題: イベントの検索を実行する場合、検索がまだ実行中に[検索]ボタンをクリックすると、絞り込みパネルに次のメッセージが表示されます。
Field counts based on the first 0 events.
(バグ999743)
修正: 検索の実行中は[検索]ボタンが無効になるようにしました。すべてのジョブが完了すると、再び[検索]ボタンを使用できるようになります。
問題: APIマニュアルのリストに、REST APIが正常に動作するために必要なクライアントダウンロードライブラリの一部が記載されていません。(バグ1047684)
修正: 今は、Sentinel APIマニュアルのリストに、REST APIに必要なすべてのクライアントダウンロードライブラリが記載されています。
問題: Sentinelサーバでは、Collector Managerとの接続を失うと、LostContactWithCollectorManagerおよびCollectorManagerDown内部イベントがサーバによって生成されます。これらの内部イベントのCollectorNodeName(port)およびCollectorManagerId(rv21)イベントフィールドには、Collector Managerに関連する情報が表示されません。(バグ1050941)
修正: CollectorNodeName(port)およびCollectorManagerId(rv21)イベントフィールドに、Collector Manager名とCollector Manager IDが正常に表示されるようになりました。
すべてのスケジュールされたレポートが正常に実行されるようになりました。(バグ1051167)
Sentinel Coreトップ10およびSentinel Coreトップ10ダッシュボードのレポートの実行時間が短くなりました。(バグ1040660)
Sentinelのアラートビューで[すべての新しいアラート]を選択しても、間違ってすべてのアラートが表示されるという問題が、今回のリリースで修正されました。(バグ991732)
/SentinelRESTServices/objects/plugin REST APIはプラグイン情報を目視可能文字形式で提供するようになりました。(バグ992162)
スケジュールされた検索ジョブが正常に実行されるようになりました。(バグ1049055)
Sentinel Coreトップ10レポートが正常に実行されるようになりました。(バグ1055336)
問題: データフェデレーションを使用して分散環境でイベントを検索すると、[検索結果]ページに重複したイベントが表示されます。(バグ1048000)
修正: [検索結果]ページに重複したイベントが表示されなくなりました。
追加したエージェントを、そのエージェントの属性がSentinel Agent Managerによって収集される前にSentinelと同期した場合に、エージェントのデータ同期プロセス(ETL)が例外を出して失敗するという問題が今回のリリースで解決されました。(バグ1050192)
Correlation Engineがアイドル状態のときには、そのエンジンのステータスがアイドルとして示されるようになりました。(バグ1062386)
問題: Sentinelでは、イベントの[メッセージ]フィールドに含まれる文字数が8,000を超えている場合、そのメッセージは切り捨てられます。このとき、先頭の8,000文字だけでなく、切り捨てられた文字と次のようなメッセージがログに記録されるため、ログがメッセージの情報で満杯になります。
msg属性の値が長すぎます。サイズはUTF-8形式の4,096文字です(各文字は複数バイトの場合があります)。最大は4,000バイトであるため、<truncated_characters>文字が切り捨てられました
(バグ927550)
修正: Sentinelでは、切り捨てられたメッセージの256文字だけがserver0.0ログに表示されるようになりました。
Sentinelをバージョン8.1.0.1にアップグレードした後に、データの同期が正常に動作するようになりました。(Bug 1052566)
問題: [データ収集]>[イベントソース]タブで[Agent Manager]セクションがグレー表示になっているため、どの操作を実行するにもSentinel Control Centerを使用しなければなりません。(バグ1008335)
修正: Sentinelメインで[Agent Manager]セクションが有効になりました。
イベントに特殊文字が含まれている場合でもレポートを生成できるようになりました。(バグ1060132)
Collector Managerは正常に再起動し、イベントソースのオフセットが想定どおりに処理されるようになりました。(バグ1049771)
問題: アラートが生成されていない場合でも、自動アラートでEventThroughputUtilizationが常に100%の使用率に更新されます。(バグ1065679)
修正: 自動アラートによる更新で実際のEventThroughputUtilization値が表示されるようになりました。
問題: 1つのSentinelサーバに複数のCollector Managerがセットアップされている場合、Collector Managerが存在していても、collectormgr-status APIエンドポイントで404 未検出エラーが表示されます。(バグ1011921)
修正: collectormgr-status APIでステータスが正しく表示されるようになりました。
report_dev_setup.shスクリプトでファイアウォール設定ファイルがバックアップされるようになったため、障害が発生した場合、簡単に元に戻せます。このスクリプトには、使いやすさを向上させるための修正も加えられています。(バグ752657)
メモ:SuSEfirewall2ファイルは、SUSEファイアウォール設定にPostgreSQLポートが追加されていない場合にのみバックアップされます。
問題: 接続テストがpingで始まるので、セキュリティ上の問題があります。(バグ1009722)
修正: [接続テスト]ボタンのテスト手順の一部として、コネクタポートにHTTPコマンドを送信する前にICMPパケット(ping)を使用することがなくなりました。接続が成功したかどうかの検証を、HTTPコマンドによってのみ行うようになりました。これにより、リモートエンドがライブでない場合や正しく応答していない場合に、接続テストにかかる時間が最大1分ほど長くなることがあります。
問題: Sentinel 7.4 SP1でパスワードのストレージが変更になったため、7.4 SP1より前のバージョンからアプライアンスをアップグレードするときに、次のエラーが表示されます。
Failed to set encrypted password
(バグ967764)
修正: Sentinelで、警告メッセージが表示されなくなりました。
問題: Sentinelをバージョン7.3からバージョン7.3 SP1にアップグレードし、Sentinelサーバを起動すると、以下の例外がサーバログに記録されることがあります。
Invalid length of data object ......
(バグ933640)
修正: Sentinelで、アップグレード中に例外が表示されなくなりました。
問題: Sentinelアラートビューおよびアラートダッシュボードで、IPアドレスフィールドにIPv6アドレスを使用したアラートが表示されません。(バグ924874)
修正: アラートビューおよびアラートダッシュボードで、IPアドレスフィールドにIPv6アドレスを使用したアラートが表示されるようになりました。
ハードウェア要件、サポートされるオペレーティングシステム、およびブラウザについて詳しくは、Sentinel技術情報ページを参照してください。
Sentinel 8.1.1のインストールに関する詳細については、『NetIQ Sentinelインストールと設定ガイド』を参照してください。
Sentinel 8.1.1には、Sentinel 7.4以降からアップグレードできます。Sentinel 8.1.1へのアップグレードの詳細については、『NetIQ Sentinelインストールと設定ガイド』を参照してください。
NetIQ Corporationは、弊社の製品が企業のソフトウェアの必要にかなった質の高いソリューションを提供できるよう努めています。次の問題は、現在調査中です。いずれかの問題についてさらに支援が必要な場合は、テクニカルサポートに連絡してください。
Sentinelに含まれているJava 8のアップデートは、次のプラグインに影響を与える可能性があります。
Cisco SDEEコネクタ
SAP (XAL)コネクタ
Remedy Integrator
これらのプラグインの問題について、NetIQが標準の欠陥処理ポリシーに従って問題の優先度を定め、修正します。サポートポリシーの詳細については、サポートポリシーを参照してください。
セクション 5.4, アクティブノードをFIPS 140-2モードに変換した後、Sentinelの高可用性で同期を手動で開始する必要がある
セクション 5.7, Sentinelスケーラブルデータマネージャに変換した後、Sentinelのメインインタフェースに空白のページが表示される
セクション 5.8, ヒントテーブル検索がアップグレードされたSentinelインストール環境でアラートフィールドの完全なリストを返さない
セクション 5.12, ベースラインの再生成中、セキュリティインテリジェンスダッシュボードに無効なベースライン期間が表示される
セクション 5.14, 汎用ホスト名解決サービスコレクタが有効であるとSentinel汎用コレクタパフォーマンスが低下する
セクション 5.16, 非FIPS 140-2モードでSentinel高可用性インストールを実行すると、エラーが表示される
セクション 5.18, IssueSAMLToken監査イベントがセキュリティインテリジェンスダッシュボードに間違った情報を表示する
セクション 5.19, 単一のパーティションに多数のイベントが存在すると検索の実行中にSentinelサーバがシャットダウンする
問題: デフォルトの25 EPSライセンスの環境でレポートを実行すると、次のエラーが発生してレポートが失敗します。
License for Distributed Search feature is expired (分散検索機能用のライセンスが期限切れです)
解決策: Sentinelと同じJVMでレポートを実行するには、次の手順を実行します。
Sentinelサーバにログインし、/etc/opt/novell/sentinel/config/server.xmlファイルを開きます。
次のプロパティを見つけます。
<property name="reporting.process.oktorunstandalone">true</property>
次のようにして、設定をfalseに変更します。
<property name="reporting.process.oktorunstandalone">false</property>
Sentinelを再起動します。
問題: インストール中またはインストール後にSentinel (サーバ、RCM、またはRCE)をFIPSモードに変換しようとすると、SLES 12オペレーティングシステムによって提供されているMozilla NSSパッケージに問題があるため、変換が正常に完了しません。指定したパスワードが必要な条件を満たしていても、FIPSキーストアデータベースのパスワードプロンプトの時点で変換が停止します。(バグ1065329)
解決策: SentinelをFIPSモードに変換するには、次の手順を実行します。
Sentinelサーバ、RCM、またはRCEにrootユーザとしてログインします。
YaSTソフトウェアマネージャを起動します。
yast sw_single
次のパッケージを検索し、最新バージョンをインストールするか、最新バージョンにアップグレードします。
mozilla-nss-tools
libfreebl3-hmac
libsoftokn3-hmac
以前にFIPSの変換を試行したときに生成されたアーティファクトをクリーンアップします。
rm -rf /etc/opt/novell/sentinel/3rdparty/nss rm /etc/opt/novell/sentinel/3rdparty/newpwfile
FIPSへの変換を再試行します。
問題: 構文が正しくない古い展開済みのルールが使用環境にあると、Sentinelでルールを検証する方法に対する最新の変更が原因で、Correlation Engineが接続に失敗します。(バグ1039598)
解決策: Correlation Engineに再接続するには、問題の原因となったルールの構文を修正してから、Sentinelを再起動することができます。
問題のあるルールを検索し、その構文を修正するには、次の手順を実行します。
server.logファイルで、Failed to initialize CorrelationEngineを検索します。
たとえば、Failed to initialize CorrelationEngineを検索すると、次のようなログメッセージが表示されます。
Wed May 17 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Failed to initialize CorrelationEngine
上にスクロールして前のログメッセージを見ると、ルールが特定され、その構文が表示されます。たとえば、次のように表示されます。
Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Root cause: Duration must be within a day (antlr.RecognitionException)
esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))
この例では、ログメッセージは、指定した期間が1日より長いために問題が発生したことを示しています。このルールの構文では、1日(86400秒)より長い秒数(86460)を指定しています。
Sentinelにログインします。
新しいブラウザタブを開きます。
新しいタブで、次のURLに移動します。
https://<YOUR SENTINEL IP>:8443/SentinelRESTServices/objects/correlation-rule
相関ルールのリストからルールの名前とIDを検索するには、ルールの構文に含まれる固有の部分、たとえば86460を検索します。
(条件による)相関ルールのリストからルールの名前とIDを検出できない場合は、次の手順を実行します。
コマンドプロンプトで、novellユーザに切り替えます。次のコマンドを実行します。
su - novell
/opt/novell/sentinel/binディレクトリに移動します。
次のSQLコマンドを実行します。
./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%UniqueText%'"
ここで、UniqueTextは、ルールの構文に含まれる固有の部分(86460など)です。
(条件による)まだnovellユーザに切り替えていない場合は、コマンドプロンプトを開き、novellユーザに切り替えます。次のコマンドを実行します。
su - novell
/opt/novell/sentinel/binディレクトリに移動します。
データベース内でルールを確認します。次のSQLコマンドを実行します。
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
ここで、RuleIDは、先ほど見つけたルールのIDです。
検証中にエラーが発生しないように、新しいフィルタを指定してルールを更新します。次のSQLコマンドを実行します。
./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=RuleID"
ここで、RuleIDは、先ほど見つけたルールのIDです。
データベースでフィルタが変更されたことを確認します。次のSQLコマンドを実行します。
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
ここで、RuleIDは、先ほど見つけたルールのIDです。
Sentinelを停止します。次のコマンドを実行します。
./server.sh stop
Sentinelを再起動します。次のコマンドを実行します。
./server.sh start
問題: Sentinel HAでアクティブノードをFIPS 140-2モードに変換すると、すべてのパッシブノードをFIPS 140-2モードに変換するための同期が完全に実行されません。同期を手動で開始する必要があります。(バグ1014472)
解決策: 次のようにして、すべてのパッシブノードをFIPS 140-2モードに手動で同期します。
アクティブノードにルートユーザとしてログインします。
/etc/csync2/csync2.cfgファイルを開きます。
次の行を変更します。変更前:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
変更後:
include /etc/opt/novell/sentinel/3rdparty/nss;
csync2.cfgファイルを保存します。
次のコマンドを実行して、手動で同期を開始します。
csync2 -x -v
問題: 問題が起きて、Internet Explorer 11でイベント視覚化ダッシュボードを開くことができません。(バグ981308)
解決策: 視覚化ダッシュボードを表示または変更するには、別のブラウザを使用します。
問題: FIPSモードでSLES 11 SP4オペレーティングシステムが実行されているコンピュータ上にSentinelをインストールしようとすると、インストールプロセスが失敗します。(バグ990201)
解決策: オペレーティングシステムがFIPSモードでないことを確認してから、次の手順を実行します。
Sentinelをインストールします。詳細については、『Sentinelインストールと設定ガイド』の「Sentinelのインストール
」を参照してください。
SentinelサーバをFIPSモードで実行できるようにします。詳細については、『Sentinelインストールと設定ガイド』の「SentinelサーバをFIPS 140-2モードで実行する
」を参照してください。
オペレーティングシステムをFIPSモードで実行できるようにするには、次のコマンドを使用します。
fips=1 /boot/grub/menu.lst
問題: SSDMを有効にした後、Sentinelのメインインタフェースにログインすると、ブラウザに空白のページが表示されます。(バグ1006677)
解決策: ブラウザを閉じ、Sentinelのメインインタフェースに再ログインします。この問題は、SSDMを有効にした後、Sentinelのメインインタフェースに初めてログインしたときに、1回限り発生します。
問題: Sentinelのアップグレードされたインストール環境で、Sentinelのメインインタフェースのヒントテーブルのアラート属性を検索すると、アラートフィールドの完全な一覧が返されません。しかし、検索を消去すると、ヒントテーブルにアラートフィールドが正常に表示されます。(バグ914755)
解決策: 現時点で解決策はありません。
問題: ユーザの役割のセキュリティフィルタが空白で、イベント表示許可がない役割であると、イベント検索を実行しても検索が完了しません。検索には、無効なイベント表示許可に関するエラーメッセージは表示されません。(バグ908666)
解決策: 以下のいずれかのオプションを使用して、役割をアップデートしてください。
[この基準に一致するイベントのみ]フィールドに条件を指定します。その役割のユーザにイベントが表示されないようにするには、NOT sev:[0 TO 5]と入力します。
[システムイベントの表示]を選択します。
[すべてのイベントデータを表示(生データとNetFlowデータを含む)]を選択します。
問題: Sentinel 7.2から新しいバージョンにアップグレードされた保存済み検索を編集する際、検索レポートCSVの出力フィールドを指定するのに使用する[イベントフィールド]パネルがスケジュールページにありません。(バグ900293)
解決策: Sentinelをアップグレードしたら、スケジュールページに[イベントフィールド]パネルが表示されるように、検索を再作成して再スケジュールします。
問題: ルールの相関要約ページの[アクティビティ統計情報]パネルの[起動回数]の隣にあるアイコンをクリックすることにより、ルールが展開または有効化された後に生成されたすべての相関イベントを検索しても相関イベントが返されません。(バグ912820)
解決策: イベント検索ページの[開始]フィールドの値を、フィールドに取り込まれた時間よりも早い時間に変更してから、再び[検索]をクリックします。
問題: セキュリティインテリジェンスベースラインの再生成中に、ベースラインの開始日と終了日が誤って「1/1/1970」と表示されます。(バグ912009)
解決策: ベースラインの再生成が完了すると、正しい日付にアップデートされます。
問題: report_dev_setup.shスクリプトを使用して、ファイアウォール例外のSentinelポートを構成すると、Sentinelでエラーが発生します。(バグ914874)
解決策: 次の手順を実行して、ファイアウォール例外のSentinelポートを構成してください。
/etc/sysconfig/SuSEfirewall2ファイルを開きます。
次の行を変更します。変更前:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
変更後:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Sentinelを再起動します。
問題: Microsoft Active DirectoryおよびWindows Collector上で汎用ホスト名解決サービスコレクタが有効である場合、Sentinel汎用コレクタパフォーマンスが低下します。リモートCollector Manager instancesがイベントを送信するとEPSが50%減少します。(バグ906715)
解決策: 現時点で解決策はありません。
問題: Sentinel環境でFIPS 140-2モードが有効になっていると、エージェントマネージャにWindows認証を使用したときに、エージェントマネージャデータベースとの同期が失敗します。(バグ814452)
解決策: ご使用のSentinel環境でFIPS 140-2モードが有効になっている場合は、エージェントマネージャにSQL認証を使用してください。
問題: 非FIPS 140-2モードでSentinel高可用性インストールを実行すると、正常に完了しますが、次のエラーが2回表示されます。
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(バグ810764)
解決策: このエラーは予期されるものであり、無視してかまいません。インストーラはエラーを表示しますが、Sentinel高可用性環境設定は非FIPS 140-2モードで正常に動作します。
問題: SentinelのメインインタフェースのコンピュータのクロックがSentinelサーバのクロックより遅れている場合、Sentinelのメインインタフェースの[アクティブな検索ジョブ]の[期間]列と[アクセス]列に負の数値が表示されます。たとえば、Sentinelのメインインタフェースのクロックが1:30 PMに設定され、Sentinelサーバのクロックが2:30 PMに設定されていると、[期間]列と[アクセス]列に負の数値が表示されます。(バグ719875)
解決策: Sentinelのメインインタフェースのアクセスに使用するコンピュータの時間が、Sentinelサーバコンピュータの時間と同じ、またはSentinelサーバコンピュータの時間より進んでいることを確認してください。
問題: セキュリティダッシュボードにログインし、IssueSAMLToken監査イベントの検索を実行すると、IssueSAMLToken監査イベントが間違ったホスト名(InitiatorUserName)または(IPアドレス) SourceIPを表示します。(バグ870609)
解決策: 現時点で解決策はありません。
問題: 単一のパーティションで索引付けされたイベントが多数ある場合、検索の実行中にSentinelサーバがシャットダウンします。(バグ913599)
解決策: 1日に少なくとも2つのパーティションが開かれるように保持ポリシーを作成します。1つ以上のパーティションが開かれるようにすることで、パーティションで索引付けされたイベント数を減らすことができます。
[estzhour]フィールドに基づいてイベントをフィルタリングする保持ポリシーを作成して、特定の時間帯を追跡します。つまり、estzhour:[0 TO 11]をフィルタとして使用して1つの保持ポリシーを作成し、estzhour:[12 TO 23]をフィルタとして使用して別の保持ポリシーを作成できます。
詳細については『NetIQ Sentinel Administration Guide』の「Configuring Data Retention Policies
」を参照してください。
問題:
目視可能文字形式のIPv6アドレスフィールドを外部データベースと同期しようとするとデータ同期が失敗します。IPアドレスフィールドにドット表記の目視可能文字形式で取り込むようにSentinelを構成するには、『NetIQ Sentinel Administration Guide』の「Creating a Data Synchronization Policy
」で詳細情報を参照してください。(バグ913014)
解決策: この問題を解決するには、ターゲットデータベースでIPアドレスフィールドの最大サイズを手動で最低46文字に変更してから、データベースを再同期してください。
問題: 1つのレポート結果のPDF (特に、100万イベントの特定のレポート結果の場合)が開くのを待っている間に、別のレポート結果のPDFをクリックしても表示されません。(バグ804683)
解決策: 2番目のレポート結果のPDFをもう一度クリックすると、レポート結果が表示されます。
弊社の目標は、お客様のニーズを満たすマニュアルの提供です。改良点に関するご意見は、Documentation-Feedback@netiq.comまで電子メールでお寄せください。貴重なご意見をぜひお寄せください。
詳細な連絡先情報については、サポート連絡先情報Webサイトを参照してください。
一般的な会社情報と製品情報については、NetIQ CorporateのWebサイトを参照してください。
他のユーザやNetIQのエキスパートとやり取りするには、弊社のコミュニティのアクティブなメンバーになってください。NetIQオンラインコミュニティでは、製品情報、有益なリソースへの役立つリンク、ブログ、およびソーシャルメディアチャネルが用意されています。
NetIQの保証と著作権、商標、免責事項、保証、輸出、およびその他の使用制限、米国政府の規制による権利、特許ポリシー、およびFIPSコンプライアンスの詳細については、http://www.netiq.com/company/legal/を参照してください。
Copyright © 2018 NetIQ Corporation. All Rights Reserved.