Sentinel 7.3.2 发行说明

问题： 如果关联事件链接到某个事件，并且在 Sentinel 控制中心 (SCC) 选择了关联事件的View Triggers （视图触发器），Sentinel Web 界面会首先显示异常，然后才会显示事件。(BUG 846198)

修复： 现在，Sentinel Web 界面会显示触发器，而不会导致异常。

问题： 要显示大量用户身份时，Sentinel Web 界面会变得无响应。(BUG 895636)

修复： 现在，针对每个搜索，Sentinel 会显示固定的用户身份数量。若要缩小身份搜索结果范围，可以在查找用户字段指定任何身份参数，或使用高级搜索选项优化搜索查询。

问题： 从两个不同的 Sentinel 服务器起动 SCC 时，用于起动 SCC 的第一个 Sentinel 服务器的 Sentinel 代理证书将被第二个 Sentinel 服务器代理证书覆盖。(BUG 887468)

修复： 现在，Sentinel 将使用您用于登录 SCC 的 Sentinel 服务器的 IP 地址来存储证书，如果您已登录这些服务器，则不会在这些服务器中提示您提供证书。

问题： 如果 Sentinel 代理管理器数据库在给定时间段内收到大量代理提供的属性，则这些属性不会同步到 Sentinel 数据库。(BUG 926763)

修复： 现在，在 Sentinel 数据库与 Sentinel 代理管理器数据库之间，Sentinel 具有微调的同步机制。

问题： 当超出最大事件源节点数限制时，Sentinel 不会生成基于摘要的报告，并且会在您尝试运行这些报告时，将异常写入日志文件中。(BUG 928211)

修复： 现在，Sentinel 可有效地处理大量事件源节点。

问题： 如果数据缓冲区位置包含用户创建的文件，Sentinel 可能无法正确处理和存储事件数据。(BUG 930827)

修复： 现在，Sentinel 可以定期删除数据缓冲区位置中的所有用户创建的文件，并正确处理和存储事件数据。

问题： 如果已将浏览器语言设置为除英语之外的其他语言，Sentinel Web 界面中的部分元素可能无法正确显示。（BUG 932663 和 BUG 940674）

修复： Sentinel Web 界面可以正确显示所有受支持的语言所有元素。

问题： 如果您使用的是 Firefox 37.0.4 或更高版本，Sentinel 会在注销时显示错误。但此错误不会对功能产生任何影响。(BUG 935309)

修复： Sentinel Web 界面可以正确处理注销请求，注销时不会显示任何错误。

问题： Sentinel 不允许从 SCC 的动态列表中或通过关联操作去除字符串元素。(BUG 939244)

修复： 现在，Sentinel 可以从动态列表文件中去除字符串元素。

问题： 使用计划的保存搜索根据日期范围执行搜索时，搜索结果不完整。(BUG 940604)

修复： Sentinel 可显示所有时间段内保存的搜索的整个搜索结果。

问题： 无法为在 Sentinel Web 界面中使用创建报告创建的报告编辑计划报告作业。尝试编辑这些计划报告作业时，Sentinel 会显示错误讯息。(BUG 940785)

修复： 现在，可以为在 Sentinel Web 界面中使用创建报告创建的报告编辑计划报告作业。

问题： 关联规则不允许事件字段名称中包含下划线字符 (_)。(BUG 940829)

修复： 关联规则允许事件字段名称中包含下划线字符 (_)。

问题： 在升级过程中，Sentinel 将重写 server.conf 文件中某些属性的自定义配置值，如 wrapper.java.additional.49。(BUG 941071)

修复： 现在，可以在升级前执行以下过程，保存自定义配置信息：

问题： 如果在升级前，Sentinel 系统中存在包含大量过滤器评估表达式的冗长的关联规则，并且这些规则处于已部署状态，那么在将 Sentinel 升级到版本 7.3.1 后，Sentinel 服务器、Web 界面和远程关联引擎将无法启动。

修复： 现在，Sentinel 服务器和其他组件在升级后可成功启动，即使存在复杂的关联规则也是如此。现在，可以创建和部署复杂的关联规则。

问题： 当跨较多天数运行搜索，并且搜索结果的数量少于 50000 条时，Sentinel 服务器可能会耗尽内存继而停机。(BUG 943943)

修复： 在跨较多天数执行搜索期间，Sentinel 7.3.2 提高了内存的利用率。

问题： 如果有任何事件包含无效的日期范围（例如，“22015 年”这种将来的日期），Sentinel 和 Oracle 数据库之间的数据同步将失败。(BUG 925772)

修复： 无缝实现数据同步。如果遇到包含无效日期范围的任何事件，Sentinel 会将这些事件记录在日志文件中，并与下一批事件一同处理以进行同步。

问题： 在 Sentinel 中配置报告生成过程的空闲超时时间（默认值为 15 分钟）。通常情况下，如果报告中包含庞大的数据量，例如，环境中存在若干个租户，则报告无法在 15 分钟内完成，并且报告作业将立刻取消。(BUG 941612)

修复： 可以执行以下过程，配置报告生成的空闲超时时间值：

问题： 如果报告查询包含字符串 over，报告生成过程将停止。例如，如果报告查询中包含 (evt:"recovery")，则创建报告失败。(BUG 939902)

修复： 即使报告查询中包含字符串 over，也能正确生成报告。

问题： 如果基于映射创建关联规则，并在远程关联引擎上进行部署，Sentinel 将在映射发生改变时记录以下警告讯息：

修复： Sentinel 不会记录基于映射的关联规则的警告讯息。

问题： 在事件搜索中指定一个精确事件搜索查询（如最近 30 天）时，Sentinel 不显示任何事件数据。(BUG 947867)

修复： 现在，Sentinel 可以显示精确事件搜索的正确数据。

问题： 将 Sentinel 升级到版本 7.3.1 后，使用事件字段映射创建的映射无法正常运行。(BUG 944251)

修复： Sentinel 生成在升级到版本 7.3.1 之前所创建的所有映射，在升级到版本 7.3.1 后，事件映射可以正常运行。

问题： 转到内容面板窗口并选择包含未用括号括住的 inlist 术语的关联规则时，Solution Designer 显示空指针异常错误。(BUG 938039)

修复： 可以正确处理包含未用括号括住的 inlist 术语的关联规则。

问题： 使用波兰语字母在人员浏览器中进行搜索时，Sentinel 无法显示结果。(BUG 943261)

修复： 现在，Sentinel 可以识别人员搜索中的波兰语字母，并显示相应的结果。

问题： 在将 Sentinel 升级到版本 7.3.1 之后，即使动态列表中存在列表元素，Sentinel 在 SCC 和 Web 界面中也不会显示任何这些列表元素。(BUG 947622)

修复： 现在，Sentinel 可以在 Web 界面和 SCC 中正确显示动态列表元素。

问题： 在关联导航面板中，括号与表示关联规则数量的数字之间的间距不一致。(BUG 948088)

修复： 现在，关联导航面板中的间距保持一致。

问题： 包括在 Sentinel 7.3.1 中的安全漏洞修复与对安全连接的通信机制更改有关。这些更改与 Sentinel UNIX 代理 7.4 不兼容。因此，Sentinel 无法接收来自 Sentinel UNIX 代理 7.4 的事件。(BUG 953990)

解决方法： 目前没有任何解决方法。当 Sentinel UNIX 代理的兼容版本可用时，这个问题将得到解决。

问题： Sentinel 警报视图和警报仪表板不会在 IP 地址字段中显示含有 IPv6 地址的警报。(BUG 924874)

解决方法： 要在 Sentinel 中查看含有 IPv6 地址的警报，请执行在 NetIQ 知识库文章 7016555 中提到的步骤。

问题： 将 Sentinel 设备升级到 7.3.1 版本及更高版本后，尝试将 NFS 配置为辅助储存位置时，Sentinel 显示一个错误。(BUG 934851)

解决方法： 升级 Sentinel 设备后，使用以下命令重启动 SLES 操作系统：

问题： 升级 Sentinel 并启动 Sentinel 服务器时，可能会在服务器日志中看到以下异常：

解决方法： 不必在意该异常。没有因为该异常对 Sentinel 的性能产生影响。

问题： Sentinel 使用 Diffie-Hellman 协议与安全配置管理器进行通讯。作为修复 Logjam 漏洞的一部分，Sentinel 中的 Diffie-Hellman 协议的证书密钥大小已增加至 2048。但是，安全配置管理器使用默认的证书密钥大小；也就是 1024。由于这种不匹配，安全配置管理器无法再与 Sentinel 进行通讯。(BUG 935987)

解决方法： 在发布安全配置管理器的修复后，您可以执行以下步骤：

问题： 作为修复 Bar Mitzvah 漏洞的一部分，Sentinel 禁用对 Web 服务器启用的 SSL 端口上的 RC4 加密法。但是，Change Guardian 使用 RC4 加密法与 Sentinel 进行通讯。因此，Change Guardian 将无法再与 Sentinel 进行通讯。(BUG 935401)

解决方法： 在发布 Change Guardian 的修复后，您可以执行以下步骤：

问题： 在与 Change Guardian 4.1 集成时，Sentinel 不会显示 Change Guardian 增量附加信息，尽管已配置为接收 Change Guardian 事件。(BUG 936704)

解决方法： 将 Change Guardian 升级到 4.1.1 或更高版本。

问题： Sentinel Link 连接器中存在着 Bar Mitzvah 安全漏洞。Sentinel Link 连接器在 SSL 和 TSL 协议中使用 RC4 算法，这可能会允许针对某个流中的初始字节进行明文恢复攻击。有关详细信息，请参见 CVE-2015-2808。(BUG 933741)

解决方法： Sentinel Link 连接器版本 2011.1r4 及更高版本可以解决此问题。此版本在 Sentinel 插件网站上正式发布后，您可以从预览部分下载此连接器。

问题： 如果收集器分析事件支持多个连接模式，则代理管理器连接器版本 2011.1r3 不会设置事件中的 CONNECTION_MODE 属性。(BUG 880564)

解决方法： 代理管理器连接器版本 2011.1r5 及更高版本可以解决此问题。此版本在 Sentinel 插件网站上正式发布后，您可以从预览部分下载此连接器。

问题： Sentinel 代理管理器忽略原始数据文件大小配置的 SMServiceHost.exe.config 文件中 RawDataTapFileSize 属性中所指定的值，并且当文件大小达到 10 MB 时停止写入原始数据文件。(BUG 867954)

解决方法： 在文件大小达到 10 MB 时，将原始数据文件的内容手动复制到其他文件，并清除原始数据文件的内容，以便 Sentinel 代理管理器能将新数据写入该文件。

问题： 在 Sentinel 7.3 的升级安装中，在 Web 界面的提示表中搜索警报属性时，该搜索不会返回警报字段的完整列表。但是，如果您清除该搜索，则会在提示表中正确显示警报字段。(BUG 914755)

解决方法： 目前没有任何解决方法。

问题： 在尝试将人类可读格式的 IPv6 地址字段同步到外部数据库时，数据同步失败。有关配置 Sentinel 来填充人类可读点标记格式的 IP 地址字段的信息，请参见《NetIQ Sentinel 管理指南》中的创建数据同步策略。(BUG 913014)

解决方法： 若要修复此问题，请在目标数据库中手动将 IP 地址字段的最大大小更改为不少于 46 个字符，然后重新同步此数据库。

问题： 如果在您的角色的安全过滤器为空且您的角色没有事件查看许可权限的情况下运行事件搜索，则该搜索无法完成。该搜索不显示任何有关无效事件查看许可权限的错误讯息。(BUG 908666)

解决方法： 使用以下选项之一更新此角色：

问题： 在编辑从 Sentinel 7.2 升级到后续版本的已保存搜索时，在日程表页中缺少用于指定搜索报告 CSV 中的输出字段的事件字段面板。(BUG 900293)

解决方法： 在升级 Sentinel 后，重创建并重安排搜索来查看日程表页中的事件字段面板。

问题： 当您通过单击该规则的关联摘要页的活动统计面板的 Fire 计数旁边的图标，搜索部署或启用该规则后生成的所有关联事件时，Sentinel 不会返回任何关联事件。(BUG 912820)

解决方法： 将事件搜索页中 From 字段的值更改为一个早于此字段中填充时间的时间，并再次单击搜索。

问题： 尽管将 Sentinel 配置为接收 Change Guardian 事件，但在您搜索 Change Guardian 事件，并单击 Change Guardian 图标时，运行于 FIPS 140-2 模式下的 Sentinel 不会显示 Change Guardian 增量附加信息。早于 4.2 版本的 Change Guardian 版本不支持在 FIPS 140-2 兼容模式下发送事件。(BUG 912230)

解决方法： 目前没有任何解决方法。

问题： 升级到 Sentinel 7.3 导致与 DB2 数据库的数据收集和数据同步失败，因为此升级去除了 IBM DB2 JDBC 驱动程序。(BUG 909343)

解决方法： 升级到 Sentinel 7.3 后，通过执行以下步骤，添加正确的 JDBC 驱动程序并将其配置为数据收集和数据同步：

问题： 当您在警报视图中单击选择全部来选择警报、取消选择几个警报和修改警报时，在刷新的警报视图中还会选择新进来的警报。这会导致选择进行修改的警报计数错误，同时看上去您正在修改新进来的警报。但是，只有最初选择的警报得到修改。(BUG 904830)

解决方法： 如果您使用自定义时间范围创建警报视图，则警报视图中将不会显示新的警报。

问题： 历史安全智能 (SI) 数据需要很长时间才能装载到具有高每秒事件数 (EPS) 装载的 Sentinel 系统中。(BUG 908599)

解决方法： 如果您正在通过历史数据创建安全智能仪表板，如有可能，请计划在系统负载较低时再部署此仪表板。目前没有任何其他的解决方法。

问题： 在安全智能基线重新生成期间，基线的开始和结束日期不正确，并显示为 1/1/1970。(BUG 912009)

解决方法： 在完成基线的重新生成后，更新正确的日期。

问题： 如果在单个分区中有大量索引的事件，运行搜索时，Sentinel 服务器会关闭。(BUG 913599)

解决方法： 通过在一天中至少打开两个分区的方式，创建保留策略。打开多个分区有助于减少分区中索引的事件数量。

问题： 当您使用 report_dev_setup.sh 脚本为防火墙异常配置 Sentinel 端口时，Sentinel 显示错误。(BUG 914874)

解决方法： 通过以下步骤，为防火墙异常配置 Sentinel 端口：

问题： 当在 Microsoft Active Directory 和 Windows Collector 上启用通用主机名解析服务收集器时，Sentinel 通用收集器的性能会下降。当远程收集器管理器发送事件时，EPS 下降 50%。(BUG 906715)

解决方法： 目前没有任何解决方法。

问题： 当您在 FIPS 140-2 模式下安装 Sentinel 时，连接到安全智能数据库的连接器无法启动，并且 Sentinel 无法访问安全智能、Netflow 和警报数据。(BUG 915241)

解决方法： 在 FIPS 140-2 模式中进行安装和配置后，重启动 Sentinel。

问题： 在您从由非根用户安装并在 FIPS 140-2 模式下配置的 Sentinel 自定义安装升级到 Sentinel 7.3 时，安全智能数据库和警报仪表板偶尔无法启动。(BUG 916285)

解决方法： 请执行下列步骤：

问题： 默认情况下，当安装 Sentinel 设备时，网络接口为未配置。(BUG 867013)

解决方法： 配置网络接口步骤：

问题： 当在 Sentinel 中导出搜索结果时，如果您修改操作系统语言设置，Web 浏览器可能显示一则错误信息。(BUG 834874)

解决方法： 若要正确导出搜索结果，请执行任一下列操作：

问题： 如果辅助存储器能够存储数据的天数小于主存储器能够存储数据的天数，Sentinel 不会有效利用主存储器磁盘空间。为释放空间而从辅助存储器中删除的分区也会从主存储器器中移除。(BUG 860888)

解决方法： 为辅助存储器分配足够多的空间来存放您想联机保留的数据的总天数（可被搜索的）。

问题： 在大于 2 TB 磁盘空间的系统上，Sentinel 在安装后可能无法自动启动。(BUG 846296)

解决方法： 作为一种一次性的活动，通过指定以下命令来手动启动 Sentinel 服务：

问题： 在 Sentinel 设备安装中，如果您在 Kerberos 模块中配置 Kerberos 鉴定，控制台会显示一条成功配置 Kerberos 客户端的配置讯息。但是，在您重新查看 Kerberos 模块时，取消选择“启用 Kerberos 鉴定”选项。(BUG 843623)

解决方法： 目前没有任何解决方法。

问题： 在安装远程收集器管理器时，如果您指定的口令包含特殊字符（如“$”、“"”、“\”或“/”），则安装将出现错误。(BUG 812111)

解决方法： 不要在远程收集器管理器口令中使用特殊字符。

问题： 当您重启动远程收集器管理器设备时，UDP 端口上连接的 Syslog 事件源将丢失连接。(BUG 795057)

解决方法： 目前没有任何可用的解决方法。

问题： 当您等待一个报告结果 PDF（具体而言，100 万个事件的报告结果）打开时，如果单击另一个报告结果 PDF 进行查看，则不会显示报告结果。(BUG 804683)

解决方法： 再次单击第二个报告结果 PDF 即可查看报告结果。

问题： 在 Sentinel 环境中启用了 FIPS 140-2 模式时，如果对代理管理器使用 Windows 鉴定，将导致与代理管理器数据库的同步失败。(BUG 814452)

解决方法： 在 Sentinel 环境中启用了 FIPS 140-2 模式时，对代理管理器使用 SQL 鉴定。

问题： 如果启用 FIPS 140-2 模式，Sentinel 高可用性安装会显示以下错误：

解决方法： 目前没有任何可用的修复或解决方法。虽然安装程序会显示错误，但 Sentinel 高可用性配置将在 FIPS 140-2 模式下成功地正常工作。

问题： 在非 FIPS 140-2 模式下成功完成了 Sentinel 高可用性安装，但会显示以下错误两次：

解决方法： 目前没有任何可用的修复或解决方法。虽然安装程序会显示错误，但 Sentinel 高可用性配置将在非 FIPS 140-2 模式下成功地正常工作。

问题： 从 Sentinel 7.2 以前的版本进行设备更新失败，因为更新程序包的供应商已从 Novell 更改为 NetIQ。(BUG 780969)

解决方法： 使用 zypper 命令更新设备。有关详细信息，请参见《NetIQ Sentinel 安装和配置指南》中的使用 zypper 升级设备。

问题： 当系统上已存在同名的关联规则时，解决方案管理器不会安装关联规则。控制台中会记录 NullPointerException 错误。(BUG 713962)

解决方法： 确保所有关联规则具有唯一名称。

问题： 当您从 Web 界面执行 Sentinel Link 操作时，即使从 Sentinel 控制中心进行的 Sentinel Link 连接器集成器测试失败，Sentinel 也会显示一条成功讯息。(BUG 710305)

解决方法： 目前没有任何解决方法。

问题： 当安全智能仪表板和异常定义具有相同的名称时，“异常细节”页面上将会禁用仪表板链接。(BUG 715986)

解决方法： 在创建仪表板和异常定义时，确保使用唯一的名称。

问题： 当 Sentinel Web 界面的计算机时钟比 Sentinel 服务器时钟慢时，Sentinel Web 界面会在活动搜索作业的“持续时间”和“已接受”列中显示负数。例如，当 Sentinel Web 界面时钟设置为 1:30 PM，而 Sentinel 服务器时钟设置为 2:30 PM 时，“持续时间”和“已接受”列便会显示负数。(BUG 719875)

解决方法： 确保您用于访问 Sentinel Web 界面的计算机上的时间与 Sentinel 服务器计算机上的时间相同或快于该时间。

问题： 当您登录到安全性仪表板并进行 IssueSAMLToken 审计事件的搜索操作时，IssueSAMLToken 审计事件将显示错误的主机名 (InitiatorUserName) 或（IP 地址）SourceIP。(BUG 870609)

解决方法： 目前没有任何解决方法。

问题： 当 NetIQ Identity Manager Designer 安装在客户端计算机上并且 Designer 使用系统 JRE 时，Sentinel 控制中心不起动。Designer 需要将一些支持的 jar 文件（如 xml-apis.jar）添加到 lib/endorsed 目录。xml-apis.jar 文件中的一些类将覆盖 Sentinel 控制中心所使用的系统 JRE 中的相应类。(BUG 888085)

解决方法： 将 Designer 配置为使用它自己的 JRE。

问题： 在收集事件数据时，Sentinel 代理管理器不会截获带有 Null 值的 Windows 插入字符串字段。(BUG 838825)

解决方法： 目前没有任何解决方法。