Sentinel 7.3 包含新的功能,改进了可用性,并解决了以前存在的多个问题。
其中的很多改进都是直接按照我们客户提供的建议做出的。我们非常感谢您在百忙中抽时间提供宝贵的意见。我们衷心地希望您能一如既往地帮助我们确保产品满足您的一切需求。您可以在 NetIQ 社区(我们的在线社区,其中还包括产品信息、博客以及指向有用资源的链接)中的 Sentinel 论坛上张贴反馈。
NetIQ 网站上提供了本产品 HTML 和 PDF 格式的文档,您无需登录即可访问该文档网页。如果您对文档改进有任何建议,请单击张贴在 Sentinel NetIQ 文档页 HTML 版本文档的任一页底部的评论该主题。若要下载该产品,请参见 Sentinel 产品升级网站。
以下部分概述了主要功能和增强功能,以及此版本已解决的问题:
针对 Sentinel 和 Sentinel Log Manager 解决方案,NetIQ 现在提供 Sentinel 作为单一平台。
Sentinel 平台提供两个主要的解决方案:
Sentinel Enterprise: 该解决方案功能齐全,可以启用实时安全分析和许多附加功能。Sentinel Enterprise 专注于 SIEM 用例,如实时威胁检测、警报和修正。
Sentinel for Log Management: 该解决方案适用于日志管理用例,能够收集、存储、搜索和报告数据等。
NetIQ 为每个解决方案提供单独的许可证。对于新安装,Sentinel 平台根据您是输入 Sentinel Enterprise 还是 Sentinel for Log Management 许可证密钥来启用相应的功能。此更改对现有 Sentinel 服务器或升级没有影响。
有关每个解决方案中启用的功能的详细信息,请参见《NetIQ 安装和配置指南》中的了解许可证信息
。
现在,您可以配置关联规则来接收有关任何潜在威胁的即时警报。警报会提醒您注意最关键的问题。警报可以涉及对 IT 资源或性能阈值的威胁,如系统内存已满或 IT 资源没有响应。Sentinel 自动将相关事件和身份与警报相关联,以帮助您确定潜在威胁的根本原因。
有关详细信息,请参见《NetIQ Sentinel 管理指南》中的配置警报通知
。
Sentinel 在实时警报视图中提供图形和表格形式的警报。您可以执行警报分类操作,更改警报的状态、将警报指派给用户或角色、将信息添加到知识库等。您可以进一步追溯每个警报来查看警报细节,如触发事件、涉及的用户身份和警报历史记录。有关警报视图的详细信息,请参见《NetIQ Sentinel 用户指南》
中的在警报视图中查看并分类警报
。
警报仪表板使您能够执行功能强大的警报探索和分析。警报仪表板提供易于配置、可自定义的界面来帮助您详细查看和研究警报。例如,您可以找到拥有者关闭警报所用的平均时间、生成警报最大数量的关联规则、合并警报的平均数量、高严重性警报的地理位置等。有关警报仪表板的详细信息,请参见《NetIQ Sentinel 用户指南》
中的分析警报仪表板
。
现在,您可以在 Sentinel Web 界面中查看实时事件,而无须登录 Sentinel 控制中心。实时事件视图提供事件数据汇总。若要查看事件细节或执行任何事件操作,则可以使用搜索界面。有关在 Web 界面中查看实时事件视图的详细信息,请参见《NetIQ Sentinel 用户指南》中的在 Web 界面中查看事件
。
现在您可以查看安装在 Sentinel 服务器中的插件列表。插件 > 编目界面列出了安装在 Sentinel 服务器中的所有收集器、连接器、操作、集成商和源。您还可以查看插件版本、发行日期和其他元数据,这可帮助您确定是否已安装最新版本的插件。若要查看插件列表,则必须使用管理员角色。
现在 Sentinel 提供处于开放虚拟机 (OVF) 格式的设备,这消除了每个虚拟化软件对不同设备格式的需求。Sentinel OVF 设备替代了 VMware 和 Xen 设备。您可以使用 OVF 设备在 VMware 和 Citrix Xen 虚拟化平台上安装 Sentinel。在 NCC 通道中更新的设备将继续更新现有的 Xen 或 VMware 格式的设备。有关安装 OVF 格式的 Sentinel 设备的详细信息,请参见《NetIQ Sentinel 安装和配置指南》中的安装 OVF 设备
。
Sentinel 7.3 提供多个增强功能,支持受管理安全服务提供商 (MSSP) 的多租户配置:
管理租户的功能: 提供新的用户界面,使您能在从该租户接收任何数据之前创建多个租户。用户界面还提供启用和禁用租户的功能。
特定于租户的角色和用户: 在创建角色时,您现在可以将角色指派给默认租户或特定租户。默认租户为所有租户提供对数据的访问权限。针对需要访问所有租户数据的 MSSP 用户,您可以在没有租户的环境中使用默认租户。指派给特定租户的角色中的用户仅可以查看使用该租户名称标记的数据。需要查看多个租户数据的 MSSP 员工可以被指派到默认租户,这使他们拥有对所有租户的数据和实时视图的访问权限。
有关这些增强功能以及配置多租户的详细信息,请参见《NetIQ Sentinel 管理指南》中的在多租户环境中配置 Sentinel
。
Sentinel 7.3 包含对关联事件的以下增强功能:
自定义关联事件的功能:
关联界面现在包含一个能够使您在创建关联规则时自定义关联事件字段值的选项。例如,如果您想要关联事件具有与其触发事件不同的严重性,则可以将严重性设置为新值。有关详细信息,请参见《NetIQ Sentinel 用户指南》中的自定义关联事件
。
配置触发事件数量的功能:
您现在可以定义与关联规则相关联的触发事件的数量。定义此限制,防止 Sentinel 将大量触发事件关联到关联事件,从而减少服务器上的负载。有关详细信息,请参见《NetIQ Sentinel 管理指南》中的配置触发事件的数量来与关联事件相关联
。
Sentinel 7.3 包含安全智能仪表板的以下增强功能:
包含历史数据的功能: 现在,当在仪表板中填充安全智能数据时,您可以包含历史数据,这可在分析数据时提供更多的环境。
更长的数据保留期限: 您现在可以将安全智能数据保留长达 64 周。
有关详细信息,请参见《NetIQ Sentinel 用户指南》中的创建仪表板
。
Sentinel 7.3 更改了多实例(分布式)设置用户界面中所使用的术语。这些更改反映了多实例设置适用于数据联合,而不是仅特定于搜索或事件。术语更改如下所示:
“分布式搜索”现在改为“数据联合”
目标现在是数据源
搜索目标服务器现在是数据源服务器
搜索启动程序服务器现在是授权请求器
有关详细信息,请参见《NetIQ Sentinel 管理指南》中的配置数据联合
。
Sentinel 新安装的默认试用许可证允许您通过无限制的 EPS 在 60 天的评估期限内使用 Sentinel Enterprise 的所有功能。在试用许可证失效后,使用免费许可证密钥运行的系统只能启用一组有限的功能和 25 EPS 的有限事件发生率。免费许可证永不失效。有关 Sentinel 许可证的详细信息,请参见《NetIQ 安装和配置指南》中的了解许可证信息
。
您现在可以调整动态列表属性窗口的大小,这使得查看长值更加容易。
Sentinel 自动删除旧报告来优化磁盘空间的用量。您可以根据需要定义报告保留期限。有关详细信息,请参阅《NetIQ Sentinel 管理指南》中的配置报告保留期限
。
Sentinel 7.3 包括 Sentinel 插件的全新版本和更新版本。只有完成新的安装,收集器和连接器的最新版本才可用。最新版的集成器和操作在全新安装和升级安装中均可用。有关 Sentinel 7.3 的升级安装,可访问 Sentinel 插件网站,查阅具体文档中最新收集器和连接器的修订历史记录,然后确定需要下载和安装的插件。
Sentinel 7.3 包括用于解决多个问题的软件修复。
有关以前版本中的软件修复和增强功能的列表,请参见具体的发行说明。
问题: 您不能导出带有 50,000 个事件以上的分布式搜索结果。(BUG 863985)
修复: 您现在可导出包含多达 200,000 个事件的搜索结果文件。
问题: 原始数据缓冲区具有设置限制来存储进来的原始数据。如果进来的数据超过该限制,即使有足够的磁盘空间,Sentinel 也会丢弃原始数据。(BUG 893546)
修复: 对原始数据缓冲区的大小没有限制。Sentinel 可以缓冲原始数据,直到磁盘空间 90% 已满。
问题: 在多个规则选项卡同时处于打开状态时不能重新部署关联规则。(BUG 838771)
修复: 您现在可在多个规则选项卡处于打开状态时重新部署关联规则。
问题: 在执行事件搜索时,如果编辑此搜索查询,则需要按 Enter 或搜索两次才能开始进行搜索。(BUG 829291)
修复: 在编辑搜索查询后,按 Enter 或搜索一次即可开始事件搜索。
问题: 在单击“Change Guardian”图标来查看事件细节时,Sentinel 提示输入 Change Guardian 许可证。(BUG 855914)
修复: 您现在可以查看 Change Guardian 事件细节,而无需添加 Change Guardian 许可证密钥。
问题: 在 Sentinel 设备升级过程中,Sentinel 删除现有的自定义防火墙规则。(BUG 867662)
修复: Sentinel 7.3 保留现有的自定义防火墙规则。
问题: Sentinel 不处理未正确关闭的原始数据文件。这是个别问题。(BUG 870969)
修复: Sentinel 7.3 现在处理未正确关闭的原始数据文件。
问题: 在事件源管理表视图中,按属性过滤会呈现事件源的折叠视图。您需要手动展开该视图。(BUG 790041)
修复: 在 Sentinel 7.3 中,按属性过滤时,自动展开事件源管理视图。
问题: 在查看过 Change Guardian 事件附件一次后,Sentinel 不显示该附件。它仅在第一次正确地显示事件附件。(BUG 902142)
修复: Sentinel 7.3 正确地显示 Change Guardian 事件附件。
问题: 在 Sentinel 代理管理器 (SAM) 中所执行的活动(如授权代理)并不总能同步到 Sentinel。由于用于同步 SAM 数据库和 Sentinel 数据库的 ETL 脚本中的错误导致了这一问题。(BUG 885456)
修复: 在 Sentinel 7.3 中,在 SAM 数据库和 Sentinel 数据库之间的同步正常。在 SAM 中执行的任务在几分钟内就同步到 Sentinel。
问题: 源、目标和观测器主机的纬度、经度和国家/地区的地理空间事件字段设置不正确。(BUG 895872)
修复: Sentinel 现在使用正确的值填充纬度、经度事件字段。现在使用两个字符 ISO 国家/地区代码而不是完整的国家/地区名称来填充国家/地区事件字段,以便这些字段能与更多的区域设置和可视化工具兼容。
问题: 在自定义安装中,clean_db.sh 脚本不删除存在于非默认位置的 Advisor 数据。(BUG 820700)
修复: 现在 clean_db.sh 脚本删除处于默认和非默认位置的 Advisor 数据。
问题: Sentinel 以前的版本包含 Oracle Java 1.7 update 65,它含有一个关于 FIPS 模式下 RSA 客户端密钥交换的已知问题。有关更多信息,请参见 Java SE 开发包 7,Update 51 发行说明。当 Sentinel 运行于 FIPS 模式下,并试图接收来自安全性管理器以及 Sentinel Agent Manager 等客户端的连接时,这将引起连接错误。(BUG 872305)
修复: Sentinel 7.3 包括 Oracle Java 1.7 update 72,它解决了 RSA 密钥交换的问题。
问题: 在分布式搜索失败后,执行事件搜索时,Sentinel 不返回任何结果。事件搜索停止工作,并且不允许执行任何新的搜索。(BUG 864372)
修复: 对于在搜索失败后等待数据的搜索作业,现在 Sentinel 能关闭它们并允许新的搜索。
有关硬件要求、支持的操作系统和浏览器的信息,请参见《NetIQ Sentinel 安装和配置指南》中的满足系统要求
。
有关安装 Sentinel 7.3 的信息,请参见《NetIQ Sentinel 安装和配置指南》。
您可以从 Sentinel 7.0 或后续版本升级到 Sentinel 7.3。
从 NetIQ 下载网站下载 Sentinel 安装程序。有关升级到 Sentinel 7.3 的信息,请参见《NetIQ Sentinel 安装和配置指南》中的升级 Sentinel
。
在升级后,数据代理用户角色将不会有允许用户管理警报的许可权限。该许可权限是角色执行远程警报搜索所必需的。手动将允许用户管理警报许可权限指派给数据代理用户角色。有关详细信息,请参见《NetIQ Sentinel 管理指南》中的配置角色和用户
。
NetIQ Corporation 将努力确保我们的产品提供高品质的解决方案,以满足企业的软件需求。以下问题目前正在研究中。如果需要有关任何问题的进一步帮助,请联系技术支持。
问题: SpyEye Tracker 源的数据提供商已停止更新此源,说明 SpyEye 威胁似乎得到缓解。在 Sentinel 中仍捆绑此源插件。由于数据提供商不再提供有效的威胁源,该源插件使用意外数据填充动态列表,且相关的关联规则无法正常工作。源用户界面仅表示成功处理了数据,而不表示该数据无效。(BUG 916560)。
解决方法: SpyEye Tracker 插件并不会对您的服务器造成任何问题,但可以通过去除此源插件及其相关的 Sentinel 对象:动态列表和关联规则来节省系统资源。
在解决方案包管理器中卸装 SpyEye Botnet 组件。这将去除关联的动态列表、关联规则和源插件。但是,如果源插件已被安排或以前运行,则无法去除此源插件。相反,您可以将“安排更新源”设置为“从不”。有关在解决方案包管理器中去除 SpyEye Botnet 组件的详细信息,请参见 Sentinel 插件网站上的 Threat Intelligence Solution Pack 文档。
问题: 在 Sentinel 7.3 的升级安装中,在 Web 控制台的提示表中搜索警报属性时,该搜索不返回完整的警报字段列表。但是,如果您清除该搜索,则会在提示表中正确显示警报字段。(BUG 914755)
解决方法: 目前没有任何解决方法。
问题: 当 Sentinel 服务器在 FIPS 140-2 模式下运行时,如果 Java 运行时环境 (JRE) 的版本是 8 或后续版本,则无法使用 Java Web Start 在客户端计算机中起动 Sentinel 控制中心和 Solution Designer。(BUG 910452)
解决方法: 请确保您在想要起动 Sentinel 控制中心或 Solution Designer 的客户端计算机中执行以下操作:
安装并使用 JRE 7 来起动 Sentinel 控制中心或 Solution Designer。
在 Java 控制面板中,不要选择高级选项卡中的使用 TLS 1.2 选项。
问题:
在尝试将人类可读格式的 IPv6 地址字段同步到外部数据库时,数据同步失败。有关配置 Sentinel 来填充人类可读点标记格式的 IP 地址字段的信息,请参见《NetIQ Sentinel 管理指南》中的创建数据同步策略
。(BUG 913014)
解决方法: 若要修复此问题,请在目标数据库中手动将 IP 地址字段的最大大小更改为不少于 46 个字符,然后重新同步此数据库。
问题: 如果在您的角色的安全过滤器为空且您的角色没有事件查看许可权限的情况下运行事件搜索,则该搜索无法完成。该搜索不显示任何有关无效事件查看许可权限的错误讯息。(BUG 908666)
解决方法: 使用以下选项之一更新此角色:
在仅匹配准则的事件字段中指定准则。如果用户处于不应看到任何事件的角色中,则您可以输入 NOT sev:[0 TO 5]。
选择查看系统事件。
选择查看所有事件数据(包括原始数据和 NetFlow 数据)。
问题: Sentinel 代理管理器忽略原始数据文件大小配置的 SMServiceHost.exe.config 文件中 RawDataTapFileSize 属性中所指定的值,并且当文件大小达到 10 MB 时停止写入原始数据文件。(BUG 867954)
解决方法: 在文件大小达到 10 MB 时,将原始数据文件的内容手动复制到其他文件,并清除原始数据文件的内容,以便 Sentinel 代理管理器能将新数据写入该文件。
问题: 在编辑从 Sentinel 7.2 升级到后续版本的已保存搜索时,在日程表页中缺少用于指定搜索报告 CSV 中的输出字段的事件字段面板。(BUG 900293)
解决方法: 在升级 Sentinel 后,重创建并重安排搜索来查看日程表页中的事件字段面板。
问题: 当您通过单击该规则的关联摘要页的活动统计面板的 Fire 计数旁边的图标,搜索部署或启用该规则后生成的所有关联事件时,Sentinel 不会返回任何关联事件。(BUG 912820)
解决方法: 将事件搜索页中 From 字段的值更改为一个早于此字段中填充时间的时间,并再次单击搜索。
问题: 尽管 Sentinel 被配置为接收 Change Guardian 事件,但在您搜索 Change Guardian 事件,并单击 Change Guardian 图标时,运行于 FIPS 模式下的 Sentinel 不会显示 Change Guardian 增量附加信息。Change Guardian 4.1.1.1 和较早版本不支持发送 FIPS 兼容模式的事件。(BUG 912230)
解决方法: 目前没有任何解决方法。
问题: 在警报视图中,在刷新警报视图时,出现次数计数下降。(BUG 913838)
解决方法: 通过单击出现次数计数下降的警报旁边的查看细节来导航到警报摘要页。警报摘要页显示正确的出现次数值。
问题: 升级到 Sentinel 7.3 导致与 DB2 数据库的数据收集和数据同步失败,因为此升级去除了 IBM DB2 JDBC 驱动程序。(BUG 909343)
解决方法: 升级到 Sentinel 7.3 后,通过执行以下步骤,添加正确的 JDBC 驱动程序并将其配置为数据收集和数据同步:
为 /opt/novell/sentinel/lib 文件夹中的 DB2 数据库版本复制正确版本的 IBM DB2 JDBC 驱动程序 (db2jcc-*.jar)。
确保您设置了驱动程序文件的必要所有权和许可权限。
配置此驱动程序,以便进行数据收集。有关详细信息,请参见数据库连接器文档。
问题: 当您在警报视图中单击选择全部来选择警报、取消选择几个警报和修改警报时,在刷新的警报视图中还会选择新进来的警报。这会导致选择进行修改的警报计数错误,同时看上去您正在修改新进来的警报。但是,只有最初选择的警报得到修改。(BUG 904830)
解决方法: 如果您使用自定义时间范围创建警报视图,则警报视图中将不会显示新的警报。
问题: 历史安全智能 (SI) 数据需要很长时间才能装载到具有高每秒事件数 (EPS) 装载的 Sentinel 系统中。(BUG 908599)
解决方法: 如果您正在通过历史数据创建安全智能仪表板,如有可能,请计划在系统负载较低时再部署此仪表板。目前没有任何其他的解决方法。
问题: 在安全智能基线重新生成期间,基线的开始和结束日期不正确,并显示为 1/1/1970。(BUG 912009)
解决方法: 在完成基线的重新生成后,更新正确的日期。
问题: 如果在单个分区中有大量索引的事件,运行搜索时,Sentinel 服务器会关闭。(BUG 913599)
解决方法: 通过在一天中至少打开两个分区的方式,创建保留策略。打开多个分区有助于减少分区中索引的事件数量。
您可以基于跟踪一天中小时的 estzhour 字段来创建过滤事件的保留策略。因此,您可以使用 estzhour:[0 TO 11] 作为过滤器来创建一个保留策略,并使用 estzhour:[12 TO 23] 作为过滤器来创建另一个保留策略。
有关详细信息,请参见《NetIQ Sentinel 管理指南》中的配置数据保留策略
。
问题: 创建新警报,而不是将警报信息聚集到现有警报。这是个别问题。(BUG 914512)
解决方法: 目前没有任何解决方法。
问题: 当您使用 report_dev_setup.sh 脚本为防火墙异常配置 Sentinel 端口时,Sentinel 显示错误。(BUG 914874)
解决方法: 通过以下步骤,为防火墙异常配置 Sentinel 端口:
打开 /etc/sysconfig/SuSEfirewall2 文件。
将以下行:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
更改为
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
重启动 Sentinel。
问题: 当在 Microsoft Active Directory 和 Windows Collector 上启用通用主机名解析服务收集器时,Sentinel 通用收集器的性能会下降。当远程收集器管理器发送事件时,EPS 下降 50%。(BUG 906715)
解决方法: 目前没有任何解决方法。
问题: 当您在 FIPS 模式下安装 Sentinel 时,连接到安全智能数据库的连接器无法启动,并且 Sentinel 无法访问安全智能、Netflow 和警报数据。(BUG 915241)
解决方法: 在 FIPS 模式中进行安装和配置后,重启动 Sentinel。
问题: 当您从由非根用户安装并在 FIPS 模式下进行配置的 Sentinel 自定义安装升级到 Sentinel 7.3 时,安全智能数据库和警报仪表板偶尔无法启动。(BUG 916285)
解决方法: 请执行下列步骤:
转到 <custom installation directory>/opt/novell/sentinel/bin 来了解 Sentinel 索引服务。
运行以下命令:
./si_db.sh status
校验是否显示以下输出:
Connection between alert store and indexing service is running. Security Intelligence database is running. Indexing service is running.
如果任何上述三个服务没有运行,请执行以下步骤。
运行以下命令来停止 Sentinel:
rcsentinel stop
以 novell 用户身份登录 Sentinel 服务器。
运行以下命令:
<custom installation directory>/opt/novell/sentinel/bin/si_db.sh startnoauth
运行以下命令来添加 dbauser 和 appuser 用户:
cd <custom installation directory>/opt/novell/sentinel/3rdparty/mongodb/bin
./mongo
use admin
db.addUser ("dbauser", "novell")
use analytics
db.addUser ("appuser", "novell")
exit
停止 MongoDB 数据库:
<custom installation directory>/opt/novell/sentinel/bin/si_db.sh stop
执行以下步骤添加加密口令字段:
运行以下命令为 novell 用户获取加密口令:
<custom installation directory>/opt/novell/sentinel/bin/encryptpwd -e novell
显示加密口令。例如:
bVWOzu6okMmMCkgM0aHeQ==
在 configuration.properties 文件中,使用 encryptedpassword 更新 baselining.sidb.password 和 baselining.sidb.dbpassword 属性。例如:
baselining.sidb.password=9bVWOzu6okMmMCkgM0aHeQ==
baselining.sidb.dbpassword=9bVWOzu6okMmMCkgM0aHeQ==
从 novell 用户帐户退出,并以根用户的身份使用以下命令启动 Sentinel:
rcsentinel start
注:在需要时,运行 configure.sh 脚本重设置口令。有关运行 configure.sh 脚本的详细信息,请参见《NetIQ Sentinel 安装和配置指南》中的安装后修改配置
。
问题: 在警报视图中,在单击任何远程警报旁边的查看细节并转到警报细节页时,关联数据面板中不显示该警报的触发事件。(BUG 916116)
解决方法: 登录到数据源服务器并在本地查看警报细节。
问题: 在警报视图中,如果自定义状态和优先级字段中的值,则这些字段的远程警报不显示任何数据。在警报细节页中,这些字段也不显示这些警报的任何数据。(BUG 915762)
解决方法: 登录到数据源服务器并在本地查看警报。
问题: 有时,如果您重启动 Sentinel 并登录,Sentinel 不显示任何警报视图中的警报。(BUG 916133)
解决方法: 通过执行以下步骤,重启动安全智能数据库:
运行以下命令:
rm /opt/novell/sentinel/3rdparty/mongoconnector/config.txt
编辑 /opt/novell/sentinel/bin/elasticsearch.sh,如下所示:
在函数 es_start() 中,在以下代码段中所示行号 209 后输入 sleep 2:
exec_command "\"${ESEC_HOME}/3rdparty/elasticsearch/bin/elasticsearch\" -d -Des.config.file=\"${ESEC_CONFIG_HOME}/3rdparty/elasticsearch/elasticsearch.yml\" -Des.path.conf=\"${ESEC_CONFIG_HOME}/3rdparty/elasticsearch\" -Des.path.data=\"${ESEC_DATA_HOME}/3rdparty/elasticsearch/data\" -Des.path.logs=\"${ESEC_LOG_HOME}/log\""
if [ $? -ne 0 ]
then
RETRY=$(( $RETRY + 1 ))
error_message "$(gettext 'Failed to start indexing service.')"
if [ $RETRY -eq 5 ]
then
return $RESULT_FAILURE
fi
sleep 2
continue
fi
sleep 2
fi
保存文件并退出编辑器。
以 novell 用户身份运行以下命令:
/opt/novell/sentinel/bin/si_db.sh restart
问题: 在升级的 Sentinel 设备联机安装中,appuser 和 dbauser 用户帐户不可用。(BUG 915197)
解决方法: 请执行下列步骤:
停止 Sentinel 服务:
rcsentinel stop
运行以下命令:
/opt/novell/sentinel/bin/si_db.sh startnoauth
运行以下命令来添加 dbauser 和 appuser 用户:
cd opt/novell/sentinel/3rdparty/mongodb/bin
./mongo
use admin
db.addUser ("dbauser", "novell")
use analytics
db.addUser ("appuser", "novell")
exit
运行以下命令:
/opt/novell/sentinel/bin/si_db.sh stop
执行以下步骤添加加密口令字段:
运行以下命令为 novell 用户获取加密口令:
/opt/novell/sentinel/bin/encryptpwd -e novell
显示加密口令。例如:
bVWOzu6okMmMCkgM0aHeQ==
在 configuration.properties 文件中,使用 encryptedpassword 更新 baselining.sidb.password 和 baselining.sidb.dbpassword 属性。例如:
baselining.sidb.password=9bVWOzu6okMmMCkgM0aHeQ==
baselining.sidb.dbpassword=9bVWOzu6okMmMCkgM0aHeQ==
从 novell 用户帐户退出,并以根用户的身份使用以下命令启动 Sentinel:
rcsentinel start
问题: SSL 3.0 中存在的漏洞可能允许计算安全连接的纯文本。有关详细信息,请参见 CVE-2014-3566。由于 Syslog 连接器 2011.1r4 使用了 SSL 协议,所以其捆绑版本中存在这一漏洞。
解决方法: Syslog 连接器版本 2011.1r5 及更高版本可以解决此问题。此版本在 Sentinel 插件网站上正式发布后,您可以从预览部分下载此连接器。
问题: 如果收集器分析事件支持多个连接模式,则代理管理器连接器版本 2011.1r3 不会设置事件中的 CONNECTION_MODE 属性。(BUG 880564)
解决方法: 代理管理器连接器版本 2011.1r5 及更高版本可以解决此问题。此版本在 Sentinel 插件网站上正式发布后,您可以从预览部分下载此连接器。
问题: 默认情况下,当安装 Sentinel 设备时,网络接口为未配置。(BUG 867013)
解决方法: 配置网络接口步骤:
在网络配置页面,单击网络接口。
选择网络接口并单击编辑。
选择动态地址,然后选择 DHCP 或静态分配 IP 地址。
单击下一步,然后单击确定。
问题: 当在 Sentinel 中导出搜索结果时,如果您修改操作系统语言设置,Web 浏览器可能显示一则错误信息。(BUG 834874)
解决方法: 若要正确导出搜索结果,请执行任一下列操作:
当导出搜索结果时,去除导出文件名中的任何特殊字符(ASCII 字符除外)。
启用操作系统语言设置中的 UTF-8,重启计算机,然后重启 Sentinel 服务器。
问题: 当您使用端口转发或者目标网络地址转换 (DNAT) 起动 Sentinel Web 控制台时,Sentinel Web 控制台会显示一个空网页。(BUG 694732)
解决方法: 不使用端口转发或者目标网络地址转换 (DNAT) 的方式起动 Sentinel Web 控制台。
问题: 当您创建或重新生成一条安全智能基线时,Sentinel 将成功创建基线,但显示一则错误讯息。(BUG 848067)
解决方法: 请忽略该错误讯息。创建基线可能需要几分钟时间。
问题: 如果辅助存储器能够存储数据的天数小于主存储器能够存储数据的天数,Sentinel 不会有效利用主存储器磁盘空间。为释放空间而从辅助存储器中删除的分区也会从主存储器器中移除。(BUG 860888)
解决方法: 为辅助存储器分配足够多的空间来存放您想联机保留的数据的总天数(可被搜索的)。
有关更多信息,请参见《NetIQ Sentinel 管理指南》中的事件数据
。
问题: 在大于 2 TB 磁盘空间的系统上,Sentinel 在安装后可能无法自动启动。(BUG 846296)
解决方法: 作为一种一次性的活动,通过指定以下命令来手动启动 Sentinel 服务:
rcsentinel start
问题: 在 Sentinel 设备安装中,如果您在 Kerberos 模块中配置 Kerberos 鉴定,控制台会显示一条成功配置 Kerberos 客户端的配置讯息。但是,在您重新查看 Kerberos 模块时,取消选择“启用 Kerberos 鉴定”选项。(BUG 843623)
解决方法: 目前没有任何解决方法。
问题: 在安装远程收集器管理器时,如果您指定的口令包含特殊字符(如“$”、“"”、“\”或“/”),则安装将出现错误。(BUG 812111)
解决方法: 不要在远程收集器管理器口令中使用特殊字符。
问题: 当您重启动远程收集器管理器设备时,UDP 端口上连接的 Syslog 事件源将丢失连接。(BUG 795057)
解决方法: 目前没有任何可用的解决方法。
问题: 当您等待一个报告结果 PDF(具体而言,100 万个事件的报告结果)打开时,如果单击另一个报告结果 PDF 进行查看,则不会显示报告结果。(BUG 804683)
解决方法: 再次单击第二个报告结果 PDF 即可查看报告结果。
问题: 在 Sentinel 环境中启用了 FIPS 模式时,如果对 Agent Manager 使用 Windows 鉴定,将导致与 Agent Manager 数据库进行的同步失败。(BUG 814452)
解决方法: 在 Sentinel 环境中启用了 FIPS 模式时,对 Agent Manager 使用 SQL 鉴定。
问题: 如果启用 FIPS 模式,Sentinel 高可用性安装显示以下错误:
Sentinel 服务器 configuration.properties 文件不正确。请检查配置文件,然后重新运行 convert_to_fips.sh 脚本,以在 Sentinel 服务器中启用 FIPS 模式。
但是,此安装将成功完成。(BUG 817828)
解决方法: 目前没有任何可用的修复或解决方法。虽然安装程序会显示错误,但 Sentinel 高可用性配置将在 FIPS 模式下成功地正常工作。
问题: 在非 FIPS 模式下成功完成了 Sentinel 高可用性安装,但会显示两次以下错误:
/opt/novell/sentinel/setup/configure.sh: line 1045: [:自变量过多
(BUG 810764)
解决方法: 目前没有任何可用的修复或解决方法。虽然安装程序会显示错误,但 Sentinel 高可用性配置将在非 FIPS 模式下成功地正常工作。
问题: 从 Sentinel 7.2 以前的版本进行设备更新失败,因为更新程序包的供应商已从 Novell 更改为 NetIQ。(BUG 780969)
解决方法: 使用 zypper 命令更新设备。有关详细信息,请参见《NetIQ Sentinel 安装和配置指南》中的使用 zypper 升级设备。
问题: 如果在口令中指定了 $ 字符,则 Sentinel 会以不同的方式将口令储存在数据库中,具体视 $ 在口令中的位置而定。如果口令以特殊字符 $ 开头,则 Sentinel 会使用文件名储存口令。如果字符 $ 位于该口令中间的某个位置,则 Sentinel 会在字符 $ 所在的位置将口令截断。(BUG 734500)
解决方法: 实际口令储存在 home/novell/.pgpass 文件中。从此文件中获取口令,然后登录到 Sentinel。例如,如果已将口令指定为 abc$123,则 Sentinel 会以 abc 的形式将口令储存在 .pgpass 文件中。您可以通过将 abc 指定为口令登录到 Sentinel。
问题: 当系统上已存在同名的关联规则时,解决方案管理器不会安装关联规则。控制台中会记录 NullPointerException 错误。(BUG 713962)
解决方法: 确保所有关联规则具有唯一名称。
问题: 当您从 Web 控制台中执行 Sentinel Link 操作时,即使从 Sentinel 控制中心进行的 Sentinel Link 连接器集成器测试失败,Sentinel 也会显示一条成功讯息。(BUG 710305)
解决方法: 目前没有任何解决方法。
问题: 当安全智能仪表板和异常定义具有相同的名称时,“异常细节”页面上将会禁用仪表板链接。(BUG 715986)
解决方法: 在创建仪表板和异常定义时,确保使用唯一的名称。
问题: 当 Sentinel Web 控制台的计算机时钟比 Sentinel 服务器时钟慢时,Sentinel Web 控制台会在活动搜索作业的“持续时间”和“已访问”列中显示负数。例如,当 Sentinel Web 控制台时钟设置为 1:30 PM,而 Sentinel 服务器时钟设置为 2:30 PM 时,“持续时间”和“已访问”列便会显示负数。(BUG 719875)
解决方法: 确保您用于访问 Sentinel Web 控制台的计算机上的时间与 Sentinel 服务器计算机上的时间相同或快于该时间。
问题: 当您登录到安全性仪表板并进行 IssueSAMLToken 审计事件的搜索操作时,IssueSAMLToken 审计事件将显示错误的主机名 (InitiatorUserName) 或(IP 地址)SourceIP。(BUG 870609)
解决方法: 目前没有任何解决方法。
问题: 当 NetIQ Identity Manager Designer 安装在客户端计算机上并且 Designer 使用系统 JRE 时,Sentinel 控制中心不起动。Designer 需要将一些支持的 jar 文件(如 xml-apis.jar)添加到 lib/endorsed 目录。xml-apis.jar 文件中的一些类将覆盖 Sentinel 控制中心所使用的系统 JRE 中的相应类。(BUG 888085)
解决方法: 将 Designer 配置为使用它自己的 JRE。
问题: 在收集事件数据时,Sentinel 代理管理器不会截获带有 Null 值的 Windows 插入字符串字段。(BUG 838825)
解决方法: 目前没有任何解决方法。
我们的目标是提供满足您的需要的文档。如果您有改进建议,请发送电子邮件至 Documentation-Feedback@netiq.com。我们会重视您的意见,欢迎您提供建议。
有关详细的联系信息,请参见支持联系信息网站。
有关一般的公司和产品信息,请参见 NetIQ 公司网站。
如需与您的同行以及 NetIQ 专家进行交流,不妨成为我们社区的活跃成员。NetIQ 在线社区会提供产品信息以及有用资源、博客和社交媒体渠道的实用链接。
NetIQ Sentinel 受美国专利(专利号为 05829001)的保护。
本文档及其中所述软件按许可证协议或保密协议的条款提供,并受这些条款的约束。除非在此类许可证协议或保密协议中有明确规定,否则 NETIQ CORPORATION 将按“原样”提供本文档及其中所述软件,不做任何明示或暗示的保证(包括但不限于对用于具体目的的适销性或适用于的暗示保证)。美国的某些州不允许免除对某些交易的明示或暗示保证,因此本声明可能不适用于您。
为明确起见,特此声明:任何模块、适配器或其他类似的材料(统称“模块”),均根据与之相关或与之进行互操作的相应版本 NetIQ 产品或软件的《最终用户许可协议》的条款与条件进行许可,访问、复制或使用某个“模块”,即表示您同意受此类条款的约束。如果您不同意《最终用户许可证协议》的条款,则将无权使用、访问或复制“模块”,因此,您必须销毁“模块”的所有副本,并联系 NetIQ 以寻求进一步的指导。
未经 NetIQ Corporation 的事先书面许可,不得转借、销售或赠予本文档及其中所述软件,除非法律另外许可。除非在此类许可证协议或保密协议中有明确规定,否则,未经 NetIQ Corporation 的事先书面同意,不得对本文档或其中所述软件中的任何部分进行复制,也不得将其储存在检索系统中,或以任何形式或任何方式(包括电子方式、机械方式等)进行传输。本文档中的某些公司、名称和数据仅用于说明,不得代表真实的公司、个人或数据。
本文档可能包含不准确的技术信息或印刷错误。此处的信息将定期进行更改。这些更改可能会纳入本文档的新版中。NetIQ Corporation 可能会随时对本文档所述软件进行改进或更改。
美国政府的有限权利:如果本软件和文档是由美国政府、代表美国政府或由美国政府的主要承包商或分包商(任何层级)根据 48 C.F.R. 227.7202-4(针对国防部 (DOD) 采购)以及 48 C.F.R. 2.101 和 12.212(针对非 DOD 采购)的规定获取的,则美国政府对本软件和文档的各方面权利(包括使用、修改、复制、发布、执行、显示或披露本软件或文档的权利),将受许可证协议中规定的商业许可权利和限制的约束。
© 2015 NetIQ Corporation。保留所有权利。
有关 NetIQ 商标的信息,请参见 http://www.netiq.com/company/legal/。