Sentinel 8.0 SP1 Patch Update 1 解决了之前的问题。此补丁更新仅适用于 Sentinel 的传统安装版。
其中的很多改进都是直接按照我们客户提供的建议做出的。非常感谢您在百忙之中为我们提供宝贵的意见。我们衷心希望您继续为我们提供意见,以确保我们产品满足您的一切需求。您可以在我们的 NetIQ 在线社区中的 Sentinel 论坛上发布反馈,该社区还包括产品信息、博客以及指向有用资源的链接。
NetIQ 网站提供了 HTML 和 PDF 格式的本产品相关文档,该文档页面无需登录即可访问。如果您对文档改进有任何建议,请单击发布在 Sentinel NetIQ 文档页的 HTML 版本文档的任一页上的评论图标。若要下载该产品,请参见 Sentinel 产品升级网站。
以下部分概述了主要功能和增强功能,以及此版本已解决的问题:
Sentinel 8.0 SP1 Patch Update 1 提供了一些修复办法,以解决 Tenable Network Security 员工 Jacob Baines 发现的 CVE-2016-1000031 漏洞。这些修复是对之前发布的更新的补充。感谢 Jacob Baines 发现并向我们报告了这些安全漏洞。
Sentinel 8.0 SP1 Patch Update 1 包括解决了几个问题的软件修复。
问题: 查看所有事件细节时,日期和时间 UTC(协调世界时)格式不正确。(Bug 1031523、Bug 1034531)
修复: 事件细节字段现在可以根据浏览器指定的区域设置格式显示所有日期。
问题: 当您升级 Sentinel 8.0 及其更高版本时,安装程序显示以下错误:
Installing: novell-Sentinelwebapp-8.0.0.1-3404 [done] Additional rpm output: /var/tmp/rpm-tmp.28463: line 263: [: search.hideUI=false: binary operator expected
(Bug 1025512)
修复: 升级过程中不再出现此错误。
问题: 如果您修改搜索准则并选择开始时间、结束时间或 Sentinel 处理时间,则搜索结果无效。(Bug 894421)
修复: 编辑搜索准则时,开始时间、结束时间或 Sentinel 处理时间选项不再可用。
问题: 如果您在具有多个数据库收集器的 Collector Manager 计算机上重新启动 Sentinel 服务,则某些收集器无法重新连接到事件源。(Bug 1015375)
修复: 重新启动 Sentinel 服务之后,所有收集器均可重新连接。
问题: 即使存在多个警报,运行 /SentinelRESTServices/objects/alert/count API 总是返回 0。(Bug 1028317)
修复: /SentinelRESTServices/objects/alert/count API 现可返回正确的警报数。
问题: 如果元素值包含反斜杠,您将无法在控制中心删除动态列表元素。(Bug 1027494)
修复: 您现可在控制中心删除动态列表中带反斜杠的元素值。
问题: 如果您配置异常定义在出现基线偏差时发送电子邮件通知,Sentinel 无法发送电子邮件并返回 IllegalStateException 错误。(Bug 816622)
修复: Sentinel 现可正确发送电子邮件。
问题: 将搜索保存到 CSV 文件后,CSV 文件不会维持指定的字段顺序。(Bug 979916)
修复: 将搜索保存到 CSV 文件之后,CSV 文件现可维持指定的字段顺序。
问题: 如果您计划在当前日期范围内运行报告,但是起始日期是未来时间,则报告失败。(Bug 914094)
修复: 您可以使用 Sentinel 设置未来的起始日期,以报告时间同步不正确的事件源。Sentinel 现在运行报告没有错误。
有关硬件要求、支持的操作系统和浏览器的信息,请参见 Sentinel 的技术信息页面。
Sentinel 8.0 SP1 Patch Update 1 仅适用于 Sentinel 的传统安装版。
您可从以下 Sentinel 版本升级到 Sentinel 8.0 SP1 Patch Update 1:
Sentinel 8.0 及更高版本
Sentinel 7.4 及更高版本,直至 Sentinel 7.4 SP4 热修复 1
从 Patch Finder 网站下载增补程序更新。有关升级到 Sentinel 8.0 SP1 Patch Update 1 的信息,请参见《NetIQ Sentinel 安装和配置指南》中的升级 Sentinel
。
注:如果您想使用 Sentinel Link Connector,您必须将它升级到 2011.r4 版本,该版本包含一些软件修复,解决了与 Sentinel 8.0.1 及更高版本的兼容性问题。
升级可扩展存储数据管理器 (SSDM) 后,您必须重新提交 Spark 申请,以便考虑更新的 Spark 文件。在此期间,Spark 不会处理任何到达的事件,直到您重新提交 Spark 申请。为了避免这些问题,请执行 NetIQ 知识库文章 7018726 中提及的步骤。
Sentinel 8.0 SP 1 Patch Update 1 与 Change Guardian 4.2 及更高版本兼容。
升级之前,如果您的环境中运行的 Change Guardian 版本与此 Sentinel 版本不兼容,则您必须首先将 Change Guardian 服务器、代理和策略编辑器升级到 4.2 或更高版本。
NetIQ Corporation 将努力确保我们的产品提供高品质的解决方案,以满足企业的软件需求。以下问题目前正在研究中。如果需要有关任何问题的进一步帮助,请联系技术支持。
Sentinel 中包含的 Java 8 更新可能会影响以下插件:
Cisco SDEE 连接器
SAP (XAL) 连接器
Remedy 集成商
有关这些插件的任何问题,NetIQ 将根据标准的缺陷处理策略优先考虑和修复这些问题。有关支持策略的更多信息,请参见支持策略。
问题: 高可用性模式的 SSDM 没有将相应的 HA 群集节点 IP 地址填充到 Elasticsearch 安全插件配置文件中。因此,搜索和事件可视化仪表板显示错误。(Bug 1012251)
解决方法: 安装 Elasticsearch 安全插件以后,在 Elasticsearch 群集的每个节点上执行以下步骤:
以安装 Elasticsearch 时的用户身份登录到 Elasticsearch 节点。
将 HA 群集的每个主动节点和被动节点的物理 IP 地址的项添加到 <elasticsearch 安装目录>/plugins/elasticsearch-security-plugin/elasticsearch-ip-whitelist.txt 文件中,如下所示:
<群集节点物理 IP>:<目标 Elasticsearch HTTP 端口>
将每个项添加到新行中,然后保存文件。
在 <elasticsearch 安装目录>/plugins/elasticsearch-security-plugin/plugin-configuration.properties 文件中,将 authServer.host 属性设置为 HA 群集的虚拟 IP 地址,如下所示:
authServer.host=<群集虚拟 IP>
重启动 Elasticsearch。
问题: 升级后,Sentinel 未显示警报仪表板。出现该问题是因为升级期间,Sentinel 没有删除有关警报仪表板的临时目录。(Bug 984796)
解决方法: 通过执行以下程序手动删除临时文件:
以 Novell 用户身份登录 Sentinel 服务器。
按下列方式更改 webapps 目录:
cd /var/opt/novell/sentinel/3rdparty/jetty/webapps/
去除下列 sentinel-elasticsearch-proxy.tmp 目录:
rm -rf sentinel-elasticsearch-proxy.tmp
更改为 contexts 目录,并按下列方式更新 sentinel-elasticsearch-proxy.xml 文件的时戳:
cd /etc/opt/novell/sentinel/3rdparty/jetty/contexts/
touch sentinel-elasticsearch-proxy.xml
刷新 Sentinel 主界面,以查看警报仪表板。
问题: 在 Sentinel 高可用模式中将活动节点转换为 FIPS 140-2 模式后,未完全执行将所有被动节点转换为 FIPS 140-2 模式的同步操作。您必须手动启动同步。(Bug 1014472)
解决方法: 按以下步骤手动同步被动节点与 FIPS 140-2 模式:
在主动节点上以 root user 身份登录。
打开 /etc/csync2/csync2.cfg 文件。
更改下列行:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
更改为
include /etc/opt/novell/sentinel/3rdparty/nss;
保存 csync2.cfg 文件。
通过运行以下命令手动启动同步:
csync2 -x -v
问题: 在 SSDM 环境中,如果您使用默认选项创建了图块地图可视化项,则 Kibana 问题会使新建的图块地图可视化项在事件可视化仪表板中不起作用。想要了解有关 Kibana 问题的更多信息,请参见 https://github.com/elastic/kibana/issues/7717。(Bug 1001909)
解决方法: 创建新的图块地图可视化项后,请在选项下方选择兼容 WMS 的地图服务器。
问题: Kibana 问题使 Internet Explorer 11 无法打开事件可视化仪表板。(Bug 981308)
解决方法: 使用其他浏览器来查看或修改可视化仪表板。
问题: 如果您尝试在运行的是 SLES 11 SP4 操作系统的计算机上以 FIPS 模式安装 Sentinel,则安装过程将失败。(Bug 990201)
解决方法: 确保操作系统不处于 FIPS 模式,然后完成以下步骤:
安装 Sentinel。想要了解更多信息,请参见《Sentinel 安装和配置指南》中的安装 Sentinel
。
启用 Sentinel 服务器,以在 FIPS 模式下运行。想要了解更多信息,请参见《Sentinel 安装和配置指南中的启用 Sentinel 服务器以在 FIPS 140-2 模式下运行
。
使用以下命令启用操作系统,以在 FIPS 模式下运行:
fips=1 /boot/grub/menu.lst
问题: Sentinel 无法通过 Sentinel Link Connector 接收事件。(Bug 989784)
解决方法: Sentinel Link 连接器版本 2011.1r4 解决了此问题。此版本在 Sentinel 插件网站上正式发布后,您可以从预览部分下载此连接器的预览版本。
问题: 如果在 Sentinel 7.4 SP1 中对口令储存进行更改,则将该设备从早期版本升级到 7.4 SP1 时会显示以下错误:
Failed to set encrypted password
(Bug 967764)
解决方法: 应该显示该警告,您可以安全地将其忽略。这对升级没有影响。
问题: 启用 SSDM 后,如果您登录到 Sentinel 主界面,则浏览器将显示空白页。(Bug 1006677)
解决方法: 关闭您的浏览器,然后重新登录到 Sentinel 主界面。在您启用 SSDM 后首次登录到 Sentinel 主界面时,该问题只出现一次。
问题: com.novell.sentinel.spark.StreamingEventIndexer 作业不支持 IPv6。如果事件中包含 IPv6 地址,则该作业将失败。(Bug 1006975)
解决方法: 解决方法是将 IP 类型更改为字符串。要进行此项更改,请与技术支持联系。
问题: 启用可缩放储存后,SSDM 服务器日志会显示以下讯息的多个实例:
SEVERE|TimerThreadPool pool|esecurity.ccs.comp.scalablestorage.KibanaVisualAnalyticsUtil.initializeKibanaMappingSearchUnsuccessful in initializing the kibana mapping search call with status code 400
(Bug 1009662)
解决方法: 您可以安全地忽略这些讯息。对功能没有任何影响。
问题: 将 Sentinel 从 7.3 版本升级到 7.3 SP1 版本并启动 Sentinel 服务器时,您可能会在服务器日志中看到以下异常:
Invalid length of data object ......
(Bug 933640)
解决方法: 不必在意该异常。没有因为该异常对 Sentinel 的性能产生影响。
问题: Sentinel 警报视图和警报仪表板不会在 IP 地址字段中显示含有 IPv6 地址的警报。(Bug 924874)
解决方法: 要在 Sentinel 中查看含有 IPv6 地址的警报,请执行在 NetIQ 知识库文章 7016555 中提到的步骤。
问题: 在 Sentinel 的升级安装中,在 Sentinel 主界面的提示表中搜索警报属性时,该搜索不会返回警报字段的完整列表。但是,如果您清除该搜索,则会在提示表中正确显示警报字段。(Bug 914755)
解决方法: 目前没有任何解决方法。
问题:
在尝试将人类可读格式的 IPv6 地址字段同步到外部数据库时,数据同步失败。有关配置 Sentinel 来填充人类可读点标记格式的 IP 地址字段的信息,请参见《NetIQ Sentinel 管理指南》
中的创建数据同步策略。(Bug 913014)
解决方法: 若要修复此问题,请在目标数据库中手动将 IP 地址字段的最大大小更改为不少于 46 个字符,然后重新同步此数据库。
问题: 如果在您的角色的安全过滤器为空且您的角色没有事件查看许可权限的情况下运行事件搜索,则该搜索无法完成。该搜索不显示任何有关无效事件查看许可权限的错误讯息。(Bug 908666)
解决方法: 使用以下选项之一更新此角色:
在仅匹配准则的事件字段中指定准则。如果用户处于不应看到任何事件的角色中,则您可以输入 NOT sev:[0 TO 5]。
选择查看系统事件。
选择查看所有事件数据(包括原始数据和 NetFlow 数据)。
问题: 在编辑从 Sentinel 7.2 升级到后续版本的已保存搜索时,在日程表页中缺少用于指定搜索报告 CSV 中的输出字段的事件字段面板。(Bug 900293)
解决方法: 在升级 Sentinel 后,重创建并重安排搜索来查看日程表页中的事件字段面板。
问题: 当您通过单击该规则的关联摘要页的活动统计面板的 Fire 计数旁边的图标,搜索部署或启用该规则后生成的所有关联事件时,Sentinel 不会返回任何关联事件。(Bug 912820)
解决方法: 将事件搜索页中 From 字段的值更改为一个早于此字段中填充时间的时间,并再次单击搜索。
问题: 在安全智能基线重新生成期间,基线的开始和结束日期不正确,并显示为 1/1/1970。(Bug 912009)
解决方法: 在基线重新生成完成后,更新正确的日期。
问题: 如果在单个分区中有大量索引的事件,运行搜索时,Sentinel 服务器会关闭。(Bug 913599)
解决方法: 通过在一天中至少打开两个分区的方式,创建保留策略。打开多个分区有助于减少分区中索引的事件数量。
您可以基于跟踪一天中小时的 estzhour 字段来创建过滤事件的保留策略。因此,您可以使用 estzhour:[0 TO 11] 作为过滤器来创建一个保留策略,并使用 estzhour:[12 TO 23] 作为过滤器来创建另一个保留策略。
想要了解更多信息,请参见《NetIQ Sentinel 管理指南》中的配置数据保留策略
。
问题: 当您使用 report_dev_setup.sh 脚本为防火墙异常配置 Sentinel 端口时,Sentinel 显示错误。(Bug 914874)
解决方法: 通过以下步骤,为防火墙异常配置 Sentinel 端口:
打开 /etc/sysconfig/SuSEfirewall2 文件。
更改下列行:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
更改为
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
重启动 Sentinel。
问题: 当在 Microsoft Active Directory 和 Windows Collector 上启用通用主机名解析服务收集器时,Sentinel 通用收集器的性能会下降。当远程 Collector Manager 发送事件时,EPS 下降 50%。(Bug 906715)
解决方法: 目前没有任何解决方法。
问题: 当您在 FIPS 140-2 模式下安装 Sentinel 时,连接到安全智能数据库的连接器无法启动,并且 Sentinel 无法访问安全智能、Netflow 和警报数据。(Bug 915241)
解决方法: 在 FIPS 140-2 模式中进行安装和配置后,重启动 Sentinel。
问题: 当在 Sentinel 中导出搜索结果时,如果您修改操作系统语言设置,Web 浏览器可能显示一则错误信息。(Bug 834874)
解决方法: 若要正确导出搜索结果,请执行任一下列操作:
当导出搜索结果时,去除导出文件名中的任何特殊字符(ASCII 字符除外)。
启用操作系统语言设置中的 UTF-8,重启计算机,然后重启 Sentinel 服务器。
问题: 当您等待一个报告结果 PDF(具体而言,100 万个事件的报告结果)打开时,如果单击另一个报告结果 PDF 进行查看,则不会显示报告结果。(Bug 804683)
解决方法: 再次单击第二个报告结果 PDF 即可查看报告结果。
问题: 在 Sentinel 环境中启用了 FIPS 140-2 模式时,如果对代理管理器使用 Windows 鉴定,将导致与代理管理器数据库的同步失败。(Bug 814452)
解决方法: 在 Sentinel 环境中启用了 FIPS 140-2 模式时,对代理管理器使用 SQL 鉴定。
问题: 在非 FIPS 140-2 模式下成功完成了 Sentinel 高可用性安装,但会显示以下错误两次:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bug 810764)
解决方法: 应该显示该错误,您可以安全地将其忽略。虽然安装程序会显示错误,但 Sentinel 高可用性配置将在非 FIPS 140-2 模式下成功地正常工作。
问题: 当 Sentinel 主界面的计算机时钟比 Sentinel 服务器时钟慢时,Sentinel 主界面会在“活动搜索作业的持续时间”和“已访问”列中显示负数。例如,当 Sentinel 主界面时钟设置为 1:30 PM,而 Sentinel 服务器时钟设置为 2:30 PM 时,“持续时间”和“已访问”列便会显示负数。(Bug 719875)
解决方法: 确保您用于访问 Sentinel 主界面的计算机上的时间与 Sentinel 服务器计算机上的时间相同或比该时间要晚。
问题: 当您登录到安全性仪表板并进行 IssueSAMLToken 审计事件的搜索操作时,IssueSAMLToken 审计事件将显示错误的主机名 (InitiatorUserName) 或(IP 地址)SourceIP。(Bug 870609)
解决方法: 目前没有任何解决方法。
我们的目标是提供满足您的需要的文档。如果您有改进建议,请发送电子邮件至 Documentation-Feedback@netiq.com。我们会重视您的意见,欢迎您提供建议。
想要了解更多的联系信息,请参见支持联系信息网站。
有关一般的公司和产品信息,请参见 NetIQ 公司网站。
如需与您的同行以及 NetIQ 专家进行交流,不妨成为我们社区的活跃成员。NetIQ 在线社区会提供产品信息以及有用资源、博客和社交媒体渠道的实用链接。
有关 NetIQ 法律声明、商标、免责声明、保证条款、出口和其他使用限制、美国政府限制权限、专利政策以及 FIPS 合规性的信息,请参见 http://www.netiq.com/company/legal/。
版权所有 © 2017 NetIQ Corporation。保留所有权利。