Sentinel 8.1 SP1 包括新的功能,改进了可用性,并解决了以前存在的多个问题。
其中的很多改进都是直接按照我们客户提供的建议做出的。非常感谢您在百忙之中为我们提供宝贵的意见。我们衷心希望您继续为我们提供意见,以确保我们产品满足您的一切需求。您可以在 Sentinel 论坛中发布反馈,这一论坛是我们的线上社区,其中还有产品信息、博客和有用资源的链接。
NetIQ 网站提供了 HTML 和 PDF 格式的本产品相关文档,该文档页面无需登录即可访问。如果您对文档改进有任何建议,请单击发布在 Sentinel 文档页的 HTML 版本文档的任一页上的评论图标。若要下载该产品,请参见 Sentinel 产品升级网站。
以下部分概述了主要功能和增强功能,以及此版本已解决的问题:
Sentinel 8.1.1 包括解决 Sweet32CVE-2016-2183 漏洞的修复。
Sentinel 包括 Java 8 update152,其中包括几个安全漏洞的修复。
Sentinel 8.1.1 包括以下增强功能:
Sentinel 现在会为下列情况下发生的“无法关联”讯息生成审计事件:
事件迟到时间大于 30 秒。
重新排序缓冲区已满。
(Bug 1018336)
问题: 客户请求可以创建允许用户查看报告结果但不运行或删除报告的角色。查看报告结果许可权限存在,但无法授权给用户/角色管理中的角色。(Bug 1047479)
修复: 您现在可以使查看报告结果许可权限在用户/角色管理中可见,这样您可以为角色指派此许可权限。完成下列步驟:
打开 /etc/opt/novell/sentinel/config/ui-configuration.properties 文件进行编辑。
添加以下属性:
viewReportResults.hideUI=false
保存所做的更改。
退出并重启动 Web UI。
您还可以按下 Control-F5 清除浏览器超速缓存。
导航至用户/角色管理,并创建一个新的角色。
您应该可以看到查看报告结果许可权限。
编辑报告时,时间挑选器不再显示报告上次运行的日期。现在默认为当前日期以避免如果开始时间早于当前日期,需要向前点击很多个月这种情况。(Bug 1016005)
您现在可以设置数据同步策略的结束时间以便您可以只同步特定时间范围的数据。此功能只对新的数据同步策略可用,对现有数据同步策略不可用。(Bug 1053484)
创建用户时,您可以在用户名字段中最多输入 60 个字符。(Bug 1063025)
以下增强功能在储存 > 事件 > 数据保留用户界面中为原始数据保留大小刷新间隔设置:
默认的原始数据保留大小刷新间隔已改成每 12 个小时,以避免原始数据较大时出现性能问题。
默认超时间隔已改为每 60 分钟。
如果需要,您可以自定义这些默认值,:
以 novell 用户身份登录到 Sentinel 服务器。
在/etc/opt/novell/sentinel/config directory 中,创建文件:obj-component.DiskStatisticsCache.properties。
在属性文件中,将属性设置为想要的值,如下所示:
<obj-component id="DiskStatisticsCache"> <class>esecurity.ccs.comp.auth.DiskStatisticsCache</class> <property name="onlineRawDataCheckInterval">value_in_milliseconds</property> <property name="onlineRawDataTaskTimeoutPeriod">value_in_milliseconds</property> </obj-component>
重启动 Sentinel 服务器。
(Bug 1027773)
事件摘要表中的 summary_key 列现在是主键,允许其他数据库工具从合适的元数据中获益。(Bug 1048739)
Sentinel 8.1.1 包括能够解决以下问题的软件修复:
问题: 当您导出包括次级储存中事件的搜索结果时,CSV 文件只包括标题,不包括实际的搜索结果。(Bug 1043709、Bug 1073502)
修复: CSV 文件现在包括您导出的搜索结果。
电子邮件通知现在正确显示 AM 或 PM。(Bug 1040423)
Sentinel Main 现在可以成功起动。(Bug 1047106)
EventSearch Rest API 成功完成,无异常。(Bug 1038133)
问题: 如果之前的事件有一个超过时间点日期的时戳,关联引擎不会触发当天事件。它显示异常关联重新排序缓冲区已满,最终出现故障。(Bug 1036765)
修复: 关联引擎现在可以触发当天事件,没有异常。
问题: ISE 集成后的两天或三天,Sentinel 不响应。Sentinel 服务器日志包括以下讯息,表示内存不足和无法创建线程的异常:
java.lang.OutOfMemoryError: unable to create new native thread
这一问题由两个原因造成,一是 ISE 集成触发的大量映射更新,二是有一个 "RANGE" 键、有一个或多个 "STRING" 键的特定映射。当这些特定条件发生时,Sentinel 为每个唯一字符串键值创建单独的 h2temp 目录。这意味着当 ISE ipmap.csv 文件有 6000 多个项时(在常规运营时间内可能很典型),每 30 秒映射更新时,Sentinel 将重创建 6000 多个 h2temp 目录。(Bug 1036765)
修复: 用于存储映射的默认映射,具体来说包含一个 "RANGE" 键、一个或多个 "STRING" 键,现在为内存映射。映射不使用 H2 数据库,因此不需要创建许多 h2temp 目录。
注:您可以配置 RANGE/键映射是否使用需要临时目录的对象。向 Sentinel configuration.properties 文件添加一个新的 sentinel.mapping.h2.useDbRangeMap 系统属性。此系统属性有以下值:
false:使用 DataObjectKeyRangeMap 对象,该对象无需临时目录(默认值)
true:使用 DBRangeMapDataObjectStorage 对象,该对象需要临时目录
问题: 如果您运行事件的搜索,在搜索仍在运行时单击搜索按钮,优化面板显示以下讯息:
Field counts based on the first 0 events.
(Bug 999743)
修复: 现在,搜索运行时禁用搜索按钮。所有任务完成后,搜索按钮再次可用。
问题: API 文档不列出 REST API 正确运行所需的所有客户端下载库。(Bug 1047684)
修复: Sentinel API 文档现在列出 REST API 所需的所有客户端下载库。
问题: 当 Sentinel 服务器与 Collector Manager 失去联系时,服务器生成 LostContactWithCollectorManager 和 CollectorManagerDown 内部事件。这些内部事件的 CollectorNodeName(port) 和 CollectorManagerId(rv21) 事件字段不显示与 Collector Manager 相关的信息。(Bug 1050941)
修复: CollectorNodeName 和 CollectorManagerId(rv21) 事件字段现在正确显示 Collector Manager 名称和 Collector Manager ID。
所有计划报告现在可以成功运行。(Bug 1051167)
Sentinel Core Top 10 和 Sentinel Core Top 10 Dashboard 报告现在执行需要较少的时间(Bug 1040660)
这一版本解决了即使您选择了警报视图中的所有新警报筛选器,Sentinel 仍错误地显示所有警报这一问题。(Bug 991732)
/SentinelRESTServices/objects/plugin REST API 现在提供可读格式的插件信息。(Bug 992162)
计划搜索作业现在可以成功运行。(Bug 1049055)
Sentinel Core Top 10 报告现在可以成功运行。(Bug 1055336)
问题: 当您使用数据可视化搜索分布式环境中的事件时,搜索结果页面显示重复事件。(Bug 1048000)
修复: 搜索结果页面不再显示重复事件。
此版本解决了在 Sentinel Agent Manager 收集代理属性之前,您添加的代理与 Sentinel 同步的情况下,代理数据同步过程 (ETL) 出现异常而失败的问题。(Bug 1050192)
关联引擎现在可以在引擎处于空闲状态时将状态表示为空闲。(Bug 1062386)
问题: 事件的讯息字段有超过 8000 个字符时,Sentinel 截断讯息。它打印前 8000 个字符和截断的字符,以及下列讯息,导致日志充满 Message 信息:
Value for attribute msg is too long. Size is 4,096 utf-8 (each char may be multi-byte), max is 4,000 bytes, truncating <truncated_characters>
(Bug 927550)
修复: Sentinel 现在只在 server0.0 日志中显示已截断讯息中的 256 个字符。
将 Sentinel 升级到 8.1.0.1 后,数据同步可用。(Bug 1052566)
问题: 数据集合 > 事件来源选项卡中,Agent Manager 部分呈是灰色,您必须通过“Sentinel 控制中心”执行操作。(Bug 1008335)
修复: Sentinel Main 中现已启用 Agent Manager 部分。
即使事件包含特殊字符,报告仍可成功生成。(Bug 1060132)
Collector Manager 现在可以成功重启动,并按照预期处理事件来源的偏移。(Bug 1049771)
问题: 自动警报总是将 EventThroughputUtilization 更新为 100% 利用率,即使没有生成警报。(Bug 1065679)
修复: 自动警报更新现在显示实际的 EventThroughputUtilization 百分比。
问题: 通过一个 Sentinel 服务器设置多个 Collector Manager 时,collectormgr-status API 端点显示 404 not found 错误,即使 Collector Manager 存在。(Bug 1011921)
修复: collectormgr-status API 现在准确显示状态。
report_dev_setup.sh 脚本现在备份防火墙配置文件,您可以在故障时轻松还原。脚本还包括改进可用性的增强功能。(Bug 752657)
注:只有在 PostgreSQL 端口未添加到 SUSE 防火墙配置时,才备份 SuSEfirewall2 文件。
问题: 出于安全考虑,使用一个 ping 启用测试连接性。(Bug 1009722)
修复: 测试连接性不再将 ICMP 包 (Ping)(后跟指向连接器端口的 HTTP 命令)用作其测试程序的一部分。现在,它只依赖于 HTTP 命令以验证连接是否成功。远程端不活跃或未正确响应时,可能会导致连接性测试需要一分钟以上。
问题: 如果在 Sentinel 7.4 SP1 中对口令储存进行更改,则将该设备从早期版本升级到 7.4 SP1 时会显示以下错误:
Failed to set encrypted password
(Bug 967764)
修复: Sentinel 不再显示警告讯息。
问题: 将 Sentinel 从 7.3 版本升级到 7.3 SP1 版本并启动 Sentinel 服务器时,您可能会在服务器日志中看到以下异常:
Invalid length of data object ......
(Bug 933640)
修复: 升级时,Sentinel 不再显示异常。
问题: Sentinel 警报视图和警报仪表板不会在 IP 地址字段中显示含有 IPv6 地址的警报。(Bug 924874)
修复: 警报视图和警报仪表板现在显示 IP 地址字段中有 IPv6 地址的警报。
有关硬件要求、支持的操作系统和浏览器的信息,请参见 Sentinel 的技术信息页面。
有关安装 Sentinel 8.1.1 的信息,请参见《NetIQ Sentinel 安装和配置指南》。
您可以从 Sentinel 7.4 以及更高版本升级到 Sentinel 8.1.1。有关升级到 Sentinel 8.1.1 的信息,请参见《NetIQ Sentinel 安装和配置指南》。
NetIQ Corporation 将努力确保我们的产品提供高品质的解决方案,以满足企业的软件需求。以下问题目前正在研究中。如果需要有关任何问题的进一步帮助,请联系技术支持。
Sentinel 中包含的 Java 8 更新可能会影响以下插件:
Cisco SDEE 连接器
SAP (XAL) 连接器
Remedy 集成商
有关这些插件的任何问题,NetIQ 将根据标准的缺陷处理策略优先考虑和修复这些问题。有关支持策略的更多信息,请参见支持策略。
问题: 如果环境中具备默认的 25 EPS 许可证并且您运行报告,报告失败,错误讯息如下:
License for Distributed Search feature is expired(分布式搜索许可证功能已失效)
解决方法: 要在与 Sentinel 相同的 JVM 中运行报告,完成下列步骤:
登录 Sentinel 服务器并打开 /etc/opt/novell/sentinel/config/server.xml 文件。
找到以下属性:
<property name="reporting.process.oktorunstandalone">true</property>
将设置更改为 false:
<property name="reporting.process.oktorunstandalone">false</property>
重启动 Sentinel。
问题: 如果您尝试在安装或安装后将 Sentinel(服务器、RCM 或 RCE)转换成 FIPS 模式,由 SLES 12 操作系统提供的 Mozilla NSS 包阻止转换成功完成。转换在弹出 FIPS 密钥存储区数据库口令时停止,即使指定口令符合预期准则。(Bug 1065329)
解决方法: 要将 Sentinel 转换成 FIPS 模式,执行以下步骤:
以根用户身份登录到 Sentinel 服务器、RCM 或 RCE。
启动 YaST 软件管理器:
yast sw_single
搜索以下包并安装或升级到最新版本:
mozilla-nss-tools
libfreebl3-hmac
libsoftokn3-hmac
清理之前 FIPS 转换尝试的项目:
rm -rf /etc/opt/novell/sentinel/3rdparty/nss rm /etc/opt/novell/sentinel/3rdparty/newpwfile
重试 FIPS 转换。
问题: 如果您的环境有一个语法不正确的旧部署规则,最近对 Sentinel 如何验证规则作出的更改导致 Correlation Engine 无法连接。(Bug 1039598)
解决方法: 要重新连接 Correlation Engine,您可以纠正导致问题的规则中的语法,然后重启动 Sentinel。
要找出规则并纠正其语法,请完成以下步骤:
在 server.log 文件中,搜索 Failed to initialize CorrelationEngine。
例如,搜索 Failed to initialize CorrelationEngine 之后,您将看到类似以下讯息的日志讯息:
Wed May 17 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Failed to initialize CorrelationEngine
向上滚动查看之前的日志讯息,该信息指定了规则并显示其语法。该讯息类似以下讯息:
Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Root cause: Duration must be within a day (antlr.RecognitionException)
esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))
在此示例中,日志讯息表明发生问题,因为指定持续时间超过一天。规则语法指定的秒数 (86460) 比一天的秒数 (86400) 多。
登录到 Sentinel。
打开新浏览器选项卡。
在新选项卡中,前往以下 URL:
https://<YOUR SENTINEL IP>:8443/SentinelRESTServices/objects/correlation-rule
要在关联规则列表中找到规则名称和 ID,请搜索规则语法独特的部分,如 86460。
(有条件)如果您无法在关联规则列表中找到规则名称和 ID,请完成以下步骤:
在命令提示符中,切换为 novell 用户。使用以下命令:
su -novell
切换到 /opt/novell/sentinel/bin 目录。
使用以下 SQL 命令:
./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%UniqueText%'"
其中 UniqueText 是规则语法独特的部分,如 86460。
(有条件)如果您尚未切换为 novell 用户,打开命令提示符并切换为 novell 用户。使用以下命令:
su -novell
切换到 /opt/novell/sentinel/bin 目录。
校验规则是否在数据库中。使用以下 SQL 命令:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
其中 RuleID 是您之前找到的规则 ID。
使用不会在验证期间触发错误的新过滤器更新规则。使用以下 SQL 命令:
./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=RuleID"
其中 RuleID 是您之前找到的规则 ID。
校验数据库中的过滤器是否已更改。使用以下 SQL 命令:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
其中 RuleID 是您之前找到的规则 ID。
停止 Sentinel。使用以下命令:
./server.sh stop
重启动 Sentinel。使用以下命令:
./server.sh start
问题: 在 Sentinel 高可用模式中将活动节点转换为 FIPS 140-2 模式后,未完全执行将所有被动节点转换为 FIPS 140-2 模式的同步操作。您必须手动启动同步。(Bug 1014472)
解决方法: 按以下步骤手动同步被动节点与 FIPS 140-2 模式:
在主动节点上以 root user 身份登录。
打开 /etc/csync2/csync2.cfg 文件。
更改下列行:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
更改为
include /etc/opt/novell/sentinel/3rdparty/nss;
保存 csync2.cfg 文件。
通过运行以下命令手动启动同步:
csync2 -x -v
问题: 问题使 Internet Explorer 11 无法打开事件可视化仪表板。(Bug 981308)
解决方法: 使用其他浏览器来查看或修改可视化仪表板。
问题: 如果您尝试在运行的是 SLES 11 SP4 操作系统的计算机上以 FIPS 模式安装 Sentinel,则安装过程将失败。(Bug 990201)
解决方法: 确保操作系统不处于 FIPS 模式,然后完成以下步骤:
安装 Sentinel。想要了解更多信息,请参见《Sentinel 安装和配置指南》中的安装 Sentinel
。
启用 Sentinel 服务器,以在 FIPS 模式下运行。想要了解更多信息,请参见《Sentinel 安装和配置指南中的启用 Sentinel 服务器以在 FIPS 140-2 模式下运行
。
使用以下命令启用操作系统,以在 FIPS 模式下运行:
fips=1 /boot/grub/menu.lst
问题: 启用 SSDM 后,如果您登录到 Sentinel 主界面,则浏览器将显示空白页。(Bug 1006677)
解决方法: 关闭您的浏览器,然后重新登录到 Sentinel 主界面。在您启用 SSDM 后首次登录到 Sentinel 主界面时,该问题只出现一次。
问题: 在 Sentinel 的升级安装中,在 Sentinel 主界面的提示表中搜索警报属性时,该搜索不会返回警报字段的完整列表。但是,如果您清除该搜索,则会在提示表中正确显示警报字段。(Bug 914755)
解决方法: 目前没有任何解决方法。
问题: 如果在您的角色的安全过滤器为空且您的角色没有事件查看许可权限的情况下运行事件搜索,则该搜索无法完成。该搜索不显示任何有关无效事件查看许可权限的错误讯息。(Bug 908666)
解决方法: 使用以下选项之一更新此角色:
在仅匹配准则的事件字段中指定准则。如果用户处于不应看到任何事件的角色中,则您可以输入 NOT sev:[0 TO 5]。
选择查看系统事件。
选择查看所有事件数据(包括原始数据和 NetFlow 数据)。
问题: 在编辑从 Sentinel 7.2 升级到后续版本的已保存搜索时,在日程表页中缺少用于指定搜索报告 CSV 中的输出字段的事件字段面板。(Bug 900293)
解决方法: 在升级 Sentinel 后,重创建并重安排搜索来查看日程表页中的事件字段面板。
问题: 当您通过单击该规则的关联摘要页的活动统计面板的 Fire 计数旁边的图标,搜索部署或启用该规则后生成的所有关联事件时,Sentinel 不会返回任何关联事件。(Bug 912820)
解决方法: 将事件搜索页中 From 字段的值更改为一个早于此字段中填充时间的时间,并再次单击搜索。
问题: 在安全智能基线重新生成期间,基线的开始和结束日期不正确,并显示为 1/1/1970。(Bug 912009)
解决方法: 在基线重新生成完成后,更新正确的日期。
问题: 当您使用 report_dev_setup.sh 脚本为防火墙异常配置 Sentinel 端口时,Sentinel 显示错误。(Bug 914874)
解决方法: 通过以下步骤,为防火墙异常配置 Sentinel 端口:
打开 /etc/sysconfig/SuSEfirewall2 文件。
更改下列行:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
更改为
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
重启动 Sentinel。
问题: 当在 Microsoft Active Directory 和 Windows Collector 上启用通用主机名解析服务收集器时,Sentinel 通用收集器的性能会下降。当远程 Collector Manager 发送事件时,EPS 下降 50%。(Bug 906715)
解决方法: 目前没有任何解决方法。
问题: 在 Sentinel 环境中启用了 FIPS 140-2 模式时,如果对代理管理器使用 Windows 鉴定,将导致与代理管理器数据库的同步失败。(Bug 814452)
解决方法: 在 Sentinel 环境中启用了 FIPS 140-2 模式时,对代理管理器使用 SQL 鉴定。
问题: 在非 FIPS 140-2 模式下成功完成了 Sentinel 高可用性安装,但会显示以下错误两次:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bug 810764)
解决方法: 应该显示该错误,您可以安全地将其忽略。虽然安装程序会显示错误,但 Sentinel 高可用性配置将在非 FIPS 140-2 模式下成功地正常工作。
问题: 当 Sentinel 主界面的计算机时钟比 Sentinel 服务器时钟慢时,Sentinel 主界面会在“活动搜索作业的持续时间”和“已访问”列中显示负数。例如,当 Sentinel 主界面时钟设置为 1:30 PM,而 Sentinel 服务器时钟设置为 2:30 PM 时,“持续时间”和“已访问”列便会显示负数。(Bug 719875)
解决方法: 确保您用于访问 Sentinel 主界面的计算机上的时间与 Sentinel 服务器计算机上的时间相同或比该时间要晚。
问题: 当您登录到安全性仪表板并进行 IssueSAMLToken 审计事件的搜索操作时,IssueSAMLToken 审计事件将显示错误的主机名 (InitiatorUserName) 或(IP 地址)SourceIP。(Bug 870609)
解决方法: 目前没有任何解决方法。
问题: 如果在单个分区中有大量索引的事件,运行搜索时,Sentinel 服务器会关闭。(Bug 913599)
解决方法: 通过在一天中至少打开两个分区的方式,创建保留策略。打开多个分区有助于减少分区中索引的事件数量。
您可以基于跟踪一天中小时的 estzhour 字段来创建过滤事件的保留策略。因此,您可以使用 estzhour:[0 TO 11] 作为过滤器来创建一个保留策略,并使用 estzhour:[12 TO 23] 作为过滤器来创建另一个保留策略。
想要了解更多信息,请参见《NetIQ Sentinel 管理指南》中的配置数据保留策略
。
问题:
在尝试将人类可读格式的 IPv6 地址字段同步到外部数据库时,数据同步失败。有关配置 Sentinel 来填充人类可读点标记格式的 IP 地址字段的信息,请参见《NetIQ Sentinel 管理指南》
中的创建数据同步策略。(Bug 913014)
解决方法: 若要修复此问题,请在目标数据库中手动将 IP 地址字段的最大大小更改为不少于 46 个字符,然后重新同步此数据库。
问题: 当您等待一个报告结果 PDF(具体而言,100 万个事件的报告结果)打开时,如果单击另一个报告结果 PDF 进行查看,则不会显示报告结果。(Bug 804683)
解决方法: 再次单击第二个报告结果 PDF 即可查看报告结果。
我们的目标是提供满足您的需要的文档。如果您有改进建议,请发送电子邮件至 Documentation-Feedback@netiq.com。我们会重视您的意见,欢迎您提供建议。
想要了解更多的联系信息,请参见支持联系信息网站。
有关一般的公司和产品信息,请参见 NetIQ 公司网站。
如需与您的同行以及 NetIQ 专家进行交流,不妨成为我们社区的活跃成员。NetIQ 在线社区会提供产品信息以及有用资源、博客和社交媒体渠道的实用链接。
有关 NetIQ 法律声明、商标、免责声明、保证条款、出口和其他使用限制、美国政府限制权限、专利政策以及 FIPS 合规性的信息,请参见 http://www.netiq.com/company/legal/。
版权所有 © 2018 NetIQ Corporation。保留所有权利。