Sentinel 7.3.2 版本說明

問題： 當關連事件與某個事件連結，而您在 Sentinel 控制中心 (SCC) 裡針對該關連事件選取「View Triggers」(檢視觸發事件)時，Sentinel Web 介面會先顯示例外，再顯示事件。(錯誤 846198)

修復： Sentinel Web 介面現在只有顯示觸發事件，而不會引發例外。

問題： Sentinel Web 介面會在出現大量的使用者身分識別時停止回應。(錯誤 895636)

修復： Sentinel 現在會在每次搜尋時顯示固定數量的使用者身分識別。若要縮小您的身分識別搜尋結果範圍，請在「尋找人員」欄位中指定任何一項身分識別參數，或是使用「進階搜尋」選項來精簡您的搜尋查詢範圍。

問題： 當您從兩部不同的 Sentinel 伺服器啟動 SCC 時，用來啟動 SCC 的第一部 Sentinel 伺服器的 Sentinel 代理憑證，會遭到第二部 Sentinel 伺服器代理憑證覆寫。(錯誤 887468)

修復： Sentinel 現在會將您用來登入 SCC 的憑證連同 Sentinel 伺服器 IP 位址一起儲存起來，只要您已經在這些伺服器登入過一次，下次就不會再提醒您提供該憑證。

問題： 當 Sentinel Agent Manager 資料庫在一段時間內收到來自大量代理程式的屬性時，這些屬性不會同步到 Sentinel 資料庫。(錯誤 926763)

修復： Sentinel 現在已經在 Sentinel 資料庫與 Sentinel Agent Manager 資料庫之間建立了微調過的同步機制。

問題： 超過事件來源節點的數量上限時，Sentinel 並不會產生摘要報告，而當您嘗試執行這些報告時，會在記錄檔中寫入例外。(錯誤 928211)

修復： Sentinel 現在能夠有效率地處理大量的事件來源節點。

問題： 如果資料緩衝區位置內含使用者建立的檔案，Sentinel 可能無法正確地處理與儲存事件資料。(錯誤 930827)

修復： Sentinel 現在會定期刪除資料緩衝區位置裡由使用者建立的所有檔案，並且正確地處理與儲存事件資料。

問題： 如果您的瀏覽器語言不是設為英語，Sentinel Web 介面裡的某些元素可能無法正常顯示。(錯誤 932663 和錯誤 940674)

修復： Sentinel Web 介面能在所有支援的語言版本中正常顯示所有元素。

問題： 如果您是使用 Firefox 37.0.4 或更新版本，Sentinel 會在登出時顯示錯誤。不過，這項錯誤不會對功能造成任何影響。(錯誤 935309)

修復： Sentinel Web 介面能夠正常地處理登出要求，不會在登出時顯示任何錯誤。

問題： Sentinel 無法讓您在 SCC 中或透過關連動作從動態清單移除字串元素。(錯誤 939244)

修復： Sentinel 現在可以從動態清單檔案中移除字串元素。

問題： 當您使用儲存的排程搜尋，針對某個日期範圍進行搜尋時，傳回的搜尋結果不完整。(錯誤 940604)

修復： Sentinel 在進行儲存的搜尋時，會針對所有時間範圍顯示完整的搜尋結果。

問題： 您無法針對使用 Sentinel Web 介面裡的「建立報告」功能建立的報告，編輯其排程的報告工作。Sentinel 會在您嘗試編輯這些排程的報告工作時，顯示錯誤訊息。(錯誤 940785)

修復： 您現在可以針對使用 Sentinel Web 介面裡的「建立報告」功能建立的報告，編輯其排程的報告工作。

問題： 關連規則不允許事件欄位使用內含底線字元 (_) 的名稱。(錯誤 940829)

修復： 關連規則允許事件欄位使用內含底線字元的名稱。

問題： Sentinel 會在升級期間，覆寫 server.conf 檔案裡某些內容的自定組態值，例如 wrapper.java.additional.49。(錯誤 941071)

修復： 您可以可以在升級前執行下列程序來儲存自定組態資訊：

問題： 如果您的 Sentinel 系統在升級前，於部署狀態下提供了內含大量過濾器評估運算式的冗長關連規則，則 Sentinel 伺服器、Web 介面與遠端關連引擎無法在您的 Sentinel 升級至 7.3.1 版之後啟動。

修復： Sentinel 伺服器與其他元件現在可以在升級後順利啟動，即便有複雜的關連規則存在也沒問題。您現在可以建立與部署複雜的關連規則。

問題： 當您執行多日數搜尋，且搜尋結果數目少於 50000 時，Sentinel 伺服器可能會因為記憶體不足而關閉。(錯誤 943943)

修復： Sentinel 7.3.2 可改善多日數搜尋期間的記憶體使用率。

問題： 當任何事件內含無效的日期範圍時 (例如，出現 22015 年的未來日期)，Sentinel 與 Oracle 資料庫之間的資料同步作業會失敗。(錯誤 925772)

修復： 資料同步作業能夠順利地進行。一旦任何事件裡出現無效的日期範圍，Sentinel 會將這些事件記錄到記錄檔中，然後使用下一批事件進行處理以利同步作業。

問題： Sentinel 內的報告產生程序之閒置逾時時間預設值設為 15 分鐘。一般來說內含大量資料的報告，例如出現多個租用戶的環境報告，無法在 15 分鐘內產生完畢，導致系統突然取消報告工作。(錯誤 941612)

修復： 您可以執行下列程序，設定報告產生程序的閒置逾時時間值：

問題： 當報告查詢內含「over」字串時，報告產生程序會停止。例如，使用查詢 (evt:"recovery") 的報告建立程序會失敗。(錯誤 939902)

修復： 即便報告查詢內含「over」字串，報告也能正常產生。

問題： 當您建立一個依存於某個映射的關連規則，並將其部署到遠端關連引擎上時，Sentinel 會在該映射變更時記錄下列警告訊息：

修復： Sentinel 不會記錄依存於某個映射的關連規則警告訊息。

問題： 當您在事件搜尋中指定精簡的事件搜尋查詢，例如最後 30 天，Sentinel 不會顯示任何事件資料。(錯誤 947867)

修復： Sentinel 現在會針對精簡的事件搜尋顯示正確資料。

問題： 使用事件欄位映射建立的映射，無法在您升級至 Sentinel 7.3.1 後正常運作。(錯誤 944251)

修復： Sentinel 會在升級至 7.3.1 前重新產生先前建立的所有映射，這樣事件映射就能在升級至 7.3.1 版後正常運作。

問題： 當您前往「內容調色盤」視窗並選取內含 inlist 詞語 (未使用括弧括住) 之關連規則時，Solution Designer 顯示空指標例外錯誤。(錯誤 938039)

修復： 內含 inlist 詞語 (未使用括弧括住) 之關連規則能夠正常地處理。

問題： 當您在人員瀏覽器中使用波蘭語字母搜尋時，Sentinel 無法顯示結果。(錯誤 943261)

修復： Sentinel 現在可以在人員搜尋時識別波蘭語字母，並顯示正確的結果。

問題： Sentinel 在升級至 7.3.1 版後，無法於 SCC 與 Web 介面中顯示動態清單裡的任何元素，就算這些清單元素存在動態清單也一樣。(錯誤 947622)

修復： Sentinel 現在可以在 Web 介面與 SCC 中正確顯示動態清單裡的所有元素。

問題： 在「關連」導覽面板中，括弧與代表關連規則數量的數字之間出現不一致的間距。(錯誤 948088)

修復： 「關連」導覽面板中的間距現在已經一致。

問題： Sentinel 7.3.1 包含的安全性弱點修正程式包括安全連線通訊機制的變更。這些變更不與 Sentinel UNIX 代辦 7.4 相容，因此 Sentinel 無法接收來自 Sentinel UNIX 代辦 7.4 的事件。(錯誤 953990)

解決方式： 目前尚未提供解決方式。Sentinel UNIX 代辦相容版本推出後即可解決此問題。

問題： Sentinel 警示檢視和警示儀表板不會顯示 IP 位址欄位包含 IPv6 位址的警示。(錯誤 924874)

解決方式： 若要在 Sentinel 中檢視包含 IPv6 位置的警示，請執行 NetIQ 知識庫文章 7016555 中提到的步驟。

問題： 將 Sentinel 裝置升級為 7.3.1 版之後，當您嘗試將 NFS 設定為次要儲存位置時， Sentinel 顯示錯誤。(錯誤 934851)

解決方式： Sentinel 裝置完成升級後，請使用下列指令重新啟動 SLES 作業系統：

問題： 在您升級 Sentinel 並啟動 Sentinel 伺服器時，您可能會在伺服器記錄中看到下列例外：

解決方式： 忽略例外。此例外不會影響 Sentinel 效能。

問題： Sentinel 使用 Diffie-Hellman 通訊協定與 Secure Configuration Manager 通訊。 作為修正 Logjam 漏洞的一環，Diffie-Hellman 通訊協定在 Sentinel 中的證書金鑰大小已增加為 2048。不過，Secure Configuration Manager 會使用預設的證書金鑰大小；即為 1024。由於不相符，因此 Secure Configuration Manager 將無法再與 Sentinel 通訊。(錯誤 935987)

解決方式： 在 Secure Configuration Manager 提供修正程式之前，您可以執行下列步驟：

問題： 作為修正 Bar Mitzvah 漏洞的一環，Sentinel 已在針對 Web 伺服器啟用的 SSL 連接埠上停用 RC4 加密。不過，變更監控使用 RC4 加密與 Sentinel 通訊。因此，變更監控將無法再與 Sentinel 通訊。(錯誤 935401)

解決方式： 在變更監控提供修正程式之前，您可以執行下列步驟：

問題： 當 Sentinel 與變更監控 4.1 整合之後，即使已設定為接收變更監控事件，它不會顯示變更監控差異附加資訊。(錯誤 936704)

解決方式： 將變更監控升級為 4.1.1 版或更新版本。

問題： Sentinel Link 連接器中存在 Bar Mitzvah 安全性漏洞。Sentinel Link 連接器使用 SSL 和 TSL 通訊協定中的 RC4 演算法，其可能會允許針對資料流啟始位元組的純文字攻擊。如需詳細資訊，請參閱 CVE-2015-2808。(錯誤 933741)

解決方式： Sentinel Link 連接器版本 2011.1r4 和更新版本可解決此問題。在 Sentinel 外掛程式網站正式發行前，您可從「預覽」區段下載該連接器。

問題： 若剖析事件的連接器支援多個連接模式，Agent Manager 連接器版本 2011.1r3 無法設定事件中的 CONNECTION_MODE 屬性。(錯誤 880564)

解決方式： Agent Manager 連接器版本 2011.1r5 和更新版本可解決此問題。在 Sentinel 外掛程式網站正式發行前，您可從「預覽」區段下載該連接器。

問題： Sentinel Agent Manager 會針對原始資料檔案大小組態忽略在 SMServiceHost.exe.config 檔案的 RawDataTapFileSize 屬性中指定的值，並在檔案大小達到 10 MB 時停止寫入原始資料檔案。(錯誤 867954)

解決方式： 手動將原始資料檔案的內容複製至其他檔案，然後在檔案大小達到 10 MB 時將它清除，讓 Sentinel Agent Manager 可將新資料寫入其中。

問題： 在已升級的 Sentinel 7.3 安裝中，當您在 Web 介面的「秘訣」表格中搜尋警示屬性時，搜尋無法傳回警示欄位的完整清單。不過，若您清除搜尋，「秘訣」表格中的警示欄位即可正確顯示。(錯誤 914755)

解決方式： 目前尚未提供解決方式。

問題： 當您嘗試以人類看得懂的格式同步化 IPv6 位址欄位至外部資料庫時，資料同步化失敗。如需設定 Sentinel 以人可讀識的點標記格式填入 IP 位址欄位的詳細資訊，請參閱《NetIQ Sentinel 管理指南》中的「建立資料同步化規則」。(錯誤 913014)

解決方式： 若要修正此問題，請在目標資料庫中將 IP 位址欄位的大小上限手動變更為至少 46 個字元，然後重新同步化資料庫。

問題： 若在您角色的安全性過濾器空白時執行事件搜尋，但您的角色沒有事件檢視許可，搜尋就不會完成。搜尋不會顯示任何關於無效事件檢視許可的錯誤訊息。(錯誤 908666)

解決方式： 使用下列其中一個選項更新角色：

問題： 當編輯從 Sentinel 7.2 升級至新版的已儲存搜尋時，用於在搜尋報告 CSV 中指定輸出欄位的「事件欄位」面板在排程頁面中遺失。(錯誤 900293)

解決方式： 在升級 Sentinel 後，重新建立並重新編程搜尋以在排程頁面中檢視「事件欄位」面板。

問題： 在規則的「關連摘要」頁面中按一下「活動統計資料」面板上「引發計數」旁的圖示，當您搜尋在規則已部署或已啟用後產生的所有關連事件時，Sentinel 不會傳回任何關連事件。(錯誤 912820)

解決方式： 將「事件搜尋」頁面中「從」欄位中的值變更至比欄位中填入時間更早的時間，然後再按一下「搜尋」。

問題： 當您搜尋變更監控事件並按一下變更監控圖示時，即使已設定好接收變更監控事件，在 FIPS 140-2 模式中執行的 Sentinel 不會顯示變更監控差異附加資訊。版本 4.2 之前的變更監控版本不支援以 FIPS 140-2 相容模式傳送事件。(錯誤 912230)

解決方式： 目前尚未提供解決方式。

問題： 升級至 Sentinel 7.3 造成資料收集和與 DB2 資料庫的資料同步化失敗，因為升級時移除了 IBM DB2 JDBC 驅動程式。(錯誤 909343)

解決方式： 升級至 Sentinel 7.3 後，加入正確的 JDBC 驅動程式，並執行下列步驟為其進行資料收集和資料同步化設定：

問題： 當您在警示檢視中按一下「全部選取」以選取警示、取消選取少數警示和修改警示時，也會在重新整理後的警示檢視中選取新收到的警示。這會造成已選取要修改的警示計數錯誤，而且看起來好像您也要修改新收到的警示。不過，系統只會修改原始已選取的警示。(錯誤 904830)

解決方式： 若您使用自定時間範圍建立警示檢視，就不會有新警示顯示在警示檢視中。

問題： 歷史安全情報 (SI) 資料需要很長時間才能在具有高每秒事件量（EPS）負載的 Sentinel 系統中載入。(錯誤 908599)

解決方式： 若您要使用歷史資料建立安全情報儀表板，請計劃在系統上的負載較低時部署儀表板 (若可能)。目前尚未提供其他解決方式。

問題： 在安全情報基線重新產生期間，基線的開始和結束日期錯誤並顯示 1/1/1970。(錯誤 912009)

解決方式： 基線重新產生完成後，即會更新正確日期。

問題： 若單一分割區中有大量已編製索引的事件，當您執行搜尋時，Sentinel 伺服器會關閉。(錯誤 913599)

解決方式： 建立保留規則，讓一天內至少有兩個分割區開啟。有一個以上的分割區開啟可協助減少在分割區中已編製索引的事件數目。

問題： 當您使用 report_dev_setup.sh 程序檔設定防火牆例外的 Sentinel 連接埠時，Sentinel 會顯示錯誤。(錯誤 914874)

解決方式： 若要設定防火牆例外的 Sentinel 連接埠，請執行下列操作：

問題： 在 Microsoft Active Directory 和 Windows 收集器上啟用一般主機名稱解析服務收集器時，Sentinel 一般收集器效能會降低。當遠端收集器管理員傳送事件時，EPS 會降低 50%。(錯誤 906715)

解決方式： 目前尚未提供解決方式。

問題： 當您在 FIPS 140-2 模式中安裝 Sentinel 時，安全情報資料庫的連接器無法啟動，Sentinel 也無法存取安全情報、Netflow 和警示資料。(錯誤 915241)

解決方式： 在 FIPS 140-2 模式中進行安裝和設定後，重新啟動 Sentinel。

問題： 當您從非 root 使用者所安裝且在 FIPS 140-2 模式中設定的 Sentinel 自定安裝升級至 Sentinel 7.3 時，安全情報資料庫和警示儀表板有時會無法啟動。(錯誤 916285)

解決方式： 請執行以下步驟：

問題： 安裝 Sentinel 裝置時，網路介面未按預設完成設定。(錯誤 867013)

解決方式： 要設定網路介面：

問題： 當輸出搜尋結果到 Sentinel 時，網頁瀏覽器可能在您修改操作系統語言設定時顯示錯誤。(錯誤 834874)

解決方式： 要正確輸出搜尋結果，請執行下列其中一個步驟：

問題： 如果次要儲存空間可保留資料的天數少於主要儲存空間的保留資料天數，Sentinel 就不能有效率地使用主要儲存空間。為了釋出空間而從次要儲存空間移除的分割區，也會自主要儲存空間移除。(錯誤 860888)

解決方式： 在次要儲存空間中配置足夠空間，以便保留資料直到您想在線上儲存 (可搜尋) 的總天數。

問題： 在磁碟空間超過 2 TB 的系統上，Sentinel 在安裝之後可能無法自動啟動。(錯誤 846296)

解決方式： 指定下列指令來手動啟用 Sentinel 服務，此為一次性活動：

問題： 在 Sentinel 裝置安裝中，若您以 Kerberos 模組設定 Kerberos 驗證，主控台會顯示 Kerberos 用戶端設定成功的確認訊息。不過，當您再次檢視 Kerberos 模組時，「啟用 Kerberos 驗證」選項不會選取。(錯誤 843623)

解決方式： 目前尚未提供解決方式。

問題： 安裝遠端收集器管理員時，如果您指定包含特殊字元的密碼 (例如 ‘$’、‘"‘、‘\’ 或 ‘/’)，安裝會失敗並出現錯誤。(錯誤 812111)

解決方式： 請勿在遠端收集器管理員密碼中使用特殊字元。

問題： 當您重新啟動遠端收集器管理員裝置時，連接到 UDP 連接埠的 Syslog 事件來源會失去連接。(錯誤 795057)

解決方式： 目前尚未提供因應措施。

問題： 在等待一個報告結果 PDF 開啟時 (特別是 1 百萬個事件的報告結果)，若按下其他要檢視的報告結果 PDF，報告結果無法顯示。(錯誤 804683)

解決方式： 再次按下第二個報告結果 PDF 以檢視報告結果。

問題： 當 Sentinel 環境中啟用 FIPS 140-2 模式時，使用代辦管理員的 Windows 驗證會造成與代辦管理員資料庫同步失敗。(錯誤 814452)

解決方式： 當 Sentinel 環境中啟用 FIPS 140-2 模式時，使用代辦管理員的 SQL 驗證。

問題： 若啟用 FIPS 140-2 模式，Sentinel 高可用性安裝會顯示下列錯誤：

解決方式： 目前尚未提供修復或因應措施。雖然安裝程式顯示錯誤，但是 Sentinel 高可用性組態在 FIPS 140-2 模式中仍可成功運作。

問題： 已成功使用 FIPS 140-2 模式完成安裝 Sentinel 高可用性，但出現下列錯誤兩次：

解決方式： 目前尚未提供修復或因應措施。雖然安裝程式顯示錯誤，但是 Sentinel 高可用性組態在非 FIPS 140-2 模式中仍可順利運作。

問題： 無法更新 Sentinel 7.2 之前版本的裝置，因為更新套件的廠商已從 Novell 變更為 NetIQ。(錯誤 780969)

解決方式： 使用 zypper 指令來升級裝置。如需詳細資訊，請參閱https://www.netiq.com/documentation/sentinel-73/s73_install/data/b151b4y3.html《NetIQ Sentinel 安裝及組態指南》中的「使用 zypper 將裝置升級」。

問題： 當系統中已有相同名稱的關連規則存在時，解決方案管理員不會再安裝其他相同名稱的關連規則。主控台中會記錄 NullPointerException 錯誤。(錯誤 713962)

解決方式： 請確認所有的關連規則都具有唯一的名稱。

問題： 當您從 Web 主控台執行 Sentinel Link 動作時，即使透過「Sentinel 控制中心」執行 Sentinel Link 連接器整合器測試失敗，Sentinel 仍會顯示成功訊息。(錯誤 710305)

解決方式： 目前尚未提供解決方式。

問題： 當「安全情報儀表板」與異常定義具有相同名稱時，「異常詳細資料」頁面上的儀表板連結會停用。(錯誤 715986)

解決方式： 請確認在建立儀表板和異常定義時使用唯一的名稱。

問題： Sentinel Web 介面電腦時鐘的時間晚於 Sentinel 伺服器時鐘的時間時，Sentinel Web 介面的「主動搜尋工作持續時間」和「存取日期」欄中會顯示負值。例如，當 Sentinel Web 介面時鐘設為 2:30 PM，而 Sentinel 伺服器設為 1:30 PM 時，「持續時間」和「存取日期」欄會顯示負值。(錯誤 719875)

解決方式： 請確認用來存取 Sentinel Web 介面的電腦時間與 Sentinel 伺服器電腦上的時間相同或較晚。

問題： 當您登入安全性儀表板並執行搜尋 IssueSAMLToken 稽核事件時，IssueSAMLToken 稽核事件顯示不正確的主機名稱 (InitiatorUserName) 或 (IP 位址) SourceIP 。(錯誤 870609)

解決方式： 目前尚未提供解決方式。

問題： 當用戶端電腦上安裝了 NetIQ Identity Manager Designer 且 Designer 使用系統 JRE 時，Sentinel 控制中心無法啟動。Designer 需要將 xml-apis.jar 這類支援的 jar 檔案加進 lib/endorsed 目錄。在 xml-apis.jar 檔案中的類別有些會置換 Sentinel 控制中心所用之系統 JRE 中對應的類別。(錯誤 888085)

解決方式： 設定 Designer 使用自己的 JRE。

問題： 在收集事件資料時，Sentinel Agent Manager 不會擷取包含 Null 值的 Windows 插入字串欄位。(錯誤 838825)

解決方式： 目前尚未提供解決方式。