Sentinel 8.1 包含多項全新功能、提升可用性,並且解決許多之前的問題。
這些改進許多是為了直接因應來自顧客的建議。我們衷心感謝您撥冗提供可貴的建議。也期盼您能繼續協助以確保我們的產品能滿足您所有的需求。您可以在 NetIQ 社群的 Sentinel 論壇中張貼意見反應,NetIQ 是我們的線上社群,其中也包含產品資訊、部落格,以及實用資源的連結。
NetIQ 網站上提供了本產品 HTML 與 PDF 格式的文件,您無需登入即可存取該文件頁面。若您有任何改善文件的建議,請到 Sentinel NetIQ 文件頁面,按一下頁面上所張貼任何 HTML 文件版本頁面的備註圖示。要下載本產品,請查看 Sentinel 產品升級網站。
如需這些版本說明的最新版本,請參閱 Sentinel 8.1 版本說明。
以下區段說明此版提供的主要功能以及在此次發行所解決的問題:
Sentinel 8.1 提供額外修復以解析 CVE-2016-1000031 弱點,該弱點由 Tenable Network Security 的 Jacob Baines 發現。我們想要感謝 Jacob Baines 找到並向我們回報這些安全性漏洞。
Sentinel 8.1 推出下列的新驗證方法:
Kerberos 驗證:使用秘密金鑰加密以提供增強式驗證。
多重要素驗證 (MFA):使用最少兩個要素組合而成的進階驗證方法。例如密碼和記號的組合,或智慧卡和指紋的組合。
OAuth 驗證:允許使用者使用 Google 或 Facebook 等提供者登入 Sentinel。
Sentinel 8.1 推出以下的新儀表板:
安全性狀態儀表板:提供系統安全性的高階綜覽,而安全性與來自低評價 IP 位址的威脅、弱點和任何弱點的潛在剝削相關。儀表板提供系統安全性目前狀態的高階綜覽,包含系統是否安全或遭盜用的資訊。
事件綜覽儀表板:提供所有收到的事件的高階綜覽。這個小工具提供特定類型的資訊,例如關連事件、系統事件等等。
Sentinel 8.1 推出管理多個儀表板的功能。您首次登入時,Sentinel 會帶您到「管理儀表板」。從此處,您可以:
存取任何您有許可的儀表板
建立新儀表板
將任何儀表板設定為首頁
現在提供「威脅情報」和「事件綜覽」儀表板,未來會取代中的和,以避免使用者介面重覆這些功能。
此版本包含幾個用以擴充 Sentinel 可擴充儲存功能的新增功能:
Sentinel Scalable Data Manager (SSDM) 現在包含下列 Sentinel 企業版功能:
關連
即時事件模式關連
關連規則觸發的動作
警示分級和視覺化
使用者身份資料整合
NetFlow 集合和視覺化
資料聯盟
Solution Designer
如需有關 SSDM 中不提供的 Sentinel 企業版服務和功能資訊,請參閱《NetIQ Sentinel 安裝和組態指南》中的「可擴充儲存組態」
。
您不再需要全新安裝 Sentinel 就能使用可擴充儲存功能。現在您甚至可以在 Sentinel 的升級安裝中啟用可擴充儲存。如需有關啟用可擴充儲存的資訊,請參閱《NetIQ Sentinel 管理指南》中的「設定可擴充儲存」
。
如果您想利用可擴充儲存分擔您於 Sentinel 傳統儲存中現有的資料,您現在可以將資料從傳統儲存移轉至可擴充儲存。如需更多資訊,請參閱《NetIQ Sentinel 管理指南》中的「從 Sentinel 傳統儲存移轉資料」
。
在 EPS 率通常很高的可擴充儲存設定中,Correlation Engine 載入時可能有大量事件要處理。依照預設,所有事件會傳送至所有 Correlation Engine。若要避免事件超載,您可以檢查 Correlation Engine 上的 EPS 使用率,然後按需要將事件負載平均配送至多個 Correlation Engine。將事件配送至不同 Correlation Engine,不單只可以幫助您平衡事件負載,也可以幫助您依據租用戶分隔事件至特定 Correlation Engine。例如,在多租用戶的環境裡,您可以為每個租用戶設定指定的 Correlation Engine,讓該 Correlation Engine 只處理特定租用戶的事件。
只有配備可擴充儲存的 Sentinel 才提供將事件配送至不同 Correlation Engine 的選項。如需更多資訊,請參閱《NetIQ Sentinel 使用者指南》中的「將事件配送至不同 Correlation Engine」
。
Sentinel 先前版本的威脅情報解決方案套件包含 Palevo 和 ZeuS 等資料來源,提供已知殭屍網路 IP 位址的清單。從 Sentinel 8.1 開始,這些資料來源不再是解決方案套件的一部份,而是在您安裝 Sentinel 時直接原裝提供。除了 Palevo 和 Zeus 外,Sentinel 還提供額外的資料來源,這些來源提供對組織安全性現有或潛在威脅的資訊。這些資料來源大部份會每天更新。Sentinel 為這些資料提供多項功能,包含下載為映射檔案、以排程的間隔更新或按需要更新,以及將相關威脅資訊整合至關連規則。管理這些威脅情報資料來源的選項,現在可以於 Sentinel 首頁的>中找到。
如需詳細資訊,請參閱《NetIQ Sentinel 管理指南》
中的「組態威脅情報資料來源」。
您不再需要使用 Sentinel Control Center 設定或管理動態清單。現在 Sentinel 首頁提供組態和管理「動態清單」的使用者介面,並改善了可用性。如需詳細資訊,請參閱《NetIQ Sentinel 使用者指南》
中的「組態動態清單」。
Sentinel 已認證平台有數個更新。如需有關已認證平台的詳細資訊,請參閱「Sentinel 技術資訊」頁面。
Sentinel 現在已於下列平台中獲得認證:
傳統安裝:
SUSE Linux Enterprise Server 12 SP2 64 位元
Red Hat Enterprise Linux Server 6.8 64 位元
裝置安裝:
VMware ESX 6.5 (同時適用於 ISO 和 OVF)
Hyper-V 伺服器 2016 (僅限 ISO)
資料同步: Microsoft SQL Server 2016
SUSE Linux Enterprise Server 12 SP1
Sentinel 的新安裝包括多個 Sentinel 外掛程式的最新版本。這些版本包括最新的軟體修復、文件更新和外掛程式增強功能。如需詳細資訊,請於 Sentinel 外掛程式網站參閱專屬的外掛程式文件。
Sentinel 的升級安裝更新以下外掛程式,確保這些外掛程式與 Sentinel 8.1 和更新版本相容:
Sentinel Agent Manager Connector 至版本 2017.1r1
Sentinel Link Connector 至版本 2011.1r5
Sentinel 8.1 包含多項軟體修復功能,可解決許多問題。
問題: 若報告工作失敗,您無法將報告工作當作事件來搜尋。(Bug 1017358)
修復: 現在可以將失敗報告工作當作事件來搜尋。
問題: 如果事件從特定事件來源到達的時間延遲了超過特定限定值,Sentinel 將允許您記錄這些事件來源。這有助於針對與延遲到達有關的問題進行疑難排解。Sentinel 不是以事件來源更新記錄檔案。(Bug 979931)
修復: Sentinel 現在會將記錄檔案當作效能快照的一部份來進行更新。
問題: 如果您組態異常定義在偏離基線時傳送電子郵件通知,Sentinel 會無法傳送電子郵件並傳回 IllegalStateException 錯誤。(Bug 816622)
修復: Sentinel 現在已能正確傳送電子郵件。
問題: 如果您排程報告以目前日期範圍執行,但是未來日期,會發生報告失敗。(Bug 914094)
修復: Sentinel 允許您設定為未來日期,以報告未正確與時間同步的事件來源。Sentinel 現在已能正確執行報告,而不會發生錯誤。
問題: 當您將搜尋另存為 CSV 時,CSV 檔案無法維持欄位的特定順序。(Bug 979916)
修復: 當您將搜尋另存為 CSV 時,CSV 檔案現在會維持特定的欄位順序。
問題: 如果您在有多個資料庫收集器的 Collector Manager 電腦上重新啟動 Sentinel 服務,有些收集器無法會重新連接事件來源。(Bug 1015375、Bug 1041866)
修復: 當您重新啟動 Sentinel 服務後,所有收集器都能重新連接。
問題: 如果您修改搜尋的準則並選取、或,搜尋結果會無效。(Bug 894421)
修復: 編輯搜尋準則不再提供、或 的選項。
問題: 如果自訂證書標題包含多個屬性或特殊字元,Sentinel Agent Manager 會無法連接 Sentinel。(Bug 1018133)
修復: 即使自訂證書標題包含多個屬性或特殊字元,現在 Sentinel Agent Manager 也可以連接 Sentinel。
問題: 升級 Sentinel 8.0 和更新版本時,安裝程式顯示下列錯誤:
Installing: novell-Sentinelwebapp-8.0.0.1-3404 [done] Additional rpm output: /var/tmp/rpm-tmp.28463: line 263: [: search.hideUI=false: binary operator expected /var/tmp/rpm-tmp.40511: line 254: [: too many arguments
(Bug 1025512)
修復: 此錯誤不會在升級程序期間發生。
問題: 執行 /SentinelRESTServices/objects/alert/count API 時,即使有多個警示,也總是傳回 0。(Bug 1028317)
修復: /SentinelRESTServices/objects/alert/count API 現在會傳回正確數量的警示。
問題: 當檢視所有事件詳細資料時,日期和時間會錯誤地以 UTC (世界協調時間) 格式顯示。(Bug 1031523、Bug 1034531)
修復: 事件詳細資料欄位現在會以您瀏覽器中特定地區的適當格式顯示所有日期。
問題: 在啟用可擴充儲存後,SSDM 伺服器記錄檔會顯示下列訊息的多個例項:
SEVERE|TimerThreadPool pool|esecurity.ccs.comp.scalablestorage.KibanaVisualAnalyticsUtil.initializeKibanaMappingSearchUnsuccessful in initializing the kibana mapping search call with status code 400
您可以安全地忽略這些訊息。不會影響功能性。(Bug 1009662)
修復: SSDM 伺服器記錄不會再顯示此訊息。
問題: 在 HA (高可用性) 模式中的 SSDM,不會在 Elasticsearch 安全性外掛程式組態檔案中,填入 HA 叢集節點正確的 IP 位址。因此,搜尋和事件視覺化儀表板會顯示錯誤。(Bug 1012251)
修復: 在高可用性模式中的 SSDM,現在會在 Elasticsearch 安全性外掛程式組態檔案中,正確填入 HA 叢集節點正確的 IP 位址。
問題: 在 Elasticsearch 的 RPM 式安裝中,SSDM 中的事件視覺化儀表板和搜尋無法運作。(Bug 1014448)
修復: 事件視覺化儀表板和搜尋現在可正常運作。
問題: NetIQ eDirectory 儀器無法透過平台代辦連接至稽核連接器。不過,Sentinel 將因此無法接收來自 eDirectory 的事件。會發生這個問題是因為 eDirectory 儀器使用 MD5 RSA 證書演算法,這個演算法在用於 Sentinel 8.1 中的 Java 8 update 77 中已遭取代。(Bug 985312)
修復: 新版本稽核連接器可允許 Sentinel 從 eDirectory 接收事件。
問題: com.novell.sentinel.spark.StreamingEventIndexer 工作不支援 IPv6。如果事件包含 IPv6 位址,工作將會失敗。(Bug 1006975)
修復: com.novell.sentinel.spark.StreamingEventIndexer 工作現在支援 IPv6。
問題: Sentinel Agent Manager 7.3 會針對原始資料檔案大小組態忽略在 SMServiceHost.exe.config 檔案的 RawDataTapFileSize 屬性中指定的值,並在檔案大小達到 10 MB 時停止寫入原始資料檔案。(Bug 867954)
修復: Sentinel Agent Manager 正確使用 SMServiceHost.exe.config 檔案 RawDataTapFileSize 屬性中指定的值,並將新資料寫入至原始資料檔案。
問題: 在 SSDM 環境中,如果您使用預設選項建立了並排映射視覺化,Kibana 將會發生問題並造成事件視覺化儀表板中的新並排映射視覺化無法運作。如需更多關於 Kibana 問題的資訊,請參閱 https://github.com/elastic/kibana/issues/7717。(Bug 1001909)
修復: 事件視覺化儀表板中預設選項的並排映射視覺化現在可以正確運作。
如需有關硬體需求、支援的作業系統及瀏覽器等資訊,請參閱 Sentinel 技術資訊網站。
如需安裝 Sentinel 8.1 的詳細資訊,請參閱《NetIQ Sentinel 安裝與組態指南》。
您可以將 Sentinel 7.4 和更新版本升級到 Sentinel 8.1。
如需升級到 Sentinel 8.1 的詳細資訊,請參閱《NetIQ Sentinel 安裝與組態指南》。
NetIQ Corporation 致力確保我們的產品能提供最優質的解決方案,以符合您的企業軟體需求。以下是現在正在研究的問題。若您有任何問題需要進一步的協助,請聯絡技術支援。
Sentinel 所包含的 Java 8 更新可能會影響下列外掛程式:
Cisco SDEE Connector
SAP (XAL) Connector
因應措施整合器
針對任何外掛程式的相關問題,NetIQ 將根據標準的缺陷處理規則排列優先程度並修正問題。如需有關支援規則的詳細資訊,請參閱支援規則。
問題: 在 MFA 模式下,如果以英語以外的操作系統語言安裝 Collector Manager 和 Correlation Engine 工具會失敗。(Bug 1045967)
解決方式: 以英語安裝 Collector Manager 和 Correlation Engine 工具安裝完成後,請視需要變更語言。
問題: 若您的環境擁有預設 25 EPS 授權,而您執行報告後,報告失敗並出現下列錯誤:
License for Distributed Search feature is expired (分散式搜尋功能授權已過期)
解決方式: 若要執行如 Sentinel 相同的 JVM 的報告,請完成下列步驟:
登入 Sentinel 伺服器並開啟 /etc/opt/novell/sentinel/config/server.xml 檔案。
找到下列內容:
<property name="reporting.process.oktorunstandalone">true</property>
變更設定為 false:
<property name="reporting.process.oktorunstandalone">false</property>
重新啟動 Sentinel。
問題: Sentinel 驗證規則的方法最近有變更,如果您的環境包含具有不正確語法的較舊部署規則,會導致 Correlation Engine 無法連接。(Bug 1039598)
解決方式: 若要重新連接 Correlation Engine,您可以修正規則中造成問題的語法,然後重新啟動 Sentinel。
若要尋找規則並修正語法,請完成以下步驟:
在 server.log 檔案中,搜尋「Failed to initialize CorrelationEngine」 (無法啟始化 CorrelationEngine)。
例如,當您搜尋「Failed to initialize CorrelationEngine」 (無法啟始化 CorrelationEngine),您會看到與以下訊息相似的記錄訊息:
Wed May 17 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Failed to initialize CorrelationEngine (無法啟始化 CorrelationEngine)
向上捲動查看上一個記錄訊息,當中會指定規則和顯示其語法。將會和以下訊息相似:
Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Root cause: Duration must be within a day (antlr.RecognitionException) (根本原因:期間必須少於一天 (antlr.RecognitionException))
esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))
在此例子中,記錄訊息表明發生問題是因為指定期間多於一天。規則語法指定的秒數 (86460) 多於一天 (86400)。
登入 Sentinel。
開啟新瀏覽器分頁。
在新分頁中,前往以下 URL:
https://<YOUR SENTINEL IP>:8443/SentinelRESTServices/objects/correlation-rule
若要在關連規則清單中尋找規則名稱和 ID,請搜尋規則語法的獨特部份,例如 86460。
(條件式) 如果您在關連規則清單中找不到規則名稱和 ID,請完成以下步驟:
在指令提示中,切換至 Novell 使用者。使用以下指令:
su -novell
移至 /opt/novell/sentinel/bin 目錄。
使用以下 SQL 指令:
./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%UniqueText%'"
UniqueText 是規則語法的獨特部份,例如 86460。
(條件式) 如果您還未切換至 Novell 使用者,請開啟指令提示並切換至 Novell 使用者。使用以下指令:
su -novell
移至 /opt/novell/sentinel/bin 目錄。
驗證規則是位於資料庫中。使用以下 SQL 指令:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
RuleID 是您先前找到規則的 ID。
在驗證期間使用不會觸發錯誤的新過濾器更新規則。使用以下 SQL 指令:
./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=RuleID"
RuleID 是您先前找到規則的 ID。
驗證已變更資料庫中的過濾器。使用以下 SQL 指令:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
RuleID 是您先前找到規則的 ID。
停止 Sentinel. 使用以下指令:
./server.sh stop
重新啟動 Sentinel。使用以下指令:
./server.sh start
問題: 在高可用性模式中的 SSDM,不會在 Elasticsearch 安全性外掛程式組態檔案中,填入 HA 叢集節點正確的 IP 位址。因此,搜尋和事件視覺化儀表板會顯示錯誤。
解決方式: 在安裝 Elasticsearch 安全性外掛程式後,請在 Elasticsearch 叢集上的各節點執行以下步驟:
登入和使用者安裝 相同 Elasticsearch 的 Elasticsearch 節點。
為各作用中節點的 實體 IP 位址 ,以及 <elasticsearch_安裝_目錄>/plugins/elasticsearch-security-plugin/elasticsearch-ip-whitelist.txt 檔案中如下所示的 HA 叢集的被動節點新增項目:
<叢集_節點_實體_IP>:<目標_Elasticsearch_HTTP_埠>
在新的行中新增各個項目並儲存檔案。
在<elasticsearch_安裝_目錄>/plugins/elasticsearch-security-plugin/plugin-configuration.properties 檔案中,設定 authServer.host 內容至以下 HA 叢集的虛擬 IP 位址:
authServer.host=<叢集_虛擬_IP>
重新啟動 Elasticsearch。
問題: 在 Sentinel HA 裡,當您將主動節點轉換成 FIPS 140-2 模式,將被動節點轉換成 FIPS 140-2 模式的同步無法完全執行。您必須手動啟動同步。(Bug 1014472)
解決方式: 透過下列方式將所有被動節點手動同步至 FIP 140-2 模式:
在主動節點上使用 root 使用者身分登入。
開啟 /etc/csync2/csync2.cfg 檔案。
變更下行:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
to
include /etc/opt/novell/sentinel/3rdparty/nss;
儲存 csync2.cfg 檔案。
執行下列指令手動啟動同步化:
csync2 -x -v
問題: 問題造成 Internet Explorer 11 無法開啟事件視覺化儀表板。(Bug 981308)
解決方式: 請使用另一種瀏覽器檢視或修改視覺化儀表板。
問題: 如果您嘗試在執行 SLES 11 SP4 作業系統的電腦上,以 FIPS 模式安裝 Sentinel,安裝程序將會失敗。(Bug 990201)
解決方式: 請確保作業系統不是 FIPS 模式,然後完成下列步驟:
安裝 Sentinel。如需詳細資訊,請參閱《Sentinel 安裝和組態指南》
中的「安裝 Sentinel」。
允許 Sentinel 伺服器以 FIPS 模式執行。如需更多資訊,請參閱《Sentinel 安裝與組態指南》中的「啟用 Sentinel 伺服器以 FIPS 140-2 模式中執行」
。
使用下列指令允許作業系統以 FIPS 模式執行:
fips=1 /boot/grub/menu.lst
問題: 從 7.4 SP1 之前版本升級裝置時,針對 Sentinel 7.4 SP1 中對於密碼儲存的變更,會顯示下列錯誤:
Failed to set encrypted password
(錯誤 967764)
解決方式: 此為預期的警告,您可以安全地忽略它。這對升級沒有影響。
問題: 在您啟用 SSDM 後,登入 Sentinel 主要介面時,瀏覽器會顯示空白頁面。(Bug 1006677)
解決方式: 請關閉您的瀏覽器,然後再次登入 Sentinel 主要介面。此問題僅會發生一次,發生在您啟用 SSDM 後第一次登入 Sentinel 主要介面的時候。
問題: 當您將 Sentinel 從 7.3 版升級為 7.3 SP1 版並啟動 Sentinel 伺服器時,您可能會在伺服器記錄中看到下列例外:
Invalid length of data object ......
(錯誤 933640)
解決方式: 忽略例外。此例外不會影響 Sentinel 效能。
問題: Sentinel 警示檢視和警示儀表板不會顯示 IP 位址欄位包含 IPv6 位址的警示。(錯誤 924874)
解決方式: 若要在 Sentinel 中檢視包含 IPv6 位置的警示,請執行 NetIQ 知識庫文章 7016555 中提到的步驟。
問題: 在已升級的 Sentinel 安裝中,當您在 Sentinel 主要介面的「秘訣」表格中搜尋警示屬性時,搜尋無法傳回警示欄位的完整清單。不過,若您清除搜尋,「秘訣」表格中的警示欄位即可正確顯示。(錯誤 914755)
解決方式: 目前尚未提供解決方式。
問題:
當您嘗試以人類看得懂的格式同步化 IPv6 位址欄位至外部資料庫時,資料同步化失敗。如需設定 Sentinel 以人可讀識的點標記格式填入 IP 位址欄位的詳細資訊,請參閱《NetIQ Sentinel 管理指南》
中的「建立資料同步化規則」。(錯誤 913014)
解決方式: 若要修正此問題,請在目標資料庫中將 IP 位址欄位的大小上限手動變更為至少 46 個字元,然後重新同步化資料庫。
問題: 若在您角色的安全性過濾器空白時執行事件搜尋,但您的角色沒有事件檢視許可,搜尋就不會完成。搜尋不會顯示任何關於無效事件檢視許可的錯誤訊息。(錯誤 908666)
解決方式: 使用下列其中一個選項更新角色:
在欄位中指定一個準則。若角色的使用者不應看到任何事件,您可輸入。
選取。
選取。
問題: 當編輯從 Sentinel 7.2 升級至新版的已儲存搜尋時,用於在搜尋報告 CSV 中指定輸出欄位的面板在排程頁面中遺失。(錯誤 900293)
解決方式: 在升級 Sentinel 後,重新建立並重新編程搜尋以在排程頁面中檢視面板。
問題: 在規則的「關連摘要」頁面中按一下面板上旁的圖示,當您搜尋在規則已部署或已啟用後產生的所有關連事件時,Sentinel 不會傳回任何關連事件。(錯誤 912820)
解決方式: 將「事件搜尋」頁面中欄位中的值變更至比欄位中填入時間更早的時間,然後再按一下。
問題: 在安全情報基線重新產生期間,基線的開始和結束日期錯誤並顯示 1/1/1970。(錯誤 912009)
解決方式: 基線重新產生完成後,即會更新正確日期。
問題: 若單一分割區中有大量已編製索引的事件,當您執行搜尋時,Sentinel 伺服器會關閉。(錯誤 913599)
解決方式: 建立保留規則,讓一天內至少有兩個分割區開啟。有一個以上的分割區開啟可協助減少在分割區中已編製索引的事件數目。
您可以建立根據 estzhour 欄位過濾事件的保留規則,該欄位會追蹤當天的時間。因此,您可使用 estzhour:[0 TO 11] 做為過濾器來建立一個保留規則,然後使用 estzhour:[12 TO 23] 做為過濾器來建立另一個保留規則。
如需詳細資訊,請參閱《NetIQ Sentinel 管理指南》
中的「設定資料保留規則」。
問題: 當您使用 report_dev_setup.sh 程序檔設定防火牆例外的 Sentinel 連接埠時,Sentinel 會顯示錯誤。(錯誤 914874)
解決方式: 若要設定防火牆例外的 Sentinel 連接埠,請執行下列操作:
開啟 /etc/sysconfig/SuSEfirewall2 檔案。
變更下行:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
至
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
重新啟動 Sentinel。
問題: 在 Microsoft Active Directory 和 Windows 收集器上啟用一般主機名稱解析服務收集器時,Sentinel 一般收集器效能會降低。當遠端 Collector Manager 傳送事件時,EPS 會降低 50%。(錯誤 906715)
解決方式: 目前尚未提供解決方式。
問題: 當輸出搜尋結果到 Sentinel 時,網頁瀏覽器可能在您修改操作系統語言設定時顯示錯誤。(錯誤 834874)
解決方式: 要正確輸出搜尋結果,請執行下列其中一個步驟:
輸出搜尋結果時,同時移除輸出檔名中的任何特殊字元 (不在 ASCII 字元內)。
啟用操作系統語言設定中的 UTF-8,重新啟動機器,接著重新啟動 Sentinel 伺服器。
問題: 在等待一個報告結果 PDF 開啟時 (特別是 1 百萬個事件的報告結果),若按下其他要檢視的報告結果 PDF,報告結果無法顯示。(錯誤 804683)
解決方式: 再次按下第二個報告結果 PDF 以檢視報告結果。
問題: 當 Sentinel 環境中啟用 FIPS 140-2 模式時,使用代辦管理員的 Windows 驗證會造成與代辦管理員資料庫同步失敗。(錯誤 814452)
解決方式: 當 Sentinel 環境中啟用 FIPS 140-2 模式時,使用代辦管理員的 SQL 驗證。
問題: 已成功使用 FIPS 140-2 模式完成安裝 Sentinel 高可用性,但出現下列錯誤兩次:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(錯誤 810764)
解決方式: 此為預期的錯誤,您可以安全地忽略它。雖然安裝程式顯示錯誤,但是 Sentinel High Availability 組態在非 FIPS 140-2 模式中仍可順利運作。
問題: Sentinel 主要介面電腦時鐘的時間慢於 Sentinel 伺服器時鐘的時間時,Sentinel 主要介面的「主動搜尋工作持續時間」和「已存取」欄中會顯示負值。例如,當 Sentinel 主要介面時鐘設為 1:30 PM,而 Sentinel 伺服器設為 2:30 PM 時,「持續時間」和「已存取」欄會顯示負值。(錯誤 719875)
解決方式: 請確認用來存取 Sentinel 主要介面的電腦時間與 Sentinel 伺服器電腦上的時間相同或較晚。
問題: 當您登入安全性儀表板並執行搜尋 IssueSAMLToken 稽核事件時,IssueSAMLToken 稽核事件顯示不正確的主機名稱 (InitiatorUserName) 或 (IP 位址) SourceIP 。(錯誤 870609)
解決方式: 目前尚未提供解決方式。
我們的目標是提供符合您需求的文件。若您要提出任何改進建議,請將電子郵件傳送到 Documentation-Feedback@netiq.com。我們重視您的意見並期待您提出建議。
如需詳細的聯絡人資訊,請參閱支援聯絡人資訊網站。
如需一般的企業和產品資訊,請參閱 NetIQ 企業網站。
如需與同事和 NetIQ 專家進行互動對話,歡迎成為我們社群的活躍成員。NetIQ 線上社群提供產品資訊以及有用資源、部落格和社群媒體通道的實用連結。
如需 NetIQ 法律聲明、免責聲明、擔保聲明、出口與其他使用限制、美國政府限制的權利、專利政策與 FIPS 法規遵循的相關資訊,請參閱 http://www.netiq.com/company/legal/。
Copyright © 2017 NetIQ Corporation.保留所有權利。