Sentinel 8.1 SP1 包含多項全新功能、提升可用性,並且解決許多既有問題。
這些改進許多是為了直接因應來自顧客的建議。我們衷心感謝您撥冗提供可貴的建議。也期盼您能繼續協助以確保我們的產品能滿足您所有的需求。您可以在 Sentinel 論壇中張貼意見反應,此論壇是我們的線上社群,其中也包含產品資訊、部落格,以及實用資源的連結。
NetIQ 網站上提供了本產品 HTML 與 PDF 格式的文件,您無需登入即可存取該文件頁面。若您有任何改善文件的建議,請到 Sentinel 文件頁面,按一下頁面上所張貼任何 HTML 文件版本頁面的備註圖示。要下載本產品,請查看 Sentinel 產品升級網站。
下列幾節將概述重要功能和加強功能,以及本版本已解決的問題:
Sentinel 8.1.1 包含可解決 Sweet32 (CVE-2016-2183) 弱點的修復。
Sentinel 包括 Java 8 更新程式 152,其中包含數個安全性弱點的修復。
Sentinel 8.1.1 包括下列增強功能:
現在,Sentinel 會針對在下列情況發生的「無法產生關連」訊息產生稽核事件:
事件延遲送達,且晚了 30 秒以上。
重新排序緩衝區已滿。
(錯誤 1018336)
問題︰ 客戶要求希望有能力建立一個可讓使用者檢視報告結果、但無法執行或刪除報告的角色。檢視報告結果權限已存在,但無法在「使用者/角色管理」中為角色授與。(錯誤 1047479)
修復: 現在,您已可在「使用者/角色管理」中顯示檢視報告結果權限,以便為角色指派此權限。完成以下步驟:
開啟 /etc/opt/novell/sentinel/config/ui-configuration.properties 檔案以進行編輯。
新增下列內容:
viewReportResults.hideUI=false
儲存您所做的變更。
結束 Web UI 並加以重新啟動。
您也應按 Control-F5 以清除瀏覽器快取。
導覽至「使用者/角色管理」,並建立新角色。
您應該會看到檢視報告結果權限。
在編輯報告時,「日期選取器」在報告上次執行後即不會再顯示日期。它現在會預設為目前的日期,如此一來,在「開始時間」早於目前的日期時,即無須再費事點按到好幾個月之後。(錯誤 1016005)
現在,您可以設定資料同步原則的結束時間,因而能夠只在特定的時間範圍內進行資料同步。此功能僅適用於新的資料同步原則,而不適用於現有的資料同步原則。(錯誤 1053484)
現在,當您在建立使用者時,您最多可在「使用者名稱」欄位中輸入 60 個字元。(錯誤 1063025)
我們針對「儲存」>「事件」>「資料保留」使用者介面中的原始資料保留大小重新整理間隔,進行以下強化:
預設的原始資料保留大小重新整理間隔已變更為 12 小時,以避免在原始資料太大時,發生效能問題。
預設逾時間隔已變更為 60 分鐘。
如有需要,您可以自訂這些預設值:
以 novell 使用者身分登入 Sentinel 伺服器。
在 /etc/opt/novell/sentinel/config 目錄中建立如下的檔案:obj-component.DiskStatisticsCache.properties。
在內容檔中,依照下列方式將內容設為所需值:
<obj-component id="DiskStatisticsCache"> <class>esecurity.ccs.comp.auth.DiskStatisticsCache</class> <property name="onlineRawDataCheckInterval">value_in_milliseconds</property> <property name="onlineRawDataTaskTimeoutPeriod">value_in_milliseconds</property> </obj-component>
重新啟動 Sentinel 伺服器。
(錯誤 1027773)
「事件摘要」表格中的 summary_key 欄現已為主要索引鍵,因此,其他資料庫工具將可藉由適當的中繼資料而充分發揮效用。(錯誤 1048739)
Sentinel 8.1.1 包含可解決下列問題的軟體修復:
問題︰ 如果您匯出的搜尋結果中包含來自次要儲存體的事件,CSV 檔案將只會包含標題,而沒有實際的搜尋結果。(Bug 1043709、Bug 1073502)
修復: 現在,CSV 檔案已會包含您匯出的搜尋結果。
電子郵件通知現在會適當顯示上、下午時間 (AM、PM)。(錯誤 1040423)
Sentinel Main 現已可成功啟動。(錯誤 1047106)
EventSearch Rest API 可順利完成,且不會發生任何例外。(錯誤 1038133)
問題︰ 如果過去事件的時間戳記超出時紀日期,Correlation Engine 就不會觸發當天事件。該 Correlation Engine 會顯示Correlation 重新排序緩衝區已滿的例外,且最終會當機。(錯誤 1036765)
修復: Correlation Engine 現在已會觸發當天事件,且不會發生例外。
問題︰ 在 ISE 整合後的二或三天後,Sentinel 會變得沒有回應。Sentinel 伺服器記錄中包含下列訊息,指出發生了記憶體不足例外,且無法建立執行緒:
java.lang.OutOfMemoryError: unable to create new native thread
此問題導因於 ISE 整合所觸發的大量對應更新,以及必須有一個「RANGE」索引鍵外加一或多個「STRING」索引鍵的對應特有的問題。前述各種情況同時發生時,Sentinel 會為每個唯一的字串索引鍵值建立個別的 h2temp 目錄。這意味著,如果 ISE ipmap.csv 檔案有超過 6000 個項目 (這在日常運作期間是很常見的),Sentinel 將為每個 30 秒的對應更新重新建立超過 6000 個 h2t mp 目錄。(錯誤 1036765)
修復: 現在,用來儲存對應的預設對應 (必須包含一個「RANGE」索引鍵外加一或多個「STRING」索引鍵) 會是記憶體內部對應。此對應不會使用 H2 資料庫,因此不需要建立許多 h2temp 目錄。
附註:您可以設定範圍/索引鍵對應是否要使用需要暫存目錄的物件。請將新的 sentinel.mapping.h2.useDbRangeMap 系統內容新增至 Sentinel configuration.properties 檔案。此系統內容具有下列值:
false:使用 DataObjectKeyRangeMap 物件,而不需要暫存目錄 (預設值)
true:使用 DBRangeMapDataObjectStorage 物件,而需要暫存目錄
問題︰ 如果您在執行事件的搜尋時,於搜尋仍在執行的期間按一下「搜尋」按鈕,精簡搜尋面板會顯示下列訊息:
欄位根據前 0 個事件計數。
(錯誤 999743)
修復: 現在,在搜尋執行期間會停用「搜尋」按鈕。當所有的工作皆完成後,「搜尋」按鈕就會重新啟用。
問題︰ API 文件未列出 REST API 正常運作所需的所有用戶端下載程式庫。(錯誤 1047684)
修復: Sentinel API 文件現已列出 REST API 所需的所有用戶端下載程式庫。
問題︰ 當 Sentinel 伺服器與 Collector Manager 的連線中斷時,伺服器會產生 LostContactWithCollectorManager 和 CollectorManagerDown 內部事件。這些內部事件的 CollectorNodeName(port) 和 CollectorManagerId(rv21) 事件欄位不會顯示 Collector Manager 員的相關資訊。(錯誤 1050941)
修復: CollectorNodeName(port) 和 CollectorManagerId(rv21) 事件欄位現在已會正確顯示「Collector Manager 名稱」和「Collector Manager ID」。
所有排程報告現在都已可成功執行。(錯誤 1051167)
Sentinel Core 十大排行和 Sentinel Core 十大排行儀表板報告現在的執行速度已加快。(錯誤 1040660)
此版本已解決 Sentinel 在您選擇「警示檢視」中的「所有新警示」過濾器時仍會不當顯示所有警示的問題。(錯誤 991732)
/SentinelRESTServices/objects/plugin REST API 現在會以正常人可讀取的格式提供外掛程式資訊。(錯誤 992162)
排程搜尋工作現在可以成功執行。(錯誤 1049055)
Sentinel Core 十大排行報告現在可以成功執行。(錯誤 1055336)
問題︰ 當您使用「資料聯盟」搜尋分散式環境中的事件時,「搜尋結果」頁面會顯示重複的事件。(錯誤 1048000)
修復: 「搜尋結果」頁面已不會再顯示重複的事件。
此版本解決了下列問題:如果您新增的代理程式在 Sentinel 代理程式管理員收集代理程式的屬性之前即與 Sentinel 同步化,代理程式資料同步程序 (ETL) 即會失敗,並且發生例外。(錯誤 1050192)
現在,Correlation Engine 在處於「閒置」狀態時才會將其狀態顯示為「閒置」。(錯誤 1062386)
問題︰ 當事件的「訊息」欄位包含超過 8000 個字元時,Sentinel 會將訊息截斷。其會在記錄中列出前 8000 個字元和截斷的字元以及下列訊息,導致記錄中到處遍布訊息資訊:
屬性 msg 的值太長。大小為 4,096 utf-8 (個別字元可以是多位元組),最大值為 4,000 個位元組,截斷 <truncated_characters>
(錯誤 927550)
修復: Sentinel 現在只會在 server0.0 記錄中顯示 256 個來自截斷訊息的字元。
現在,將 Sentinel 升級至 8.1.0.1 版後已可順利執行資料同步。(Bug 1052566)
問題︰ 在「資料收集」>「事件來源」索引標籤中,「代理程式管理員」區段會呈現為灰色,任何作業都必須使用 Sentinel 控制中心來執行。(錯誤 1008335)
修復: 現在已會在 Sentinel Main 中啟用「代理程式管理員」區段。
即使事件包含特殊字元仍可順利產生報告。(錯誤 1060132)
現在,Collector Manager 已可成功重新啟動,並且如預期處理事件來源的偏移。(錯誤 1049771)
問題︰ 自動警示一律會將 EventThroughputUtilization 更新為 100% 的使用率,即使並無警示產生亦然。(錯誤 1065679)
修復: 自動警示更新現已會顯示實際的 EventThroughputUtilization 百分比。
問題︰ 一部 Sentinel 伺服器設定了多個 Collector Manager 時,collectormgr-status API 端點會顯示 404 找不到錯誤,即使 Collector Manager 存在亦然。(錯誤 1011921)
修復: collectormgr-status API 現已可正確顯示狀態。
report_dev_setup.sh 指令碼現在會備份防火牆組態檔案,讓您能夠在發生失敗狀況後輕鬆進行還原。此指令碼也包含可提升使用性的增強功能。(錯誤 752657)
附註:只有在 PostgreSQL 連接埠未新增至 SUSE 防火牆組態時,才會備份 SuSEfirewall2 檔案。
問題︰ 「測試連接性」需以 Ping 起始,安全性堪虞。(錯誤 1009722)
修復: 「測試連接性」按鈕在其測試程序中,已不會先使用 ICMP 封包 (Ping) 再使用 HTTP 指令對「連接器」連接埠進行測試。現在,它只會以 HTTP 指令來驗證連線是否成功。在遠端未開啟或未正確回應時,這可能會使連接性測試多花一點時間。
問題: 從 7.4 SP1 之前版本升級裝置時,針對 Sentinel 7.4 SP1 中對於密碼儲存的變更,會顯示下列錯誤:
Failed to set encrypted password
(錯誤 967764)
修復: Sentinel 已不會再顯示警告訊息。
問題: 當您將 Sentinel 從 7.3 版升級為 7.3 SP1 版並啟動 Sentinel 伺服器時,您可能會在伺服器記錄中看到下列例外:
Invalid length of data object ......
(錯誤 933640)
修復: Sentinel 已不會在升級期間顯示例外。
問題: Sentinel 警示檢視和警示儀表板不會顯示 IP 位址欄位包含 IPv6 位址的警示。(錯誤 924874)
修復: 警示檢視和警示儀表板現已會顯示 IP 位址欄位包含 IPv6 位址的警示。
如需有關硬體需求、支援的作業系統及瀏覽器等資訊,請參閱 Sentinel 技術資訊網站。
如需安裝 Sentinel 8.1.1 的詳細資訊,請參閱《NetIQ Sentinel 安裝與組態指南》。
您可以將 Sentinel 7.4 和更新版本升級到 Sentinel 8.1.1。如需升級到 Sentinel 8.1.1 的詳細資訊,請參閱《NetIQ Sentinel 安裝與組態指南》。
NetIQ Corporation 致力確保我們的產品能提供最優質的解決方案,以符合您的企業軟體需求。以下是現在正在研究的問題。若您有任何問題需要進一步的協助,請聯絡技術支援。
Sentinel 所包含的 Java 8 更新可能會影響下列外掛程式:
Cisco SDEE Connector
SAP (XAL) Connector
因應措施整合器
針對任何外掛程式的相關問題,NetIQ 將根據標準的缺陷處理規則排列優先程度並修正問題。如需有關支援規則的詳細資訊,請參閱支援規則。
問題: 若您的環境擁有預設 25 EPS 授權,而您執行報告後,報告失敗並出現下列錯誤:
License for Distributed Search feature is expired (分散式搜尋功能授權已過期)
解決方式: 若要執行如 Sentinel 相同的 JVM 的報告,請完成下列步驟:
登入 Sentinel 伺服器並開啟 /etc/opt/novell/sentinel/config/server.xml 檔案。
找到下列內容:
<property name="reporting.process.oktorunstandalone">true</property>
變更設定為 false:
<property name="reporting.process.oktorunstandalone">false</property>
重新啟動 Sentinel。
問題︰ 如果您在安裝期間或安裝後嘗試將 Sentinel (伺服器、RCM 或 RCE) 轉換為 FIPS 模式,SLES 12 作業系統所提供的 Mozilla NSS 套件既有的問題,將使轉換作業無法成功執行。轉換作業在 FIPS 金鑰儲存區資料庫密碼的提示出現時即會停止,即指指定的密碼符合預期的準則亦然。(錯誤 1065329)
解決方式: 若要將 Sentinel 轉換為 FIPS 模式,請執行下列步驟:
以 root 使用者的身分登入 Sentinel 伺服器、RCM 或 RCE。
啟動 YaST 軟體管理員:
yast sw_single
搜尋下列套件,並安裝或升級至最新版本:
mozilla-nss-tools
libfreebl3-hmac
libsoftokn3-hmac
清理先前嘗試進行 FIPS 轉換時產生的成品:
rm -rf /etc/opt/novell/sentinel/3rdparty/nss rm /etc/opt/novell/sentinel/3rdparty/newpwfile
重新嘗試 FIPS 轉換。
問題: Sentinel 驗證規則的方法最近有變更,如果您的環境包含具有不正確語法的較舊部署規則,會導致 Correlation Engine 無法連接。(Bug 1039598)
解決方式: 若要重新連接 Correlation Engine,您可以修正規則中造成問題的語法,然後重新啟動 Sentinel。
若要尋找規則並修正語法,請完成以下步驟:
在 server.log 檔案中,搜尋「Failed to initialize CorrelationEngine」 (無法啟始化 CorrelationEngine)。
例如,當您搜尋「Failed to initialize CorrelationEngine」 (無法啟始化 CorrelationEngine),您會看到與以下訊息相似的記錄訊息:
Wed May 17 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Failed to initialize CorrelationEngine (無法啟始化 CorrelationEngine)
向上捲動查看上一個記錄訊息,當中會指定規則和顯示其語法。將會和以下訊息相似:
Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Root cause: Duration must be within a day (antlr.RecognitionException) (根本原因:期間必須少於一天 (antlr.RecognitionException))
esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))
在此例子中,記錄訊息表明發生問題是因為指定期間多於一天。規則語法指定的秒數 (86460) 多於一天 (86400)。
登入 Sentinel。
開啟新瀏覽器分頁。
在新分頁中,前往以下 URL:
https://<YOUR SENTINEL IP>:8443/SentinelRESTServices/objects/correlation-rule
若要在關連規則清單中尋找規則名稱和 ID,請搜尋規則語法的獨特部份,例如 86460。
(條件式) 如果您在關連規則清單中找不到規則名稱和 ID,請完成以下步驟:
在指令提示中,切換至 Novell 使用者。使用以下指令:
su -novell
移至 /opt/novell/sentinel/bin 目錄。
使用以下 SQL 指令:
./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%UniqueText%'"
UniqueText 是規則語法的獨特部份,例如 86460。
(條件式) 如果您還未切換至 Novell 使用者,請開啟指令提示並切換至 Novell 使用者。使用以下指令:
su -novell
移至 /opt/novell/sentinel/bin 目錄。
驗證規則是位於資料庫中。使用以下 SQL 指令:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
RuleID 是您先前找到規則的 ID。
在驗證期間使用不會觸發錯誤的新過濾器更新規則。使用以下 SQL 指令:
./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=RuleID"
RuleID 是您先前找到規則的 ID。
驗證已變更資料庫中的過濾器。使用以下 SQL 指令:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
RuleID 是您先前找到規則的 ID。
停止 Sentinel. 使用以下指令:
./server.sh stop
重新啟動 Sentinel。使用以下指令:
./server.sh start
問題: 在 Sentinel HA 裡,當您將主動節點轉換成 FIPS 140-2 模式,將被動節點轉換成 FIPS 140-2 模式的同步無法完全執行。您必須手動啟動同步。(Bug 1014472)
解決方式: 透過下列方式將所有被動節點手動同步至 FIP 140-2 模式:
在主動節點上使用 root 使用者身分登入。
開啟 /etc/csync2/csync2.cfg 檔案。
變更下行:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
to
include /etc/opt/novell/sentinel/3rdparty/nss;
儲存 csync2.cfg 檔案。
執行下列指令手動啟動同步化:
csync2 -x -v
問題: 問題造成 Internet Explorer 11 無法開啟事件視覺化儀表板。(Bug 981308)
解決方式: 請使用另一種瀏覽器檢視或修改視覺化儀表板。
問題: 如果您嘗試在執行 SLES 11 SP4 作業系統的電腦上,以 FIPS 模式安裝 Sentinel,安裝程序將會失敗。(Bug 990201)
解決方式: 請確保作業系統不是 FIPS 模式,然後完成下列步驟:
安裝 Sentinel。如需詳細資訊,請參閱《Sentinel 安裝和組態指南》
中的「安裝 Sentinel」。
允許 Sentinel 伺服器以 FIPS 模式執行。如需更多資訊,請參閱《Sentinel 安裝與組態指南》中的「啟用 Sentinel 伺服器以 FIPS 140-2 模式中執行」
。
使用下列指令允許作業系統以 FIPS 模式執行:
fips=1 /boot/grub/menu.lst
問題: 在您啟用 SSDM 後,登入 Sentinel 主要介面時,瀏覽器會顯示空白頁面。(Bug 1006677)
解決方式: 請關閉您的瀏覽器,然後再次登入 Sentinel 主要介面。此問題僅會發生一次,發生在您啟用 SSDM 後第一次登入 Sentinel 主要介面的時候。
問題: 在已升級的 Sentinel 安裝中,當您在 Sentinel 主要介面的「秘訣」表格中搜尋警示屬性時,搜尋無法傳回警示欄位的完整清單。不過,若您清除搜尋,「秘訣」表格中的警示欄位即可正確顯示。(錯誤 914755)
解決方式: 目前尚未提供解決方式。
問題: 若在您角色的安全性過濾器空白時執行事件搜尋,但您的角色沒有事件檢視許可,搜尋就不會完成。搜尋不會顯示任何關於無效事件檢視許可的錯誤訊息。(錯誤 908666)
解決方式: 使用下列其中一個選項更新角色:
在「僅符合準則的事件」欄位中指定一個準則。若角色的使用者不應看到任何事件,您可輸入「NOT sev:[0 TO 5]」。
選取「檢視系統事件」。
選取「檢視所有的事件資料 (包括未經處理資料和 NetFlow 資料)」。
問題: 當編輯從 Sentinel 7.2 升級至新版的已儲存搜尋時,用於在搜尋報告 CSV 中指定輸出欄位的「事件欄位」面板在排程頁面中遺失。(錯誤 900293)
解決方式: 在升級 Sentinel 後,重新建立並重新編程搜尋以在排程頁面中檢視「事件欄位」面板。
問題: 在規則的「關連摘要」頁面中按一下「活動統計資料」面板上「引發計數」旁的圖示,當您搜尋在規則已部署或已啟用後產生的所有關連事件時,Sentinel 不會傳回任何關連事件。(錯誤 912820)
解決方式: 將「事件搜尋」頁面中「從」欄位中的值變更至比欄位中填入時間更早的時間,然後再按一下「搜尋」。
問題: 在安全情報基線重新產生期間,基線的開始和結束日期錯誤並顯示 1/1/1970。(錯誤 912009)
解決方式: 基線重新產生完成後,即會更新正確日期。
問題: 當您使用 report_dev_setup.sh 程序檔設定防火牆例外的 Sentinel 連接埠時,Sentinel 會顯示錯誤。(錯誤 914874)
解決方式: 若要設定防火牆例外的 Sentinel 連接埠,請執行下列操作:
開啟 /etc/sysconfig/SuSEfirewall2 檔案。
變更下行:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
至
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
重新啟動 Sentinel。
問題: 在 Microsoft Active Directory 和 Windows 收集器上啟用一般主機名稱解析服務收集器時,Sentinel 一般收集器效能會降低。當遠端 Collector Manager 傳送事件時,EPS 會降低 50%。(錯誤 906715)
解決方式: 目前尚未提供解決方式。
問題: 當 Sentinel 環境中啟用 FIPS 140-2 模式時,使用代辦管理員的 Windows 驗證會造成與代辦管理員資料庫同步失敗。(錯誤 814452)
解決方式: 當 Sentinel 環境中啟用 FIPS 140-2 模式時,使用代辦管理員的 SQL 驗證。
問題: 已成功使用 FIPS 140-2 模式完成安裝 Sentinel 高可用性,但出現下列錯誤兩次:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(錯誤 810764)
解決方式: 此為預期的錯誤,您可以安全地忽略它。雖然安裝程式顯示錯誤,但是 Sentinel High Availability 組態在非 FIPS 140-2 模式中仍可順利運作。
問題: Sentinel 主要介面電腦時鐘的時間慢於 Sentinel 伺服器時鐘的時間時,Sentinel 主要介面的「主動搜尋工作持續時間」和「已存取」欄中會顯示負值。例如,當 Sentinel 主要介面時鐘設為 1:30 PM,而 Sentinel 伺服器設為 2:30 PM 時,「持續時間」和「已存取」欄會顯示負值。(錯誤 719875)
解決方式: 請確認用來存取 Sentinel 主要介面的電腦時間與 Sentinel 伺服器電腦上的時間相同或較晚。
問題: 當您登入安全性儀表板並執行搜尋 IssueSAMLToken 稽核事件時,IssueSAMLToken 稽核事件顯示不正確的主機名稱 (InitiatorUserName) 或 (IP 位址) SourceIP 。(錯誤 870609)
解決方式: 目前尚未提供解決方式。
問題: 若單一分割區中有大量已編製索引的事件,當您執行搜尋時,Sentinel 伺服器會關閉。(錯誤 913599)
解決方式: 建立保留規則,讓一天內至少有兩個分割區開啟。有一個以上的分割區開啟可協助減少在分割區中已編製索引的事件數目。
您可以建立根據 estzhour 欄位過濾事件的保留規則,該欄位會追蹤當天的時間。因此,您可使用 estzhour:[0 TO 11] 做為過濾器來建立一個保留規則,然後使用 estzhour:[12 TO 23] 做為過濾器來建立另一個保留規則。
如需詳細資訊,請參閱《NetIQ Sentinel 管理指南》
中的「設定資料保留規則」。
問題:
當您嘗試以人類看得懂的格式同步化 IPv6 位址欄位至外部資料庫時,資料同步化失敗。如需設定 Sentinel 以人可讀識的點標記格式填入 IP 位址欄位的詳細資訊,請參閱《NetIQ Sentinel 管理指南》
中的「建立資料同步化規則」。(錯誤 913014)
解決方式: 若要修正此問題,請在目標資料庫中將 IP 位址欄位的大小上限手動變更為至少 46 個字元,然後重新同步化資料庫。
問題: 在等待一個報告結果 PDF 開啟時 (特別是 1 百萬個事件的報告結果),若按下其他要檢視的報告結果 PDF,報告結果無法顯示。(錯誤 804683)
解決方式: 再次按下第二個報告結果 PDF 以檢視報告結果。
我們的目標是提供符合您需求的文件。若您要提出任何改進建議,請將電子郵件傳送到 Documentation-Feedback@netiq.com。我們重視您的意見並期待您提出建議。
如需詳細的聯絡人資訊,請參閱支援聯絡人資訊網站。
如需一般的企業和產品資訊,請參閱 NetIQ 企業網站。
如需與同事和 NetIQ 專家進行互動對話,歡迎成為我們社群的活躍成員。NetIQ 線上社群提供產品資訊以及有用資源、部落格和社群媒體通道的實用連結。
如需 NetIQ 法律聲明、免責聲明、擔保聲明、出口與其他使用限制、美國政府限制的權利、專利政策與 FIPS 法規遵循的相關資訊,請參閱 http://www.netiq.com/company/legal/。
Copyright © 2018 NetIQ Corporation.保留所有權利。