Versionshinweise für Novell Sentinel Log Manager 1.1

08. Juli 2010

Novell Sentinel Log Manager erfasst Daten von vielen verschiedenen Geräten und Anwendungen, einschließlich Intrusion Detection-Systemen, Firewalls, Betriebssystemen, Routern, Webservern, Datenbanken, Switches, Mainframes und Virenschutz-Ereignisquellen. Novell Sentinel Log Manager ermöglicht die Verarbeitung mit hohen Ereignisraten, eine langfristige Datenaufbewahrung, die Aggregation regionaler Daten sowie eine einfache Such- und Berichterstellungsfunktionalität für eine breite Palette von Anwendungen und Geräten.

1.0 Neuigkeiten in Sentinel Log Manager 1.1

1.1 Rollen

Administratoren können jetzt Rollen erstellen, die einer beliebigen Anzahl von Benutzern zugewiesen werden können. Jeder Rolle kann ein anderer Satz von Berechtigungen zugewiesen werden, und die zu einer Rolle zugehörigen Benutzer übernehmen die Berechtigungen der Rolle, die sie innehaben.

Sentinel Log Manager enthält einige Standardrollen mit den erforderlichen Berechtigungen. Sie können die Berechtigungen jedoch ändern und weitere Rollen auf Basis Ihrer Anforderungen erstellen.

Weitere Informationen zu Gruppenberechtigungen finden Sie unter Configuring Users and Roles (Benutzer und Rollen konfigurieren) im Novell Sentinel Log Manager 1.1 Administration Guide (Novell Sentinel Log Manager 1.1-Administrationshandbuch).

1.2 Verteilte Suche

Mit der Funktion "Verteilte Suche" können Sie nicht nur auf dem lokalen, sondern auch auf anderen, weltweit verteilten Sentinel Log Manager-Servern nach Ereignissen suchen. Nachdem Sie die Konfiguration für die verteilte Suche eingerichtet haben, um mehrere Server mit dem lokalen Server (Suchinitiator) zu verbinden, können Sie eine Suche auf dem lokalen Server durchführen und die Such-Engine optional anweisen, die Suche auch auf den verbundenen Servern durchzuführen. Übereinstimmende Ereignisse von allen ausgewählten Servern werden abgerufen und in den Suchergebnissen angezeigt. Jedes Ereignis in den Suchergebnissen zeigt die Server-Informationen an, aus denen das Ereignis abgerufen wird.

Der Export von Suchergebnissen, das Senden von Suchergebnissen zu einer Aktion und das Abrufen von Rohdatenereignissen werden erweitert, um diese neue Funktion zu nutzen. Die Berichterstellungs-Engine wird ebenfalls erweitert, um dieselbe zugrunde liegende Such-Engine zu nutzen, damit Berichte von mehreren Sentinel Log Manager-Servern Daten aufnehmen können.

Weitere Informationen zur verteilten Suche finden Sie unter Searching and Reporting Events in a Distributed Environment (Ereignis-Suche und -Berichterstellung in einer verteilten Umgebung) im Novell Sentinel Log Manager 1.1 Administration Guide (Novell Sentinel Log Manager 1.1-Administrationshandbuch).

1.3 Kennungen

Mit der Funktion "Kennungen" können Sie ein oder mehrere durchsuchbare Kennungsattribute erstellen und Event Management System (ESM)-Knoten zuweisen, wie beispielsweise Ereignisquellen, Ereignisquellenservern, Collector-Managern und Collector-Plugins sowie Berichten. Alle von diesen ESM-Knoten stammenden Ereignisse weisen ebenfalls Kennungen auf. Durch die Kennungszuordnung können Sie logische Gruppierungen dieser ESM-Knoten, der Ereignisse selbst und der Berichte erstellen.

Die Ereignisse lassen sich basierend auf den auf sie angewendeten Kennungen suchen, und Ereignisquellen und Berichte können auf Basis der vorhandenen Kennungen gefiltert werden.

Sentinel Log Manager enthält einige Standardkennungen; Sie können je nach Bedarf jedoch neue Kennungen erstellen.

Weitere Informationen zu Kennungen finden Sie unter Configuring Tags (Kennungen konfigurieren) im Novell Sentinel Log Manager 1.1 Administration Guide (Novell Sentinel Log Manager 1.1-Administrationshandbuch).

1.4 Appliance

Sentinel Log Manager ist eine Ready-to-Run Software-Appliance, die ein SUSE Linux Enterprise Server (SLES) 11-Betriebssystem und Software des Novell Sentinel Log Manager mit einem Updateservice kombiniert. Diese Appliance bietet eine erweiterte browserbasierte Benutzeroberfläche, die die Sammlung, Speicherung, Berichterstellung und die Suche nach Protokolldaten aus einer großen Bandbreite von Geräten, Anwendungen und Protokollen unterstützt.

Die Sentinel Log Manager 1.1-Appliance steht in den folgenden Formaten zur Verfügung:

  • VMware-Appliance-Image

  • Xen-Appliance-Image

  • Hardware-Appliance-Live-DVD-Image, das direkt für einen Hardware-Server bereitgestellt werden kann

HINWEIS:Benutzer von Sentinel Log Manager 1.0 können ihre Installation auf eine Sentinel Log Manager 1.1-Appliance migrieren, indem Sie die Anweisungen in Abschnitt 6.4 (Migrieren von 1.0 zur 1.1-Appliance) in der Novell Sentinel Log Manager 1.1-Installationsanleitung befolgen.

Weitere Informationen zur Installation der Sentinel Log Manager-Appliance finden Sie unter Installieren der Appliance in der Novell Sentinel Log Manager 1.1-Installationsanleitung.

1.5 Erweiterungen der LDAP-Authentifizierung

  • Unter der Registerkarte Benutzer wird eine neue Benutzeroberfläche zum Konfigurieren eines Sentinel Log Manager-Servers für LDAP-Authentifizierung bereitgestellt.

  • Die LDAP-Authentifizierung kann mit oder ohne anonyme Suche im LDAP-Verzeichnis durchgeführt werden.

Weitere Informationen zur LDAP-Authentifizierung finden Sie unter LDAP Authentication (LDAP-Authentifizierung) im Novell Sentinel Log Manager 1.1 Administration Guide (Novell Sentinel Log Manager 1.1-Administrationshandbuch).

1.6 Berichterweiterungen

Die Berichte wurden erweitert, sodass Details für die Ereignisse, die im Bericht enthalten sind, angezeigt werden können. Mit der Option "Details anzeigen" kann eine Suche mit der gleichen Abfrage und dem gleichen Zeitraum, wie sie für die Generierung des Berichts verwendet wurden, gestartet werden, sodass die Benutzer die Details der Ereignisse anzeigen können, die zur Generierung des Berichts verwendet wurden.

Mehrere Berichtsdefinitionen und Berichtergebnisse können gleichzeitig exportiert werden. Mehrere Berichtsdefinitionen können gleichzeitig aus einer Berichtsdefinitions-Export-ZIP-Datei oder einer Collector-Paketdatei importiert werden.

Weitere Informationen zu diesen Erweiterungen finden Sie unter Reporting (Berichterstellung) im Novell Sentinel Log Manager 1.1 Administration Guide (Novell Sentinel Log Manager 1.1-Administrationshandbuch).

Neue Berichtsschablonen werden hinzugefügt und vorhandene Berichtschablonen aktualisiert. Einige nicht verwendete Berichtsschablonen werden gelöscht. Weitere Informationen zu verfügbaren Berichtsschablonen finden Sie unter Sentinel Log Manger Reports (Sentinel Log Manager-Berichte) im Novell Sentinel Log Manager 1.1 Administration Guide (Novell Sentinel Log Manager 1.1-Administrationshandbuch).

1.7 Datenwiederherstellung

Die neue Funktion zum Wiederherstellen der Daten kann die alten, verloren gegangenen oder gelöschten Ereignisdaten wiederherstellen. Außerdem können Sie eine Suche in den wiederhergestellten Ereignisdaten ausführen.

Ein neuer Abschnitt Datenwiederherstellung wurde in der Benutzeroberfläche Speicher > Konfiguration hinzugefügt. Sie können bestimmte Ereignispartitionen auswählen, um Ereignisdaten wiederherzustellen und zu konfigurieren, wenn die wiederhergestellten Ereignispartitionen erneut ablaufen können.

Weitere Informationen zur Datenwiederherstellung finden Sie im Abschnitt Restoring Event Data (Ereignisdaten wiederherstellen) unter Configuring Data Storate (Datenspeicherung konfigurieren) im Novell Sentinel Log Manager 1.1 Administration Guide (Novell Sentinel Log Manager 1.1-Administrationshandbuch).

2.0 Neuigkeiten in Sentinel Log Manager 1.0.0.5

2.1 500-EPS-Version von Sentinel Log Manager

Novell Sentinel Log Manager ist nun in einer 500-EPS-Version (500 Ereignisse pro Sekunde) erhältlich. Die 500-EPS-Version eignet sich für kleine Bereitstellungen mit nur einem Sentinel Log Manager-Server und einer niedrigen Ereignisrate. Sie kann auch als Knoten mit niedrigem Volumen verwendet werden, der in einer großen Bereitstellung Berichte an einen anderen Sentinel- oder Sentinel Log Manager-Server sendet.

2.2 Neue Endbenutzer-Lizenzvereinbarung

Die Bestimmungen der Endbenutzer-Lizenzvereinbarung (EULA) wurden in dieser Version aktualisiert. Sie müssen die neuen Bestimmungen akzeptieren, bevor Sie den neuesten Patch anwenden. Einige der Änderungen der EULA sind nachfolgend aufgeführt:

  • Novell Sentinel Log Manager ist nun als 500-EPS-Version verfügbar.

  • Aktualisierte Definition für Nicht-Produktions-Instanz

  • Aktualisierte Definition für Type I-Gerät

3.0 Systemvoraussetzungen

Die Systemvoraussetzungen haben sich seit der Version 1.0 von Sentinel Log Manager nicht wesentlich geändert.

Detaillierte Informationen zu Hardwareanforderungen und unterstützten Betriebssystemen, Browsern und Ereignisquellen finden Sie in der Novell Sentinel Log Manager 1.1-Installationsanleitung.

4.0 Novell Sentinel Log Manager 1.1 installieren

Informationen zur Installation von Novell Sentinel Log Manager 1.1 finden Sie in der Novell Sentinel Log Manager 1.1-Installationsanleitung.

5.0 In Sentinel Log Manager 1.1 behobene Probleme

Fehlernummer

Beschreibung

617478

Der Bericht der 10 wichtigsten Intrusion Detection-Systeme kann nun als Feld DeviceAttackName erstellt werden und ist nun in den Ereignisfeldern enthalten.

609811

Die Felder TargetUserName und InitiatorIP werden nun mit den richtigen Werten aufgefüllt, wenn das Passwort für einen Benutzer geändert wird.

609814

Das Feld InititatorIP wird nun mit den richtigen Werten aufgefüllt, wenn sich ein Benutzer in Sentinel Log Manager anmeldet.

607143

Neue Berichte wurden erstellt, die zum Durchführen von Audits über interne Ereignisse verwendet werden können.

606861

Es kann nun eine Platzhalter-Suche für Ereignisse, die Großbuchstaben enthalten, durchgeführt werden.

592503

Zusätzliche Suchabfragen, die Sie im Bereich Optimieren hinzufügen, zeigen nun die entsprechenden Ergebnisse an.

587831

Der Bereich Optimieren zeigt nun die Ereigniszahl für das Feld CustomerVar22 an, wenn es als zusätzlich anzuzeigendes Feld hinzugefügt wird.

567082

Benutzer, deren Passwörter nicht standardisierte Zeichen enthalten, können sich nun in der Webbenutzeroberfläche und der ESM-Benutzeroberfläche anmelden.

565777

Der Verbürgungsverwaltungsbericht enthält nun "DEASSOC_TRUST"-Ereignisse, die beim Entfernen eines Benutzerkontos generiert werden.

526062

Der Link Konfiguration in der Webbenutzeroberfläche wurde durch ein Zahnradsymbol ersetzt, welches darauf hinweist, dass die neben dem Symbol aufgeführten Links Konfigurations-Links sind.

524575

Alle JavaScript-Popup-Fenster, wie "Suchtipps", "Ausführen" und "Löschen", werden in Internet Explorer 8 nun für die Sprachen Französisch, Spanisch und Italienisch richtig angezeigt.

503808

Bei der ersten Installation von Sentinel Log Manager auf einem Server, auf dem es zuvor noch nicht installiert wurde, startet ESM nun ordnungsgemäß.

545436

Interne Auditereignisfelder, wie "initUserName", "initIP" und "targetUserNamedetails" werden nun mit den entsprechenden Werten aufgefüllt und in den Suchergebnissen angezeigt.

6.0 Bekannte Probleme

Fehlernummer

Beschreibung

620681

Problem: In ESM werden die Collector-Knoten bei einem Serverneustart fälschlicherweise in den gestoppten Status versetzt. Dieses Problem tritt jedoch nur sporadisch auf.

Behelfslösung: Melden Sie sich nach dem Serverneustart in ESM an und stellen Sie sicher, dass sich die Collectors, die ausgeführt werden sollen, im Startstatus befinden.

620100

Problem: Ältere Collectors funktionieren nicht auf Remote-Collector-Managern.

Behelfslösung: Ändern Sie die Datei ESEC_HOME/config/collector_mgr.xml auf dem Remote-Collector-Manager-Computer.

  1. Öffnen Sie die Datei ESEC_HOME/config/collector_mgr.xml in einem beliebigen Texteditor.

  2. Ändern Sie die folgenden Zeilen:

    <property name="workbench.home">..</property>
    <property name="properties.file">../config/collector_mgr.properties</property>
    <property name="esecurity.home">..</property>
    

    in

    <property name="workbench.home">${user.dir}/..</property>
    <property name="properties.file">../config/collector_mgr.properties</property>
    <property name="esecurity.home">${user.dir}/..</property>
    
  3. Starten Sie die Remote-Collector-Manager-Services neu.

617318

Problem: Nach der Aufrüstung einer älteren Version von Sentinel Log Manager auf Sentinel Log Manager 1.1 sollte die Dropdown-Liste unter Als Bericht speichern > Grafik nur Berichtsschablonen enthalten. Einige Collector-spezifische Berichte können jedoch in der Grafik-Liste angezeigt werden, da sie bei der Aufrüstung möglicherweise nicht gelöscht wurden, wenn sie vor der Aufrüstung in Gebrauch waren.

Behelfslösung: Dies geschieht, weil die Collector-spezifischen Berichte bei der Aufrüstung nicht automatisch aktualisiert wurden. Laden Sie das aktualisierte Collector-Paket von der Sentinel 6.1-Website herunter und laden Sie das Paket mit der Option zum Hochladen von Berichten in Sentinel Log Manager herauf.

617663

Problem: Auf der Seite Sammlungen > Ereignisquellenserver wird nur ein Feld aktualisiert und die anderen Felder zeigen die alten Werte an, wenn Sie mehr als ein Ereignisquellenfeld ändern und dann auf Speichern klicken.

Behelfslösung: Ändern Sie die Werte der Felder einzeln. Klicken Sie nach jedem Ändern eines Felds auf Speichern.

617477

Problem: Durch Drücken von Alt+linke Maustaste auf ein Ereignisfeld in den Suchergebnissen kann keine NICHT-Klausel zu einer leeren Abfrage hinzugefügt werden, da keine Abfragen zugelassen sind, die ausschließlich NICHT-Kriterien enthalten.

Behelfslösung: Das Anklicken mit der linken Maustaste bei gedrückter Alt-Taste funktioniert, wenn Sie die Suche mit einer sev:[0 TO 5]-Abfrage statt einer leeren Abfrage beginnen. Die abgerufenen Ereignisse sind für beide Abfragen gleich.

618294

Problem: Die Basisberichte "Ereigniszusammenfassung", "Wichtigste 10" und "Dashboard der häufigsten 10 Ereignisse" zeigen Ereignisse mit dem Wert "-0-" statt leeren Werten an, wenn das Primärfeld leer ist.

Behelfslösung: Wählen Sie für die Ereigniszusammenfassung und den Bericht "Wichtigste 10" nicht die Primärfelder aus, in denen keine Daten enthalten sind. Ignorieren Sie für die Berichte "Dashboard der häufigsten 10 Ereignisse" die Diagramme für die Felder, bei denen der Wert der X-Achse -0- ist.

617103

Problem: In der Datei server_wrapper.log werden Ausnahmen protokolliert, wenn mit konfigurierter NFS-Archivierung umfangreiche Berichte ausgeführt werden.

Behelfslösung: Führen Sie umfangreiche Berichte dann aus, wenn die EPS am niedrigsten ist (z. B. nachts oder am Wochenende). Mehr Datenträger im lokalen Speicher-RAID-Array können ebenfalls Abhilfe schaffen.

614686

Problem: Bei der Suchabfrage tritt eine Zeitüberschreitung auf und es werden Ausnahmen protokolliert, wenn umfangreiche Berichte auf Systemen mit etwa 200 Millionen Ereignissen ausgeführt werden.

Behelfslösung: Führen Sie gleichzeitig mit umfangreichen Suchabfragen keine umfangreichen Berichte aus.

613960

Problem: Der InstallShield-Assistent für den Remote-Collector-Manager zeigt "Sentinel 6.1" statt "Sentinel Log Manager" an.

Behelfslösung: Keine. Dies ist ein Problem der Benutzeroberfläche.

608905

Problem: Die Sentinel Log Manager-Benutzeroberfläche zeigt nach dem Hinzufügen eines Lizenzschlüssels keine Aufforderung zum Neustart der Sentinel-Services an und führt bestimmte Operationen nicht richtig aus.

Behelfslösung: Starten Sie den Sentinel Log Manager-Server nach dem Hinzufügen des Lizenzschlüssels neu.

606567

Problem: In der Appliance wird die Plattformversion alle zwei Minuten über Kernelmeldungen an syslog unter /var/log/messages protokolliert

Behelfslösung: Diese Meldungen werden absichtlich gesendet, damit das Betriebssystem Sentinel Log Manager Auskunft über die Betriebssystemversion geben kann. Wenn die Meldungen aus einem beliebigen Grund Probleme verursachen, deaktivieren Sie das wtmpmon-Skript, um die Generierung der Meldungen zu verhindern.

593435

Problem: Der Sentinel Log Manager-Server funktioniert nicht richtig, wenn die Installation von Sentinel Log Manager 1.1 in ein Basisverzeichnis verlegt wird, dessen Pfad Leerzeichen enthält. Zum Beispiel: /home/user/Sentinel Log Manager.

Behelfslösung: Stellen Sie sicher, dass der Verzeichnispfad keine Leerzeichen enthält.

560966

Problem: Wenn Sie bei der Konfiguration des Datei-Connectors auf Durchsuchen klicken, um eine Ereignisquelle hinzuzufügen, wird der Dateibrowser nicht angezeigt und Ausnahmen werden in der Control Center-Protokolldatei aufgezeichnet.

Behelfslösung: Geben Sie den gewünschten Dateipfad in das Feld ein oder verwenden Sie die Befehle "Kopieren"/"Einfügen", statt die Schaltfläche Durchsuchen zu verwenden.

577073

Bei etwa 3.000 Ereignisquellen sinkt die EPS-Rate auf 0, wenn die Rohdatenpartitionierung vom Status "offen" zum Status "Protokoll" übergeht.

Behelfslösung: Installieren Sie weitere Sentinel Log Manager-Instanzen, damit die Gesamtzahl der Ereignisquellen pro Instanz niedriger ist als die in den Systemanforderungen empfohlene Gerätegrenze. Weitere Informationen finden Sie unter Systemanforderungen in der Sentinel Log Manager 1.1-Installationsanleitung.

617350

Problem: WebYaST gibt den Fehler DBus.Error.LimitsExceeded zurück, wenn Patchaktualisierungen installiert werden.

Behelfslösung: Starten Sie den Service "yastws" neu:

/etc/init.d/yastws restart 

Alternativ können Sie in der Systemsteuerung auf Reboot klicken, um den Computer neu zu starten.

607684

Problem: Wenn Sie den Computer von einem ISO-Appliance-Image booten, d. h. das ISO als Live-CD/-DVD ausführen und Patchaktualisierungen über WebYast > Aktualisierungen ausführen, gibt das System keine Rückmeldung mehr.

Behelfslösung: Installieren Sie die Live-DVD auf der Hardware und führen Sie dann die Patchaktualisierungen aus.

609187

Problem: Auf Systemen mit mehr als einer Million Ereignisse bleibt die Berichtgenerierung in Bearbeitung und wird nicht abgebrochen, wenn Sie nach dem Auslösen der Berichtgenerierung auf Abbrechen klicken, um die Berichtgenerierung abzubrechen.

Behelfslösung: Keine.

593788

Problem: Nach der Installation dauert der erste Anmeldevorgang von Sentinel Log Manager in der Webbenutzeroberfläche etwa 5 Minuten.

Behelfslösung: Keine.

510824

Problem: Nachdem Sie für die individuellen Suchergebnisse auf den Link Details++ geklickt haben, funktionieren die Links Details++ und Details-- für die ersten 25 Ereignisse nicht richtig.

Behelfslösung: Keine.

548515

Problem: Die Beispielberichte in Sentinel Log Manager zeigen Benutzerdaten an, die in Sentinel Log Manager nicht verfügbar sind, wie vollständiger Name, Abteilung und WorkForce-ID.

Behelfslösung: Keine.

509549

Problem: Auf einer Suchergebnisseite mit mehr als 75.000 Ereignissen hält die Bildlaufleiste nicht am angeblätterten Punkt an und ändert ständig den Standort, wenn Sie zum Anzeigen der Ereignisse nach unten blättern.

Behelfslösung: Keine.

615572

Problem: Sentinel Log Manager lässt zu, dass Sie beim Bearbeiten der Zielserverdetails die IP-Adresse des Zielservers ändern, und zeigt keine Meldung an, dass die eingegebene IP-Adresse abweicht.

Behelfslösung: Keine.

545436

Problem: Wenn Sie einen Collector stoppen, wird das interne Ereignis "stopcollector" in den Ereignisprotokollen zweimal generiert. Das zweite generierte stopcollector-Ereignis zeigt nicht die richtigen Werte für die Ereignisfelder "initUserName", "initIP" und "targetUserNamedetails" an.

Behelfslösung: Keine.

7.0 Dokumentation

Die aktualisierte Dokumentation und Versionshinweise stehen auf der Dokumentations-Site von Sentinel Log Manager zur Verfügung.