Notas de la versión de Novell Sentinel Log Manager 1.1

8 de julio de 2010

Novell Sentinel Log Manager recopila datos de una amplia gama de dispositivos y aplicaciones, como orígenes de eventos de sistemas de detección de intrusos, cortafuegos, sistemas operativos, routers, servidores Web, bases de datos, conmutadores, mainframes y antivirus. Novell Sentinel Log Manager ofrece procesamiento de eventos de gran velocidad, retención de datos a largo plazo, adición de datos regionales y sencillas funciones de búsqueda y creación de informes para una amplia gama de aplicaciones y dispositivos.

1.0 Novedades de Sentinel Log Manager 1.1

1.1 Funciones

Ahora, los administradores pueden crear funciones y asignarlas a todos los usuarios que deseen. Es posible asignar a cada función un conjunto de permisos diferentes; los usuarios heredarán los permisos de la función a la que pertenezcan.

Sentinel Log Manager incluye varias funciones por defecto con los permisos necesarios. No obstante, los permisos se pueden modificar y se pueden crear más funciones según los requisitos específicos.

Para obtener más información sobre los permisos de grupo, consulte el apartado Configuring Users and Roles (Configuración de usuarios y funciones) de la Novell Sentinel Log Manager 1.1 Administration Guide (Guía de administración de Novell Sentinel Log Manager 1.1).

1.2 Búsqueda distribuida

La función Búsqueda distribuida le permite buscar eventos en el servidor local de Sentinel Log Manager y en otros servidores de Sentinel Log Manager repartidos por todo el mundo. Una vez que haya configurado la búsqueda distribuida para enlazar varios servidores con el servidor local (iniciador de la búsqueda), podrá realizar búsquedas en el servidor local y, si lo desea, ordenar al motor de búsqueda que analice también los servidores enlazados. La búsqueda recopila los eventos correspondientes de todos los servidores seleccionados y los muestra en los resultados. En los resultados de la búsqueda, los diferentes eventos muestran la información del servidor donde se encontraron.

La exportación de los resultados de la búsqueda, el envío de los resultados a una acción y la recuperación de eventos de datos en bruto se han mejorado para incluir esta nueva función. Este motor de búsqueda subyacente también se ha añadido al motor de informes, de forma que los informes puedan incluir datos de varios servidores de Sentinel Log Manager.

Para obtener más información sobre la búsqueda distribuida, consulte el apartado Searching and Reporting Events in a Distributed Environment (Búsqueda y generación de informes de eventos en un entorno distribuido) de la Novell Sentinel Log Manager 1.1 Administration Guide (Guía de administración de Novell Sentinel Log Manager 1.1).

1.3 Etiquetas

La función Etiquetas le permite crear y asignar uno o varios atributos de etiqueta para búsquedas a nodos ESM (sistema de gestión de eventos), como orígenes de eventos, servidores de orígenes de eventos, gestores de recopiladores, plug-ins del recopilador e informes. Todos los eventos procedentes de estos nodos ESM también se etiquetan. Con el etiquetado se pueden crear agrupaciones lógicas de estos nodos ESM, los eventos y los informes.

Los eventos se pueden buscar por etiqueta, y los informes y orígenes de eventos se pueden filtrar en función de las etiquetas que tienen asignadas.

Sentinel Log Manager incluye varias etiquetas por defecto, pero se pueden crear etiquetas nuevas en función de los requisitos.

Para obtener más información sobre las etiquetas, consulte Configuring Tags (Configuración de etiquetas) de la Novell Sentinel Log Manager 1.1 Administration Guide (Guía de administración de Novell Sentinel Log Manager 1.1).

1.4 Dispositivo

El dispositivo Sentinel Log Manager es un dispositivo de software listo para ejecutarse que combina un sistema operativo Novell SUSE Linux Enterprise Server (SLES) 11 y el software Novell Sentinel Log Manager con un servicio de actualización. Este dispositivo ofrece una interfaz de usuario mejorada basada en navegador y que admite la recopilación, almacenamiento, creación de informes y búsqueda de datos de registro de una gran variedad de dispositivos, aplicaciones y protocolos.

El dispositivo Sentinel Log Manager 1.1 está disponible en los formatos siguientes:

  • Una imagen de dispositivo VMWare

  • Una imagen de dispositivo Xen

  • Una imagen de dispositivo hardware Live DVD que se distribuye directamente en un servidor de hardware

NOTA:Los usuarios de Sentinel Log Manager 1.0 pueden migrar su instalación a un dispositivo Sentinel Log Manager 1.1; para hacerlo, deben seguir las instrucciones del apartado 6.4, Migración de un dispositivo 1.0 a uno 1.1 de la Guía de instalación de Novell Sentinel Log Manager 1.1.

Para obtener más información sobre la instalación de Sentinel Log Manager Appliance, consulte el apartado Instalación del dispositivo de la Guía de instalación de Novell Sentinel Log Manager 1.1.

1.5 Mejoras de la autenticación LDAP

  • En la pestaña Usuarios, se proporciona una interfaz de usuario nueva donde se puede configurar un servidor de Sentinel Log Manager para la autenticación LDAP.

  • La autenticación LDAP se puede realizar con o sin búsquedas anónimas en el directorio LDAP.

Para obtener más información sobre la autenticación LDAP, consulte el apartado LDAP Authentication (Autenticación LDAP) de la Novell Sentinel Log Manager 1.1 Administration Guide (Guía de administración de Novell Sentinel Log Manager 1.1).

1.6 Mejoras en los informes

Los informes se han mejorado para permitir la visualización detallada de los eventos que conforman el informe. Esta opción de exploración en profundidad le permite iniciar una búsqueda con la misma consulta y marco temporal utilizados para generar el informe, de modo que los usuarios puedan ver los detalles de los eventos utilizados para su generación.

Es posible exportar a la vez varias definiciones y resultados de informes, e importar varias definiciones de informes a la vez, desde un archivo .zip de definición de informe o un archivo del paquete del recopilador.

Para obtener más información sobre estas mejoras, consulte el apartado Reporting (Generación de informes) de la Novell Sentinel Log Manager 1.1 Administration Guide (Guía de administración de Novell Sentinel Log Manager 1.1).

Se añaden plantillas de informe nuevas y se actualizan las existentes. También se eliminan las plantillas de informe que no estén en uso. Para obtener más información sobre las plantillas de informe disponibles, consulte el apartado Sentinel Log Manager Reports (Informes de Sentinel Log Manager) de la Novell Sentinel Log Manager 1.1 Administration guide (Guía de administración de Novell Sentinel Log Manager 1.1).

1.7 Restauración de datos

La nueva función de restauración de datos sirve para datos de eventos antiguos, perdidos o eliminados. Además, permite realizar búsquedas en los datos de eventos restaurados.

Se ha añadido una sección Restauración de datos nueva en la interfaz de usuario de Almacenamiento > Configuración. Puede seleccionar particiones de eventos específicas para restaurar los datos de eventos y configurar la nueva caducidad de las particiones de eventos restauradas.

Para obtener más información sobre la restauración de datos, consulte el apartado Restoring Event Data (Restauración de datos de eventos) de Configuring Data Storage (Configuración del almacenamiento de datos) de la Novell Sentinel Log Manager 1.1 Administration guide (Guía de administración de Novell Sentinel Log Manager 1.1).

2.0 Novedades de Sentinel Log Manager 1.0.0.5

2.1 Versión de 500 EPS de Sentinel Log Manager

Ahora, Novell Sentinel Log Manager está disponible en una versión de 500 EPS (eventos por segundo). La versión de 500 EPS es adecuadada para las implantaciones pequeñas que tienen un solo servidor de Sentinel Log Manager y un índice de eventos bajo. También se puede utilizar como nodo de bajo volumen para informar a otro servidor de Sentinel o Sentinel Log Manager instalado en una implantación grande.

2.2 Nuevo acuerdo de licencia de usuario final

En esta versión, se han actualizado los términos del acuerdo de licencia de usuario final (EULA). Acepte los nuevos términos antes de aplicar el parque más reciente. Cambios realizados en el EULA:

  • Ahora, Novell Sentinel Log Manager está disponible en una versión de 500 EPS.

  • Definición actualizada de Instancia no productiva.

  • Definición actualizada de Dispositivo de tipo I.

3.0 Requisitos del sistema

No se han introducido cambios importantes en los requisitos del sistema desde la versión Sentinel Log Manager 1.0.

Para obtener información detallada sobre los requisitos de hardware y los sistemas operativos, navegadores y orígenes de eventos compatibles, consulte la Guía de instalación de Novell Sentinel Log Manager 1.1.

4.0 Instalación de Novell Sentinel Log Manager 1.1

Para obtener información sobre la instalación de Novell Sentinel Log Manager 1.1, consulte la Guía de instalación de Novell Sentinel Log Manager 1.1.

5.0 Defectos reparados en Sentinel Log Manager 1.1

Número de defecto

Descripción

617478

Ahora se puede crear el informe de los diez sistemas de detección de intrusos más destacados, ya que ahora el campo DeviceAttackName se incluye en los campos de eventos.

609811

Ahora los campos TargetUserName e InitiatorIP introducen los valores con normalidad cuando se modifica la contraseña de un usuario.

609814

Ahora el campo InitiatorIP introduce los valores con normalidad cuando un usuario entra en Sentinel Log Manager.

607143

Se han creado informes nuevos que se pueden utilizar para realizar auditorías en eventos internos.

606861

Ahora puede realizar búsquedas con comodín en los eventos que contienen caracteres en mayúscula.

592503

Ahora, las consultas de búsqueda adicionales que añada en el panel Mejorar búsqueda muestran resultados pertinentes.

587831

Ahora, en el panel Mejorar búsqueda se muestra el número de eventos del campo CustomerVar22, si se ha añadido como un campo adicional.

567082

Ahora, los usuarios que utilizan caracteres no estándar en su contraseña pueden entrar a la interfaz de usuario basada en la Web y la interfaz de ESM con normalidad.

565777

Ahora, el informe Gestión de confianza incluye eventos DEASSOC_TRUST, que se generan al eliminar una cuenta de usuario.

526062

El enlace Configuración de la interfaz de usuario basada en la Web se ha sustituido por un icono de engranaje, que indica que los enlaces a los que acompaña son enlaces de configuración.

524575

Todas las ventanas emergentes de JavaScript, como Sugerencias de búsqueda, Ejecutar y Suprimir se muestran ahora con normalidad en Internet Explorer 8, en francés, español e italiano.

503808

Ahora ESM se inicia con normalidad la primera vez que se instala Sentinel Log Manager en un servidor donde no se había instalado nunca.

545436

Los campos de eventos de auditoría internos, como initUserName, initIP y targetUserNamedetails, se rellenan ahora con los valores adecuados y se muestran en los resultados de la búsqueda.

6.0 Problemas conocidos

Número de defecto

Descripción

620681

Problema: En ESM, los nodos del recopilador se ajustan incorrectamente en el estado "detenido" durante el reinicio del servidor. Este problema es esporádico.

Solución: Tras el reinicio del servidor, entre en ESM para asegurarse de que los recopiladores que deberían estar en ejecución están ajustados en el estado de inicio.

620100

Problema: Los recopiladores legados no funcionan en gestores de recopiladores remotos.

Solución: Modifique el archivo ESEC_HOME/config/collector_mgr.xml en el equipo del gestor de recopiladores remoto.

  1. Abra el archivo ESEC_HOME/config/collector_mgr.xml en cualquier editor.

  2. Cambie las líneas siguientes:

    <property name="workbench.home">..</property>
    <property name="properties.file">../config/collector_mgr.properties</property>
    <property name="esecurity.home">..</property>
    

    a

    <property name="workbench.home">${user.dir}/..</property>
    <property name="properties.file">../config/collector_mgr.properties</property>
    <property name="esecurity.home">${user.dir}/..</property>
    
  3. Reinicie los servicios del gestor de recopiladores remoto.

617318

Problema: Después de actualizar una versión anterior de Sentinel Log Manager a Sentinel Log Manager 1.1, la lista desplegable Guardar como informe > Visualización debería incluir únicamente las plantillas de informe. No obstante, es posible que sigan apareciendo una serie de informes específicos del recopilador en la lista Visualización, ya que puede que no se hayan eliminado durante la actualización si antes se estaban utilizando.

Solución: Esto se debe a que los informes específicos del recopilador que aparecen en la lista no se actualizaron automáticamente durante la actualización. Descargue el paquete de recopiladores actualizado del sitio Web de contenido de Sentinel 6.1 y cargue el paquete mediante la opción de carga de informes de Sentinel Log Manager.

617663

Problema: En la página Colecciones > Servidores de orígenes de eventos, al modificar varios campos de un origen de eventos y hacer clic en Guardar para actualizar la página, solo se actualiza un campo, los demás campos muestran los valores anteriores.

Solución: Modifique los valores de los campos de uno en uno. Haga clic en Guardar después de modificar cada uno de los campos.

617477

Problema: Al hacer clic en alt+botón izquierdo en un campo de evento de los resultados de la búsqueda para añadir una cláusula NOT a una consulta vacía, el resultado no es el esperado, ya que no se permiten consultas con el criterio NOT exclusivamente.

Solución: La combinación alt+botón izquierdo funciona correctamente si se comienza la búsqueda con una consulta sev:[0 TO 5] en lugar de una consulta vacía. Los eventos recuperados son iguales para ambas consultas.

618294

Problema: Los informes básicos de resumen de eventos, los diez más destacados y la consola de los diez más destacados muestran eventos que tienen el valor 0, en vez de campos de valores vacíos cuando el campo Primario es nulo.

Solución: En el caso de los informes de resumen de eventos y los diez más destacados, no seleccione los campos Primario que no contengan datos (sean nulos). En el caso de los informes de la consola de los diez más destacados, ignore los gráficos de los campos que tienen el valor 0 en el eje X.

617103

Problema: Las excepciones se registran en el archivo server_wrapper.log, cuando se ejecutan informes largos con la opción de archivo NFS configurada.

Solución: Ejecute los informes largos cuando el valor EPS se encuentre en su nivel mínimo (por ejemplo, por la noche o durante el fin de semana). También podría resultarle útil añadir más discos a la matriz RAID de almacenamiento local.

614686

Problema: Se registran excepciones y tiempos límite de la consulta de búsqueda durante la ejecución de informes largos en sistemas que tienen aproximadamente 200 millones de eventos.

Solución: Intente no ejecutar informes largos cuando realice búsquedas largas.

613960

Problema: El asistente de instalación (Installshield) del gestor de recopiladores remoto muestra Sentinel 6.1 en lugar de Sentinel Log Manager.

Solución: Ninguna. Se trata de un problema de la interfaz de usuario.

608905

Problema: La interfaz de usuario de Sentinel Log Manager no requiere el reinicio de los servicios de Sentinel tras añadir una clave de licencia y no realiza correctamente algunas operaciones.

Solución: Reinicie el servidor Sentinel Log Manager después de añadir la clave de licencia.

606567

Problema: En el dispositivo, la versión de la plataforma se registra cada dos minutos mediante un mensaje de kernel a syslog en /var/log/messages.

Solución: Estos mensajes se envían para que el sistema operativo pueda informar a Sentinel Log Manager de su versión. Si, por algún motivo, estos mensajes provocan problemas, inhabilite el guión wtmpmon para impedir que se generen.

593435

Problema: El servidor Sentinel Log Manager no tiene el funcionamiento esperado cuando la instalación de Sentinel Log Manager 1.1 se traslada a un directorio base cuya vía contiene espacios. Por ejemplo, /inicio/usuario/Sentinel Log Manager.

Solución: Asegúrese de que la vía del directorio no incluye espacios.

560966

Problema: Durante la configuración del conector de archivos, al hacer clic en Examinar para añadir un origen de eventos, no se muestra el explorador de archivos y se registran excepciones en el archivo de registro del centro de control.

Solución: Especifique o copie/pegue la vía del archivo deseado en el campo, en vez de utilizar el botón Examinar.

577073

Con aproximadamente 3000 orígenes de eventos, cuando la partición de datos en bruto pasa del estado abrir a registrar, la velocidad de EPS baja a 0.

Solución: Instale más instancias de Sentinel Log Manager para que el número total de orígenes de eventos por instancia sea inferior a los límites de dispositivos recomendados que se especifican en los requisitos del sistema. Para más información, consulte el apartado Requisitos del sistema de la Guía de instalación de Novell Sentinel Log Manager 1.1.

617350

Problema: WebYaST genera un error DBus.Error.LimitsExceeded cuando se instalan actualizaciones de parches.

Solución: Reinicie el servicio yastws:

/etc/init.d/yastws restart 

También puede hacer clic en Reiniciar en el Panel de control para reiniciar el equipo.

607684

Problema: Al arrancar el equipo desde una imagen ISO del dispositivo, es decir, ejecutar la ISO como un Live CD/DVD, si ejecuta actualizaciones de parche desde WebYast > Actualizaciones, el sistema deja de responder.

Solución: Instale el Live DVD en el hardware y, a continuación, ejecute las actualizaciones de parche.

609187

Problema: En los sistemas que tienen más de un millón de eventos, tras iniciar la generación de informes y hacer clic en Cancelar para cancelar la generación, esta sigue en marcha y no se cancela.

Solución: Ninguna.

593788

Problema: Sentinel Log Manager tarda aproximadamente 5 minutos en entrar en la interfaz de usuario basada en la Web la primera vez que lo intenta tras la instalación.

Solución: Ninguna.

510824

Problema: Después de hacer clic en el enlace detalles++ de cada uno de los resultados de la búsqueda, los enlaces todos los detalles++ y todos los detalles-- de los 25 primeros eventos no funcionarán correctamente.

Solución: Ninguna.

548515

Problema: Los informes de muestra de Sentinel Log Manager muestran información del usuario como, por ejemplo, el nombre completo, el departamento y el ID de la plantilla, que no está disponible en Sentinel Log Manager.

Solución: Ninguna.

509549

Problema: En las páginas de resultados de la búsqueda que contienen más de 75.000 eventos, al desplazarse para ver los eventos, la barra de desplazamiento no se detiene en el punto deseado y cambia de ubicación repetidamente.

Solución: Ninguna.

615572

Problema: Sentinel Log Manager le permite cambiar la dirección IP del servidor de destino mientras edita su información y no muestra ningún mensaje para indicar que la dirección IP especificada es diferente.

Solución: Ninguna.

545436

Problema: Cuando se detiene un recopilador, el evento interno stopcollector se genera dos veces en los registros de eventos. El segundo evento stopcollector generado no muestra los valores adecuados para los campos de eventos initUserName, initIP y targetUserNamedetails.

Solución: Ninguna.

7.0 Documentación

La documentación y las notas de la versión actualizadas están disponibles en el sitio Web de documentación de Sentinel Log Manager.