Esta sección le ayudará a comprender la configuración posterior a la instalación para los servicios de Sentinel Rapid Deployment.
El formato de fecha y hora por defecto del Centro de control de Sentinel se puede anular. Para obtener más información sobre cómo personalizar el formato de fecha y hora y cambiarlo a la zona horaria local, consulte el sitio Web de Java.
Edite el archivo SentinelPreferences.properties.
<install_directory>/config/SentinelPreferences.properties
Elimine el comentario de la siguiente línea y personalice el formato de fecha y hora para los campos de fecha y hora de eventos del Centro de control de Sentinel:
com.eSecurity.Sentinel.event.datetimeformat=yyyy-MM-dd'T'HH:mm:ss.SSSZ
En Sentinel Rapid Deployment, la acción SendEmail de JavaScript funciona con el integrador de SMTP para enviar mensajes de correo desde varios contextos en la interfaz de Sentinel a los destinatarios de correo. El integrador de SMTP debe estar configurado con información de conexión válida para que funcione. Para obtener más información, consulte Sending an E-mail
(Envío de correo electrónico) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
En cada instalación de Sentinel, se crea automáticamente una única instancia del módulo auxiliar (plug-in) de la acción SendEmail. No es necesaria configuración alguna para la acción SendEmail, excepto indicar los destinatarios del mensaje de correo y el contenido del mensaje, que se configuran en los parámetros de la acción.
Sentinel activa la acción SendEmail de forma interna para enviar correo en las siguientes situaciones:
Si se genera una regla de correlación, se activa una acción SendEmail. Esta acción SendEmail es la que se indica en el icono de la herramienta, que es la única válida para la correlación (al contrario de la acción SendEmail de JavaScript, que se indica mediante el icono JS JavaScript).
Si un flujo de trabajo incluye una actividad o un paso de correo configurado para enviar correo electrónico.
Si un usuario abre una incidencia y selecciona ejecutar una actividad configurada para enviar correos electrónicos.
Si un usuario hace clic con el botón derecho en un evento y selecciona
Si un usuario abre una incidencia y selecciona
Los gestores de recopiladores administran todos los procesos de recopilación y análisis de datos. De vez en cuando, puede ser necesario agregar un nodo del gestor de recopiladores de Sentinel adicional al entorno de Sentinel para equilibrar la carga entre equipos. Los gestores de recopiladores remotos presentan varias ventajas:
Permiten el análisis de eventos y el procesamiento distribuidos para mejorar el rendimiento del sistema.
Permiten filtrar, cifrar y comprimir datos en el sistema de origen si concurren con los orígenes de eventos. Se reducen así los requisitos de ancho de banda de la red y se ofrece seguridad adicional a los datos.
Permiten instalar en sistemas operativos adicionales. Por ejemplo, se puede instalar un nodo del gestor de recopiladores en Microsoft Windows para permitir la recopilación de datos mediante el protocolo WMI.
Permiten el almacenamiento en caché de archivos, lo que habilita al gestor de recopiladores remoto para almacenar en caché grandes cantidades de datos si el servidor está ocupado temporalmente archivando o procesando un pico de eventos. Esto supone una ventaja para los protocolos como, por ejemplo, syslog, que no admiten de forma nativa el almacenamiento en caché de eventos.
Los componentes del gestor de recopiladores pueden equilibrar la carga mediante la instalación de instancias de estos componentes en equipos adicionales. Es posible instalar gestores de recopiladores adicionales ejecutando el instalador en un equipo nuevo. Para obtener más información acerca de la instalación del gestor de recopiladores, consulte la Sección 3.3.4, Instalación del gestor de recopiladores de Sentinel en SLES o Windows.
Durante la instalación del servidor de Sentinel Rapid Deployment, se configurará un recopilador denominado recopilador genérico. Por defecto, crea eventos a una velocidad de 5 eventos por segundo (eps).
Si desea recopiladores adicionales para el sistema, puede descargarlos del sitio Web de Novell.
Debe conectar el servidor de Sentinel a un servidor NTP (Protocolo de hora de la red) o a otro tipo de servidor de hora. Si el tiempo del sistema en todas las máquinas no está sincronizado, el Motor de correlación de Sentinel y las vistas Active Views no funcionarán correctamente. Los eventos de los gestores de recopiladores no se consideran de tiempo real y, por tanto, se envían directamente a la base de datos de Sentinel, omitiendo los centros de control de Sentinel y los motores de correlación.
Por defecto, el umbral para los datos en tiempo real es de 120 segundos. Esto se puede modificar cambiando el valor de esecurity.router.event.realtime.expiration en el archivo event-router.properties. El tiempo de los eventos de Sentinel se rellena basándose en la hora del dispositivo de confianza o en la hora del gestor de recopiladores. Puede seleccionar la hora del dispositivo de confianza mientras configura un recopilador. La hora del dispositivo de confianza es la hora a la que el dispositivo generó el registro y la hora del gestor de recopiladores es la hora del sistema local del sistema del gestor de recopiladores.