El siguiente procedimiento describe los pasos para probar el sistema Sentinel Rapid Deployment y los resultados esperados. Es posible que no pueda ver los mismos eventos, pero los resultados que obtenga serán parecidos a los resultados siguientes.
En el nivel básico, dichas pruebas le permiten confirmar lo siguiente:
Los servicios de Sentinel están actualizados y en ejecución.
La comunicación mediante el bus de mensajes es funcional.
Se están enviando los eventos de auditoría interna.
Los eventos se pueden enviar desde el gestor de recopiladores.
Los eventos se insertan en la base de datos y se pueden recuperar utilizando un informe.
Se pueden ver y crear las incidencias.
Las reglas se evalúan y el Motor de correlación activa los eventos activados.
El gestor de datos de Sentinel está conectado a la base de datos y puede leer información sobre particiones.
En caso de que alguna de estas pruebas falle, revise el registro de instalación y otros archivos de registro, y póngase en contacto con la Asistencia técnica de Novell si es necesario.
Para probar la instalación:
Entre en la interfaz Web de Sentinel Rapid Deployment.
Para obtener más información, consulte Accessing the Novell Sentinel Web Interface
(Acceso a la interfaz Web de Novell Sentinel) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
Seleccione la página de búsqueda y busque cualquier evento interno. Deben devolverse uno o más eventos.
Por ejemplo, para buscar eventos internos con una gravedad de 3 a 5, seleccione
e introduzca en el campoPara obtener más información sobre la búsqueda, consulte Running an Event Search
(Ejecución de búsquedas de eventos) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
La función de búsqueda no está habilitada por defecto en la versión SP2. Sin embargo, si desea habilitar la función, consulte Enabling the Search Option in Web User Interface
(Habilitación de la opción de búsqueda en la interfaz Web del usuario) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
Seleccione la página Informes, especifique los parámetros y ejecute un informe.
Por ejemplo, haga clic en el botón
situado junto a la configuración de eventos principales de Sentinel, especifique los parámetros que desee y haga clic enPara obtener más información, consulte Running Reports
(Ejecución de informes) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
En la página Aplicaciones, haga clic en
Entre en el sistema utilizando el usuario administrativo de Sentinel especificado durante la instalación (admin por defecto).
Se abre el Centro de control de Sentinel y podrá ver la pestaña
con los eventos filtrados por los filtros públicos y .Abra el menú
y seleccione laEn la vista gráfica, haga clic con el botón derecho en el
y seleccioneCierre la ventana de la vista activa de la gestión del origen de eventos.
Haga clic en la pestaña
.Se abrirá la vista de la ventana Activo titulada PÚBLICO: Gravedad_alta, Gravedad. Es posible que el recopilador tarde en iniciarse y que los datos tarden en mostrarse en esta ventana.
Haga clic en el botón
de la barra de herramientas. Se muestra la ventana Consulta de evento histórico.En la ventana Consulta de evento histórico, haga clic en la flecha hacia abajo
para seleccionar el filtro correspondiente. Seleccione el filtroSeleccione un período de tiempo que cubra el tiempo de actividad del recopilador. Utilice las listas desplegables
y para seleccionar el intervalo de fechas.Seleccione el tamaño del lote.
Haga clic en el icono de la lupa para ejecutar la consulta.
Mantenga pulsadas las teclas Ctrl o Mayús y seleccione varios eventos en la ventana de Consulta de evento histórico.
Haga clic con el botón derecho en la ventana y seleccione
para acceder a la ventana Nueva incidencia.Asigne a la incidencia el nombre IncidenciaPrueba1 y haga clic en
Cuando se muestre una notificación de proceso correcto, haga clic enHaga clic en la pestaña
para ver la incidencia que acaba de crear en el gestor de vistas de incidencias.Haga doble clic en la incidencia para mostrar los eventos.
Cierre la ventana Incidencias.
Haga clic en la pestaña
Haga clic en
en el menú o en el navegador.En la ventana Consulta desconectada, haga clic en
Especifique un nombre, seleccione un filtro y un periodo de tiempo y haga clic en
Haga clic en
para ver la lista de eventos y detalles asociados en la ventana Navegador activo.Puede ver detalles como el recopilador, la IP de destino, la gravedad, el puerto de servicio de destino y los recursos.
Seleccione la pestaña
Se muestra el gestor de reglas de correlación.Haga clic en
. Se muestra el Asistente para reglas de correlación.Haga clic en
Se muestra la ventana Regla simple.Utilice los menús desplegables para ajustar los criterios en Gravedad=4 y haga clic en
Se muestra la ventana Actualizar criterios.Seleccione
use el menú desplegable para definir un periodo de 1 minuto y haga clic en Se muestra la ventana Descripción general.Asigne a la regla el nombre
, introduzca la descripción y haga clic enSeleccione
y haga clic enCree una acción para asociarla con la regla que ha creado:
Realice una de las siguientes acciones:
Se muestra la ventana Configurar acción.
En la ventana Configurar acción, indique lo siguiente:
Especifique el nombre de la acción, por ejemplo, la acción Evento correlacionado.
Seleccione
en la lista desplegableDefina las
Defina la
en 5.Especifique el
por ejemplo, Evento correlacionado.Si fuera necesario, especifique un mensaje.
Para obtener más información sobre cómo crear una acción, consulte Creating Actions
(Creación de acciones) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
Haga clic en
.Abra la ventana Gestor de reglas de correlación.
Seleccione una regla y haga clic en el enlace
Se muestra la ventana Distribuir regla.En la ventana Distribuir regla, seleccione el motor para distribuir la regla.
Seleccione la acción que ha creado en el Paso 33 para asociarla con la regla y haga clic en
Seleccione
En el motor de correlación puede ver si la regla está distribuida y habilitada.
Active un evento de gravedad 4, como un fallo de autenticación, para desencadenar la regla de correlación distribuida.
Por ejemplo, abra una ventana de entrada al Centro de control de Sentinel y especifique unos datos de usuario incorrectos para generar un evento de este tipo.
Haga clic en la pestaña
y compruebe si se ha generado el evento correlacionado.Cierre el Centro de control de Sentinel.
En la página Aplicaciones, haga clic en
Entre en el gestor de datos de Sentinel con el usuario administrativo de Sentinel especificado durante la instalación (admin por defecto).
Haga clic en cada una de las pestañas para comprobar que puede acceder a él.
Cierre el gestor de datos de Sentinel.
Si pudo llevar a cabo todos los pasos anteriores sin ningún problema, significa que ha terminado la verificación básica de la instalación del sistema de Sentinel.