Novell Doc: Guide d'installation de Novell Sentinel Log Manager 1.1

1.1 Présentation du produit

Novell Sentinel Log Manager 1.1 fournit aux organisations une solution flexible et évolutive pour la gestion des journaux. Capable de surmonter les difficultés liées à la gestion et la collecte de base des journaux, Novell Sentinel Log Manager se positionne également comme une solution complète axée sur la réduction des coûts et de la complexité du risque de gestion, tout en simplifiant les exigences de mise en conformité.

Figure 1-1 Architecture de Novell Sentinel Manager

Novell Sentinel Log Manager intègre les fonctions suivantes :

des fonctionnalités de recherche distribuée qui permettent aux clients de rechercher des événements collectés, non seulement sur le serveur Sentinel Log Manager local, mais également sur un ou plusieurs serveurs Sentinel Log Manager à partir d'une console centralisée ;
des rapports de conformité précréés pour simplifier la tâche de génération des rapports de conformité pour une analyse d'audit ou d'investigation ;
la mise à la disposition des clients d'une technologie de stockage non propriétaire leur permettant d'utiliser leur infrastructure existante pour une meilleure gestion des coûts.
une interface utilisateur améliorée basée sur un navigateur prenant en charge la collecte, le stockage, la création de rapports ainsi que la recherche de données dans les journaux afin de simplifier considérablement les tâches de surveillance et de gestion.
des contrôles granulaires et efficaces ainsi de options de personnalisation pour les administrateurs IT par le biais de nouvelles fonctions d'autorisations pour les groupes et les utilisateurs afin d'améliorer la transparence des activités au sein de l'infrastructure IT.

Cette section contient les informations suivantes :

1.1.1 Sources d'événements

Novell Sentinel Log Manager collecte des données à partir de sources d'événements qui génèrent des journaux dans syslog, le journal des événements, les fichiers, les bases de données Windows, SNMP, Novell Audit, SDEE (Security Device Event Exchange), OPSEC (Open Platforms for Security) de Check Point et d'autres mécanismes et protocoles de stockage.

Sentinel Log Manager prend en charge toutes les sources d'événements à condition que des connecteurs soient adaptés à l'analyse des données provenant de ces dernières. Novell Sentinel Log Manager fournit des collecteurs pour de nombreuses sources d'événements. Le collecteur générique des événements collecte et traite les données provenant de sources d'événements non reconnues mais pour lesquelles il existe des connecteurs appropriés.

Vous pouvez configurer les sources d'événements pour la collecte de données à l'aide de l'interface Gestion de source d'événements.

Pour obtenir une liste complète des sources d'événements prises en charge, reportez-vous à la Section 2.6, Sources d'événements prises en charge.

1.1.2 Gestion de source d'événements

L'interface Gestion de source d'événements permet d'importer et de configurer les connecteurs et collecteurs Sentinel 6.0 et 6.1.

Vous pouvez effectuer les tâches suivantes à partir de la vue en direct de la fenêtre Gestion de source d'événements :

ajouter ou éditer des connexions aux sources d'événements à l'aide des assistants de configuration ;
afficher l'état en temps réel des connexions aux sources d'événements ;
importer ou exporter la configuration des sources d'événements dans la vue en direct ou à partir de cette dernière ;
afficher et configurer des connecteurs et collecteurs installés avec Sentinel ;
importer ou exporter des connecteurs et collecteurs vers un espace de stockage centralisé ou à partir de ce dernier ;
surveiller les flux de données à l'aide des collecteurs et des connecteurs configurés.
afficher des informations sur les données brutes ;
concevoir, configurer et créer les composants de la hiérarchie de la source d'événements et exécuter les opérations requises à l'aide de ces composants.

Pour plus d'informations, reportez-vous à la section Gestion de source d'événements du Guide de l'utilisateur de Sentinel.

1.1.3 Collecte des données

Novell Sentinel Log Manager collecte les données à partir de sources d'événements configurées à l'aide des connecteurs et collecteurs.

Les collecteurs sont des scripts qui analysent les données à partir d'une multitude de sources d'événements dans la structure d'événements Sentinel normalisée ou dans certains cas, qui collectent d'autres formes de données à partir de sources de données externes. Chaque collecteur doit être déployé avec un connecteur compatible. Les connecteurs facilitent la connectivité entre les collecteurs Sentinel Log Manager et les sources de données ou d'événements.

Novell Sentinel Log Manager prend en charge l'interface utilisateur Web améliorée pour syslog et Novell Audit afin de collecter aisément des journaux à partir de différentes sources d'événements.

Pour collecter les données, Novell Sentinel Log Manager utilise de nombreuses méthodes de connexion :

Le connecteur syslog accepte et configure automatiquement les sources de données syslog qui envoient des données sur les protocoles UDP (User Datagram Protocol), TCP (Transmission Control Protocol) ou le protocole sécurisé TLS (Transport Layer System).
Le connecteur d'audit accepte et configure automatiquement les sources de données Novell activées pour l'audit.
Le connecteur de fichier lit les fichiers journaux.
Le connecteur SNMP reçoit les trappes SNMP.
Le connecteur JDBC lit à partir des tables de base de données.
Le connecteur WMS accède aux journaux des événements Windows sur les bureaux et les serveurs.
Le connecteur SDEE se connecte aux périphériques qui prennent en charge le protocole SDEE, tels que les périphériques Cisco.
Le connecteur LEA (Log Export API) de Check Point facilite l'intégration entre les collecteurs Sentinel et les serveurs pare-feu Check Point.
Le connecteur de lien Sentinel accepte les données d'autres serveurs Novell Sentinel Log Manager.
Le connecteur de processus accepte les données de processus personnalisés qui génèrent des journaux d'événements.

Vous pouvez également acheter une licence supplémentaire afin de télécharger des connecteurs pour des systèmes d'exploitation SAP et gros systèmes.

Pour obtenir une licence, appelez le 001-800-529-3400 ou contactez le support technique de Novell.

Pour plus d'informations sur la configuration des connecteurs, consultez les documents relatifs aux connecteurs sur le site Web de contenu Sentinel.

Pour plus d'informations sur la configuration de la collecte des données, reportez-vous à la section Configuring Data Collection (Configuration de la collecte des données) du Sentinel Log Manager 1.1 Administration Guide (Guide d'administration de Sentinel Log Manager 1.1).

REMARQUE :vous devez toujours télécharger et importer la dernière version des collecteurs et des connecteurs. Les collecteurs et connecteurs mis à jour sont régulièrement publiés sur le site Web de contenu Sentinel 6.1. Les mises à jour des connecteurs et collecteurs incluent des correctifs, la prise en charge d'événements supplémentaires ainsi que des améliorations de performances.

1.1.4 Gestionnaire des collecteurs

Le gestionnaire des collecteurs fournit un point flexible de collecte de données pour Sentinel Log Manager. Novell Sentinel Log Manager installe un gestionnaire des collecteurs par défaut pendant l'installation. Vous pouvez toutefois installer des gestionnaires des collecteurs à distance aux emplacements appropriés de votre réseau. Ces gestionnaires des collecteurs distants exécutent des connecteurs et des collecteurs et transfèrent les données collectées à Novell Sentinel Log Manager à des fins de stockage et de traitement.

Pour obtenir des informations sur l'installation de gestionnaires des collecteurs supplémentaires, reportez-vous à la section Installation de gestionnaires des collecteurs supplémentaires.

1.1.5 Stockage des données

Les données sont transférées des composants de collecte de données vers des composants de stockage de données. Ces composants utilisent un système d'indexation et de stockage des données basé sur les fichiers pour conserver les données des journaux de périphérique collectées ainsi qu'une base de données PostgreSQL pour conserver les données de configuration Novell Sentinel Log Manager.

Les données sont d'abord stockées dans un format compressé sur le système de fichiers du serveur avant d'être stockées à long terme à un emplacement configuré. Leur stockage peut être local ou s'effectuer via un partage NFS ou SMB (CIFS) monté à distance. Les fichiers de données sont supprimés des emplacements de stockage locaux et réseau selon une planification configurée dans la stratégie de conservation des données.

Vous pouvez configurer des stratégies de conservation des données afin que les données situées à l'emplacement de stockage spécifié soient supprimées lorsque leur limite de conservation est atteinte ou lorsque l'espace disponible passe sous la limite de la valeur d'espace disque spécifiée.

Pour plus d'informations sur la configuration du stockage des données, reportez-vous à la section Configuring Data Storage (Configuration du stockage des données) du Sentinel Log Manager 1.1 Administration Guide (Guide d'administration de Sentinel Log Manager 1.1).

1.1.6 Recherche et création de rapports

Les composants de recherche et de création de rapports vous aident à rechercher et à créer des rapports sur les données de journaux d'événements contenues dans les systèmes d'indexation et de stockage des données locaux et réseau. Les données d'événement stockées peuvent être recherchées de façon générique ou par rapport à des champs d'événement spécifiques tels qu'un nom d'utilisateur source. Les résultats de recherche peuvent encore être affinés ou filtrés et enregistrés en tant que modèle de rapport à utiliser ultérieurement.

Sentinel Log Manager est livré avec des rapports préinstallés. Des rapports supplémentaires peuvent toutefois être téléchargés. Vous pouvez exécuter des rapports à un moment planifié ou lorsque cela est nécessaire.

Pour plus d'informations sur la liste des rapports par défaut, reportez-vous à la section Reporting (Création de rapports) du Sentinel Log Manager 1.1 Administration Guide (Guide d'administration de Sentinel Log Manager 1.1).

Pour plus d'informations sur la recherche d'événements et la génération de rapports, reportez-vous aux sections Searching (Recherche) et Reporting (Création de rapports) du Sentinel Log Manager 1.1 Administration Guide (Guide d'administration de Sentinel Log Manager 1.1).

1.1.7 Lien Sentinel

Le lien Sentinel (Sentinel Link) permet de transférer des données d'événements d'un gestionnaire des journaux Sentinel à un autre. Lorsque les gestionnaires des journaux Sentinel sont hiérarchisés, des journaux complets peuvent être conservés à plusieurs emplacements régionaux tandis que les événements plus importants sont réacheminés vers un seul gestionnaire de journaux Sentinel utilisé pour les recherches centralisées et la création de rapports.

En outre, le lien Sentinel peut transférer les événements importants à Novell Sentinel, un système SIEM (Security Information Event Management) complet pour une corrélation avancée, le traitement des incidents et l'apport d'informations contextuelles très importantes, telles que des informations sur l'identité ou le niveau de gravité du serveur provenant d'un système de gestion des identités.

1.1.8 Interface utilisateur Web

Novell Sentinel Log Manager est livré avec une interface utilisateur Web pour configurer et utiliser le gestionnaire des journaux. La fonctionnalité de l'interface utilisateur est fournie par un serveur Web et une interface graphique basée sur Java Web Start. Toutes les interfaces utilisateur communiquent avec le serveur à l'aide d'une connexion codée.

L'interface Web du gestionnaire des journaux Novell Sentinel vous permet d'effectuer les opérations suivantes :

rechercher des événements ;
enregistrer des critères de recherche sous la forme d'un modèle de rapport ;
afficher et gérer des rapports ;
lancer l'interface de gestion de source d'événements pour configurer la collecte de données pour les sources de données autres que les applications Novell et syslog (fonction réservée aux administrateurs) ;
configurer le réacheminement des données (fonction réservée aux administrateurs) ;
télécharger le programme d'installation de Sentinel Collector Manager pour une installation à distance (fonction réservée aux administrateurs) ;
afficher l'état de santé des sources d'événements (fonction réservée aux administrateurs) ;
configurer la collecte des données pour les sources de données syslog et Novell (fonction réservée aux administrateurs) ;
configurer le stockage des données et afficher l'état de santé de la base de données (fonction réservée aux administrateurs) ;
configurer l'archivage des données (fonction réservée aux administrateurs) ;
configurer des opérations associées pour envoyer les données d'événement correspondantes aux canaux de sortie (fonction réservée aux administrateurs) ;
gérer les comptes et autorisations utilisateur (fonction réservée aux administrateurs).