Cette section décrit la configuration de post-installation des services Sentinel Rapid Deployment.
Le format par défaut de date et d'heure de Sentinel Control Center peut être modifié. Pour plus d'informations sur la personnalisation du format de date et d'heure par rapport à votre fuseau horaire, consultez le site Web de Java.
Modifiez le fichier SentinelPreferences.properties.
<install_directory>/config/SentinelPreferences.properties
Supprimez le contenu de la ligne suivante et personnalisez le format de date et d'heure dans les champs appropriés des événements de Sentinel Control Center :
com.eSecurity.Sentinel.event.datetimeformat=yyyy-MM-dd'T'HH:mm:ss.SSSZ
Dans Sentinel Rapid Deployment, une opération Envoyer un message électronique fonctionne avec un intégrateur SMTP pour envoyer des messages aux destinataires à partir de divers contextes de l'interface Sentinel. L'intégrateur SMTP doit être configuré sur la base d'informations de connexion valides avant de pouvoir fonctionner. Pour plus d'informations, reportez-vous à la section Envoi d'un e-mail
du Guide de l'utilisateur de Sentinel Rapid Deployment.
Une instance d'opération unique du plug-in d'opération Envoyer un message électronique est automatiquement créée dans chaque installation de Sentinel. Aucune configuration n'est nécessaire pour l'opération Envoyer un message électronique, si ce n'est que les destinataires et le contenu du message doivent être configurés dans les paramètres de l'opération.
Sentinel utilise cette opération en interne pour envoyer des messages dans les situations suivantes :
Une règle de corrélation déployée avec une opération Envoyer un message électronique est déclenchée. Cette opération désigne l'opération signalée par l'icône d'engrenage, qui est uniquement valide pour la corrélation (contrairement à l'opération Envoyer un message électronique JavaScript, indiquée par l'icône JS JavaScript).
Le processus de travail inclut une activité ou une étape de message configurée pour envoyer un message électronique.
L'utilisateur ouvre un incident et choisit d'exécuter une activité configurée pour envoyer un message électronique.
L'utilisateur clique avec le bouton droit de la souris sur un événement et sélectionne .
L'utilisateur ouvre un incident et sélectionne .
Les gestionnaires des collecteurs gèrent tous les processus de collecte et d'analyse des données. Il peut parfois s'avérer nécessaire d'ajouter un noeud de gestionnaire des collecteurs Sentinel supplémentaire à un environnement Sentinel afin de répartir la charge entre toutes les machines. Les gestionnaires des collecteurs distants présentent plusieurs avantages :
Analyse et traitement des événements distribués afin d'améliorer les performances système.
Filtrage, codage et compression des données au niveau du système source via la colocalisation avec les sources d'événements. Ceci réduit les exigences de bande passante réseau et renforce la sécurité des données.
Installation sur des systèmes d'exploitation supplémentaires. Par exemple, l'installation d'un nœud de gestionnaire des collecteurs sous Microsoft Windows permet la collecte des données via l'utilisation du protocole WMI.
Caching des fichiers permettant au gestionnaire des collecteurs à distance de mettre en cache de grandes quantités de données pendant que le serveur est momentanément occupé à archiver des événements ou à traiter un pic d'événements. Cet avantage est particulièrement intéressant pour les protocoles, tels que Syslog qui ne prennent normalement pas en charge le caching d'événements.
La charge des composants du gestionnaire des collecteurs peut être équilibrée en installant des instances de ces composants sur des machines supplémentaires. Vous pouvez installer des gestionnaires des collecteurs supplémentaires en exécutant le programme d'installation sur une nouvelle machine. Pour plus d'informations sur l'installation du gestionnaire des collecteurs, reportez-vous à laSection 3.3.4, Installation du gestionnaire des collecteurs Sentinel sur SLES ou Windows.
Lors de l'installation du serveur Sentinel Rapid Deployment , un collecteur nommé Collecteur général est configuré. Par défaut, il crée des événements à un rythme de 5 événements par seconde (EPS).
Vous pouvez télécharger des collecteurs supplémentaires pour votre système sur le site Web de Novell.
Vous devez connecter le serveur Sentinel à un serveur NTP (Network Time Protocol) ou à un autre type de serveur horaire. Si l'heure système des machines n'est pas synchronisée, le moteur de corrélation Sentinel et la fonctionnalité Active Views ne fonctionnent pas correctement. Les événements des gestionnaires des collecteurs ne sont pas considérés comme étant en temps réel. Par conséquent, ils ne sont pas envoyés directement à la base de données Sentinel, mais passent par les centres Sentinel Control Center et les moteurs de corrélation.
Par défaut, le seuil pour les données en temps réel est de 120 secondes. Vous pouvez le modifier en changeant la valeur de security.router.event.realtime.expiration dans le fichier event-router.properties. L'heure de l'événement Sentinel est renseignée sur la base de l'heure du périphérique approuvé ou du gestionnaire des collecteurs. Vous pouvez sélectionner l'heure du périphérique approuvé lors de la configuration d'un collecteur. Cette heure correspond à l'heure de génération du journal par le périphérique. L'heure du gestionnaire des collecteurs correspond à l'heure locale du système du gestionnaire des collecteurs.