Questa sezione consente di comprendere la configurazione successiva all'installazione per i servizi Sentinel Rapid Deployment.
In Sentinel Control Center è possibile ignorare il formato di data e ora di default. Per ulteriori informazioni su come personalizzare il formato di data e ora secondo il fuso orario locale, vedere il sito Web di Java.
Modificare il file SentinelPreferences.properties.
<directory_di_installazione>/config/SentinelPreferences.properties
Rimuovere il commento dalla riga seguente e personalizzare il formato di data e ora nei campi corrispondenti dell'evento di Sentinel Control Center:
com.eSecurity.Sentinel.event.datetimeformat=yyyy-MM-dd'T'HH:mm:ss.SSSZ
In Sentinel Rapid Deployment, un'azione JavaScript SendEmail funziona con un integratore SMTP per inviare i messaggi di posta da diversi contesti all'interno dell'interfaccia di Sentinel ai destinatari dei messaggi. Affinché possa funzionare, è necessario configurare l'integratore SMTP con dati validi. Per ulteriori informazioni, vedere Sending an E-mail
in Sentinel Rapid Deployment User Guide (in lingua inglese).
Un'istanza di azione singola del plug-in azione SendEmail viene creata automaticamente in tutte le installazioni di Sentinel. Nell'azione SendEmail non sono necessarie configurazioni, solo i destinatari del messaggio di posta e i contenuti di quest'ultimo sono configurati nei parametri di azione.
L'azione SendEmail viene attivata internamente da Sentinel per l'invio della posta nelle seguenti situazioni:
Quando si genera una regola di correlazione, viene attivata un'azione SendEmail. SendEmail è l'azione indicata dall'icona di ingranaggio ed è valida soltanto per la correlazione (a differenza dell'azione SendEmail di JavaScript indicata dall'icona JavaScript JS).
Quando il flusso di lavoro include un passaggio o attività di posta configurata per l'invio di e-mail.
Quando un utente apre un caso e sceglie di eseguire un'attività configurata per l'invio di e-mail.
Quando un utente fa clic con il pulsante destro del mouse su un evento e seleziona .
Quando un utente apre un caso e seleziona .
I servizi Gestione servizi di raccolta gestiscono tutti i processi di raccolta e di analisi sintattica dei dati. Talvolta potrebbe essere necessario aggiungere un ulteriore nodo di Gestione servizi di raccolta Sentinel all'ambiente di Sentinel per bilanciare il carico tra i computer. I servizi Gestione servizi di raccolta remoti offrono numerosi vantaggi:
Consentono di analizzare sintatticamente ed elaborare gli eventi distribuiti per migliorare le prestazioni del sistema.
Consentono il filtraggio, la cifratura e la compressione dei dati nel sistema di origine tramite la collocazione con le origini eventi. In tal modo si riducono i requisiti per la larghezza di banda ed è possibile ottenere maggiore una sicurezza dei dati.
Consentono l'installazione su sistemi operativi aggiuntivi. Ad esempio, l'installazione di un nodo di Gestione servizi di raccolta su Microsoft Windows per abilitare la raccolta dati utilizzando il protocollo WMI.
Consentono la memorizzazione dei file nella cache, grazie alla quale Gestione servizi di raccolta remota è in grado di memorizzare nella cache grandi quantità di dati quando il server è temporaneamente occupato con l'archiviazione o l'elaborazione di un sovraccarico negli eventi. Si tratta di un vantaggio per i protocolli, come Syslog, che non supportano la memorizzazione degli eventi nella cache a livello nativo.
I componenti della Gestione servizi di raccolta possono essere sottoposti a bilanciamento del carico installando istanze di questi componenti in computer aggiuntivi. È possibile installare una Gestione servizi di raccolta aggiuntiva eseguendo il programma di installazione su un computer nuovo. Per ulteriori informazioni sull'installazione di Gestione servizi di raccolta, vedere Sezione 3.3.4, Installazione di Gestione servizi di raccolta Sentinel su SLES o Windows.
Durante l'installazione del server Sentinel Rapid Deployment, viene configurato un servizio di raccolta denominato servizio di raccolta generico. Per default, vengono creati 5 eventi al secondo.
Se si desidera aggiungere ulteriori servizi di raccolta nel sistema, è possibile effettuarne il download dal sito Web di Novell.
È necessario connettere il server Sentinel a un server NTP (Network Time Protocol) o a un altro tipo di server dell'orario. Se l'ora di sistema tra i vari computer non è sincronizzata, il motore di correlazione di Sentinel e Active Views non funzioneranno correttamente. Gli eventi provenienti dalle istanze di Gestione servizi di raccolta non saranno considerati in tempo reale e verranno quindi inviati direttamente al database di Sentinel, senza passare dai Control Center e dai motori di correlazione di Sentinel.
Di default, la soglia per i dati in tempo reale è di 120 secondi. Questa soglia può essere modificata impostando opportunamente il valore di esecurity.router.event.realtime.expiration nel file event-router.properties. L'ora degli eventi di Sentinel viene stabilita sulla base dell'ora del dispositivo attendibile o dell'ora della Gestione servizi di raccolta. L'ora del dispositivo attendibile può essere selezionata durante la configurazione di un servizio di raccolta. L'ora del dispositivo attendibile corrisponde all'ora in cui viene generato il log dal dispositivo e l'ora della Gestione servizi di raccolta corrisponde all'ora del sistema corrente del sistema Gestione servizi di raccolta.