Novell Sentinel Log Manager 1.1リリースノート

2010年7月08日

Novell Sentinel Log Managerでは、侵入検出システム、ファイアウォール、オペレーティングシステム、ルータ、Webサーバ、データベース、スイッチ、メインフレーム、およびアンチウイルスイベントソースなどの広範なデバイスおよびアプリケーションからデータを収集することができます。Novell Sentinel Log Managerは、発生率の高いイベントの処理、長期的なデータ保持、地域別のデータ集約、さらに広範なアプリケーションとデバイスを対象としたシンプルな検索およびレポーティング機能を備えています。

1.0 Sentinel Log Manager 1.1の新規機能

1.1 役割

管理者は、任意の数のユーザに割り当てることができる役割を作成できるようになりました。各役割はさまざまな権限のセットに割り当てることが可能で、役割に属するユーザは割り当てられた役割の権限を継承します。

Sentinel Log Managerには必要な権限を持つデフォルトの役割がいくつかあります。ただし、それらの権限は、変更したり、要件に基づいてさらに役割を作成したりできます。

グループ権限の詳細については、『Novell Sentinel Log Manager 1.1 Administration Guide(Novell Sentinel Log Manager 1.1管理ガイド)』の「Configuring Users and Roles」を参照してください。

1.2 分散検索

分散検索機能を使用すると、ローカルのSentinel Log Managerサーバはもとより、世界中に分散しているSentinel Log Managerサーバでもイベントを検索できます。分散検索の環境設定でローカルサーバ(検索イニシエータ)を複数のサーバとリンクした場合、ローカルサーバで検索を実行することもできれば、リンク先のサーバでも検索を実行することもできます(オプションで指定します)。検索結果には、選択されたすべてのサーバから、一致したイベントが取得されて表示されます。検索結果の各イベントには、イベントの取得元であるサーバの情報が表示されます。

検索結果のエクスポート、アクションへの検索結果の送信、および生データイベントの取得機能は、この新機能を活用できるように拡張されました。レポートに複数のSentinel Log Managerサーバのデータを記載できるようにするために、レポーティングエンジンも、同じ基本サーチエンジンを使用するように拡張されました。

分散検索の詳細については、『Novell Sentinel Log Manager 1.1 Administration Guide(Novell Sentinel Log Manager 1.1管理ガイド)』の「Searching and Reporting Events in a Distributed Environment」を参照してください。

1.3 タグ

タグ機能を使用すると、イベントソース、イベントソースサーバ、コレクタマネージャ、コレクタプラグインなどのESM (Event Management System)ノードやレポートに対し、検索用のタグ属性(1つまたは複数)を作成して割り当てることができます。ESMノードから取得されたすべてのイベントにもタグを付けることができます。タグを付けることで、それらのESMノード、イベント自体、およびレポートの論理グループを作成できます。

イベントは、適用されたタグに基づいて検索できます。また、イベントソースおよびレポートは、そのタグに基づいてフィルタできます。

Sentinel Log Managerには、いくつかのデフォルトのタグがありますが、必要に応じて新しいタグを作成できます。

タグの詳細については、『Novell Sentinel Log Manager 1.1 Administration Guide(Novell Sentinel Log Manager 1.1管理ガイド)』の「タグの環境設定」を参照してください。

1.4 アプライアンス

Sentinel Log Manager Applianceは、Novell SUSE Linux Enterprise Server(SLES)11オペレーティングシステムとアップデートサービス付きのNovell Sentinel Log Managerソフトウェアとを組み合わせた、即座に実行できるソフトウェアアプライアンスです。このアプライアンスでは、広範なデバイス、アプリケーション、およびプロトコルからのログデータの収集、保存、レポーティング、および検索をサポートする、拡張されたブラウザベースのユーザインタフェースを提供しています。

Sentinel Log Manager 1.1 Applianceは、次のフォーマットで使用できます。

  • VMWareアプライアンスイメージ

  • Xenアプライアンスイメージ

  • ハードウェアサーバに直接展開できるハードウェアアプライアンスのライブDVDイメージ

メモ:Sentinel Log Manager 1.0からSentinel Log Manager 1.1アプライアンスに移行するには、『Novell Sentinel Log Manager 1.1インストールガイド』の第6.4項「1.0から1.1アプライアンスへの移行」の指示に従ってください。

Sentinel Log Managerアプライアンスのインストールの詳細については、『Novell Sentinel Log Manager 1.1インストールガイド』の「アプライアンスのインストール」を参照してください。

1.5 LDAP認証の拡張

  • Sentinel Log ManagerサーバのLDAP認証の環境設定を行うための新しいユーザインタフェースが[ユーザ]タブに用意されました。

  • LDAP認証は、LDAPディレクトリの匿名検索を使用して実行することも、使用せずに実行することもできます。

LDAP認証の詳細については、『Novell Sentinel Log Manager 1.1 Administration Guide(Novell Sentinel Log Manager 1.1管理ガイド)』の「LDAP認証」を参照してください。

1.6 レポートの拡張

レポートは、レポートを構成するイベントへのドリルダウンを有効にするように拡張されています。ドリルダウンオプションを使用すると、レポート生成に使用されたものと同じクエリおよび時間フレームで検索を実行し、レポート生成に使用されたイベントの詳細を確認することができます。

複数のレポート定義とレポート結果を一度にエクスポートできます。また、レポート定義をエクスポートしたzipファイルまたはコレクタパックファイルから、複数のレポート定義を一度にインポートできます。

強化されたこれらの機能の詳細については、『Novell Sentinel Log Manager 1.1 Administration Guide(Novell Sentinel Log Manager 1.1管理ガイド)』の「Reporting」を参照してください。

新しいレポートテンプレートが追加され、既存のレポートテンプレートがアップデートされました。また、使用されないレポートテンプレートがいくつか削除されました。使用可能なレポートテンプレートの詳細については、『Novell Sentinel Log Manager 1.1 Administration Guide(Novell Sentinel Log Manager 1.1管理ガイド)』の「Sentinel Log Manager Reports」を参照してください。

1.7 データ復元

新しいデータ復元機能を使用して、古いイベントデータ、失われたイベントデータ、または削除されたイベントデータを復元できます。また、復元されたイベントデータに対して検索を実行することもできます。

新しい[データ復元]セクションは、[ストレージ] > [環境設定]ユーザインタフェースに追加されています。特定のイベントパーティションを選択してイベントデータを復元し、復元されたイベントパーティションが再度期限切れになるタイミングを環境設定できます。

データの復元については、『Novell Sentinel Log Manager 1.1 Administration Guide(Novell Sentinel Log Manager 1.1管理ガイド)』の「Configuring Data StorageRestoring Event Data」を参照してください。

2.0 Sentinel Log Manager 1.0.0.5の新規機能

2.1 Sentinel Log Managerの500 EPSバージョン

Novell Sentinel Log Managerは、現在、500 EPS(イベント/秒)バージョンで使用可能です。500 EPSバージョンは、Sentinel Log Managerサーバが1つしかなく、イベントレートが低い、小規模な展開に適しています。また、大規模な展開において、別のSentinelまたはSentinel Log Managerサーバへのレポートを実行する、低ボリュームのノードとして使用することもできます。

2.2 新規エンドユーザ使用許諾契約

このリリースでは、エンドユーザ使用許諾契約(EULA)の条項が更新されています。最新のパッチを適用する前に、新しい条項を受諾する必要があります。EULAの変更点の一部を以下に示します。

  • Novell Sentinel Log Managerは、現在500 EPSバージョンで使用可能です。

  • 非運用インスタンスに対する最新の定義

  • タイプIデバイスに対する最新の定義

3.0 システム要件

Sentinel Log Manager 1.0からのシステム要件の大きな変更はありません。

ハードウェア要件およびサポートされるオペレーティングシステム、ブラウザ、およびイベントソースの詳細については『Novell Sentinel Log Manager 1.1インストールガイド』を参照してください。

4.0 Novell Sentinel Log Manager 1.1のインストール

Novell Sentinel Log Manager 1.1をインストールするには、『Sentinel Log Manager 1.1インストールガイド』を参照してください。

5.0 Sentinel Log Manager 1.1で修正された不具合

バグ番号

説明

617478

侵入検出システムの上位10のレポートは、[デバイス攻撃名]フィールドとして作成され、[イベント]フィールドに含まれるようになりました。

609811

[ターゲットユーザー名]および[イニシエータIP]フィールドには、ユーザのパスワードを変更したときに想定どおりの値が入るようになりました。

609814

[イニシエータIP]フィールドには、ユーザがSentinel Log Managerにログインしたときに、想定どおりの値が入るようになりました。

607143

内部イベントの監査の実行に使用できる新しいレポートが作成されました。

606861

大文字を含むイベントに対してワイルドカード検索が実行できるようになりました。

592503

[絞り込み]パネルに追加した検索クエリは、適切な結果を表示するようになりました。

587831

[顧客変数22]フィールドが表示対象の追加フィールドとして追加されると、[絞り込み]パネルにそのフィールドのイベントのカウントが表示されるようになりました。

567082

パスワードに非標準文字を使用しているユーザも、WebユーザインタフェースおよびESMインタフェースに正常にログインできるようになりました。

565777

ユーザアカウントが削除されると生成されるDEASSOC_TRUSTイベントが、ユーザ管理レポートに表示されるようになりました。

526062

Webユーザインタフェースの[環境設定]リンクは、歯車アイコンに置き換えられました。これは、アイコンの横にあるリンクが環境設定リンクであることを示しています。

524575

JavaScriptのすべてのポップアップウィンドウ(検索のヒント、実行、削除など)が、フランス語、スペイン語、イタリア語版のInternet Explorer 8でも正常に表示されるようになりました。

503808

サーバにSentinel Log Managerを初めてインストールした場合でも、ESMが正常に起動するようになりました。

545436

initUserName、initIP、targetUserNamedetailsなどの内部監査イベントフィールドに正しい値が取り込まれ、検索結果に表示されるようになりました。

6.0 既知の問題

バグ番号

説明

620681

問題: ESMで、サーバ再起動時にコレクタノードが誤って停止状態に設定されます。ただし、この事象はほとんど発生しません。

解決策: サーバを再起動し、ESMにログインして、実行しているはずのコレクタが起動状態であることを確認します。

620100

問題: 古いコレクタがリモートコレクタマネージャ上で動作しません。

解決策: リモートコレクタマネージャのマシンのESEC_HOME/config/collector_mgr.xmlファイルを修正します。

  1. 任意のエディタでESEC_HOME/config/collector_mgr.xmlファイルを開きます。

  2. 次の行を見つけます。

    <property name="workbench.home">..</property>
<property name="properties.file">../config/collector_mgr.properties</property>
<property name="esecurity.home">..</property>

    これを次のように変更します。

    <property name="workbench.home">${user.dir}/..</property>
<property name="properties.file">../config/collector_mgr.properties</property>
<property name="esecurity.home">${user.dir}/..</property>

  3. リモートコレクタマネージャサービスを再起動します。

617318

問題: 古いバージョンのSentinel Log ManagerをSentinel Log Manager 1.1にアップグレードした後、[レポートとして保存] > [可視化]ドロップダウンリストを実行すると、レポートテンプレートのみが表示されるべきですが、コレクタ固有のいくつかのレポートが[可視化]リストに表示されることがあります。これは、アップグレード前にそれらが使用中だった場合に、アップグレード後も削除されずに残っている可能性があるためです。

解決策: この事象は、リストに表示されるコレクタ固有のレポートがアップグレード時に自動的に更新されないことが原因で発生します。Sentinel 6.1コンテンツのWebサイトから最新のコレクタパックをダウンロードして、Sentinel Log Managerレポートアップロードオプションを使用してパックをアップロードします。

617663

問題: [コレクション] > [イベントソースサーバ]ページで、イベントソースの1つ以上のフィールドを変更し、[保存]をクリックしてページを更新しても、1つのフィールドが更新されるだけで、その他のフィールドには古い値が表示されます。

解決策: 一度に1つずつフィールドの値を変更します。各フィールドを更新したら[保存]をクリックします。

617477

問題: 検索結果のイベントフィールドでalt+leftをクリックして、NOT節を空のクエリに追加しようとしても、NOT条件のみのクエリは無効であり、正しく追加されません。

解決策: 空のクエリでなく、sev:[0 TO 5]クエリで検索を開始すると、alt+leftのクリックが正しく機能します。両方のクエリで同じイベントが取得されます。

618294

問題: イベント概要、上位10のレポート、上位10のダッシュボードベースのレポートでは、[プライマリ]フィールドがnullの場合、空白ではなく-0-の値でイベントが表示されます。

解決策: イベント概要および上位10のレポートでは、データがない(nullの)[プライマリ]フィールドを選択しないでください。上位10のダッシュボードのレポートでは、X軸の値に-0-があるフィールドのグラフは無視してください。

617103

問題: NFSアーカイブが設定されている場合、大きなレポートを実行すると、server_wrapper.logファイルに例外が記録されます。

解決策: EPSが最低のとき(夜や週末など)に大きなレポートを実行します。ローカルストレージのRAIDアレイのディスクを増加すると解決することもあります。

614686

問題: 約2億のイベントがあるシステムで大きなレポートを実行すると、検索クエリがタイムアウトし、例外がログに記録されます。

解決策: 大規模な検索を実行しているときは、大きなレポートの実行は避けてください。

613960

問題: リモートコレクタマネージャのInstallshieldウィザードに、Sentinel Log Managerではなく、Sentinel 6.1が表示されます。

解決策: なし。これは、ユーザインタフェースの問題です。

608905

問題: ライセンスキーを追加した後、Sentinel Log ManagerのユーザインタフェースがSentinelサービスの再起動を要求しません。そのため、正しく実行できない操作が出てきます。

解決策: ライセンスキーを追加したら、Sentinel Log Managerサーバを再起動します。

606567

問題: アプライアンスで、/var/log/messagesのSyslogにカーネルメッセージを介して2分ごとにプラットフォームのバージョンが記録されます。

解決策: これらのメッセージは、Sentinel Log Managerにオペレーティングシステムのバージョンを通知できるように意図的に送信されています。このメッセージで何らかの理由により問題が発生する場合、wtmpmonスクリプトを無効にすると、このメッセージは生成されなくなります。

593435

問題: Sentinel Log Manager 1.1のインストール先が、パスに空白を含むベースディレクトリに移動されると、Sentinel Log Managerサーバは正しく機能しません。(例: /home/user/Sentinel Log Manager)。

解決策: ディレクトリのパスに空白が含まれていないことを確認してください。

560966

問題: File Connectorの環境設定時に、イベントソースを追加しようとして[参照]をクリックしても、ファイルブラウザが表示されず、コントロールセンターのログファイルに例外が記録されます。

解決策: [参照]ボタンを使用せず、フィールドに目的のファイルパスを入力するか、コピーして貼り付けします。

577073

約3000のイベントソースがある場合、[開く] > [ログの状態]から生データのパーティショニングが実行されると、EPSレートは0に低下します。

解決策: インスタンス当たりのイベントソースの総数がシステム要件で示される推奨のデバイス制限より小さくなるように、Sentinel Log Managerの追加インスタンスをインストールします。詳細については、『Sentinel Log Manager 1.1インストールガイド』の「システム要件」を参照してください。

617350

問題: パッチアップデートのインストール中に、WebYaSTでDBus.Error.LimitsExceededエラーがレポートされます。

解決策: yastwsサービスを再起動します。

/etc/init.d/yastws restart

または、コントロール パネルの[再起動]をクリックしてマシンを再起動します。

607684

問題: [WebYast] > [更新]でパッチアップデートを実行する場合、ISOアプライアンスイメージからマシンを起動すると(ライブCD/DVDとしてISOを実行すると)、システムは応答しなくなります。

解決策: ライブDVDをハードウェアにインストールしてパッチのアップデートを実行します。

609187

問題: 100万を超えるイベントがあるシステムで、レポートの生成を開始した後に[キャンセル]をクリックしてレポートの生成をキャンセルしようとしても、レポートの生成は続行されてキャンセルされません。

解決策: なし。

593788

問題: Sentinel Log Manager では、インストール後にはじめてWebユーザインタフェースにログインする際に約5分間かかります。

解決策: なし。

510824

問題: 個々の検索結果で[詳細++]リンクをクリックしても、最初の25イベントについては [すべての詳細++]と[すべての詳細--]リンクが正しく機能しません。

解決策: なし。

548515

問題: Sentinel Log Managerのサンプルレポートでは、Sentinel Log Managerで使用できないフルネーム、部署、人員IDなどのユーザデータが表示されます。

解決策: なし。

509549

問題: 75,000より多くのイベントを含む検索結果ページで、イベントを表示するために下にスクロールすると、スクロールバーがスクロールされた場所で停止せず、その場所が頻繁に移動します。

解決策: なし。

615572

問題: Sentinel Log Managerでは、ターゲットサーバの詳細の編集時にターゲットサーバのIPアドレスを変更することができますが、指定されたIPアドレスが異なることを示すメッセージは表示されません。

解決策: なし。

545436

問題: コレクタを停止すると、イベントログにstopcollector内部イベントが2回生成されます。生成された2番目のstopcollectorイベントは、initUserName、initIP、およびtargetUserNamedetailsイベントのフィールドの値が正しく示されていません。

解決策: なし。

7.0 マニュアル

最新のマニュアルおよびリリースノートは、Sentinel Log Managerのドキュメントサイトで入手できます。