ここでは、Sentinel Rapid Deploymentサービスのインストール後の設定について説明します。
Sentinelコントロールセンターのデフォルトの日付と時刻の形式は無効にできます。ご使用のローカルタイムゾーンに時刻の形式をカスタマイズする方法の詳細については、Java Webサイトを参照してください。
SentinelPreferences.propertiesファイルを編集します。
<install_directory>/config/SentinelPreferences.properties
次の行からコメントを削除し、Sentinelコントロールセンター用のイベント日付/時刻フィールドの日付と時刻の形式をカスタマイズします。
com.eSecurity.Sentinel.event.datetimeformat=yyyy-MM-dd'T'HH:mm:ss.SSSZ
Sentinel Rapid Deploymentでは、JavaScriptのSendEmailアクションがSMTPインテグレータと共に動作し、Sentinelインタフェース内の各種コンテキストからメール受信者宛てにメールメッセージを送信します。SMTPインテグレータを動作させるには、あらかじめ有効な接続情報を使用して設定する必要があります。詳細については、『Sentinel Rapid Deployment User Guide』のSending an E-mail
を参照してください。
Sentinelの各インストールについて、SendEmailアクションプラグインのアクションインスタンスが1つずつ、自動的に作成されます。メールメッセージの受信者およびメッセージの内容がアクションパラメータで設定される以外、SendEmailアクションへの設定は必要ありません。
SendEmailアクションはSentinelで内部的にトリガされ、次の場合にメールが送信されます。
相関ルールが生成されると、SendEmailアクションがトリガされます。このSend Emailアクションは、歯車のアイコンで示されているアクションで、相互関連についてのみ有効です(JS JavaScriptアイコンで示されているJavaScriptのSendEmailアクションとは異なります)。
ワークフローに、電子メールを送信するように構成されているメールステップやアクティビティが含まれている場合。
ユーザがインシデントを開いて、電子メールを送信するように構成されているアクティビティを実行する場合。
ユーザがイベントを右クリックして[]を選択する場合。
ユーザがインシデントを開いて[]を選択する場合。
コレクタマネージャは、データ収集プロセスとデータ解析をすべて管理します。マシン間で負荷を分散させるために、Sentinel環境に追加のSentinelコレクタマネージャノードを追加することが必要になる場合があります。リモートのコレクタマネージャには、以下のようないくつかの利点があります。
イベントの解析および処理の分散化によりシステムパフォーマンスが向上します。
イベントソースとのつながりを介して、ソースシステムでデータのフィルタリング、圧縮、暗号化が可能です。これにより、ネットワーク帯域幅の要件が軽減し、データセキュリティが強化されます。
これらは、追加のオペレーティングシステムにインストールできます。たとえば、Microsoft Windowsにコレクタマネージャノードをインストールし、WMIプロトコルによるデータ収集を有効にできます。
ファイルキャッシングにより、サーバがアーカイブ処理や多数のイベントの処理で一時的にビジーである場合に、リモートのコレクタマネージャで大量のデータをキャッシュできます。これは、syslogなどのイベントキャッシングをネイティブでサポートしないプロトコルの場合に役立ちます。
コレクタマネージャコンポーネントは、これらのコンポーネントのインスタンスを追加のマシンにインストールすることで負荷分散できます。新しいマシン上でインストーラを実行することで、追加のコレクタマネージャをインストールできます。コレクタマネージャのインストールの詳細については、セクション 3.3.4, Sentinelコレクタマネージャのインストール(SLESのまたはWindowsの場合)を参照してください。
Sentinel Rapid Deploymentサーバのインストール中に、汎用コレクタと呼ばれるコレクタが設定されます。このコレクタは、デフォルトで毎秒5イベント(eps)の割合でイベントを作成します。
システムにコレクタを追加したい場合は、Novell Webサイトからダウンロードできます。
Sentinelサーバは、NTP (Network Time Protocol)サーバまたは他の種類のタイムサーバに接続する必要があります。マシン間でシステム時刻が同期していない場合、Sentinel相関エンジンおよびアクティブビューは正しく動作しません。コレクタマネージャからのイベントは、リアルタイムとは見なされないため、Sentinel Control Centerおよび相関エンジンを通らずにSentinelデータベースに直接送信されることはありません。
デフォルトでは、リアルタイムデータのしきい値は120秒です。この値は、event-router.propertiesファイル内のesecurity.router.event.realtime.expirationの値を変更することで修正できます。Sentinelイベントの時刻は、信頼デバイス時刻またはコレクタマネージャ時刻に基づいて設定されます。コレクタの設定中に信頼デバイス時刻を選択することができます。信頼デバイス時刻はログがデバイスによって生成された時刻で、コレクタマネージャ時刻はコレクタマネージャシステムのローカルシステム時刻です。