Esta seção ajudará você a compreender a configuração pós-instalação dos serviços do Sentinel Rapid Deployment.
É possível anular o formato de data e hora padrão do Sentinel Control Center. Para obter mais informações sobre como personalizar o formato de data e hora ao seu fuso horário local, consulte o site do Java na Web.
Edite o arquivo SentinelPreferences.properties.
<diretório_de_instalação>/config/SentinelPreferences.properties
Remova o comentário da seguinte linha e personalize o formato de data e hora nos campos de data/hora de eventos do Sentinel Control Center:
com.eSecurity.Sentinel.event.datetimeformat=yyyy-MM-dd'T'HH:mm:ss.SSSZ
No Sentinel Rapid Deployment, a ação SendEmail do JavaScript funciona com um integrador SMTP para enviar mensagens de vários contextos da interface do Sentinel para destinatários de e-mail. Para ele funcionar, configure o Integrador SMTP com informações de conexão válidas. Para obter mais informações, consulte Sending an E-mail
(Enviando e-mail) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
Uma única instância de ação do plug-in SendEmail é criada automaticamente em cada instalação do Sentinel. Não é necessária nenhuma configuração na ação SendEmail, exceto se os destinatários e o conteúdo da mensagem estiverem configurados nos parâmetros de ação.
Esta ação SendEmail é acionada internamente pelo Sentinel para enviar e-mails nas seguintes situações:
Quando uma regra de Correlação é gerada, a ação SendEmail é acionada. SendEmail é a ação indicada pelo ícone de engrenagem, válida somente para correlação (diferente da ação SendEmail do JavaScript, indicada pelo ícone JS do JavaScript).
Quando um workflow inclui uma Etapa de E-mail ou Atividade configurada para enviar e‑mails.
Quando um usuário abre um incidente e executa uma Atividade configurada para enviar e‑mails.
Quando um usuário clica o botão direito do mouse em um evento e seleciona
.Quando um usuário abre um incidente e seleciona
.Os Gerenciadores de Coletor gerenciam todos os processos de coleta e análise de dados. Ocasionalmente, pode ser necessário incluir um nó adicional do Gerenciador de Coletor em um ambiente do Sentinel para equilibrar a carga nas máquinas. Os Gerenciadores de Coletor remotos oferecem vários benefícios:
Análise e processamento de eventos distribuídos para melhorar o desempenho do sistema.
Filtragem, criptografia e compactação de dados no sistema de origem pela colocação com fontes de eventos. Isso reduz os requisitos de largura de banda de rede e aumenta a segurança dos dados.
Instalação em sistemas operacionais adicionais. Por exemplo, a instalação de um nó do Gerenciador de Coletor no Microsoft Windows para habilitar a coleta de dados utilizando o protocolo WMI.
Armazenamento de arquivos em cache, o que permite que o gerenciador de coletor remoto armazene em cache grandes volumes de dados enquanto o servidor está temporariamente ocupado executando arquivamentos ou processando um pico de eventos. Isso é uma vantagem para protocolos que, como o syslog, não suportam o cache de eventos de forma nativa.
Para efetuar o equilíbrio de carga nos componentes do Gerenciador de Coletor, instale instâncias desses componentes em máquinas adicionais. É possível instalar um Gerenciador de Coletor adicional executando o instalador em uma nova máquina. Para obter mais informações sobre a instalação do Gerenciador de Coletor, consulte a Seção 3.3.4, Instalando o Gerenciador de Coletor do Sentinel no SLES ou Windows.
Durante a instalação do Sentinel Rapid Deployment Server, é configurado um Coletor chamado Generic. Por padrão, a taxa de criação de eventos é de 5 eventos por segundo (eps).
Para ter coletores adicionais no sistema, você pode fazer download deles pelo site da Novell na Web.
Você deve conectar o Sentinel Server a um servidor Network Time Protocol (NTP) ou a outro tipo de servidor de horário. Se o horário do sistema não estiver sincronizado nas máquinas, o Mecanismo de Correlação do Sentinel e as Telas Ativas não funcionarão corretamente. Os eventos dos Gerenciadores de Coletor não são considerados eventos em tempo real e, portanto, não são enviados diretamente para o banco de dados do Sentinel, ignorando os Sentinel Control Centers e os Mecanismos de Correlação.
Por padrão, o limite de dados em tempo real é de 120 segundos. Para modificar esse padrão, mude o valor de esecurity.router.event.realtime.expiration no arquivo event-router.properties. O horário de eventos do Sentinel é preenchido de acordo com o Horário do Dispositivo de Confiança ou com o Horário do Gerenciador de Coletor. Você pode selecionar o Horário do Dispositivo de Confiança ao configurar um coletor. O Horário do Dispositivo de Confiança é o horário em que o registro foi gerado pelo dispositivo e o Horário do Gerenciador de Coletor é o horário local do sistema Gerenciador de Coletor.