O procedimento a seguir descreve as etapas para testar o sistema Sentinel Rapid Deployment e os resultados esperados. Talvez você não veja os mesmos eventos, mas seus resultados deverão ser semelhantes aos resultados abaixo.
No nível básico, esses testes permitem que você verifique se:
Os serviços do Sentinel estão ativos.
Se a comunicação pelo barramento de mensagem é funcional.
Se os eventos internos de auditoria estão sendo enviados.
So os eventos podem ser enviados de um Gerenciador de Coletor.
Os eventos são inseridos no banco de dados e podem ser recuperados por meio de um relatório.
Se os Incidentes podem ser criados e vistos.
As regras são eventos avaliados e correlacionados acionados pelo Mecanismo de Correlação.
O Gerenciador de Dados do Sentinel está conectado ao banco de dados e consegue ler as informações de partição.
Se um desses testes falhar, revise o registro de instalação e outros arquivos de registro e entre em contato com o Suporte Técnico da Novell, se necessário.
Para testar a instalação:
Efetue login em uma interface da Web do Sentinel Rapid Deployment.
Para obter mais informações, consulte Accessing the Novell Sentinel Web Interface
(Acessando a interface da Web do Novell Sentinel) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
Selecione a página Pesquisa e pesquise um evento interno. Provavelmente, serão retornados um ou mais eventos.
Por exemplo, para pesquisar eventos internos na faixa de gravidade 3-5, selecione
e depois digite no campo .Para obter mais informações sobre Pesquisa, consulte Running an Event Search
(Executando uma pesquisa de eventos) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
Por padrão, o recurso Pesquisar não está habilitado no SP2. No entanto, para habilitá-lo, consulte Enabling the Search Option in Web User Interface
(Habilitando a opção de pesquisa na interface do usuário da Web) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
Selecione a página Relatórios, especifique os parâmetros e execute um relatório.
Por exemplo, clique no botão
ao lado da Configuração de Evento Básica do Sentinel, especifique os parâmetros desejados e clique em .Para obter mais informações, consulte Running Reports
(Executando relatórios) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
Na página Aplicativos, clique em
.Efetue login no sistema utilizando o Usuário Administrativo do Sentinel especificado durante a instalação (o padrão é admin).
O Sentinel Control Center é aberto, e você pode ver a guia
com os eventos filtrados pelos filtros públicos e .Vá para o menu
e selecione .Em Formato de Gráfico, clique o botão direito do mouse em
e selecione .Feche a janela Live View do Gerenciamento de Fonte de Eventos.
Clique na guia
.É possível ver a janela Ativa intitulada PUBLIC: Gravidade_Alta, Gravidade. Pode levar algum tempo para que o Coletor seja iniciado e os dados sejam exibidos nessa janela.
Clique no botão
na barra de ferramentas. A janela Consulta de Eventos do Histórico é exibida.Na janela Consulta de Eventos do Histórico, clique na seta para baixo
para selecionar o filtro. Selecione o filtro .Selecione um período que abranja o horário em que o Coletor ficou ativo. Use as listas suspensas
e para selecionar a faixa de datas.Selecione o tamanho do lote.
Clique no ícone da lupa para executar a consulta.
Mantenha a tecla Crtl ou Shift pressionada e selecione vários eventos na janela Consulta de Eventos do Histórico.
Clique o botão direito na janela e selecione
para exibir a janela Novo Incidente.Nomeie o incidente como IncidentedeTeste1 e clique em
. Quando for exibida uma notificação de êxito, clique em .Clique na guia
para ver o incidente que você acabou de criar no Gerenciador de Tela de Incidente.Clique duas vezes no incidente para exibir os eventos.
Feche a janela Incidente.
Clique na guia
.Clique em
no menu ou no Navegador.Na janela Consulta Offline, clique em
.Especifique um nome, selecione um filtro, selecione um período e clique em
.Clique em
para ver a lista de eventos e detalhes associados na janela Browser Ativo.É possível ver detalhes como Coletor, IP de Destino, Gravidade, Porta de Serviço de Destino e Recurso.
Selecione a guia
. O Gerenciador de Regras de Correlação é exibido.Clique em
. O Assistente de Regras de Correlação é exibido.Clique em
. A janela Regra Simples é exibida.Use os menus suspensos para definir os critérios como Gravidade=4, depois clique em
. A janela Atualizar Critérios é exibida.Selecione
, use o menu suspenso para definir o período como 1 minuto, depois clique em . A janela Descrição Geral é exibida.Nomeie a regra como
, insira uma descrição e clique em .Selecione
e clique em .Crie uma ação para associar à regra criada:
Execute um dos seguintes procedimentos:
A janela Configurar Ação é exibida.
Na janela Configurar Ação, faça o seguinte:
Especifique o nome da ação, como a Ação EventoCorrelacionado.
Selecione
na lista suspensa .Defina as
.Defina a
como 5.Especifique o
, como EventoCorrelacionado.Especifique uma mensagem, se necessário.
Para obter mais informações sobre como criar uma ação, consulte Creating Actions
(Criando ações) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
Clique em
.Abra a janela do Gerenciador da Regra de Correlação.
Selecione uma regra e clique no link
. A janela Distribuir Regra é exibida.Na janela Distribuir Regra, selecione um Mecanismo para implantar a regra.
Selecione a ação que você criou na Etapa 33 para associar à regra, depois clique em .
Selecione
.Em Mecanismo de Correlação, você vê a regra implantada e habilitada.
Acione um evento de gravidade 4, como uma autenticação com falha, para disparar a regra de correlação implantada.
Por exemplo, abra a janela de login do Sentinel Control Center e especifique credenciais de usuário incorretas para gerar um evento desse tipo.
Clique na guia
e verifique se o Evento Correlacionado foi gerado.Feche o Sentinel Control Center.
Na página Aplicativos, clique em
.Efetue login no Gerenciador de Dados do Sentinel usando o Usuário Administrativo de Banco de Dados especificado durante a instalação (por padrão, dbauser).
Clique em cada guia para verificar se você pode acessá-la.
Feche o Gerenciador de Dados do Sentinel.
Se puder executar todas essas etapas sem erros, você concluiu uma verificação básica da instalação do sistema Sentinel.