1.1 产品概述

Novell Sentinel Log Manager 1.1 向组织提供了一个灵活和可缩放的日志管理解决方案。Novell Sentinel Log Manager 是一个解决基本日志收集和管理难题的日志管理解决方案,它还提供了一个完整的解决方案,专门用于降低风险控制成本及复杂性,同时简化合规要求。

图 1-1 Novell Sentinel Log Manager 体系结构

Novell Sentinel Log Manager 具有以下功能:

本节包括以下信息:

1.1.1 事件源

Novell Sentinel Log Manager 从事件源中收集数据,这些事件源可将日志生成到 syslog、Windows 事件日志、文件、数据库、SNMP、Novell Audit、安全性设备事件交换 (SDEE)、安全性检查点开放平台 (OPSEC) 和其他储存机制和协议。

若有合适的连接器解析来自这些事件源的数据,那么 Sentinel Log Manager 可支持所有事件源。Novell Sentinel Log Manager 提供许多事件源的收集器。普通事件收集器从拥有合适连接器的未识别的事件源收集和处理数据。

您可以使用事件源管理界面为数据收集配置事件源。

有关受支持事件源的完整列表,请参阅部分 2.6, 支持的事件源

1.1.2 事件源管理

事件源管理界面可使您导入和配置 Sentinel 6.0 和 6.1 连接器和收集器。

您可以通过事件源管理窗口的实时视图执行以下任务:

  • 通过使用配置向导,添加或编辑到事件源的连接。

  • 查看到事件源的连接的实时状态。

  • 将事件源配置导入至实时视图,或从实时视图导出事件源配置。

  • 查看并配置随 Sentinel 安装的连接器和收集器。

  • 从集中式储存库中导入连接器和收集器,或将连接器和收集器导出至集中式储存库。

  • 通过配置的收集器和连接器监视数据流。

  • 查看原始数据信息。

  • 设计、配置和创建事件源层次的组件,并使用这些组件执行所需操作。

有关详细信息,请参阅《Sentinel 用户指南》的“事件源管理”部分。

1.1.3 数据收集

Novell Sentinel Log Manager 通过连接器和收集器的帮助从已配置的事件源收集数据。

收集器是将各种事件源的数据解析为标准 Sentinel 事件结构的脚本,或在一些情况从外部数据源收集其他形式的数据。每个收集器应与一个兼容的连接器一起部署。连接器实现了 Sentinel Log Manager 收集器和事件或数据源之间的连接。

Novell Sentinel Log Manager 为 syslog 和 Novell Audit 提供了增强的基于 Web 的用户界面支持,可轻松地从不同的事件源收集日志。

Novell Sentinel Log Manager 会使用各种连接方式来收集数据:

  • Syslog 连接器自动接受和配置通过用户数据报协议 (UDP)、传送控制协议 (TCP) 或安全传输层系统 (TLS) 发送数据的 syslog 数据源。

  • 审计连接器自动接受和配置启用审计的 Novell 数据源。

  • 文件连接器读取日志文件。

  • SNMP 连接器接收 SNMP 陷阱。

  • JDBC 连接器从数据库表进行读取。

  • WMS 连接器访问台式机和服务器上的 Windows 事件日志。

  • SDEE 连接器连接支持 SDEE 协议的设备(如 Cisco 设备)。

  • 检查点日志导出 API (LEA) 连接器在 Sentinel 收集器和检查点防火墙服务器之间实现集成。

  • Sentinel 链接连接器接受来自其他 Novell Sentinel Log Manager 服务器的数据。

  • 进程连接器接受来自输出事件日志的自编进程的数据。

您也可以购买一个附加许可证,以下载 SAP 和大型机操作系统的连接器。

要获取许可证,可拨打电话 1-800-529-3400,或联系 Novell 技术支持

有关配置连接器的详细信息,请参阅位于 Sentinel 内容网站的连接器文档。

有关配置数据收集的详细信息,请参阅《Sentinel Log Manager 1.1 管理指南》中的配置数据收集

注:您必须始终下载和导入最新版本的收集器和连接器。更新的收集器和连接器将定期发布到 Sentinel 6.1 内容网站。连接器和收集器的更新包括修复、附加事件支持和性能改进。

1.1.4 收集器管理器

收集器管理器为 Sentinel Log Manager 提供一个灵活的数据收集点。Novell Sentinel Log Manager 在安装时将在默认情况下安装一个收集器管理器。但是,您可以在您的网络中的合适位置远程安装收集器管理器,这些远程收集器管理器将运行连接器和收集器,并将收集的数据转发到 Novell Sentinel Log Manager,以便储存和处理。

有关安装附加收集器管理器的信息,请参阅安装附加收集器管理器。

1.1.5 数据储存

数据从数据收集组件流向数据储存组件。这些组件使用一个基于文件的数据储存和索引系统保存收集的设备日志数据,使用一个 PostgreSQL 数据库保存 Novell Sentinel Log Manager 配置数据。

数据以压缩格式储存在服务器文件系统上,然后储存到配置的位置以长期储存。数据可以储存到本地,也可以储存在远程安装的 SMB (CIFS) 或 NFS 共享上。数据文件基于数据保留策略中配置的时间表从本地和网络储存位置中删除。

若特定数据的数据保留时间已超过限制或可用空间降到指定磁盘空间值以下,您可以配置数据保留策略以从储存位置删除数据。

有关配置数据储存的详细信息,请参阅《Sentinel Log Manager 1.1 管理指南》中的配置数据储存

1.1.6 搜索和报告

搜索和报告组件帮助您在本地和网络数据储存和索引系统中搜索和报告事件日志数据。储存的事件数据可以进行一般搜索或针对特定事件字段(如源用户名)进行搜索。这些搜索结果可以进一步精确或筛选,并作为报告模板保存供以后使用。

Sentinel Log Manager 带有预装报告。您也可以上载附加报告。您可以按时间表或必要时运行报告。

关于默认报告列表的信息,请参阅《Sentinel Log Manager 1.1 管理指南》中的报告

有关搜索事件和生成报告的信息,请参阅《Sentinel Log Manager 1.1 管理指南》中的搜索报告

1.1.7 Sentinel 链接

Sentinel 链接可用于在两个 Sentinel Log Manager 之间转发事件数据。使用一组分级的 Sentinel Log Manager,可以在多个区域位置保留完整的日志,同时将比较重要的事件转发至某个单独的 Sentinel Log Manager 以进行集中搜索和报告。

此外,Sentinel 链接可以将重要事件转发至 Novell Sentinel(一套完整的安全信息事件管理 (SIEM) 系统),从而实现高级关联、事件更新、高价值背景信息(例如,服务器危急程度或来自身份管理系统的身份信息)注入。

1.1.8 基于 Web 的用户界面

Novell Sentinel Log Manager 带有一个基于 Web 的用户界面,以配置和使用 Log Manager。用户界面功能由 Web 服务器和一个基于 Java Web Start 的图形用户界面提供。所有用户界面通过使用一个加密连接与服务器进行通信。

您可以使用 Novell Sentinel Log Manager Web 界面执行以下任务:

  • 搜索事件

  • 将搜索准则另存为报告模板

  • 查看和管理报告

  • 起动事件源管理界面以为数据源而非 syslog 和 Novell 应用程序配置数据收集。(仅管理员)

  • 配置数据转发(仅管理员)

  • 为远程安装下载 Sentinel 收集器管理器安装程序(仅管理员)

  • 查看事件源的健康状态(仅管理员)

  • 为 syslog 和 Novell 数据源配置数据收集(仅管理员)

  • 配置数据储存并查看数据库的状态(仅管理员)

  • 配置数据存档(仅管理员)

  • 配置关联操作以将匹配事件数据发送到输出通道(仅管理员)

  • 管理用户帐户和许可权限(仅管理员)