本章节帮助您了解 Sentinel Rapid Deployment 服务的安装后配置。
Sentinel 控制中心内的默认日期和时间格式都可被覆盖。有关自定义日期和时间格式以使其符合您当地时区的详细信息,请参见 Java 网站。
编辑 SentinelPreferences.properties 文件。
<install_directory>/config/SentinelPreferences.properties
去除以下行中的注释,并为 Sentinel 控制中心的事件日期/时间字段自定义日期和时间格式:
com.eSecurity.Sentinel.event.datetimeformat=yyyy-MM-dd'T'HH:mm:ss.SSSZ
在 Sentinel Rapid Deployment 中,将 JavaScript SendEmail 操作与 SMTP 集成器结合使用可在 Sentinel 界面的各种环境中将邮件讯息发送给收件人。SMTP 集成器必须配置为采用有效的连接信息才能正常工作。有关详细信息,请参见《Sentinel Rapid Deployment 用户指南》中的发送电子邮件
。
每个 Sentinel 安装中都会自动创建 SendEmail 操作插件的单个操作实例。除了需在操作参数中配置邮件讯息收件人和邮件内容之外,SendEmail 操作无需进行配置。
在下列情况下,Sentinel 会在内部触发该 SendEmail 操作以发送邮件:
当生成关联规则时,SendEmail 操作会被触发。此 SendEmail 操作是齿轮图标表示的操作,只对关联(与 JS JavaScript 图标表示的 JavaScript SendEmail 操作相对)有效。
当工作流程包含配置为发送电子邮件的邮件步骤或活动时。
用户打开某个事件并选择执行配置为发送电子邮件的活动时。
用户右键单击某个事件并选择时。
用户打开某个事件并选择时。
收集器管理器可管理所有数据收集进程和数据分析。有时,可能必须将其他 Sentinel 收集器管理器节点添加到 Sentinel 环境中,才能在各台计算机之间实现负载平衡。远程收集器管理器具有以下几项优点:
提供分布式的事件分析和处理,可提高系统性能。
通过与事件源的搭配在源系统上进行过滤、加密和数据压缩。如此可降低网络带宽要求,提供附加的数据安全性。
可在更多操作系统上进行安装。例如,可在 Microsoft Windows 上安装收集器管理器节点,以使用 WMI 协议进行数据收集。
提供文件超速缓存,使远程收集器管理器可以在服务器暂时忙于存档或处理大量事件时超速缓存大量的数据。对于本身并不支持事件超速缓存的协议(如 syslog)而言,这是一种优势。
可以通过在其他计算机上安装“收集器管理器”组件的实例来对这些组件进行负载平衡。您可以在新计算机上运行安装程序,安装更多的收集器管理器。有关安装收集器管理器的详细信息,请参见部分 3.3.4, 在 SLES 或 Windows 上安装 Sentinel 收集器管理器。
在安装 Sentinel Rapid Deployment 的过程中,将会配置一个名为“一般收集器”的收集器。默认情况下,它会以每秒 5 个事件 (eps) 的速率创建事件。
如果您希望为系统配备更多收集器,可以从 Novell 网站下载。
必须将 Sentinel 服务器连接到 NTP(网络时间协议)服务器或其他类型的时间服务器。如果计算机之间的系统时间未同步,则 Sentinel 关联引擎和活动视图将无法正常工作。系统不会将来自收集器管理器的事件视作实时事件,因此不会避开 Sentinel 控制中心和关联引擎而将其直接发送到 Sentinel 数据库。
默认情况下,实时数据的阈值是 120 秒。该阈值可通过更改 event-router.properties 文件中 esecurity.router.event.realtime.expiration 的值来修改。Sentinel 事件时间根据“信任设备时间”或“收集器管理器时间”来填充。当配置收集器时,可以选择“信任设备时间”。“信任设备时间”是设备生成日志的时间,而“收集器管理器时间”是“收集器管理器”系统的本地系统时间。