以下过程介绍了测试 Sentinel Rapid Deployment 系统的步骤以及预期结果。您可能无法看到完全相同的事件,但您的结果应类似于下面的结果。
通过这些测试,基本上可以确认下列事项:
Sentinel 服务已启动并且正在运行。
可以通过讯息总线进行通讯。
正在发送内部审计事件。
可以通过收集器管理器发送事件。
事件正在被插入到数据库中,并且可以使用报告进行检索。
可以创建和查看事件。
关联引擎会评估规则并触发关联事件。
Sentinel 数据管理器连接到数据库,并可读取分区信息。
如果上述任何测试失败,请查看安装日志和其它日志文件,并与 Novell 技术支持联系(如有必要)。
要测试安装,请执行下列操作:
登录到 Sentinel Rapid Deployment Web 界面。
有关详细信息,请参见《Sentinel Rapid Deployment 用户指南》中的访问 Novell Sentinel Web 界面
。
选择“搜索”页,然后搜索任何内部事件。应该返回一个或多个事件。
例如,要搜索严重性级别为 3-5 的内部事件,请选择
,然后在 字段中输入 。有关搜索功能的详细信息,请参见《Sentinel Rapid Deployment 用户指南》中的运行事件搜索
。
SP2 中默认不启用搜索功能。不过,如果您想启用此功能,请参见《Sentinel Rapid Deployment 用户指南》中的在 Web 用户界面中启用搜索选项
。
选择“报告”页,指定参数,然后运行报告。
例如,单击“Sentinel 核心事件配置”旁的
按钮,指定所需参数,然后单击 。有关详细信息,请参见《Sentinel Rapid Deployment 用户指南》中的运行报告
。
在“应用程序”页上,单击
。以安装期间指定的 Sentinel 管理用户(默认为 admin)身份登录到系统。
Sentinel 控制中心随即会打开,您可以看到
选项卡,其中显示了通过 和 公用过滤器过滤出的事件。转至
菜单,然后选择 。在图形视图中,右键单击
,然后选择 。关闭“事件源管理实时视图”窗口。
单击
选项卡。您可以查看标题为“公共:高严重性、严重性”的活动窗口。启动收集器以及将数据显示在此窗口中可能需要一段时间。
单击工具栏上的
按钮。“历史事件查询”窗口便会显示。在“历史事件查询”窗口中,单击
向下箭头以选择过滤器。请选择 过滤器。选择收集器在期间处于活动状态的某个时段。请使用
和 下拉列表选择日期范围。选择批文件大小。
单击放大镜图标运行查询。
按住 Ctrl 或 Shift 键,然后从“历史事件查询”窗口中选择多个事件。
右键单击窗口,然后选择
以显示“新建事件”窗口。将事件命名为 TestIncident1,然后单击
。看到成功通知后,单击 。单击
选项卡,查看您刚才在“事件视图管理器”中创建的事件。双击事件以显示相应事件。
关闭“事件”窗口。
单击
选项卡。从
菜单中或“导航器”中单击 。在“脱机查询”窗口中,单击
。指定名称,选择过滤器,选择时段,然后单击
。单击
以在“活动浏览器”窗口中查看事件列表及相关细节。您可以查看收集器、目标 IP、严重性、目标服务端口以及资源等细节。
选择
选项卡。关联规则管理器便会显示。单击
。“关联规则”向导便会显示。单击
。“简单规则”窗口便会显示。使用下拉菜单将准则设置为:“严重性 = 4”,然后单击
。“更新准则”窗口便会显示。选择
,使用下拉菜单将时段设置为 1 分钟,然后单击 。“一般说明”窗口便会显示。将规则命名为
并提供说明,然后单击 。选择
,然后单击 。创建一个操作以将其关联到您创建的规则:
打开“关联规则管理器”窗口。
选择一个规则,然后单击
链接。“部署规则”窗口便会显示。在“部署规则”窗口中,选择要部署规则的引擎。
选择您在步骤 33中创建的要与规则关联的操作,然后单击 。
选择
。在关联引擎下,可以看到该规则已部署并启用。
触发一个严重性为 4 的事件,例如鉴定失败,以激活之前部署的关联规则。
例如,打开 Sentinel 控制中心登录窗口,然后指定错误的用户身份凭证以生成此类事件。
单击
选项卡,然后校验是否生成了关联事件。关闭“Sentinel 控制中心”。
在“应用程序”页上,单击
。以安装过程中指定的数据库管理用户(默认为 dbauser)身份登录到 Sentinel 数据管理器。
单击各个选项卡以验证您是否可以访问它们。
关闭 Sentinel 数据管理器。
如果执行了上述所有步骤而未出现任何错误,那么您便已完成 Sentinel 系统安装的基本验证。