1.1 產品綜覽

Novell Sentinel Log Manager 1.1 可為組織提供靈活且可調整的記錄管理解決方案。Novell Sentinel Log Manager 是一種記錄管理解決方案,可以因應基本記錄收集與管理的挑戰,還可以提供專門降低管理風險的成本與複雜性,以及簡化法規遵循需求的完整解決方案。

圖 1-1 Novell Sentinel Log Manager 架構

Novell Sentinel Log Manager 有以下功能:

這一節包含下列資訊:

1.1.1 事件來源

Novell Sentinel Log Manager 可從產生記錄至 syslog、Windows 事件記錄、檔案、資料庫、SNMP、Novell Audit、Security Device Event Exchange (SDEE)、Check Point Open Platforms for Security (OPSEC) 以及其他儲存機制與通訊協定的事件來源收集資料。

如果有適合的連接器剖析來自這些事件來源的資料,Sentinel Log Manager 可支援所有事件來源。Novell Sentinel Log Manager 為許多事件來源提供收集器。泛型事件收集器可從擁有適合連接器但無法辨識的事件來源中收集和處理資料。

您可以使用「事件來源管理」介面,為資料收集設定事件來源。

如需所支援事件來源的完整清單,請參閱節 2.6, 支援的事件來源

1.1.2 事件來源管理

「事件來源管理」介面可讓您輸入及設定 Sentinel 6.0 與 6.1 連接器與收集器。

您可以透過「事件來源管理」視窗的即時檢視,執行以下任務:

  • 使用「組態」精靈新增或編輯事件來源的連接。

  • 檢視事件來源連接的即時狀態。

  • 將事件來源組態輸入至「即時檢視」或從「即時檢視」匯出事件來源組態。

  • 檢視及設定隨 Sentinel 安裝的連接器與收集器。

  • 從集中儲存機制輸入連接器與收集器,或將連接器與收集器匯出至集中儲存機制。

  • 監看在設定之收集器與連接器間流通的資料。

  • 檢視原始資料資訊。

  • 設計、設定與建立「事件來源階層」的元件,以及使用這些元件執行必要動作。

如需詳細資訊,請參閱《Sentinel 使用者指南》的「事件來源管理」一節。

1.1.3 資料收集

Novell Sentinel Log Manager 可在連接器與收集器的幫助下,收集設定事件來源的資料。

收集器是一種程序檔,可將各種事件來源的資料剖析為標準化 Sentinel 事件結構,或在某些情況下,收集其他形式外部資料來源的資料。部署每個收集器時都應該一併部署相容的連接器。連接器有助於 Sentinel Log Manager 收集器與事件或資料來源之間的連接。

Novell Sentinel Log Manager 可為 syslog 與 Novell Audit 提供增強的網路型使用者介面支援,以輕鬆收集不同事件來源的記錄。

Novell Sentinel Log Manager 會使用各種連接方式收集資料:

  • Syslog 連接器會自動接受及設定可透過「使用者資料包通訊協定」(UDP)、「傳輸控制通訊協定」(TCP) 或安全「輸送層系統」(TLS) 傳送資料的 syslog 資料來源。

  • 稽核連接器會自動接受及設定啟用稽核的 Novell 資料來源。

  • 檔案連接器會讀取記錄檔案。

  • SNMP 連接器會接收 SNMP Trap。

  • JDBC 連接器會讀取資料庫表格。

  • WMS 連接器會存取桌上型電腦與伺服器的 Windows 事件記錄。

  • SDEE 連接器會連接至支援 SDEE 通訊協定的設備,如 Cisco 設備。

  • Check Point Log Export API (LEA) 連接器有助於 Sentinel 收集器與 Check Point 防火牆伺服器之間的整合。

  • Sentinel Link 連接器會接受來自其他 Novell Sentinel Log Manager 伺服器的資料。

  • 處理連接器會接受來自輸出事件記錄之自定程序的資料。

您也可以購買額外授權,來下載適用於 SAP 與大型主機作業系統的連接器。

若要取得授權,請致電 1-800-529-3400 或聯絡 Novell 技術支援 (NTS)

如需有關設定連接器的詳細資訊,請參閱 Sentinel Content 網站的連接器文件。

如需有關設定資料收集的詳細資訊,請參閱《Sentinel Log Manager 1.1 管理指南》中的「設定資料收集」。

附註:您必須一律下載及輸入最新版本的收集器與連接器。更新的收集器與連接器會定期發佈至 Sentinel 6.1 內容網站。連接器與收集器的更新包括修正、其他事件的支援以及效能改善。

1.1.4 收集器管理員

收集器管理員為 Sentinel Log Manager 提供了靈活的資料收集點。依預設,Novell Sentinel Log Manager 會在安裝期間安裝收集器管理員。但是,您可以在網路中的適當位置,遠端安裝收集器管理員。這些遠端收集器管理員可執行連接器與收集器,並將收集的資料轉遞至 Novell Sentinel Log Manager 以進行儲存及處理。

如需有關安裝其他收集器管理員的詳細資訊,請參閱安裝其他收集器管理員

1.1.5 資料儲存

資料會從資料收集元件流向資料儲存元件。這些元件會使用檔案型資料儲存與索引系統來保留收集的設備記錄資料,並使用 PostgreSQL 資料庫來保留 Novell Sentinel Log Manager 組態資料。

資料會以壓縮格式儲存在伺服器檔案系統上,然後再儲存在設定位置以便長期儲存。您可在本地儲存資料,或將其儲存在遠端掛接的 SMB (CIFS) 或 NFS 共享上。根據在資料保留規則中設定的排程,本地與網路儲存位置中資料檔案會自動刪除

如果超過儲存位置特殊資料的資料保留時間限制,或者如果可用空間降到指定磁碟空間值以下,您可以設定資料保留規則以刪除該儲存位置的資料。

如需有關設定資料儲存的詳細資訊,請參閱《Sentinel Log Manager 1.1 管理指南》中的「設定資料儲存」。

1.1.6 搜尋與報告

搜尋與報告元件可協助您在本地與網路資料儲存以及索引系統中,搜尋及報告事件記錄資料。您可以使用一般方式搜尋儲存的事件資料,或者針對特定事件欄位 (如來源使用者名稱) 搜尋。您可以進一步精簡或過濾這些搜尋結果,並將其另存為報表範本以供未來使用。

Sentinel Log Manager 隨附預先安裝的報表。您也可以上載其他報表。您可以按照排程或者在需要時執行報表。

如需有關預設報表清單的資訊,請參閱《Sentinel Log Manager 1.1 管理指南》中的「報表」。

如需有關搜尋事件和產生報表的資訊,請參閱《Sentinel Log Manager 1.1 管理指南》中的「搜尋」與「報表」。

1.1.7 Sentinel Link

可以使用「Sentinel 連結」將事件資料從某個 Sentinel Log Manager 轉遞到另一個 Sentinel Log Manager。透過由多個 Sentinel Log Manager 組成的階層式集合,可在多個地理位置維護完整的記錄,同時將較重要的事件轉遞到單一 Sentinel Log Manager 以執行集中搜尋與報告作業。

此外,Sentinel Link 可將重要事件轉遞到 Novell Sentinel (更完整的安全性資訊與事件管理 (SIEM) 系統),以執行進階關連、事件補救與加入重要上下文資訊 (例如,伺服器重要性或來自身分管理系統的身分資訊) 等作業。

1.1.8 網路型使用者介面

Novell Sentinel Log Manager 隨附可設定及使用 Log Manager 的網路型使用者介面。使用者介面功能由網路伺服器與以 Java Web Start 為基礎的圖形使用者介面所提供。所有使用者介面都會使用加密連線與伺服器通訊。

您可以使用 Novell Sentinel Log Manager Web 介面來執行下列任務:

  • 搜尋事件

  • 將搜尋準則儲存為報告範本

  • 檢視及管理報表

  • 啟動「事件來源管理」介面,來為 syslog 與 Novell 應用程式以外的資料來源設定資料收集。(僅限管理員)

  • 設定資料轉遞 (僅限管理員)

  • 為遠端安裝下載 Sentinel 收集器管理員安裝程式 (僅限管理員)

  • 檢視事件來源的狀態 (僅限管理員)

  • 為 syslog 與 Novell 資料來源設定資料收集 (僅限管理員)

  • 設定資料儲存與檢視資料庫的狀態 (僅限管理員)

  • 設定資料歸檔 (僅限管理員)

  • 設定相關聯的動作,以傳送符合的事件資料到輸出通道 (僅限管理員)

  • 管理使用者帳戶與許可 (僅限管理員)