本節可協助您瞭解 Sentinel Rapid Deployment 服務的安裝後組態。
Sentinel 控制中心中的預設日期與時間格式可以覆寫。如需自定日期與時間格式以符合您當地時區的詳細資訊,請造訪 Java 網站。
編輯 SentinelPreferences.properties 檔案。
<install_directory>/config/SentinelPreferences.properties
移除下列行中的備註,並對 Sentinel 控制中心的事件日期/時間欄位自定日期與時間格式︰
com.eSecurity.Sentinel.event.datetimeformat=yyyy-MM-dd'T'HH:mm:ss.SSSZ
在 Sentinel Rapid Deployment 中,JavaScript SendEmail 動作與 SMTP Integrator 搭配使用,可從 Sentinel 介面的各種環境中將郵件訊息傳送給郵件收件人。SMTP Integrator 必須使用有效的連線資訊進行設定才能正常工作。如需詳細資訊,請參閱《Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者指南) 中的 Sending an E-mail
(傳送電子郵件)。
在每次 Sentinel 安裝中,都會自動建立 SendEmail 動作外掛程式的單一動作例項。除了在動作參數中設定郵件訊息的收件人及訊息內容之外,SendEmail 動作無需設定其他組態。
在下列情況中,Sentinel 會從內部觸發此 SendEmail 動作以傳送郵件︰
產生關連規則時,即會觸發 SendEmail 動作。此 SendEmail 動作是以齒輪圖示表示的動作,僅對關連有效 (跟以 JS JavaScript 圖示表示的 JavaScript SendEmail 動作相反)。
工作流程包括設定為傳送電子郵件的郵件步驟或活動時。
使用者開啟事件並加以選取以執行設定為傳送電子郵件的活動時。
使用者在事件上按一下滑鼠右鍵並選取時。
使用者開啟事件並選取時。
收集器管理員可管理所有資料收集程序與資料剖析。有時候,可能必須新增額外的「Sentinel 收集器管理員」節點至 Sentinel 環境,才能在各機器間達成負載平衡。遠端收集器管理員提供數種優點:
提供分散事件剖析與處理作業,可提高系統效能。
透過與事件來源並存,可在來源系統上進行過濾、加密和資料壓縮。這可降低網路頻寬要求,並對資料提供額外保護。
可在其他作業系統上安裝。例如,可在 Microsoft Windows 上安裝收集器管理員節點,以使用 WMI 通訊協定進行資料收集。
提供檔案快取功能,讓遠端收集器管理員可以在伺服器暫時忙著歸檔或處理突增事件時快取大量資料。這對於本身不支援事件快取的通訊協定 (例如,Syslog) 是一項優點。
在額外的機器上安裝「收集器管理員」元件的例項,這些元件即可達成負載平衡。您可以在新機器上執行安裝程式,來安裝其他收集器管理員。如需安裝收集器管理員的詳細資訊,請參閱節 3.3.4, 安裝 Sentinel 收集器管理員 (在 SLES 或 Windows 上)。
安裝 Sentinel Rapid Deployment 伺服器期間,會設定名為「一般收集器」的收集器。根據預設值,它會以每秒 5 個事件 (eps) 的速率建立事件。
如果要為系統配備任何其他收集器,您可以從 Novell 網站下載。
您必須將 Sentinel 伺服器連接到 NTP (網路時間通訊協定) 伺服器或其他類型的時間伺服器。若各機器上的系統時間不同步,則「Sentinel 關連引擎」與 Active View 無法正常運作。系統不會將「收集器管理員」傳來的事件視為即時事件,因此不會將這些事件直接傳送至「Sentinel 資料庫」,略過「Sentinel 控制中心」與「關連引擎」。
依預設,即時資料的限定值為 120 秒。您只要變更 event-router.properties檔案中 esecurity.router.event.realtime.expiration 的值,即可完成修改。Sentinel 事件時間會根據「信任裝置時間」或「收集器管理員時間」填入。您可在設定收集器時,選取「信任裝置時間」。「信任裝置時間」為裝置產生記錄的時間,「收集器管理員時間」則為「收集器管理員系統」的本機系統時間。