sentinel log manager 1.2€¦ · fournit ce document et le logiciel qui y est dÉcrit « en...

Sentinel Log Manager 1.2.2

Guide d’installation

Juillet 2014

Mentions légales

NetIQ Sentinel est protégé par le brevet américain n° 05829001.

CE DOCUMENT ET LE LOGICIEL QUI Y EST DÉCRIT SONT FOURNIS CONFORMÉMENT AUX TERMES D’UN ACCORD DE LICENCE OU D’UN ACCORD DE NON-DIVULGATION, ET SONT SOUMIS AUXDITS TERMES. SAUF DISPOSITIONS EXPRESSÉMENT PRÉVUES DANS CET ACCORD DE LICENCE OU DE NON-DIVULGATION, NETIQ CORPORATION FOURNIT CE DOCUMENT ET LE LOGICIEL QUI Y EST DÉCRIT « EN L’ÉTAT », SANS GARANTIE D’AUCUNE SORTE, EXPLICITE OU IMPLICITE, Y COMPRIS, MAIS DE MANIÈRE NON LIMITATIVE, TOUTE GARANTIE IMPLICITE DE VALEUR COMMERCIALE OU D’ADÉQUATION À UN USAGE PARTICULIER. CERTAINS ÉTATS N’AUTORISENT PAS LES EXCLUSIONS DE GARANTIE EXPLICITES OU IMPLICITES DANS LE CADRE DE CERTAINES TRANSACTIONS ; IL SE PEUT DONC QUE VOUS NE SOYEZ PAS CONCERNÉ PAR CETTE DÉCLARATION.

À des fins de clarté, tout module, adaptateur ou autre équipement semblable (« Module ») est concédé sous licence selon les termes du Contrat de Licence Utilisateur Final relatif à la version appropriée du produit ou logiciel NetIQ auquel il fait référence ou avec lequel il interopère. En accédant à un module, en le copiant ou en l’utilisant, vous acceptez d’être lié auxdits termes. Si vous n’acceptez pas les termes du Contrat de licence utilisateur final, vous n’êtes pas autorisé à utiliser un module, à y accéder ou à le copier. Vous devez alors en détruire toutes les copies et contacter NetIQ pour obtenir des instructions supplémentaires.

Ce document et le logiciel qui y est décrit ne peuvent pas être prêtés, vendus ou donnés sans l’autorisation écrite préalable de NetIQ Corporation, sauf si cela est autorisé par la loi. Sauf dispositions contraires expressément prévues dans cet accord de licence ou de non-divulgation, aucune partie de ce document ou du logiciel qui y est décrit ne pourra être reproduite, stockée dans un système d’extraction ou transmise sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique ou autre, sans le consentement écrit préalable de NetIQ Corporation. Certaines sociétés, appellations et données contenues dans ce document sont utilisées à titre indicatif et ne représentent pas nécessairement des sociétés, personnes ou données réelles.

Ce document peut contenir des imprécisions techniques ou des erreurs typographiques. Ces informations font périodiquement l’objet de modifications, lesquelles peuvent être incorporées dans de nouvelles versions de ce document. NetIQ Corporation se réserve le droit d'apporter, à tout moment, des améliorations ou des modifications au logiciel décrit dans le présent document.

Droits restreints sous les lois du gouvernement des États-Unis : si le logiciel et la documentation sont achetés par ou au nom du gouvernement des États-Unis ou par un entrepreneur principal ou un sous-traitant (à n'importe quel niveau) du gouvernement des États-Unis, conformément aux articles 48 C.F.R. 227.7202-4 (pour les achats effectués par le département de la Défense) et 48 C.F.R. 2.101 et 12.212 (pour les achats effectués par un autre département), les droits du gouvernement par concernant le logiciel et la documentation, ainsi que ses droits d'utiliser, de modifier, de reproduire, de publier, d'exécuter, d'afficher ou de divulguer le logiciel ou la documentation, seront soumis, à tous les égards, aux restrictions et droits de licence commerciale exposés dans l'accord de licence.

© 2014 NetIQ Corporation. Tous droits réservés. Pour plus d'informations sur les marques de NetIQ, consultez le site http://www.netiq.com/company/legal/.

http://www.netiq.com/company/legal/

http://www.netiq.com/company/legal/

Table des matières

À propos de ce guide 7

1 Introduction 9

1.1 Présentation du produit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.1.1 Sources d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111.1.2 Gestion de source d'événements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.1.3 Collecte des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.1.4 Gestionnaire des collecteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131.1.5 Stockage des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131.1.6 Recherche et création de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141.1.7 Lien Sentinel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141.1.8 Interface utilisateur Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.2 Présentation de l'installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

2 Configuration système requise 17

2.1 Configuration matérielle requise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.1.1 Serveur Sentinel Log Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.1.2 Système des gestionnaires des collecteurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192.1.3 Estimation des conditions de stockage des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192.1.4 Estimation de l'utilisation des E/S disque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202.1.5 Estimation de l'utilisation de la bande passante réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.1.6 Environnement virtuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

2.2 Systèmes d'exploitation pris en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222.2.1 Sentinel Log Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222.2.2 Gestionnaire des collecteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

2.3 Navigateurs pris en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222.3.1 Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232.3.2 Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

2.4 Environnement virtuel pris en charge. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232.5 Connecteurs pris en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232.6 Sources d'événements prises en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242.7 Limites recommandées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

2.7.1 Limites du gestionnaire des collecteurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262.7.2 Limites concernant les rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272.7.3 Limites d'événements par seconde dans les actions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272.7.4 Limites SLES concernant les fichiers ouverts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

2.8 Performances des recherches et des rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282.8.1 Vitesse de la recherche et de l'obtention de la réponse . . . . . . . . . . . . . . . . . . . . . . . . . . . 282.8.2 Vitesse de génération des rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

3 Installation sur un système SLES 11 SP1 existant 31

3.1 Avant de commencer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313.2 Installation standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333.3 Installation personnalisée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343.4 Installation en mode silencieux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363.5 Installation non-root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Table des matières 3

4 Guid

4 Installation de l'applicatif 39

4.1 Avant de commencer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394.2 Ports utilisés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.2.1 Ports ouverts sur le pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404.2.2 Ports utilisés localement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

4.3 Installation de l'applicatif VMware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414.4 Installation de l'applicatif Xen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424.5 Installation de l'applicatif sur du matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444.6 Configuration post-installation de l'applicatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

4.6.1 Installation des outils VMware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454.6.2 Connexion à l'interface Web de l'applicatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

4.7 Configuration de WebYaST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464.8 Configuration de l'applicatif avec l'outil SMT (Subscription Management Tool). . . . . . . . . . . . . . . . . 47

4.8.1 Conditions préalables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474.8.2 Configuration de l'applicatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484.8.3 Mise à niveau de l'applicatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

4.9 Arrêt et démarrage de l'applicatif à l'aide de l'interface utilisateur Web . . . . . . . . . . . . . . . . . . . . . . . 484.10 Enregistrement pour obtenir les mises à jour. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

5 Mise à niveau de Sentinel Log Manager 51

5.1 Conditions préalables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515.2 Mise à niveau du serveur Sentinel Log Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525.3 Mise à niveau du gestionnaire des collecteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545.4 Mise à niveau de l'applicatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

5.4.1 Mise à niveau de l'applicatif à l'aide de WebYast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545.4.2 Mise à niveau de l'applicatif à l'aide de Zypper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555.4.3 Mise à niveau de l'applicatif à l'aide de SMT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

5.5 Mise à niveau des plug-ins Sentinel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

6 Connexion à l'interface Web 57

7 Installation de gestionnaires des collecteurs supplémentaires 59

7.1 Avant de commencer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597.2 Avantages de l'installation de gestionnaires des collecteurs supplémentaires . . . . . . . . . . . . . . . . . 607.3 Installation de gestionnaires des collecteurs supplémentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

8 Désinstallation 63

8.1 Désinstallation de l'applicatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638.2 Désinstallation de Sentinel Log Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638.3 Désinstallation du gestionnaire des collecteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

8.3.1 Désinstallation du gestionnaire des collecteurs sous Linux. . . . . . . . . . . . . . . . . . . . . . . . . 648.3.2 Désinstallation du gestionnaire des collecteurs sous Windows. . . . . . . . . . . . . . . . . . . . . . 648.3.3 Nettoyage manuel des répertoires. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

A Dépannage - installation 67

A.1 Échec de la mise à niveau de Sentinel Log Manager si le mot de passe dbauser ne correspond pas à celui repris dans le fichier .pgpass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

A.2 Échec de l'installation en raison d'une configuration réseau incorrecte . . . . . . . . . . . . . . . . . . . . . . . 68A.3 Problème de configuration du réseau avec VMware Player 3 sous SLES 11 . . . . . . . . . . . . . . . . . . 68

e d'installation de Novell Sentinel Log Manager 1.2.2

A.4 Le gestionnaire des collecteurs génère une exception sous Windows 2008 lorsque le contrôle d'accès utilisateur est activé. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

A.5 Mise à niveau de Sentinel Log Manager installé par un utilisateur non-root autre que novell . . . . . . 70A.6 L'UUID n'est pas créé pour les gestionnaires des collecteurs ayant fait l'objet d'une création

d'image. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Terminologie Sentinel 71

Table des matières 5

6 Guide d'installation de Novell Sentinel Log Manager 1.2.2

À propos de ce guide

Ce guide fournit un aperçu de Novell Sentinel Log Manager et de son installation.

Chapitre 1, « Introduction », page 9 Chapitre 2, « Configuration système requise », page 17 Chapitre 3, « Installation sur un système SLES 11 SP1 existant », page 31 Chapitre 4, « Installation de l'applicatif », page 39 Chapitre 5, « Mise à niveau de Sentinel Log Manager », page 51 Chapitre 6, « Connexion à l'interface Web », page 57 Chapitre 7, « Installation de gestionnaires des collecteurs supplémentaires », page 59 Chapitre 8, « Désinstallation », page 63 Annexe A, « Dépannage - installation », page 67 « Terminologie Sentinel » page 71

Public

Ce guide est destiné aux administrateurs du gestionnaire des journaux Novell Sentinel et à ses utilisateurs finals.

Commentaires

Nous souhaiterions connaître vos commentaires et suggestions sur ce guide et les autres documentations fournies avec ce produit. Utilisez la fonction Commentaires de l'utilisateur au bas de chaque page de la documentation en ligne ou accédez au site Web Novell de commentaires sur la documentation (http://www.novell.com/documentation/feedback.html) pour y entrer vos commentaires.

Documentation supplémentaire

Pour plus d'informations sur la création de vos propres plug-ins (par exemple JasperReports), reportez-vous à la page Web du SDK de Sentinel (http://developer.novell.com/wiki/index.php/Develop_to_Sentinel). L'environnement de création de plug-ins de rapport Sentinel Log Manager est identique à celui décrit pour Novell Sentinel.

Pour plus d'informations sur la documentation de Sentinel, reportez-vous au site Web de documentation de Sentinel (http://www.novell.com/documentation/sentinel61/index.html).

Pour obtenir de la documentation supplémentaire concernant la configuration de Sentinel Log Manager, consultez le Sentinel Log Manager 1.2.2 Administration Guide (Guide d'administration de Sentinel Log Manager 1.2).

Contacter Novell

Site Web de Novell (http://www.novell.com)

À propos de ce guide 7

http://www.novell.com/documentation/feedback.html

http://www.novell.com/documentation/feedback.html

http://developer.novell.com/wiki/index.php/Develop_to_Sentinel

http://www.novell.com/documentation/sentinel61/index.html

http://www.novell.com/documentation/sentinel61/index.html

http://www.novell.com

Support technique de Novell (http://support.novell.com/phone.html?sourceidint=suplnav4_phonesup)

Auto-assistance Novell (http://support.novell.com/support_options.html?sourceidint=suplnav_supportprog)

Site de téléchargement des correctifs (http://download.novell.com/index.jsp) Support Novell 24 heures sur 24, 7 jours sur 7 (http://www.novell.com/company/contact.html) Sentinel TIDS (http://support.novell.com/products/sentinel) Forum de support de la communauté Sentinel (http://forums.novell.com/novell-product-

support-forums/sentinel/)


http://support.novell.com/phone.html?sourceidint=suplnav4_phonesup

http://support.novell.com/support_options.html?sourceidint=suplnav_supportprog

http://download.novell.com/index.jsp

http://www.novell.com/company/contact.html

http://support.novell.com/products/sentinel

http://forums.novell.com/novell-product-support-forums/sentinel/

1 1Introduction

Novell Sentinel Log Manager collecte et gère les données de nombreux types de périphériques et d'applications, y compris les systèmes de détection d'intrusions, les pare-feux, les systèmes d'exploitation, les routeurs, les serveurs Web, les bases de données, les commutateurs, les gros systèmes et les sources d'événements d'antivirus. Il permet de traiter un taux d'événements élevé, de conserver des données à long terme ainsi que sur la base de stratégies, de regrouper des données régionales et fournit des fonctions simples de recherche et de création de rapports pour une vaste gamme d'applications et de périphériques.

Section 1.1, « Présentation du produit », page 9 Section 1.2, « Présentation de l'installation », page 15

1.1 Présentation du produitNovell Sentinel Log Manager 1.2 fournit aux organisations une solution flexible et évolutive pour la gestion des journaux. Capable de surmonter les difficultés liées à la gestion et la collecte de base des journaux, Novell Sentinel Log Manager se positionne également comme une solution complète axée sur la réduction des coûts et de la complexité du risque de gestion, tout en simplifiant les exigences de mise en conformité.

Introduction 9

Figure 1-1 Architecture de Novell Sentinel Manager

Dispositifs

Java Web Start

Bus de messages (ActiveMQ)

Rechercher

Rechercher

NFS

httpsSSL SSL

CIFS

Rechercher

Service de collecte des données

DAS (Data Access Service)

Service de création de rapports (Jasper)

Service d'événements

Conteneur Servlet TomcatProxy SSL

Client

Log Manager Appliance

Base de donnéesde configuration(PostgreSQL)

Zone de stockage des événements en ligne

• Gestion de source d'événements• Canaux

EnterasysDragon

Données brutes

Index desévénements

Gestion à distance des communications

Partition 1

GWT JSP

HP-UX

Événe-ments

Données brutes

Index desévénements

Partition 2

Événe-ments

Zone de stockage des événements archivés

Partition N-2(zip)

Partition N-1(zip)

Partition N(zip)

SLES

Check PointIPS

Pare-feu Cisco

IBMAIX

Tripwire • Configuration• Gestion des utilisateurs

• Stockage des rapports• Exécution des rapports

• Stockage des données brutes/des événements• Recherche d'événements• Archivage

ESMSwing UI

Firefox/InternetExplorer

Collector Manager Lite

SSL


Novell Sentinel Log Manager intègre les fonctions suivantes :

des fonctionnalités de recherche distribuée qui permettent aux clients de rechercher des événements collectés, non seulement sur le serveur Sentinel Log Manager local, mais également sur un ou plusieurs serveurs Sentinel Log Manager à partir d'une console centralisée ;

des rapports de conformité précréés pour simplifier la tâche de génération des rapports de conformité pour une analyse d'audit ou d'investigation ;

la mise à la disposition des clients d'une technologie de stockage non propriétaire leur permettant d'utiliser leur infrastructure existante pour une meilleure gestion des coûts.

une interface utilisateur améliorée basée sur un navigateur prenant en charge la collecte, le stockage, la création de rapports ainsi que la recherche de données dans les journaux afin de simplifier considérablement les tâches de surveillance et de gestion.

des contrôles granulaires et efficaces ainsi de options de personnalisation pour les administrateurs IT par le biais de nouvelles fonctions d'autorisations pour les groupes et les utilisateurs afin d'améliorer la transparence des activités au sein de l'infrastructure IT.

Cette section contient les informations suivantes :

Section 1.1.1, « Sources d'événements », page 11 Section 1.1.2, « Gestion de source d'événements », page 12 Section 1.1.3, « Collecte des données », page 12 Section 1.1.4, « Gestionnaire des collecteurs », page 13 Section 1.1.5, « Stockage des données », page 13 Section 1.1.6, « Recherche et création de rapports », page 14 Section 1.1.7, « Lien Sentinel », page 14 Section 1.1.8, « Interface utilisateur Web », page 14

1.1.1 Sources d'événements

Novell Sentinel Log Manager collecte des données à partir de sources d'événements qui génèrent des journaux dans syslog, le journal des événements, les fichiers, les bases de données Windows, SNMP, Novell Audit, SDEE (Security Device Event Exchange), OPSEC (Open Platforms for Security) de Check Point et d'autres mécanismes et protocoles de stockage.

Sentinel Log Manager prend en charge toutes les sources d'événements à condition que des connecteurs soient adaptés à l'analyse des données provenant de ces dernières. Novell Sentinel Log Manager fournit des collecteurs pour de nombreuses sources d'événements. Le collecteur générique des événements collecte et traite les données provenant de sources d'événements non reconnues mais pour lesquelles il existe des connecteurs appropriés.

Vous pouvez configurer les sources d'événements pour la collecte de données à l'aide de l'interface Gestion de source d'événements.

Pour obtenir une liste complète des sources d'événements prises en charge, reportez-vous à la Section 2.6, « Sources d'événements prises en charge », page 24.

Introduction 11

1.1.2 Gestion de source d'événements

L'interface Gestion de source d'événements permet d'importer et de configurer les connecteurs et collecteurs Sentinel 6.0 et 6.1.

Vous pouvez effectuer les tâches suivantes à partir de la vue en direct de la fenêtre Gestion de source d'événements :

ajouter ou éditer des connexions aux sources d'événements à l'aide des assistants de configuration ;

afficher l'état en temps réel des connexions aux sources d'événements ; importer ou exporter la configuration des sources d'événements dans la vue en direct ou à partir

de cette dernière ; afficher et configurer des connecteurs et collecteurs installés avec Sentinel ; importer ou exporter des connecteurs et collecteurs vers un espace de stockage centralisé ou à

partir de ce dernier ; surveiller les flux de données à l'aide des collecteurs et des connecteurs configurés. afficher des informations sur les données brutes ; concevoir, configurer et créer les composants de la hiérarchie de la source d'événements et

exécuter les opérations requises à l'aide de ces composants.

Pour plus d'informations, reportez-vous à la section Gestion de source d'événements du Guide de l'utilisateur de Sentinel (http://www.novell.com/documentation/sentinel61/#admin).

1.1.3 Collecte des données

Novell Sentinel Log Manager collecte les données à partir de sources d'événements configurées à l'aide des connecteurs et collecteurs.

Les collecteurs sont des scripts qui analysent les données à partir d'une multitude de sources d'événements dans la structure d'événements Sentinel normalisée ou dans certains cas, qui collectent d'autres formes de données à partir de sources de données externes. Chaque collecteur doit être déployé avec un connecteur compatible. Les connecteurs facilitent la connectivité entre les collecteurs Sentinel Log Manager et les sources de données ou d'événements.

Novell Sentinel Log Manager prend en charge l'interface utilisateur Web améliorée pour syslog et Novell Audit afin de collecter aisément des journaux à partir de différentes sources d'événements.

Pour collecter les données, Novell Sentinel Log Manager utilise de nombreuses méthodes de connexion :

Le connecteur syslog accepte et configure automatiquement les sources de données syslog qui envoient des données sur les protocoles UDP (User Datagram Protocol), TCP (Transmission Control Protocol) ou le protocole sécurisé TLS (Transport Layer System).

Le connecteur d'audit accepte et configure automatiquement les sources de données Novell activées pour l'audit.

Le connecteur de fichier lit les fichiers journaux. Le connecteur SNMP reçoit les trappes SNMP. Le connecteur JDBC lit à partir des tables de base de données. Le connecteur WMS accède aux journaux des événements Windows sur les bureaux et les

serveurs.


http://www.novell.com/documentation/sentinel61/#admin

http://www.novell.com/documentation/sentinel61/#admin

Le connecteur SDEE se connecte aux périphériques qui prennent en charge le protocole SDEE, tels que les périphériques Cisco.

Le connecteur LEA (Log Export API) de Check Point facilite l'intégration entre les collecteurs Sentinel et les serveurs pare-feu Check Point.

Le connecteur de lien Sentinel accepte les données d'autres serveurs Novell Sentinel Log Manager.

Le connecteur de processus accepte les données de processus personnalisés qui génèrent des journaux d'événements.

Vous pouvez également acheter une licence supplémentaire afin de télécharger des connecteurs pour des systèmes d'exploitation SAP et gros systèmes.

Pour obtenir une licence, appelez le 001-800-529-3400 ou contactez le support technique de Novell (http://support.novell.com).

Pour plus d'informations sur la configuration des connecteurs, consultez les documents relatifs aux connecteurs sur le site Web des plug-ins Sentinel (http://support.novell.com/products/sentinel/secure/sentinelplugins.html).

Pour plus d'informations sur la configuration de la collecte des données, reportez-vous à la section « Configuring Data Collection » (Configuration de la collecte des données) du Sentinel Log Manager 1.2.2 Administration Guide (Guide d'administration de Sentinel Log Manager 1.2).

REMARQUE : vous devez toujours télécharger et importer la dernière version des collecteurs et des connecteurs. Des mises à jour régulières de collecteurs et de connecteurs sont publiées sur le site Web des plug-ins Sentinel 6.1 (http://support.novell.com/products/sentinel/secure/sentinelplugins.html). Les mises à jour des connecteurs et collecteurs incluent des correctifs, la prise en charge d'événements supplémentaires ainsi que des améliorations de performances.

1.1.4 Gestionnaire des collecteurs

Le gestionnaire des collecteurs fournit un point flexible de collecte de données pour Sentinel Log Manager. Novell Sentinel Log Manager installe un gestionnaire des collecteurs par défaut pendant l'installation. Vous pouvez toutefois installer des gestionnaires des collecteurs à distance aux emplacements appropriés de votre réseau. Ces gestionnaires des collecteurs distants exécutent des connecteurs et des collecteurs et transfèrent les données collectées à Novell Sentinel Log Manager à des fins de stockage et de traitement.

Pour obtenir des informations sur l'installation de gestionnaires des collecteurs supplémentaires, reportez-vous à la section « Installation de gestionnaires des collecteurs supplémentaires » page 60.

1.1.5 Stockage des données

Les données sont transférées des composants de collecte de données vers des composants de stockage de données. Ces composants utilisent un système d'indexation et de stockage des données basé sur les fichiers pour conserver les données des journaux de périphérique collectées ainsi qu'une base de données PostgreSQL pour conserver les données de configuration Novell Sentinel Log Manager.

Les données sont d'abord stockées dans un format compressé sur le système de fichiers du serveur avant d'être stockées à long terme à un emplacement configuré. Leur stockage peut être local ou s'effectuer via un partage NFS ou SMB (CIFS) monté à distance. Les fichiers de données sont supprimés des emplacements de stockage locaux et réseau selon une planification configurée dans la stratégie de conservation des données.

Introduction 13

http://support.novell.com

http://support.novell.com/products/sentinel/secure/sentinelplugins.html


Vous pouvez configurer des stratégies de conservation des données afin que les données situées à l'emplacement de stockage spécifié soient supprimées lorsque leur limite de conservation est atteinte ou lorsque l'espace disponible passe sous la limite de la valeur d'espace disque spécifiée.

Pour plus d'informations sur la configuration du stockage des données, reportez-vous à la section « Configuring Data Storage » (Configuration du stockage des données) du Sentinel Log Manager 1.2.2 Administration Guide (Guide d'administration de Sentinel Log Manager 1.2).

1.1.6 Recherche et création de rapports

Les composants de recherche et de création de rapports vous aident à rechercher et à créer des rapports sur les données de journaux d'événements contenues dans les systèmes d'indexation et de stockage des données locaux et réseau. Les données d'événement stockées peuvent être recherchées de façon générique ou par rapport à des champs d'événement spécifiques tels qu'un nom d'utilisateur source. Les résultats de recherche peuvent encore être affinés ou filtrés et enregistrés en tant que modèle de rapport à utiliser ultérieurement.

Sentinel Log Manager est livré avec des rapports préinstallés. Des rapports supplémentaires peuvent toutefois être téléchargés. Vous pouvez exécuter des rapports à un moment planifié ou lorsque cela est nécessaire.

Pour plus d'informations sur la liste des rapports par défaut, reportez-vous à la section « Reporting » (Création de rapports) du Sentinel Log Manager 1.2.2 Administration Guide (Guide d'administration de Sentinel Log Manager 1.2).

Pour plus d'informations sur la recherche d'événements et la génération de rapports, reportez-vous aux sections « Searching Events » (Recherche d'événements) et « Reporting » (Création de rapports) du Sentinel Log Manager 1.2.2 Administration Guide (Guide d'administration de Sentinel Log Manager 1.2.2).

1.1.7 Lien Sentinel

Le lien Sentinel (Sentinel Link) permet de transférer des données d'événements d'un gestionnaire des journaux Sentinel à un autre. Lorsque les gestionnaires des journaux Sentinel sont hiérarchisés, des journaux complets peuvent être conservés à plusieurs emplacements régionaux tandis que les événements plus importants sont réacheminés vers un seul gestionnaire de journaux Sentinel utilisé pour les recherches centralisées et la création de rapports.

En outre, le lien Sentinel peut transférer les événements importants à Novell Sentinel, un système SIEM (Security Information Event Management) complet pour une corrélation avancée, le traitement des incidents et l'apport d'informations contextuelles très importantes, telles que des informations sur l'identité ou le niveau de gravité du serveur provenant d'un système de gestion des identités.

1.1.8 Interface utilisateur Web

Novell Sentinel Log Manager est livré avec une interface utilisateur Web pour configurer et utiliser le gestionnaire des journaux. La fonctionnalité de l'interface utilisateur est fournie par un serveur Web et une interface graphique basée sur Java Web Start. Toutes les interfaces utilisateur communiquent avec le serveur à l'aide d'une connexion codée.

L'interface Web du gestionnaire des journaux Novell Sentinel vous permet d'effectuer les opérations suivantes :

rechercher des événements ; enregistrer des critères de recherche sous la forme d'un modèle de rapport ;


afficher et gérer des rapports ; lancer l'interface de gestion de source d'événements pour configurer la collecte de données pour

les sources de données autres que les applications Novell et syslog (fonction réservée aux administrateurs) ;

configurer le réacheminement des données (fonction réservée aux administrateurs) ; télécharger le programme d'installation de Sentinel Collector Manager pour une installation à

distance (fonction réservée aux administrateurs) ; afficher l'état de santé des sources d'événements (fonction réservée aux administrateurs) ; configurer la collecte des données pour les sources de données syslog et Novell (fonction

réservée aux administrateurs) ; configurer le stockage des données et afficher l'état de santé de la base de données (fonction

réservée aux administrateurs) ; configurer l'archivage des données (fonction réservée aux administrateurs) ; configurer des opérations associées pour envoyer les données d'événement correspondantes aux

canaux de sortie (fonction réservée aux administrateurs) ; gérer les comptes et autorisations utilisateur (fonction réservée aux administrateurs).

1.2 Présentation de l'installationNovell Sentinel Log Manager peut être installé en tant qu'applicatif ou sur un système d'exploitation SLES (SUSE Linux Enterprise Server) 11 SP1 existant. Lorsque Sentinel Log Manager est installé en tant qu'applicatif, le serveur du gestionnaire des journaux est installé sur un système d'exploitation SLES 11 SP1.

Novell Sentinel Log Manager installe par défaut les composants suivants :

le serveur Sentinel Log Manager ; un serveur de communication ; un serveur Web et une interface utilisateur Web ; Serveur de rapports Gestionnaire des collecteurs

Certains de ces composants requièrent une configuration supplémentaire.

Novell Sentinel Log Manager installe un gestionnaire des collecteurs par défaut. Si vous en souhaitez d'autres, vous pouvez les installer séparément sur des machines distantes. Pour plus d’informations, reportez-vous à la Chapitre 7, « Installation de gestionnaires des collecteurs supplémentaires », page 59.

Introduction 15

2 2Configuration système requise

Les sections suivantes décrivent le matériel, le système d'exploitation, le navigateur, les connecteurs pris en charge ainsi que les exigences de compatibilité de la source d'événements pour Novell Sentinel Log Manager.

Section 2.1, « Configuration matérielle requise », page 17 Section 2.2, « Systèmes d'exploitation pris en charge », page 22 Section 2.3, « Navigateurs pris en charge », page 22 Section 2.4, « Environnement virtuel pris en charge », page 23 Section 2.5, « Connecteurs pris en charge », page 23 Section 2.6, « Sources d'événements prises en charge », page 24 Section 2.7, « Limites recommandées », page 26 Section 2.8, « Performances des recherches et des rapports », page 28

2.1 Configuration matérielle requise Section 2.1.1, « Serveur Sentinel Log Manager », page 17 Section 2.1.2, « Système des gestionnaires des collecteurs », page 19 Section 2.1.3, « Estimation des conditions de stockage des données », page 19 Section 2.1.4, « Estimation de l'utilisation des E/S disque », page 20 Section 2.1.5, « Estimation de l'utilisation de la bande passante réseau », page 21 Section 2.1.6, « Environnement virtuel », page 21

2.1.1 Serveur Sentinel Log Manager

Novell Sentinel Log Manager est pris en charge sur des processeurs Intel Xeon et AMD Opteron 64 bits, mais pas sur des processeurs Itanium.

Le tableau suivant répertorie les recommandations en matière de configuration matérielle pour un système de production qui conserve les données en ligne pendant 90 jours. Ces recommandations correspondent à une taille d'événement moyenne de 300 octets.

Tableau 2-1 Configuration matérielle requise pour Sentinel Log Manager

Configuration requise

Sentinel Log Manager (500 EPS)

Sentinel Log Manager (2 500 EPS)


Compression Jusqu'à 10:1 Jusqu'à 10:1 Jusqu'à 10:1

Configuration système requise 17

Suivez les instructions suivantes pour bénéficier de performances système optimales :

L'espace de stockage local doit disposer d'un espace suffisant pour contenir l'équivalent d'au moins 5 jours de données d'événement et de données brutes. Pour plus d'informations sur le calcul des exigences de stockage des données, reportez-vous à la section Section 2.1.3, « Estimation des conditions de stockage des données », page 19.

Le stockage en réseau contient toutes les données stockées pendant 90 jours, y compris la copie entièrement compressée des données d'événement dans une zone de stockage locale. Une copie des données d'événement est conservée dans une zone de stockage locale à des fins de recherche et de création de rapport. La taille de la zone de stockage locale peut être réduite si nécessaire. Toutefois, en raison de la surcharge d'informations provoquée par la décompression des données, une diminution de 70 % des performances est estimée pour les opérations de recherche et de création de rapport à partir de ces données qui autrement seraient conservées dans la zone de stockage local.

Vous devez configurer l'emplacement de stockage en réseau sur un sous-réseau de stockage (SAN) multi-unité externe ou un stockage en réseau (NAS).

Une machine peut inclure plusieurs sources d'événements. Par exemple, un serveur Windows peut inclure deux sources d'événements Sentinel pour pouvoir collecter simultanément les données d'un système d'exploitation Windows et d'une base de données SQL Server hébergée sur cette machine..

Le volume d'état stable recommandé est 80 % du nombre maximum d'EPS sous licence. Novell recommande d'ajouter des instances Sentinel Log Manager supplémentaires si cette limite est atteinte.

les limites maximales de sources d'événements ne sont pas des limites fixes, mais sont des recommandations basées sur des tests de performances effectués par Novell et supposent un faible taux d'événements moyen par seconde par source d'événements (moins de 3 EPS). Des taux d'EPS plus élevés donnent lieu à des sources d'événements moins durables. Vous pouvez

Nbre max. de sources d'év.

Jusqu'à 1000 Jusqu'à 1000 Jusqu'à 2000

Taux max. d'év. 500 2500 7 500

UC Une UC Intel Xeon E5450 3 GHz (4 coeurs)

ou

Deux UC Intel Xeon L5240 3-(2 coeurs) (total de 4 coeurs)

Une UC Intel Xeon E5450 3 GHz (4 coeurs)

ou

Deux UC Intel Xeon L5240 3-(2 coeurs) (total de 4 coeurs)

Deux UC Intel Xeon X5470 3,33 GHz (4 coeurs) (total de 8 coeurs)

Mémoire RAM (Random Access Memory)

4 Go 4 Go 8 Go

Stockage local (30 jours)

2x 500 Go, unités RPM 7,2 k (RAID matériel avec cache de 256 Mo, RAID 1)

4x 10 To, unités RPM 7,2 k (RAID matériel avec cache de 256 Mo, RAID 1)

16 x 600 Go, unités RPM 15 k, (matériel RAID avec cache de 512 Mo, RAID 10) ou sous-réseau de stockage (SAN) équivalent

Stockage en réseau (90 jours)

600 Go 2 To 5.8 To

Configuration requise

Sentinel Log Manager (500 EPS)




utiliser l'équation (nombre maximum de sources d'événements) x (moyenne d'EPS par source d'événements) = taux d'événement maximum pour obtenir les limites approximatives de votre taux d'EPS moyen ou nombre d'événements sources spécifiques, pour autant que le nombre maximum de sources d'événements ne dépasse pas la limite indiquée ci-dessus.

2.1.2 Système des gestionnaires des collecteurs

Un Intel Xeon X5570 de 2,93 GHz (4 coeurs)

4 Go de RAM

10 Go d'espace sur le disque dur

2.1.3 Estimation des conditions de stockage des données

Sentinel Log Manager permet de conserver des données brutes pendant longtemps pour satisfaire à des exigences légales ou autres. Il utilise la compression pour vous permettre d'utiliser efficacement votre espace de stockage local et réseau. Les besoins en stockage peuvent toutefois augmenter au fil du temps.

Pour ne pas devoir supporter les coûts engendrés par des systèmes volumineux, vous pouvez utiliser des systèmes de stockage de données économiques pour conserver les données à long terme. Les systèmes de stockage sur bande magnétique constituent la solution à la fois la plus courante et la moins onéreuse. Toutefois, ils présentent l'inconvénient de ne pas permettre un accès aléatoire aux données stockées, une condition pourtant nécessaire pour effectuer des recherches rapides. Dès lors, une approche hybride en la matière est souhaitable pour que les données sur lesquelles effectuer vos recherches soient disponibles sur un système de stockage à accès aléatoire et que celles à conserver (non utilisées pour les recherches) soient enregistrées sur un support économique, tel qu'une bande. Pour obtenir des instructions sur la mise en oeuvre de cette approche hybride, reportez-vous à la section « Using Sequential-Access Storage for Long Term Data Storage » (Utilisation d'un stockage des données à long terme à accès séquentiel) du Sentinel Log Manager 1.2.2 Administration Guide (Guide d'administration de Sentinel Log Manager 1.2).

Pour déterminer la quantité d'espace de stockage à accès aléatoire requise pour Sentinel Log Manager, estimez d'abord le nombre de jours de données pour lesquels vous devez régulièrement effectuer des recherches ou exécuter des rapports. Vous devez disposer de suffisamment d'espace à utiliser pour l'archivage des données sur le disque dur soit en local sur la machine Sentinel Log Manager, soit à distance sur les protocoles SMB (Server Message Block), CIFS, NFS (Network File System) ou sur le sous-réseau de stockage (SAN) pour Sentinel Log Manager.

En plus de la configuration minimale requise, vous devez disposer d'une quantité d'espace supplémentaire sur le disque dur :

pour pouvoir assimiler les taux de données supérieurs à ceux prévus ; pour pouvoir recopier les données des bandes dans Sentinel Log Manager afin d'effectuer des

recherches et de créer des rapports sur des données historiques.

Utilisez les formules suivantes pour estimer la quantité d'espace requise pour stocker les données :

Stockage local des événements (partiellement compressés) : {taille moyenne en octets par événement} x {nombre de jours} x {événements par seconde} x 0,00007 = Taille totale du stockage nécessaire en Go

La taille d'un événement est généralement comprise entre 300 et 1 000 octets.


Stockage en réseau des événements (entièrement compressés) : {taille moyenne en octets par événement} x {nombre de jours} x {événements par seconde} x 0,00002 = Taille totale du stockage nécessaire en Go

Stockage de données brutes (entièrement compressées dans les zones de stockage local et de stockage en réseau) : {taille moyenne en octets par enregistrement de données brutes} x {nombre de jours} x {événements par seconde} x 0,000012 = Taille totale du stockage nécessaire en GoLa taille moyenne des données brutes est généralement de 200 octets.

Taille totale du stockage local (avec stockage réseau activé) : {Taille du stockage local des événements pendant le nombre de jours souhaité} + {Taille du stockage de données brutes d'une journée} = Taille totale du stockage nécessaire en Go Si le stockage en réseau est activé, les données d'événement sont déplacées vers le stockage en réseau lorsque le stockage local est saturé. Les données brutes, en revanche, ne sont stockées sur le stockage local que temporairement avant d'être déplacées vers le stockage en réseau. Le déplacement des données brutes du stockage local vers le stockage en réseau prend généralement moins d'une journée.

Taille totale du stockage local (avec stockage réseau désactivé) : {Taille du stockage local des événements pendant la durée de conservation} + {Taille du stockage de données brutes pendant la durée de conservation} = Taille totale du stockage nécessaire en Go

Taille totale du stockage réseau : {Taille du stockage réseau des événements pendant la durée de conservation} + {Taille du stockage de données brutes pendant la durée de conservation} = Taille totale du stockage nécessaire en Go

REMARQUE :

Les coefficients de chaque formule représentent la valeur ((secondes par jour) x (Go par octet) x taux de compression).

Il ne s'agit là que d'estimations qui peuvent varier en fonction de la taille des données d'événement, ainsi que de celle des données compressées.

L'expression « partiellement compressées » signifie que les données sont compressées, mais que l'index des données ne l'est pas. L'expression « entièrement compressées » signifie que les données d'événement et les données d'index sont compressées. Le taux de compression des données d'événement est généralement de 10:1. Le taux de compression de l'index est généralement de 5:1. L'index permet d'optimiser la recherche dans les données.

Les formules ci-dessus vous permettent également de déterminer la quantité d'espace de stockage requise pour un système de stockage des données à long terme tel qu'une bande.

2.1.4 Estimation de l'utilisation des E/S disque

Utilisez les formules suivantes pour estimer l'utilisation du disque sur le serveur à différents taux d'événements par seconde.

Données écrites sur le disque (kilo-octets par seconde) : (taille moyenne d'événement en octets + taille moyenne des données brutes en octets) x (événements par seconde) x coefficient de compression de 0,004 = données écrites par seconde sur le disque

Par exemple, à 500 événements par seconde, pour une taille moyenne d'événement de 464 octets et une taille moyenne des données brutes de 300 octets dans le fichier journal, les données écrites sur le disque sont déterminées comme suit :

(464 octets + 300 octets) x 500 événements par seconde x 0,004 = 1 558 Ko


Nombre de requêtes d'E/S sur le disque (nombre de transferts par seconde) : (taille moyenne d'événement en octets + taille moyenne des données brutes en octets) x (événements par seconde) x coefficient de compression de 0,00007 = requêtes d'E/S par seconde sur le disquePar exemple, à 500 événements par seconde, pour une taille moyenne d'événement de 464 octets et une taille moyenne des données brutes de 300 octets dans le fichier journal, le nombre de requêtes d'E/S par seconde sur le disque est déterminé comme suit :(464 octets + 300 octets) x 500 événements par seconde x 0,00007 = 26 transferts par seconde

Nombre de blocs écrits par seconde sur le disque : (taille moyenne d'événement en octets + taille moyenne des données brutes en octets) x (événements par seconde) x coefficient de compression de 0,008 = nombre de blocs écrits par seconde sur le disquePar exemple, à 500 événements par seconde, pour une taille moyenne d'événement de 464 octets et une taille moyenne des données brutes de 300 octets dans le fichier journal, le nombre de blocs écrits par seconde sur le disque est déterminé comme suit :(464 octets + 300 octets) x 500 événements par seconde x 0,008 = 3 056

Données lues par seconde sur le disque lors d'une recherche : (taille moyenne d'événement en octets + taille moyenne des données brutes en octets) x (nombre d'événements correspondant à l'interrogation en millions) x coefficient de compression de 0,013 = kilo-octets lus par seconde depuis le disquePar exemple, à 3 millions d'événements correspondant à la requête de recherche, pour une taille moyenne de 464 octets par événement et une taille moyenne de 300 octets par donnée brute dans le fichier journal, la quantité de données lues par seconde à partir du disque est déterminée comme suit :(464 octets + 300 octets) x 3 x 0,013 = 300 Ko

2.1.5 Estimation de l'utilisation de la bande passante réseau

Utilisez les formules suivantes pour estimer l'utilisation de la bande passante réseau sur le serveur à différents taux d'événements par seconde :

{taille moyenne d'événement en octets + taille moyenne des données brutes en octets} x {événements par seconde} x coefficient de compression de 0,0003 = bande passante réseau en Kbits/s) (kilobits par seconde)

Par exemple, à 500 événements par seconde, pour une taille moyenne d'événement de 464 octets et une taille moyenne des données brutes de 300 octets dans le fichier journal, l'utilisation de la bande passante réseau est déterminée comme suit :

(464 octets + 300 octets) x 500 événements par seconde x 0,0003 = 115 Kbits/s

2.1.6 Environnement virtuel

Sentinel Log Manager a été testé de manière approfondie et est entièrement pris en charge sur les serveurs VMware ESX. Pour obtenir des performances comparables aux résultats des tests effectués sur la machine physique sur ESX ou dans tout autre environnement virtuel, les caractéristiques de mémoire, d'UC, d'espace disque et d'E/S de l'environnement doivent être conformes aux recommandations de la machine physique.

Pour accéder aux recommandations concernant la machine physique, consultez la Section 2.1, « Configuration matérielle requise », page 17.


2.2 Systèmes d'exploitation pris en chargeNovell prend en charge Sentinel Log Manager sur les systèmes d'exploitation décrits dans cette section. Novell prend également en charge l'exécution de Sentinel Log Manager sur des systèmes d'exploitation présentant des mises à jour mineures, telles que des correctifs de sécurité ou des zones de réacheminement dynamique (Hot Fix). En revanche, l'exécution de Sentinel Log Manager sur ces systèmes d'exploitation avec mises à jour majeures n'est pas prise en charge tant que Novell n'a pas testé et certifié ces mises à jour.

Section 2.2.1, « Sentinel Log Manager », page 22 Section 2.2.2, « Gestionnaire des collecteurs », page 22

2.2.1 Sentinel Log Manager

SUSE Linux Enterprise Server 11 SP 3 64 bits

un système de fichiers hautement performant.

REMARQUE : tous les tests d'évaluation Novell sont effectués avec un système de fichiers ext3.

2.2.2 Gestionnaire des collecteurs

Vous pouvez installer des gestionnaires des collecteurs supplémentaires sur les systèmes d'exploitation suivants :

« Linux » page 22 « Windows » page 22

Linux

SUSE Linux Enterprise Server 11 SP3 (64 bits)

Windows

Windows Server 2003 (32 et 64 bits)

Windows Server* 2003 SP2 (32 et 64 bits)

Windows Server 2003 R2 (32 bits et 64 bits)

Windows Server 2008 (64 bits)

Windows Server 2008 R2 (64 bits)

2.3 Navigateurs pris en chargeL'interface Sentinel Log Manager est optimisée pour une résolution 1280 x 1024 ou ultérieure dans les navigateurs pris en charge suivants :

Section 2.3.1, « Linux », page 23 Section 2.3.2, « Windows », page 23


2.3.1 Linux

Mozilla Firefox 5 et versions ultérieures

2.3.2 Windows

Mozilla Firefox 5 et versions ultérieures

Microsoft Internet Explorer 8 et 11*

* Reportez-vous à la section « Conditions préalables pour Internet Explorer » page 23.

Conditions préalables pour Internet Explorer

Si le niveau de sécurité Internet est paramétré sur Élevé, seule une page vide s'affiche après vous être connecté à Sentinel Log Manager. Pour résoudre ce problème, accédez à Outils > Options Internet > onglet Sécurité > Sites de confiance. Cliquez sur le bouton Sites et ajoutez le site Web Sentinel Log Manager à la liste des sites de confiance.

Vérifiez que dans le menu Outils, l'option Affichage de compatibilité n'est pas sélectionnée. Si l'option Demander confirmation pour les téléchargements de fichiers n'est pas cochée, la fenêtre

contextuelle de téléchargement de fichiers est peut-être bloquée par le navigateur. Pour résoudre ce problème, accédez à Outils > Options Internet > onglet Sécurité > Niveau personnalisé, faites défiler la section de téléchargement, puis sélectionnez Activer pour activer l'option Demander confirmation pour les téléchargements de fichiers.

2.4 Environnement virtuel pris en charge VMware ESX/ESXi 3.5/4.0 ou version ultérieure

VMPlayer 3 (uniquement en mode démo)

Xen 3.1.1

2.5 Connecteurs pris en chargeSentinel Log Manager prend en charge tous les connecteurs pris en charge par Sentinel et Sentinel RD.

Connecteur d'audit

Connecteur de processus LEA Check Point

Connecteur de base de données

Connecteur de générateur de données

Connecteur de fichier

Connecteur de processus

Connecteur Syslog

Connecteur SNMP

Connecteur SDEE


Connecteur de lien Sentinel

Connecteur WMS

Connecteur Mainframe

Connecteur SAP

REMARQUE : les connecteurs Mainframe et SAP requièrent une licence distincte.

2.6 Sources d'événements prises en chargeSentinel Log Manager prend en charge de nombreux périphériques et applications, y compris les systèmes de détection d'intrusions, les pare-feux, les systèmes d'exploitation, les routeurs, les serveurs Web, les bases de données, les commutateurs, les gros systèmes et les sources d'événements d'antivirus. Les données de ces sources d'événements sont analysées et normalisées à divers degrés selon que les données sont traitées à l'aide du collecteur générique d'événements qui place l'ensemble de la charge utile dans un champ commun ou à l'aide d'un collecteur spécifique à un périphérique qui analyse les données dans des champs individuels.

Sentinel Log Manager prend en charge les sources d'événements suivantes :

Cisco Firewall (6 et 7)

Cisco Switch Catalyst série 6500 (CatOS 8.7)

Cisco Switch Catalyst série 6500 (IOS 12.2SX)

Cisco Switch Catalyst série 5000 (CatOS 4.x)

Cisco Switch Catalyst série 4900 (IOS 12.2SG)

Cisco Switch Catalyst série 4500 (IOS 12.2SG)

Cisco Switch Catalyst série 4000 (CatOS 4.x)

Cisco Switch Catalyst série 3750 (IOS 12.2SE)





Cisco VPN 3000 (4.1.5, 4.1.7 et 4.7.2)

Extreme Networks Summit X650 (avec ExtremeXOS 12.2.2 et versions antérieures)

Extreme Networks Summit X450a (avec ExtremeXOS 12.2.2 et versions antérieures)

Extreme Networks Summit X450e (avec ExtremeXOS 12.2.2 et versions antérieures)


Extreme Networks Summit X250e (avec ExtremeXOS 12.2.2 et versions antérieures)


Enterasys Dragon (7.1 et 7.2)

Collecteur générique d'événements

HP HP-UX (11iv1 et 11iv2)


IBM AIX (5.2, 5.3 et 6.1)

Juniper Netscreen série 5

McAfee Firewall Enterprise

McAfee Network Security Platform (2.1, 3.x et 4.1)

McAfee VirusScan Enterprise (8.0i, 8.5i et 8.7i)

McAfee ePolicy Orchestrator (3.6 et 4.0)

McAfee AV Via ePolicy Orchestrator 8.5

Microsoft Active Directory (2000, 2003 et 2008)

Microsoft SQL Server (2005 et 2008)

Nortel VPN (1750, 2700, 2750 et 5000)

Novell Access Manager 3.1

Novell Identity Manager 3.6.1

Novell Netware 6.5

Novell Modular Authentication Services 3.3

Novell Open Enterprise Server 2.0.2

Novell Privileged User Manager 2.2.1

Novell Sentinel Link 1

Novell SUSE Linux Enterprise Server

Novell eDirectory 8.8.3 et son correctif d'instrumentation sont disponibles sur le site Web de support Novell (http://download.novell.com/Download?buildid=RH_B5b3M6EQ~).

Novell iManager 2.7

Red Hat Enterprise Linux

Sourcefire Snort (2.4.5, 2.6.1, 2.8.3.2 et 2.8.4)

Snare pour Windows Intersect Alliance (3.1.4 et 1.1.1)

Sun Microsystems Solaris 10

Symantec AntiVirus Corporate Edition (9 et 10)

TippingPoint Security Management System (2.1 et 3.0)

Websense Web Security 7.0

Websense Web Filter 7.0

REMARQUE : pour activer la collecte de données à partir de sources d'événements Novell iManager et Novell Netware 6.5, ajoutez une instance d'un collecteur et d'un connecteur enfant (connecteur d'audit) dans l'interface de gestion de source d'événements pour chacune des sources d'événements. Ces sources d'événements apparaissent alors dans l'interface Sentinel Log Manager > Collecte > Sources d'événements.

Des collecteurs prenant en charge des sources d'événements supplémentaires sont disponibles sur le site Web des plug-ins Sentinel (http://support.novell.com/products/sentinel/secure/sentinelplugins.html) ou créés à l'aide des plug-ins SDK disponibles sur le site Web SDK des plug-ins Sentinel (http://developer.novell.com/wiki/index.php?title=Develop_to_Sentinel).


http://download.novell.com/Download?buildid=RH_B5b3M6EQ~

http://download.novell.com/Download?buildid=RH_B5b3M6EQ~

http://developer.novell.com/wiki/index.php?title=Develop_to_Sentinel


2.7 Limites recommandéesLes limites mentionnées dans cette section sont des recommandations basées sur les tests de performances exécutés sur les sites Novell ou sur les sites de ses clients. Il n'y pas de limite matérielle. Les recommandations sont approximatives. Sur les systèmes hautement dynamiques, il est recommandé de créer des tampons et de prévoir de l'espace en vue de répondre aux besoins de croissance éventuels du système.

Section 2.7.1, « Limites du gestionnaire des collecteurs », page 26 Section 2.7.2, « Limites concernant les rapports », page 27 Section 2.7.3, « Limites d'événements par seconde dans les actions », page 27 Section 2.7.4, « Limites SLES concernant les fichiers ouverts », page 27

2.7.1 Limites du gestionnaire des collecteurs

Sauf indication contraire, le gestionnaire des collecteurs suppose l'exécution de 4 cœurs de processeur de 2,2 GHz chacun avec 4 Go de RAM sur SLES 11.

Tableau 2-2 Performances du gestionnaire des collecteurs

Attribut Limites Commentaires

Nombre maximum de gestionnaires de collecteurs

20 Cette limite suppose que chaque gestionnaire de collecteurs s'exécute suivant un faible taux d'EPS (inférieur à 100). La limite diminue à mesure que le nombre d'événements par seconde augmente.

Nombre maximum de connecteurs (utilisation optimale) sur un gestionnaire des collecteurs

1 par cœur de processeur, avec au moins 1 cœur de processeur réservé pour le système d'exploitation et tout autre traitement

Un connecteur utilisé de façon optimale s'exécute avec le taux d'EPS le plus élevé possible pour ce type de connecteur.

Nombre maximum de collecteurs (utilisation optimale) sur un gestionnaire des collecteurs

1 par cœur de processeur, avec au moins 1 cœur de processeur réservé pour le système d'exploitation et tout autre traitement

Un collecteur utilisé de façon optimale s'exécute avec le taux d'EPS le plus élevé possible pour ce type de collecteur.

Nombre maximum de sources d'événements sur un gestionnaire des collecteurs

2000 Selon le matériel, la limite du serveur Sentinel Log Manager est de 1 000 ou 2 000. Si elle est atteinte sur un seul gestionnaire des collecteurs, la limite des sources d'événements du système Sentinel complet est atteinte avec ce seul gestionnaire des collecteurs.

Nombre maximum de sources d'événements par instance de serveur Sentinel Log Manager

2000


2.7.2 Limites concernant les rapports

Tableau 2-3 Performances des rapports

2.7.3 Limites d'événements par seconde dans les actions

Sauf indication contraire, les limites d'événements par seconde partent du principe qu'une action par règle est configurée.

Tableau 2-4 Performances des actions

2.7.4 Limites SLES concernant les fichiers ouverts

Dans les systèmes comportant un nombre important de sources d'événements (plus de 75 par exemple), la majorité de ces sources utilisant le connecteur de fichiers et le décalage étant défini sur le début du fichier, la limite SLES des fichiers ouverts peut être différente du nombre de fichiers ouverts dans le système, ce qui peut provoquer des problèmes de performances dans Sentinel Log Manager.

Pour éviter ce problème, vous pouvez définir les limites souples et strictes du nombre maximum de fichiers ouverts en fonction du nombre de fichiers ouverts.

Effectuez les opérations suivantes pour définir les limites concernant les fichiers ouverts :

1 Loguez-vous au système en tant qu'utilisateur Novell.2 Consultez le nombre de fichiers ouverts pour l'utilisateur Sentinel (Novell).

lsof | wc -l

3 Observez les limites strictes et souples :

ulimit -Hn

ulimit -Sn

Attribut Limites Commentaires

Nombre maximum de rapports enregistrés

200

Nombre maximum de rapports s'exécutant simultanément

3 La limite part du principe que le serveur n'est pas encore très utilisé par la collecte des données ou d'autres tâches.

Action : Nombre d'événements par seconde par action

Lien Sentinel 300

Consigner dans le fichier 30 - 50

Envoyer un message électronique 40

Consigner dans Syslog 5 - 10

Exécuter le script 5 - 10


En fonction du nombre de fichiers ouverts, vous pouvez définir les limites de descripteur de fichier dans le fichier /etc/security/limits.conf. Par exemple, si le nombre de fichiers ouverts est de 1 000, vous pouvez définir les limites sur 2 000.

REMARQUE : Seul l'utilisateur root peut éditer le fichier /etc/security/limits.conf.

4 Vérifiez que l'utilisateur root définit les limites de descripteur de fichier comme suit :

novell soft nofile 2000

novell hard nofile 2000

REMARQUE : la définition des limites souples est facultative, contrairement à la définition des limites strictes qui est obligatoire.

5 Enregistrez les modifications apportées.

2.8 Performances des recherches et des rapportsLes performances de Sentinel Log Manager peuvent varier en fonction de l'environnement, de la configuration et du matériel. Novell a effectué des tests de performance très poussés sur le système Sentinel Log Manager afin de valider et de vérifier les attributs de qualité du système : évolutivité, fiabilité et utilisation des ressources.

Section 2.8.1, « Vitesse de la recherche et de l'obtention de la réponse », page 28 Section 2.8.2, « Vitesse de génération des rapports », page 29

2.8.1 Vitesse de la recherche et de l'obtention de la réponse

Plusieurs tests ont été réalisés avec la configuration suivante ; ils visaient à déterminer la durée nécessaire à la recherche pour renvoyer les données initiales :

Matériel : 4 coeurs à 2,93 GHz chacun, avec 4 Go de mémoire RAM et une exécution sur SLES 11.

Taux d'événements : taux d'événements entrants par seconde lorsque la recherche est à 2 000. Stockage des données : toutes les données d'événement comprises dans la plage horaire sont

enregistrées dans le stockage local.

Les informations suivantes sont des observations :

Tableau 2-5 Résultats des performances de la recherche

Nombre total d'événements

Nombre d'événements correspondant à l'interrogation de recherche

Durée nécessaire à l'obtention des résultats de la recherche initiale

10 000 000 1 000 - 10 000 000 5 à 10 secondes

100 000 000 20 000 000 - 100 000 000 10 à 30 secondes

200 000 000 110 000 000 - 200 000 000 1 à 5 minutes


2.8.2 Vitesse de génération des rapports

Plusieurs tests ont été réalisés avec la configuration suivante ; ils visaient à déterminer la durée nécessaire à la génération de rapports.

Matériel : 4 coeurs à 2,93 GHz chacun, avec 4 Go de mémoire RAM et une exécution sur SLES 11.

Taux d'événements : taux d'événements entrants par seconde lorsque la recherche est à 2 000. Emplacement des données : toutes les données d'événement comprises dans la plage horaire

sont enregistrées dans le stockage local.

Les informations suivantes sont des observations :

Tableau 2-6 Résultats des performances des rapports

REMARQUE : Dans le cas des rapports contenant de nombreux événements et champs, tels que Détails sur les événements, il se peut que la génération prenne un certain temps et que le système manque de mémoire. Pour améliorer les résultats de performances des rapports, vous pouvez augmenter la mémoire vive (RAM) de votre système.

Nombre total d'événements

Nombre d'événements correspondant à l'interrogation de recherche

Durée nécessaire à la génération des rapports

10 000 000 1 000 - 10 000 000 1 à 2 minutes

100 000 000 20 000 000 - 100 000 000 10 à 50 minutes

200 000 000 110 000 000 - 200 000 000 1 à 3 heures


3 3Installation sur un système SLES 11 SP1 existant

La section décrit la procédure d'installation de Sentinel Log Manager sur un système SLES (SUSE Linux Enterprise Server) 11 SP1 existant à l'aide du programme d'installation de l'application. Vous pouvez installer le serveur Sentinel Log Manager de différentes manières : selon la procédure d'installation standard, la procédure d'installation personnalisée ou la procédure d'installation silencieuse lorsque l'installation ne nécessite pas d'intervention de la part de l'utilisateur et utilise les valeurs par défaut. Vous pouvez également installer Sentinel Log Manager en tant qu'utilisateur non-root.

Si vous choisissez la méthode d'installation personnalisée, vous pouvez installer le produit avec une clé de licence et sélectionner une option d'authentification. Vous pouvez paramétrer une authentification LDAP pour Sentinel Log Manager en plus de l'authentification de la base de données. Lorsque vous configurez Sentinel Log Manager avec l'authentification LDAP, les utilisateurs peuvent se connecter au serveur à l'aide de leurs références Novell eDirectory ou Microsoft Active Directory.

Si vous souhaitez installer plusieurs serveurs Sentinel Log Manager dans votre déploiement, vous pouvez enregistrer les options d'installation dans un fichier de configuration, puis utiliser le fichier pour exécuter une installation sans surveillance. Pour plus d'informations, reportez-vous à la Section 3.4, « Installation en mode silencieux », page 36.

Section 3.1, « Avant de commencer », page 31 Section 3.2, « Installation standard », page 33 Section 3.3, « Installation personnalisée », page 34 Section 3.4, « Installation en mode silencieux », page 36 Section 3.5, « Installation non-root », page 37

3.1 Avant de commencer Vérifiez que votre matériel et vos logiciels satisfont aux conditions de la configuration minimale

requise mentionnées au Chapitre 2, « Configuration système requise », page 17. Vérifiez que le RPM libstdc++33 32 bits est installé. Vous pouvez installer ce RPM à l'aide de

YaST ou de la commande zypper :

zypper in libstdc++33-32bit

Pour que Sentinel Log Manager version 1.2 ou ultérieure fonctionne correctement sous SLES 11 SP1, les RPM suivants ou leurs versions ultérieures doivent être installées : Correctifs du kernel :

kernel-default-2.6.32.29-0.3.1.x86_64.rpm

kernel-default-base-2.6.32.29-0.3.1.x86_64.rpm

Installation sur un système SLES 11 SP1 existant 31

RPM d'utilitaires Linux : libblkid1-2.16-6.11.1.x86_64.rpm

libuuid1-2.16-6.11.1.x86_64.rpm

util-linux-2.16-6.11.1.x86_64.rpm

util-linux-lang-2.16-6.11.1.x86_64.rpm

uuid-runtime-2.16-6.11.1.x86_64.rpm

Sentinel Log Manager 1.1.0.x utilise squashfs version 3.4-35.1. Cependant, SLES 11 SP.1 prend en charge les versions 4.0 et ultérieures de squashfs. Ces versions ne sont pas compatibles avec les versions précédentes et ne permettent pas d'ouvrir un système de fichiers compressé créé avec des versions antérieures de squashfs. L'installation de ces correctifs RPM mentionnés ci-dessus résout le problème d'incompatibilité entre les versions squashfs de Sentinel Log Manager 1.1.0.x et SLES 11 SP1. Ces RPM sont disponibles via le canal de mise à jour en ligne SLES 11. Pour plus d'informations sur la mise à jour du système SLES, reportez-vous à la section « YaST Online Update » (http://www.novell.com/documentation/sles11/book_sle_admin/?page=/documentation/sles11/book_sle_admin/data/cha_onlineupdate_you.html) (Mise à jour YaST en ligne) du manuel SLES 11 SP1 Administration Guide (http://www.novell.com/documentation/sles11/book_sle_admin/data/book_sle_admin_pre.html)(Guide d'administration SLES 11 SP1).

REMARQUE : L'installation ne s'effectue que si les correctifs de kernel mentionnés ci-dessus et les RPM d'utilitaires Linux sont installés.

Configurez le système d'exploitation de façon à ce que la commande hostname -f renvoie un nom d'hôte valide.

Obtenez votre clé de licence à partir du Service clients de Novell (https://secure-www.novell.com/center/ICSLogin/?%22https://secure-www.novell.com/center/regadmin/jsps/home_app.jsp%22) pour installer la version sous licence.

Synchronisez l'heure à l'aide du protocole NTP (Network Time Protocol). Installez les commandes de système d'exploitation suivantes :

monter

umount

id

df

du

sudo

Vérifiez que les ports suivants sont ouverts sur le pare-feu :TCP 8080, TCP 8443, TCP 61616, TCP 10013, TCP 1289, TCP 1468, TCP 1443 et UDP 1514Pour plus d'informations sur l'utilisation de ces ports, reportez-vous à la Section 4.2, « Ports utilisés », page 39.


http://www.novell.com/documentation/sles11/book_sle_admin/?page=/documentation/sles11/book_sle_admin/data/cha_onlineupdate_you.html

http://www.novell.com/documentation/sles11/book_sle_admin/data/book_sle_admin_pre.html


https://secure-www.novell.com/center/ICSLogin/?%22https://secure-www.novell.com/center/regadmin/jsps/home_app.jsp%22

3.2 Installation standardLa procédure d'installation standard installe Sentinel Log Manager avec une licence d'évaluation de 60 jours. Toutes les fonctions sont installées, à l'exception de la restauration des données.

1 Téléchargez et copiez les fichiers d'installation à partir du site Web de téléchargement Novell.2 Loguez-vous en tant qu'utilisateur root au serveur sur lequel vous souhaitez installer Sentinel

Log Manager.3 Entrez la commande suivante pour extraire les fichiers d'installation du fichier TAR :

tar xfz <install_filename>

Remplacez <nom_fichier_installation> par le nom réel du fichier d'installation.4 Accédez au répertoire dans lequel le fichier d'installation est extrait.5 Entrez la commande suivante pour exécuter le script install-slm afin d'installer Sentinel Log

Manager :

./install-slm

Si vous souhaitez installer Sentinel Log Manager sur plusieurs systèmes, vous pouvez enregistrer vos options d'installation dans un fichier. Vous pouvez utiliser ce fichier pour installer Sentinel Log Manager sans surveillance sur d'autres systèmes. Pour enregistrer vos options d'installation, entrez la commande suivante :

./install-slm -r responseFile

6 Pour continuer dans la langue de votre choix, sélectionnez le nombre spécifié en regard de la langue. L'accord de licence utilisateur final s'affiche dans la langue sélectionnée.

7 Lisez l'accord de licence utilisateur final et tapez yes ou y pour l'accepter et poursuivre l'installation.Le processus démarre en installant tous les paquetages RPM. Cette installation peut prendre quelques secondes.L'installation crée un groupe novell ainsi qu'un utilisateur novell s'ils n'existent pas encore.

8 Lorsque vous y êtes invité, spécifiez l'option pour effectuer l'installation standard.L'installation utilise la clé de licence d'évaluation de 60 jours incluse dans le programme d'installation. Cette clé de licence active l'ensemble complet des fonctions du produit pendant une période d'essai de 60 jours, à l'exception de la restauration des données. À tout moment, pendant ou après la période d'essai, vous pouvez ajouter à la licence d'évaluation une clé de licence que vous avez achetée.

9 Spécifiez le mot de passe de l'administrateur.10 Confirmez-le.

Le programme d'installation sélectionne la méthode S'authentifier auprès de la base de données uniquement et poursuit l'installation. L'installation de Sentinel Log Manager se termine et le serveur démarre. Il faut compter entre 5 et 10 minutes pour que tous les services démarrent après l'installation étant donné que le système effectue une initialisation unique. Patientez ce délai avant de vous connecter au serveur.

11 Pour vous connecter au serveur Sentinel Log Manager, utilisez l'URL spécifiée dans le journal des résultats de l'installation. L'URL est similaire à https://10.0.0.1:8443/novelllogmanager.


Pour plus d'informations sur la connexion au serveur, reportez-vous au Chapitre 6, « Connexion à l'interface Web », page 57.

12 Pour configurer les sources d'événements en vue d'envoyer des données à Sentinel Log Manager, reportez-vous à la section « Configuring Data Collection » (Configuration de la collecte de données) du Sentinel Log Manager 1.2.2 Administration Guide (Guide d'administration de Sentinel Log Manager 1.2).

REMARQUE : lors du premier démarrage du système après son installation, l'initialisation peut prendre environ cinq minutes avant que vous puissiez commencer à utiliser le système. Ce délai ne se produit que lors du premier démarrage du système après l'installation ou à l'issue d'une mise à jour.

3.3 Installation personnaliséeSi vous choisissez la méthode d'installation personnalisée, vous pouvez installer le produit avec une clé de licence et sélectionner une option d'authentification. Vous pouvez paramétrer une authentification LDAP pour Sentinel Log Manager en plus de l'authentification de la base de données. Lorsque vous configurez Sentinel Log Manager avec l'authentification LDAP, les utilisateurs peuvent se connecter au serveur à l'aide de leurs références d'annuaire LDAP.

Si vous ne configurez pas Sentinel Log Manager pour une authentification LDAP pendant la procédure d'installation, vous pourrez au besoin la configurer ultérieurement. Pour configurer l'authentification LDAP après l'installation, reportez-vous à la section « LDAP Authentication » (Authentification LDAP) du Sentinel Log Manager 1.2.2 Administration Guide (Guide d'administration de Sentinel Log Manager 1.2).





Manager :

./install-slm


7 Lisez l'accord de licence utilisateur final et tapez yes ou y pour l'accepter et poursuivre l'installation.Le processus démarre en installant tous les paquetages RPM. Cette installation peut prendre quelques secondes.L'installation crée un groupe novell ainsi qu'un utilisateur novell s'ils n'existent pas encore.

8 Lorsque vous y êtes invité, spécifiez l'option pour effectuer l'installation personnalisée. 9 Lorsque vous êtes invité à indiquer l'option de clé de licence, entrez 2 pour spécifier la clé de

licence pour le produit acheté.


10 Spécifiez la clé de licence, puis appuyez sur Entrée.Pour plus d'informations sur les clés de licence, reportez-vous à la section « License Information » (Informations sur la licence) du Sentinel Log Manager 1.2.2 Administration Guide (Guide d'administration de Sentinel Log Manager 1.2).

11 Spécifiez le mot de passe de l'administrateur.12 Confirmez-le.13 Définissez le mot de passe de l'administrateur de la base de données (dbauser).14 Confirmez le mot de passe de l'administrateur de la base de données (dbauser).15 Vous pouvez configurer n'importe quel numéro de port valide dans la plage spécifiée pour les

services suivants : serveur Web ; JMS (Java Message Service) ; Service proxy client ; Service de base de données Passerelle interne de l'agent.

Si vous souhaitez continuer avec les ports par défaut, entrez l'option 6 pour poursuivre avec l'installation personnalisée.

16 Spécifiez l'option pour authentifier les utilisateurs par le bias d'un annuaire LDAP externe.17 Spécifiez l'adresse IP ou le nom d'hôte du serveur LDAP.

La valeur par défaut est localhost. Toutefois, vous ne devez pas installer le serveur LDAP sur la même machine que le serveur Sentinel Log Manager.

18 Sélectionnez l'un des types de connexion LDAP suivants : Connexion LDAP TLS/SSL : établit une connexion sécurisée entre le navigateur et le

serveur pour l'authentification. Entrez 1 pour utiliser cette option. Connexion LDAP non codée : établit une connexion non codée. Entrez 2 pour utiliser cette

option.19 Spécifiez le numéro de port du serveur LDAP. Le numéro de port SSL par défaut est le 636 et le

numéro de port par défaut qui n'utilise pas SSL est le 389.20 (Facultatif) Si vous avez sélectionné Connexion LDAP TLS/SSL, spécifiez si le certificat du

serveur LDAP est signé par une autorité de certification reconnue.21 (Facultatif) Si vous avez spécifié n, indiquez le nom de fichier du certificat de serveur LDAP.22 Indiquez si vous souhaitez effectuer des recherches anonymes sur l'annuaire LDAP :

Effectuer des recherches anonymes sur l'annuaire LDAP : le serveur Sentinel Log Manager effectue une recherche anonyme sur l'annuaire LDAP en fonction du nom d'utilisateur spécifié pour récupérer le nom distinctif (DN) de l'utilisateur LDAP correspondant. Entrez 1 pour utiliser cette méthode.

Ne pas effectuer de recherches anonymes sur l'annuaire LDAP : entrez 2 pour utiliser cette option.

23 (Facultatif) Si vous avez sélectionné la recherche anonyme, spécifiez l'attribut de recherche et passez à l'Étape 26.

24 (Facultatif) Si vous n'avez pas sélectionné la recherche anonyme à l'Étape 22, indiquez si vous utilisez Microsoft Active Directory.


Pour Active Directory, l'attribut userPrincipalName dont la valeur est au format nomUtilisateur@nomDomaine peut éventuellement être utilisé pour authentifier l'utilisateur avant de rechercher l'objet utilisateur LDAP. La saisie du DN de l'utilisateur n'est alors pas nécessaire.

25 (Facultatif) Si vous souhaitez utiliser l'approche susmentionnée pour Active Directory, spécifiez le nom de domaine.

26 Spécifiez le DN de base.27 Appuyez sur o pour confirmer que les options fournies sont correctes. Dans le cas contraire,

appuyez sur n et modifiez la configuration. 28 Pour vous connecter au serveur Sentinel Log Manager, utilisez l'URL spécifiée dans le journal

des résultats de l'installation. L'URL est similaire à https://10.0.0.1:8443/novelllogmanager.Pour plus d'informations sur la connexion au serveur, reportez-vous au Chapitre 6, « Connexion à l'interface Web », page 57.

29 Pour configurer les sources d'événements en vue d'envoyer des données à Sentinel Log Manager, reportez-vous à la section « Configuring Data Collection » (Configuration de la collecte de données) du Sentinel Log Manager 1.2.2 Administration Guide (Guide d'administration de Sentinel Log Manager 1.2).


3.4 Installation en mode silencieuxL'installation silencieuse ou sans surveillance de Sentinel Log Manager est utile si vous devez installer plusieurs serveurs Sentinel Log Manager dans votre déploiement. Dans ce type de scénario, vous pouvez enregistrer les paramètres d'installation au cours de la première installation, puis exécuter le fichier enregistré sur tous les autres serveurs.





Manager en mode silencieux :

./install-slm -u responseFile

Pour obtenir des informations sur la création du fichier de réponses, reportez-vous à la Section 3.2, « Installation standard », page 33. L'installation s'effectue avec les valeurs stockées dans le fichier de réponses.

6 Pour vous connecter au serveur Sentinel Log Manager, utilisez l'URL spécifiée dans le journal des résultats de l'installation. L'URL est similaire à https://10.0.0.1:8443/novelllogmanager.


Pour plus d'informations sur la connexion au serveur, reportez-vous au Chapitre 6, « Connexion à l'interface Web », page 57.

7 Pour configurer les sources d'événements en vue d'envoyer des données à Sentinel Log Manager, reportez-vous à la section « Configuring Data Collection » (Configuration de la collecte de données) du « Sentinel Log Manager 1.2.2 Administration Guide (Guide d'administration de Sentinel Log Manager 1.2) ».


3.5 Installation non-rootSi votre stratégie organisationnelle ne vous permet pas d'exécuter l'installation complète de Sentinel Log Manager en tant qu'utilisateur root, la plupart des étapes de l'installation peuvent être exécutées par un utilisateur (novell) non-root.

1 Téléchargez et copiez les fichiers d'installation à partir du site Web de téléchargement Novell.2 Entrez la commande suivante pour extraire les fichiers d'installation du fichier TAR :


Remplacez <nom_fichier_installation> par le nom réel du fichier d'installation.3 Loguez-vous en tant qu'utilisateur root au serveur sur lequel vous souhaitez installer Sentinel

Log Manager en tant que root.4 Accédez au répertoire dans lequel le fichier d'installation est extrait.5 Spécifiez la commande suivante :

./bin/root_install_prepare

Une liste des commandes à exécuter avec des privilèges root s'affiche.Cette opération crée également un groupe novell ainsi qu'un utilisateur novell s'ils n'existent pas encore.

6 Acceptez la liste de commandes.Les commandes affichées sont exécutées.

7 Entrez la commande suivante pour adopter l'identité de l'utilisateur novell non-root que vous venez de créer : su novell

8 Entrez la commande suivante :

./install-slm


10 Lisez l'accord de licence utilisateur final et tapez yes ou y pour l'accepter et poursuivre l'installation.Le processus démarre en installant tous les paquetages RPM. Cette installation peut prendre quelques secondes.


11 Vous êtes invité à spécifier le mode d'installation. Si vous choisissez d'effectuer une installation standard, passez à l'étape 8 de la Section 3.2,

« Installation standard », page 33. Si vous choisissez d'effectuer une installation personnalisée, passez à l'étape 8 de la

Section 3.3, « Installation personnalisée », page 34.L'installation de Sentinel Log Manager se termine et le serveur démarre.

12 Entrez la commande suivante pour prendre l'identité de l'utilisateur root :

su root

13 Entrez la commande suivante pour terminer l'installation :./bin/root_install_finish

14 Pour vous connecter au serveur Sentinel Log Manager, utilisez l'URL spécifiée dans le journal des résultats de l'installation. L'URL est similaire à https://10.0.0.1:8443/novelllogmanager.Pour plus d'informations sur la connexion au serveur, reportez-vous au Chapitre 6, « Connexion à l'interface Web », page 57.



4 4Installation de l'applicatif

L'applicatif Sentinel Log Manager est un logiciel prêt à l'emploi basé sur SUSE Studio qui associe un système d'exploitation SLES (SUSE Linux Enterprise Server) 11 SP1, le logiciel Sentinel Log Manager et un service intégré de mise à jour afin d'offrir à l'utilisateur une expérience conviviale et transparente et de lui permettre de tirer parti des investissements existants. L'applicatif logiciel peut être installé sur du matériel ou dans un environnement virtuel.

Section 4.1, « Avant de commencer », page 39 Section 4.2, « Ports utilisés », page 39 Section 4.3, « Installation de l'applicatif VMware », page 41 Section 4.4, « Installation de l'applicatif Xen », page 42 Section 4.5, « Installation de l'applicatif sur du matériel », page 44 Section 4.6, « Configuration post-installation de l'applicatif », page 45 Section 4.7, « Configuration de WebYaST », page 46 Section 4.8, « Configuration de l'applicatif avec l'outil SMT (Subscription Management Tool) »,

page 47 Section 4.9, « Arrêt et démarrage de l'applicatif à l'aide de l'interface utilisateur Web », page 48 Section 4.10, « Enregistrement pour obtenir les mises à jour », page 49

4.1 Avant de commencer Vérifiez que les conditions de la configuration matérielle sont remplies. Pour plus

d'informations, reportez-vous à la Section 2.1, « Configuration matérielle requise », page 17. Obtenez votre clé de licence à partir du Service clients de Novell (http://www.novell.com/center)

pour installer la version sous licence. Obtenez votre code d'enregistrement à partir du Service clients de Novell (http://

www.novell.com/center) pour enregistrer les mises à jour logicielles. Synchronisez l'heure à l'aide du protocole NTP (Network Time Protocol). (Facultatif) Si vous avez l'intention d'utiliser VMware, veillez à disposer de VMware pour

charger simultanément l'image sur le serveur VMware ESX et la convertir dans un format exécutable pour le serveur ESX.

4.2 Ports utilisésIl convient de signaler que l'applicatif Novell Sentinel Log Manager utilise les ports suivants pour la communication et que certains d'entre eux sont ouverts sur le pare-feu :

Section 4.2.1, « Ports ouverts sur le pare-feu », page 40 Section 4.2.2, « Ports utilisés localement », page 40

Installation de l'applicatif 39

http://www.novell.com/center

http://www.novell.com/center

4.2.1 Ports ouverts sur le pare-feu

Tableau 4-1 Ports réseau utilisés par Sentinel Log Manager

4.2.2 Ports utilisés localement

Tableau 4-2 Ports utilisés pour les communications locales

Ports Description

TCP 1289 Utilisé pour les connexions Novell Audit.

TCP 289 Réacheminé vers le port 1289 pour les connexions Novell Audit.

TCP 22 Utilisé pour un accès shell sécurisé à l'applicatif Sentinel Log Manager.

UDP 1514 Utilisé pour les messages syslog.

UDP 514 Réacheminé vers le port 1514 pour les messages syslog.

TCP 8080 Utilisé pour les communications HTTP.

TCP 80 Réacheminé vers le port 8080 pour le serveur Web Sentinel Log Manager destiné aux communications HTTP.

TCP 8443 Utilisé pour les communications HTTPS.

TCP 1443 Utilisé pour les messages syslog codés avec SSL.

TCP 443 Réacheminé vers le port 8443 pour le serveur Web Sentinel Log Manager pour les communications HTTPS. Également utilisé par l'applicatif Sentinel Log Manager pour le service de mise à jour.

TCP 61616 Utilisé pour les communications entre le gestionnaire des collecteurs et le serveur.

TCP 10013 Utilisé par le proxy SSL de l'interface utilisateur de la gestion de source d'événements.

TCP 54984 Utilisé par la console de gestion (WebYaST) de l'applicatif Sentinel Log Manager.

TCP 1468 Utilisé pour les messages syslog.

Ports Description

TCP 61617 Utilisé pour les communications internes entre le serveur Web et le serveur.

TCP 5556 Utilisé sur l'interface en boucle pour les communications internes avec le serveur internal_gateway_server et la passerelle internal_gateway. Est également utilisé pour les communications entre le moteur de l'agent et le gestionnaire des collecteurs.


4.3 Installation de l'applicatif VMwarePour exécuter l'image de l'applicatif à partir du serveur VMware ESX, importez et installez l'image de l'applicatif sur le serveur.

1 Téléchargez le fichier d'installation de l'applicatif VMware.Le nom du fichier approprié pour l'applicatif VMware contient vmx. Par exemple, <sentinel_log_manager_vmx.tar.gz>

2 Entrez la commande suivante pour extraire l'image compressée de l'applicatif à partir de la machine sur laquelle le VM Converter est installé :

tar zxvf <install_file>

Remplacez <fichier_installation> par le nom réel du fichier.3 Pour importer l'image VMware sur le serveur ESX, utilisez VMware Converter et suivez les

instructions à l'écran dans l'assistant d'installation.4 Loguez-vous à la machine du serveur ESX.5 Sélectionnez l'image VMware importée de l'applicatif, puis cliquez sur l'icône d'alimentation.6 Sélectionnez la langue de votre choix, puis cliquez sur Suivant.7 Sélectionnez la disposition du clavier, puis cliquez sur Suivant.8 Lisez et acceptez l'accord de licence du logiciel Novell SUSE Enterprise Server.9 Lisez et acceptez l'accord de licence utilisateur final de Novell Sentinel Log Manager.

10 Dans l'écran Nom d'hôte et Nom de domaine, spécifiez le nom d'hôte et le nom de domaine. Vérifiez que l'option Assign Hostname to Loopback IP (Attribuer un nom d'hôte à l'adresse IP de boucle) est sélectionnée.

11 Cliquez sur Suivant. Les configurations du nom d'hôte sont enregistrées.

TCP 5432 Utilisé pour la base de données PostgreSQL. Il n'est pas nécessaire d'ouvrir ce port par défaut. Toutefois, si vous développez des rapports à l'aide du SDK Sentinel, vous devez ouvrir ce port. Pour plus d'informations, reportez-vous au site Web SDK de plug-ins Sentinel (http://developer.novell.com/wiki/index.php?title=Develop_to_Sentinel).

Deux ports TCP supplémentaires sélectionnés aléatoirement

Utilisé pour les communications internes entre le moteur de l'agent et le gestionnaire des collecteurs.

TCP 8005 Utilisé pour les communications internes avec les processus Tomcat.

TCP 32000 Utilisé pour les communications internes entre le moteur de l'agent et le gestionnaire des collecteurs.

Ports Description



12 Effectuez l'une des opérations suivantes : Pour utiliser les paramètres de connexion réseau actuels, sélectionnez Use the following

configuration (Utiliser la configuration suivante) dans l'écran Network Configuration (Configuration réseau).

Pour modifier les paramètres de connexion réseau, sélectionnez Changer. 13 Indiquez l'heure et la date, cliquez sur Suivant, puis sur Terminer.

REMARQUE : pour modifier la configuration NTP après l'installation, utilisez YaST dans la ligne de commande de l'applicatif. WebYaST permet de modifier l'heure et la date, mais pas la configuration NTP.Si l'heure n'est pas immédiatement synchronisée après l'installation, exécutez la commande suivante pour redémarrer NTP :

rcntp restart

14 Définissez le mot de passe root Novell SUSE Enterprise Server, puis cliquez sur Suivant. 15 Définissez le mot de passe root, puis cliquez sur Suivant. 16 Définissez les mots de passe admin et dbauser de Sentinel Log Manager, puis cliquez sur

Suivant. 17 Cliquez sur Suivant.

L'installation s'effectue et se termine. Prenez note de l'adresse IP de l'applicatif qui s'affiche dans la console.

18 Passez à la Section 4.6, « Configuration post-installation de l'applicatif », page 45.


4.4 Installation de l'applicatif Xen1 Téléchargez et copiez le fichier d'installation de l'applicatif virtuel Xen dans /var/lib/xen/

images. Le nom de fichier correct de l'applicatif virtuel Xen contient xen. Par exemple, <sentinel_log_manager_xen.tar.gz>

2 Entrez la commande suivante pour extraire le fichier :

tar -xvzf <install_file>

Remplacez <fichier_installation> par le nom réel du fichier d'installation.3 Accédez au nouveau répertoire d'installation. Ce répertoire contient les fichiers suivants :

fichier image <nom_fichier>.raw

fichier <nom_fichier>.xenconfig

4 Ouvrez le fichier <nom_fichier>.xenconfig à l'aide d'un éditeur de texte.5 Modifiez le fichier comme suit :

Spécifiez le chemin complet du fichier .raw dans le paramètre disk.Spécifiez le paramètre « bridge » pour votre configuration réseau. Par exemple, "bridge=br0" ou "bridge=xenbr0".


Spécifiez des valeurs pour les paramètres name et memory. Par exemple :

# -*- mode: python; -*- name="Sentinel_Log_Manager_1.2.0.0_64" memory=4096 disk=[ "tap:aio:/var/lib/xen/images/Sentinel_Log_Manager_1.2.0.0_64_Xen-0.777.0/Sentinel_Log_Manager_1.2.0.0_64_Xen.x86_64-0.777.0.raw,xvda,w" ] vif=[ "bridge=br0" ]

6 Après avoir modifié le fichier <nom_fichier>.xenconfig, entrez la commande suivante pour créer la machine virtuelle : xm create <nom_fichier>.xenconfig

7 (Facultatif) Pour vérifier que la machine virtuelle a été créée, entrez la commande suivante :xm list La machine virtuelle apparaît dans la liste.Par exemple, si vous avez configuré name="Sentinel_Log_Manager_1.2.0.0_64" dans le fichier .xenconfig, ce nom de machine virtuelle apparaît.

8 Pour démarrer l'installation, entrez la commande suivante : xm console <nom_vm>

Remplacez <nom_vm> par le nom spécifié dans le paramètre de nom du fichier .xenconfig, qui est également la valeur renvoyée à l'étape 7. Par exemple : xm console Sentinel_Log_Manager_1.2.0.0_64

9 Sélectionnez la langue de votre choix, puis cliquez sur Suivant.10 Sélectionnez la disposition du clavier, puis cliquez sur Suivant.11 Lisez et acceptez l'accord de licence du logiciel Novell SUSE Enterprise Server.12 Lisez et acceptez l'accord de licence utilisateur final de Novell Sentinel Log Manager.13 Dans l'écran Nom d'hôte et Nom de domaine, spécifiez le nom d'hôte et le nom de domaine.

Vérifiez que l'option Assign Hostname to Loopback IP (Attribuer un nom d'hôte à l'adresse IP de boucle) est sélectionnée.

14 Cliquez sur Suivant. Les configurations du nom d'hôte sont enregistrées.15 Effectuez l'une des opérations suivantes :

Pour utiliser les paramètres de connexion réseau actuels, sélectionnez Use the following configuration (Utiliser la configuration suivante) dans l'écran Network Configuration (Configuration réseau).

Pour modifier les paramètres de connexion réseau, sélectionnez Changer. 16 Indiquez l'heure et la date, cliquez sur Suivant, puis sur Terminer.

REMARQUE : pour modifier la configuration NTP après l'installation, utilisez YaST dans la ligne de commande de l'applicatif. Vous pouvez utiliser WebYast pour modifier l'heure et la date, mais pas pour la configuration NTP.Si l'heure n'est pas immédiatement synchronisée après l'installation, exécutez la commande suivante pour redémarrer NTP :

rcntp restart

17 Définissez le mot de passe root Novell SUSE Enterprise Server, puis cliquez sur Suivant. 18 Définissez les mots de passe admin et dbauser de Sentinel Log Manager, puis cliquez sur

Suivant.





4.5 Installation de l'applicatif sur du matérielAvant d'installer l'applicatif sur le matériel, vérifiez que l'image disque ISO de l'applicatif a été téléchargée à partir du site de support, qu'elle a été extraite et qu'elle est disponible sur un DVD.

1 Démarrez la machine physique à l'aide du DVD à partir de l'unité DVD.2 Suivez les instructions de l'assistant d'installation qui s'affichent à l'écran.3 Exécutez l'image de l'applicatif Live DVD en sélectionnant la toute première entrée dans le

menu de démarrage.4 Lisez et acceptez l'accord de licence du logiciel Novell SUSE Enterprise Server.5 Lisez et acceptez l'accord de licence utilisateur final de Novell Sentinel Log Manager.6 Cliquez sur Suivant. 7 Dans l'écran Nom d'hôte et Nom de domaine, spécifiez le nom d'hôte et le nom de domaine.

Vérifiez que l'option Assign Hostname to Loopback IP (Attribuer un nom d'hôte à l'adresse IP de boucle) est sélectionnée.

8 Cliquez sur Suivant. Les configurations du nom d'hôte sont enregistrées.9 Effectuez l'une des opérations suivantes :

Pour utiliser les paramètres de connexion réseau actuels, sélectionnez Use the following configuration (Utiliser la configuration suivante) dans l'écran Network Configuration (Configuration réseau).

Pour modifier les paramètres de connexion réseau, sélectionnez Changer. 10 Cliquez sur Suivant. Les paramètres de connexion réseau sont enregistrés.11 Indiquez l'heure et la date, cliquez sur Suivant.

REMARQUE : pour modifier la configuration NTP après l'installation, utilisez YaST dans la ligne de commande de l'applicatif. Vous pouvez utiliser WebYast pour modifier l'heure et la date, mais pas pour la configuration NTP.Si l'heure n'est pas immédiatement synchronisée après l'installation, exécutez la commande suivante pour redémarrer NTP :

rcntp restart

12 Définissez le mot de passe root, puis cliquez sur Suivant.13 Définissez les mots de passe admin et dbauser de Sentinel Log Manager, puis cliquez sur

Suivant.14 Entrez le nom d'utilisateur et le mot de passe dans la console pour vous connecter à l'applicatif.

La valeur par défaut pour le nom d'utilisateur est root et pour le mot de passe, password.15 Réinitialisez les configurations du terminal :


reset

16 Pour installer l'applicatif sur le serveur physique, exécutez la commande suivante :/sbin/yast2 live-installer




4.6 Configuration post-installation de l'applicatif Section 4.6.1, « Installation des outils VMware », page 45 Section 4.6.2, « Connexion à l'interface Web de l'applicatif », page 45

4.6.1 Installation des outils VMware

Pour que Sentinel Log Manager fonctionne correctement sur le serveur VMware, vous devez installer les outils VMware. Il s'agit d'une suite d'utilitaires qui augmentent les performances du système d'exploitation de la machine virtuelle. Ces utilitaires améliorent également la gestion de la machine virtuelle. Pour plus d'informations sur l'installation des outils VMware, reportez-vous à VMware Tools for Linux Guests (Outils VMware pour invités Linux) (https://www.vmware.com/support/ws55/doc/ws_newguest_tools_linux.html#wp1127177).

Pour plus d'informations sur la documentation VMware, reportez-vous au guide Workstation User's Manual (Manuel de l'utilisateur du poste de travail) (http://www.vmware.com/pdf/ws71_manual.pdf)..

4.6.2 Connexion à l'interface Web de l'applicatif

Pour vous connecter à la console Web de l'applicatif et initialiser le logiciel :

1 Ouvrez un navigateur Web et accédez à l'adresse https://adresse_IP>:8443. La page Web de Sentinel Log Manager s'affiche. L'adresse IP de l'applicatif s'affiche sur la console de l'applicatif une fois l'installation terminée et le serveur redémarré.

2 Vous pouvez configurer l'applicatif Sentinel Log Manager pour le stockage et la collecte de données. Pour plus d'informations, consultez le Sentinel Log Manager 1.2.2 Administration Guide (Guide d'administration de Sentinel Log Manager 1.2.2).

3 Pour s'enregistrer afin de recevoir les mises à jour, reportez-vous à la Section 4.10, « Enregistrement pour obtenir les mises à jour », page 49.


https://www.vmware.com/support/ws55/doc/ws_newguest_tools_linux.html#wp1127177

https://www.vmware.com/support/ws55/doc/ws_newguest_tools_linux.html#wp1127177

http://www.vmware.com/pdf/ws71_manual.pdf

http://www.vmware.com/pdf/ws71_manual.pdf

4.7 Configuration de WebYaSTL'interface utilisateur de l'applicatif Novell Sentinel Log Manager est équipée de WebYaST. WebYaST est une console à distance basée sur le Web qui contrôle les applicatifs basés sur SUSE Linux Enterprise. Vous pouvez accéder, configurer et surveiller les applicatifs Sentinel Log Manager avec WebYaST. La procédure suivante décrit brièvement les étapes de configuration de WebYaST. Pour plus d'informations sur la configuration détaillée, consultez le WebYaST User Guide (http://www.novell.com/documentation/webyast/) (Guide de l'utilisateur WebYaST).

1 Loguez-vous à l'applicatif Sentinel Log Manager.

2 Cliquez sur Applicatif.

3 Configurez le serveur Sentinel Log Manager pour qu'il reçoive les mises à jour tel que décrit à la Section 4.10, « Enregistrement pour obtenir les mises à jour », page 49.

4 Cliquez sur Suivant pour terminer la configuration initiale.


http://www.novell.com/documentation/webyast/

4.8 Configuration de l'applicatif avec l'outil SMT (Subscription Management Tool)Dans les environnements sécurisés où l'applicatif doit s'exécuter sans accès direct à Internet, vous devez, à l'aide de l'outil SMT (Subscription Management Tool), le configurer afin de le mettre à niveau vers les dernières versions disponibles. L'outil SMT est un système proxy de paquetage intégré à Novell Customer Center et offre les fonctions essentielles de Novell Customer Center.

Section 4.8.1, « Conditions préalables », page 47 Section 4.8.2, « Configuration de l'applicatif », page 48 Section 4.8.3, « Mise à niveau de l'applicatif », page 48

4.8.1 Conditions préalables

Procurez-vous les références Novell Customer Center de Sentinel Log Manager pour obtenir les mises à jour de Novell. Pour plus d'informations sur l'obtention des références, contactez le support Novell (http://support.novell.com/phone.html?sourceidint=suplnav4_phonesup).

Vérifiez que SLES 11 SP1 est installé avec les paquetages suivants sur la machine sur laquelle vous souhaitez installer l'outil SMT : htmldoc smt perl-DBIx-Transaction perl-File-Basename-Object pertl-DBIx-Migration-Director perl-MIME-Lite perl-Text-ASCIITable smt-support yast2-smt yum-metadata-parser createrepo sle-smt-release-cd sle-smt_en perl-DBI apache2-prefork libapr1 perl-Data-ShowTable perl-Net-Daemon perl-Tie-IxHash fltk libapr-util1 perl-PIRPC apache2-mod_perl apache2-utils


http://support.novell.com/phone.html?sourceidint=suplnav4_phonesup

apache2 perl-DBD-mysql

Installez SMT et configurez le serveur SMT. Pour plus d'informations, reportez-vous aux sections suivantes de la documentation SMT (http://www.novell.com/documentation/smt11/) : Installation de l'outil SMT Configuration du serveur SMT Mise en miroir de l'installation et mise à jour des espaces de stockage à l'aide de l'outil SMT

Installez l'utilitaire wget sur la machine de l'applicatif.

4.8.2 Configuration de l'applicatif

Pour plus d'informations sur la configuration de l'applicatif avec l'outil SMT, reportez-vous à la section « Configuring Clients to Use SMT » (http://www.novell.com/documentation/smt11/smt_sle_11_guide/?page=/documentation/smt11/smt_sle_11_guide/data/smt_client.html) (Configuration des clients pour l'utilisation de l'outil SMT) de la documentation Subscription Management Tool.

Pour activer les espaces de stockage de l'applicatif, exécutez la commande suivante :

Image de l'applicatif VMWare :

smt-repos -p sentinel_log_manager_1100_64_vmx_x86_64

Image de l'applicatif Xen :

smt-repos -p sentinel_log_manager_1100_64_xen_x86_64

ISO:

smt-repos -p sentinel_log_manager_1100_64_xen_x86_64

4.8.3 Mise à niveau de l'applicatif

Pour plus d'informations sur la mise à niveau de l'applicatif, consultez la section Section 5.4.3, « Mise à niveau de l'applicatif à l'aide de SMT », page 56.

4.9 Arrêt et démarrage de l'applicatif à l'aide de l'interface utilisateur WebVous pouvez démarrer et arrêter le serveur Sentinel Log Manager à l'aide de l'interface utilisateur Web comme suit :

1 Loguez-vous à l'applicatif Sentinel Log Manager.L'interface utilisateur Web de Sentinel Log Manager s'affiche.

2 Cliquez sur Applicatif pour démarrer WebYaST.


http://www.novell.com/documentation/smt11/

http://www.novell.com/documentation/smt11/smt_sle_11_guide/?page=/documentation/smt11/smt_sle_11_guide/data/smt_client.html

3 Cliquez sur System Services (Services système).

4 Pour arrêter le serveur Sentinel Log Manager, cliquez sur Arrêter.5 Pour démarrer le serveur Sentinel Log Manager, cliquez sur Démarrer.

4.10 Enregistrement pour obtenir les mises à jour1 Loguez-vous à l'applicatif Sentinel Log Manager.

L'interface utilisateur Web de Sentinel Log Manager s'affiche.2 Cliquez sur Applicatif pour démarrer WebYaST.3 Cliquez sur Enregistrement.


4 Indiquez l'adresse de messagerie à laquelle vous souhaitez recevoir des mises à jour, le nom du système et le code d'enregistrement de l'applicatif.

5 Cliquez sur Enregistrer.

Pour plus d'informations sur la mise à niveau de l'applicatif, consultez la Section 5.4, « Mise à niveau de l'applicatif », page 54.


5 5Mise à niveau de Sentinel Log Manager

Vous pouvez installer Sentinel Log Manager 1.2.0.2 sur la version 1.2 et les versions ultérieures de Sentinel Log Manager. Si vous souhaitez mettre à niveau une version 1.1.x de Sentinel Log Manager, vous devez d'abord effectuer une mise à niveau vers Sentinel Log Manager 1.2.0.1, puis installer Sentinel Log Manager 1.2.0.2.

REMARQUE : Après la mise à niveau, les personnalisations des collecteurs effectuées à l'aide du mode d'exécution personnalisé et de la méthode de fichier auxiliaire recommandée dans la documentation du SDK, sont conservées.

Section 5.1, « Conditions préalables », page 51 Section 5.2, « Mise à niveau du serveur Sentinel Log Manager », page 52 Section 5.3, « Mise à niveau du gestionnaire des collecteurs », page 54 Section 5.4, « Mise à niveau de l'applicatif », page 54 Section 5.5, « Mise à niveau des plug-ins Sentinel », page 56

5.1 Conditions préalables Sentinel Log Manager version 1.2 ou ultérieure requiert la plate-forme SUSE Linux Enterprise

Server (SLES) 11 SP1. Si vous effectuez la mise à niveau vers Sentinel Log Manager version 1.2 ou ultérieure, vous devez d'abord vérifier que le système d'exploitation est mis à niveau vers SLES 11 SP1.

Pour que Sentinel Log Manager version 1.2 ou ultérieure fonctionne correctement sous SLES 11 SP1, les RPM suivants ou leurs versions ultérieures doivent être installées : Correctifs du kernel :

kernel-default-2.6.32.29-0.3.1.x86_64.rpm

kernel-default-base-2.6.32.29-0.3.1.x86_64.rpm

RPM d'utilitaires Linux : libblkid1-2.16-6.11.1.x86_64.rpm

libuuid1-2.16-6.11.1.x86_64.rpm

util-linux-2.16-6.11.1.x86_64.rpm

util-linux-lang-2.16-6.11.1.x86_64.rpm

uuid-runtime-2.16-6.11.1.x86_64.rpm

Sentinel Log Manager 1.1.0.x utilise squashfs version 3.4-35.1. Cependant, SLES 11 SP.1 prend en charge les versions 4.0 et ultérieures de squashfs. Ces versions ne sont pas compatibles avec les versions précédentes et ne permettent pas d'ouvrir un système de fichiers compressé créé avec des versions antérieures de squashfs. L'installation de ces correctifs RPM résout le problème d'incompatibilité entre les versions squashfs de Sentinel Log Manager 1.1.0.x et SLES 11 SP1.

Mise à niveau de Sentinel Log Manager 51

Ces RPM sont disponibles via le canal de mise à jour en ligne SLES 11. Pour plus d'informations sur la mise à jour du système SLES, reportez-vous à la section « YaST Online Update » (http://www.novell.com/documentation/sles11/book_sle_admin/?page=/documentation/sles11/book_sle_admin/data/cha_onlineupdate_you.html) (Mise à jour YaST en ligne) du manuel SLES 11 SP1 Administration Guide (http://www.novell.com/documentation/sles11/book_sle_admin/data/book_sle_admin_pre.html)(Guide d'administration SLES 11 SP1).

REMARQUE : L'installation ne s'effectue que si les correctifs de kernel mentionnés ci-dessus et les RPM d'utilitaires Linux sont installés.

Si vous souhaitez mettre à niveau une version 1.1.x de Sentinel Log Manager, vous devez d'abord effectuer une mise à niveau vers Sentinel Log Manager 1.2.0.1, puis installer Sentinel Log Manager 1.2.0.2.

Vérifiez que les liens symboliques n'ont pas été utilisés pour les dossiers et sous-dossiers suivants : opt/novell (dossier de base) etc/opt/novell (dossier de configuration) var/opt/novell (dossier de données)

Si des liens symboliques ont été utilisés, supprimez-les : replacez ces répertoires dans les répertoires d'installation standard.

5.2 Mise à niveau du serveur Sentinel Log Manager1 Sauvegardez votre configuration, puis créez une exportation ESM.

Pour plus d'informations sur la sauvegarde de données, reportez-vous à la section relative à la « sauvegarde et à la restauration de données. »

2 Téléchargez la dernière version du correctif sur le site de téléchargement de Novell (http://download.novell.com).

3 (Conditionnel) Si vous souhaitez effectuer une mise à niveau vers la zone de réacheminement Sentinel Log Manager Hotfix 1, téléchargez le correctif à partir de la page Outil de recherche de correctifs Novell (http://download.novell.com/patch/finder/).

4 Loguez-vous en tant qu'utilisateur root au serveur sur lequel vous souhaitez installer Sentinel Log Manager.

5 Entrez la commande suivante pour arrêter le serveur Sentinel Log Manager :

<install_directory>/bin/server.sh stop

Par exemple, /opt/novell/sentinel_log_mgr/bin #./server.sh stop.6 Entrez la commande suivante pour extraire les fichiers d'installation du fichier TAR :


Remplacez <nom_fichier_installation> par le nom réel du fichier d'installation.7 Accédez au répertoire dans lequel le fichier d'installation a été extrait.8 Entrez la commande suivante pour exécuter le script install-slm afin de mettre à niveau

Sentinel Log Manager :

./install-slm

9 Pour continuer dans la langue de votre choix, sélectionnez le numéro en regard de la langue. L'accord de licence utilisateur final s'affiche dans la langue sélectionnée.


http://www.novell.com/documentation/sles11/book_sle_admin/?page=/documentation/sles11/book_sle_admin/data/cha_onlineupdate_you.html



http://download.novell.com

http://download.novell.com/patch/finder/

http://download.novell.com/patch/finder/

10 Lisez l'accord de licence utilisateur final et tapez Oui ou o pour l'accepter, puis poursuivez l'installation.

11 Le script d'installation détecte qu'une version antérieure du produit existe déjà et vous demande si vous souhaitez mettre à niveau le produit. Si vous appuyez sur n, l'installation se termine. Pour procéder à la mise à niveau, appuyez sur o.Le processus démarre en installant tous les paquetages RPM. Cette installation peut prendre quelques secondes.Si vous effectuez la mise à niveau d'un système Sentinel Log Manager 1.1 qui a été mis à niveau depuis Sentinel Log Manager 1.0, l'installation existante de Sentinel Log Manager 1.0 reste intacte, à l'exception des points suivants : Si les répertoires de données 1.0 (par exemple, /opt/novell/

sentinel_log_manager_1.0_x86-64/data) et 1.1 (par exemple, /var/opt/novell/sentinel_log_mgr/data) se trouvent sur le même système de fichiers, les sous-répertoires <1.0>/data/eventdata et <1.0>/data/rawdata sont déplacés vers l'emplacement du répertoire 1.1 car les répertoires eventdata et rawdata sont généralement volumineux. Si les répertoires de données 1.0 et 1.1 se trouvent sur des systèmes de fichiers distincts, les sous-répertoires eventdata et rawdata sont copiés à l'emplacement du répertoire 1.1 et les fichiers du répertoire 1.0 restent intacts.

Si le répertoire de données 1.0 existant (par exemple, /opt/novell/sentinel_log_mgr_1.0_x86-64) se trouve sur un système de fichiers monté séparément et que l'espace est insuffisant sur le système de fichiers contenant le répertoire de données 1.1 (/var/opt/novell/sentinel_log_mgr/data), vous pouvez alors autoriser le programme d'installation à remonter le système de fichiers de l'emplacement 1.0 vers l'emplacement 1.1. Toute entrée du répertoire /etc/fstab est également mise à jour. Si vous décidez de ne pas autoriser le programme d'installation à remonter le système de fichiers existant, la mise à niveau est interrompue. Vous pouvez alors libérer l'espace suffisant sur le système de fichiers pour accueillir le répertoire de données 1.1.

Une fois que Sentinel Log Manager 1.2.0.2 est installé et que le serveur est fonctionnel, entrez la commande suivante pour supprimer manuellement le répertoire Sentinel Log Manager 1.0 :

rm -rf /opt/novell/slm_1.0_install_directory

Par exemple :

rm -rf /opt/novell/sentinel_log_mgr_x86-64

La suppression du répertoire d'installation supprime définitivement l'installation de Sentinel Log Manager 1.0..

12 Entrez la commande suivante pour démarrer le serveur Sentinel Log Manager :

<install_directory>/bin/server.sh start

13 Vérifiez que tous les gestionnaires des collecteurs sont mis à niveau vers une version compatible avec le serveur Sentinel Log Manager mis à niveau. Pour plus d'informations sur la mise à niveau des gestionnaires des collecteurs, reportez-vous à la Section 5.3, « Mise à niveau du gestionnaire des collecteurs », page 54.

REMARQUE : lors du premier démarrage du système après sa mise à niveau, l'initialisation peut prendre environ cinq minutes avant que vous puissiez commencer à utiliser le système. Cela ne se produit que lors du premier démarrage du système après son installation ou sa mise à niveau.


5.3 Mise à niveau du gestionnaire des collecteurs1 Effectuez une sauvegarde de votre configuration et créez une exportation ESM.

Pour plus d'informations, reportez-vous à la section « Backing Up and Restoring Data » (Sauvegarde et restauration des données) du Sentinel Log Manager 1.2.2 Administration Guide (Guide d'administration de Sentinel Log Manager 1.2).

2 Loguez-vous à Sentinel Log Manager en tant qu'administrateur.3 Sélectionnez Collecte > Avancé.

Vous pouvez télécharger depuis cette page la dernière version du programme d'installation de la mise à niveau du gestionnaire des collecteurs compatible avec Sentinel Log Manager.

4 Cliquez sur le lien Télécharger le programme d'installation dans la section du programme d'installation de la mise à niveau du gestionnaire des collecteurs.Une fenêtre s'affiche vous proposant d'ouvrir ou d'enregistrer le fichier scm_upgrade_installer.zip sur la machine locale.

5 Enregistrez le fichier.6 Copiez le fichier à un emplacement temporaire.7 Dézippez le contenu du fichier .zip.8 Exécutez l'un des scripts suivants :

Pour mettre à niveau le gestionnaire des collecteurs Windows, exécutez service_pack.bat.

Pour mettre à niveau le gestionnaire des collecteurs Linux, exécutez service_pack.sh.9 Suivez les instructions affichées pour terminer l'installation.

5.4 Mise à niveau de l'applicatif Vous pouvez mettre à niveau l'applicatif Sentinel Log Manager à l'aide de WebYaST ou de SMT.

Section 5.4.1, « Mise à niveau de l'applicatif à l'aide de WebYast », page 54 Section 5.4.2, « Mise à niveau de l'applicatif à l'aide de Zypper », page 55 Section 5.4.3, « Mise à niveau de l'applicatif à l'aide de SMT », page 56

5.4.1 Mise à niveau de l'applicatif à l'aide de WebYast

REMARQUE : si vous mettez à niveau l'applicatif Sentinel Log Manager exécuté sur un système d'exploitation antérieur à SLES 11 SP3, vous devez utiliser l'utilitaire de ligne de commande zypper, car une intervention de l'utilisateur est requise pour effectuer cette opération. WebYaST ne permet pas ce type d'intervention. Pour plus d'informations sur l'utilisation de zypper pour mettre à niveau l'applicatif, reportez-vous à la Section 5.4.2, « Mise à niveau de l'applicatif à l'aide de Zypper », page 55

1 Indiquez l'URL de Sentinel Log Manager à l'aide du port 4984 pour lancer WebYaST. 2 Connectez-vous à WebYast à l'aide des références de l'applicatif.3 Sauvegardez votre configuration, puis créez une exportation ESM.

Pour plus d'informations sur la sauvegarde de données, reportez-vous à la section relative à la « sauvegarde et à la restauration de données. »


4 (Facultatif) Si vous n'avez pas encore enregistré l'applicatif pour les mises à jour automatiques, enregistrez-le.Pour plus d'informations, reportez-vous à la Section 4.10, « Enregistrement pour obtenir les mises à jour », page 49.Si l'applicatif n'est pas enregistré, un avertissement (indiqué en jaune) apparaît dans WebYast.

5 Pour vérifier si des mises à jour sont disponibles, cliquez sur Mises à jour.Les mises à jour disponibles s'affichent.

6 Sélectionnez les mises à jour et appliquez-les.Les mises à jour peuvent prendre quelques minutes. Une fois la mise à jour effectuée, la page de connexion de WebYaST apparaît. Avant de mettre à jour l'applicatif, WebYaST arrête automatiquement le service Sentinel Log Manager. Vous devez redémarrer ce service manuellement une fois la mise à niveau terminée.

7 Redémarrez le serveur Sentinel Log Manager à l'aide de l'interface utilisateur Web. Pour plus d'informations, reportez-vous à la Section 4.9, « Arrêt et démarrage de l'applicatif à l'aide de l'interface utilisateur Web », page 48.

5.4.2 Mise à niveau de l'applicatif à l'aide de Zypper

Pour mettre à niveau l'applicatif à l'aide du correctif zypper :

1 Sauvegardez votre configuration, puis créez une exportation ESM. Pour plus d'informations sur la sauvegarde de données, reportez-vous à la section relative à la « sauvegarde et à la restauration de données. »

2 (Facultatif) Si vous n'avez pas encore enregistré l'applicatif pour les mises à jour automatiques, enregistrez-le.Pour plus d'informations, reportez-vous à la Section 4.10, « Enregistrement pour obtenir les mises à jour », page 49.Si l'applicatif n'est pas enregistré, un avertissement (indiqué en jaune) apparaît dans WebYast.

3 Loguez-vous à la console d'appliance en tant qu'utilisateur root.4 Exécutez la commande suivante :

usr/bin/zypper patch

5 (Conditionnel) Si vous effectuez la mise à niveau d'une version de Sentinel Log Manager antérieure à 1.2, un message s'affiche pour indiquer un conflit de version squashfs. Entrez 1 pour mettre à niveau la version 4.0-1.2.10 squashfs et pour accepter la modification de fournisseur.Les versions 1.1 de Sentinel Log Manager utilisent squashfs version 3.4, mais Sentinel Log Manager 1.2 et les versions ultérieures utilisent squashfs version 4.0. Par ailleurs, le fournisseur du programme d'installation squashfs yast2-live n'est plus OpenSUSE, mais SLES. Pour procéder à la mise à niveau, vous devez d'abord mettre à niveau squashfs et accepter la modification du fournisseur.

6 Entrez Y pour continuer.7 (Conditionnel) Si vous effectuez la mise à niveau d'une version de Sentinel Log Manager

antérieure à 1.2, l'accord de licence utilisateur final de Sentinel Log Manager s'affiche. Cliquez sur Oui pour l'accepter.


L'accord de licence de Sentinel Log Manager 1.2 et des versions ultérieures est différent de celui de Sentinel Log Manager 1.1. Vous devez accepter le nouvel accord de licence pour mettre à niveau Sentinel Log Manager 1.1 et ses versions ultérieures vers la version 1.2 ou ultérieure.

8 (Conditionnel) Si vous effectuez la mise à niveau de l'applicatif Sentinel Log Manager exécuté sur un système d'exploitation antérieur à SLES 11 SP3, l'accord de licence utilisateur final s'affiche. Cliquez sur Oui pour l'accepter.L'applicatif de Sentinel Log Manager se met à niveau.

9 (Conditionnel) Si vous effectuez la mise à niveau d'une version de Sentinel Log Manager antérieure à 1.2, un avertissement d'obsolescence s'affiche une fois la mise à niveau terminée. Sentinel Log Manager 1.2.0.1 utilise WebYaST 1.1, mais les versions de Sentinel Log Manager 1.1 utilisent WebYaST 1.0. Pendant la mise à niveau, le module de langue WebYaST 1.0 est obsolète dans WebYaST 1.1. Toutefois, cet avertissement n'affecte pas la mise à niveau.

10 Redémarrez l'applicatif Sentinel Log Manager.

5.4.3 Mise à niveau de l'applicatif à l'aide de SMT

Dans les environnements sécurisés où l'applicatif doit s'exécuter sans accès direct à Internet, vous devez le configurer à l'aide de l'outil SMT (Subscription Management Tool), afin de le mettre à niveau vers les dernières versions disponibles.

1 Veillez à configurer l'applicatif avec SMT.Pour plus d'informations, reportez-vous à la section Section 4.8, « Configuration de l'applicatif avec l'outil SMT (Subscription Management Tool) », page 47.

2 Loguez-vous à la console d'appliance en tant qu'utilisateur root.3 Rafraîchissez l'espace de stockage pour la mise à niveau :

zypper ref -s

4 Vérifiez si l'applicatif est activé pour la mise à niveau :

zypper lr

5 (Facultatif) Recherchez les mises à jour disponibles pour l'applicatif :

zypper lu

6 (Facultatif) Recherchez les paquetages disponibles pour l'applicatif :

zypper lp -r SMT-http_<smt_server_ipaddress>:SLM-1.1.0.0-ISO

7 Mettez à jour l'applicatif :

zypper up -t patch -r SMT-http_<smt_server_ipaddress>:SLM-1.1.0.0-ISO

8 Redémarrez l'applicatif.

rcsentinel_log_mgr restart

5.5 Mise à niveau des plug-ins SentinelLes nouveaux plug-ins et les plug-ins mis à jour de Sentinel sont téléchargés fréquemment sur le site Web des plug-ins Sentinel (http://support.novell.com/products/sentinel/secure/sentinelplugins.html). Pour obtenir les derniers correctifs de bogue, les mises à jour de documentation et les améliorations de plug-in, téléchargez la dernière version du plug-in. Pour obtenir des informations sur l'installation ou la mise à niveau d'un plug-in, reportez-vous à la documentation relative au plug-in.




6 6Connexion à l'interface Web

L'administrateur créé pendant l'installation peut se connecter à l'interface Web pour configurer et utiliser Sentinel Log Manager :

1 Ouvrez un navigateur Web pris en charge. Pour plus d'informations, reportez-vous à la Section 2.3, « Navigateurs pris en charge », page 22.

2 Spécifiez l'URL de la page Novell Sentinel Log Manager (par exemple, https://10.0.0.1:8443/novelllogmanager), puis appuyez sur Entrée.

3 (Facultatif) Lors de votre première connexion à Sentinel Log Manager, vous êtes invité à accepter un certificat. Une fois le certificat accepté, la page de connexion de Sentinel Log Manager s'affiche.

4 Spécifiez le nom d'utilisateur et le mot de passe de l'administrateur de Sentinel Log Manager.5 Sélectionnez dans quelle langue utiliser l'interface Sentinel Log Manager.

Connexion à l'interface Web 57

L'interface utilisateur Sentinel Log Manager est disponible en anglais, portugais, français, italien, allemand, espagnol, japonais, chinois traditionnel ou simplifié.

6 Cliquez sur Se connecter.L'interface utilisateur Web de Novell Sentinel Log Manager s'affiche.


7 7Installation de gestionnaires des collecteurs supplémentaires

Les gestionnaires des collecteurs gèrent la collecte de toutes les données et l'analyse de ces dernières pour Novell Sentinel Log Manager. Un gestionnaire des collecteurs est installé par défaut sur le serveur Sentinel Log Manager dans le cadre de la procédure d'installation de Sentinel Log Manager. Vous pouvez toutefois en installer plusieurs dans une configuration distribuée.

Section 7.1, « Avant de commencer », page 59 Section 7.2, « Avantages de l'installation de gestionnaires des collecteurs supplémentaires »,

page 60 Section 7.3, « Installation de gestionnaires des collecteurs supplémentaires », page 60

7.1 Avant de commencer Vérifiez que votre matériel et vos logiciels satisfont aux conditions de la configuration minimale

requise mentionnées au Chapitre 2, « Configuration système requise », page 17. Synchronisez l'heure à l'aide du protocole NTP (Network Time Protocol). Un gestionnaire des collecteurs requiert une connectivité réseau vers le port de bus de messages

(61616) sur le serveur Sentinel Log Manager. Avant d'installer le gestionnaire des collecteurs, vérifiez que tous les paramètres du pare-feu et autres paramètres réseau sont autorisés à communiquer sur ce port.

Pour installer le gestionnaire des collecteurs sur RHEL 6, le script et les packages suivants doivent être installés : Installez le script ksh :

install ksh-20100621-2.el6.x86_64

Pour que le programme d'installation puisse être exécuté en mode console, les packages suivants doivent être installés : glibc-2.12-1.7.el6.i686 nss-softokn-freebl-3.12.7-1.1.el6.i686

Pour que le programme d'installation puisse être exécuté en mode d'interface utilisateur graphique, les packages suivants doivent être installés : glibc-2.12-1.7.el6.i686 libX11-1.3-2.el6.i686 libXau-1.0.5-1.el6.i686 libxcb-1.5-1.el6.i686 libXext-1.1-3.el6.i686 libXi-1.3-3.el6.i686

Installation de gestionnaires des collecteurs supplémentaires 59

libXtst-1.0.99.2-3.el6.i686 nss-softokn-freebl-3.12.7-1.1.el6.i686

7.2 Avantages de l'installation de gestionnaires des collecteurs supplémentairesL'installation de plusieurs gestionnaires des collecteurs dans un réseau distribué présente plusieurs avantages :

Des performances système améliorées : les gestionnaires des collecteurs supplémentaires peuvent analyser et traiter des données d'événements dans un environnement distribué, améliorant ainsi les performances système.

Une sécurité accrue des données et des exigences de bande passante moindres : si les gestionnaires des collecteurs se trouvent au même emplacement que les sources d'événements, le filtrage, le codage de même que la compression des données peuvent être effectués à la source.

Possibilité de collecter des données à partir d'autres systèmes d'exploitation : vous pouvez par exemple installer un gestionnaire des collecteurs sous Microsoft Windows pour permettre la collecte des données par le biais du protocole WMI.

Caching de fichiers : le gestionnaire des collecteurs distant est capable de mettre en cache de grandes quantités de données alors que le serveur est momentanément occupé à archiver des événements ou à traiter un pic d'événements. Cette fonction est avantageuse pour les protocoles, tels que syslog qui ne prennent pas d'office en charge le caching d'événements.

7.3 Installation de gestionnaires des collecteurs supplémentaires

1 Loguez-vous à Sentinel Log Manager en tant qu'administrateur.2 Sélectionnez collecte > Avancé.3 Cliquez sur le lien Download Installer (Télécharger le programme d'installation) dans la section

relative au programme d'installation du gestionnaire des collecteurs.Une fenêtre s'affiche vous proposant d'ouvrir ou d'enregistrer le fichier scm_installer_.zip sur la machine locale. Enregistrez le fichier.

4 Copiez et extrayez le fichier à l'emplacement où vous souhaitez installer le gestionnaire des collecteurs.

5 En fonction de votre système d'exploitation, exécutez l'un des fichiers d'installation suivants : Pour installer le gestionnaire des collecteurs sur un système Windows, exécutez setup.bat. Pour installer le gestionnaire des collecteurs sur un système Linux, exécutez setup.sh.

6 Sélectionnez une langue et cliquez sur OK.Le mécanisme de protection de l'installation s'affiche.

7 Cliquez sur OK.8 Lisez et acceptez l'accord de licence, puis cliquez sur Suivant.9 Vous pouvez continuer en acceptant le répertoire d'installation par défaut ou parcourir les

répertoires pour en sélectionner un, puis cliquer sur Suivant.10 Ne modifiez pas le port par défaut message bus et indiquez le nom d'hôte/l'adresse IP du

serveur Sentinel Log Manager.


11 Cliquez sur Suivant pour accepter la Configuration de mémoire automatique par défaut (256 mégaoctets).Un résumé de l'installation s'affiche.

12 Cliquez sur Installer.13 Indiquez le nom d'utilisateur et le mot de passe du gestionnaire des collecteurs.

Le nom d'utilisateur et le mot de passe sont stockés dans le fichier /etc/opt/novell/sentinel_log_mgr/config/activemqusers.properties situé sur le serveur Sentinel Log Manager.Reportez-vous à la ligne suivante du fichier activemqusers.properties :

collectormanager=<password>

collectormanager est le nom de l'utilisateur et la valeur correspondante est le mot de passe. 14 Acceptez définitivement le certificat lorsque vous y êtes invité.15 Cliquez sur Terminer pour quitter le processus d'installation.16 Redémarrez la machine.

Si le gestionnaire des collecteurs s'exécute sur Windows 2008 et si des exceptions sont consignées dans le fichier collector_manager0.0.log après le redémarrage, reportez-vous à la Section A.4, « Le gestionnaire des collecteurs génère une exception sous Windows 2008 lorsque le contrôle d'accès utilisateur est activé », page 69 pour résoudre le problème.

Installation de gestionnaires des collecteurs supplémentaires 61

8 8Désinstallation

Cette section aborde les procédures de désinstallation du gestionnaire des collecteurs et du serveur Novell Sentinel Log Manager.

Section 8.1, « Désinstallation de l'applicatif », page 63 Section 8.2, « Désinstallation de Sentinel Log Manager », page 63 Section 8.3, « Désinstallation du gestionnaire des collecteurs », page 64

8.1 Désinstallation de l'applicatifSi vous souhaitez conserver des données de Sentinel Log Manager, vous devez les sauvegarder avant de désinstaller l'applicatif, afin de pouvoir restaurer les données par la suite. Pour plus d'informations, reportez-vous à la section « Backing Up and Restoring Data » (Sauvegarde et restauration des données) du Sentinel Log Manager 1.2.2 Administration Guide (Guide d'administration de Sentinel Log Manager 1.2).

Si vous ne souhaitez conserver aucune donnée, suivez les procédures suivantes pour désinstaller l'applicatif :

Applicatif VMware ESX : pour désinstaller l'applicatif virtuel du gestionnaire des journaux, si la machine virtuelle est dédiée exclusivement à Novell Sentinel Log Manager et que vous n'avez pas besoin de conserver de données, supprimez la machine virtuelle.

Applicatif Xen : pour désinstaller l'applicatif virtuel du gestionnaire des journaux, si la machine virtuelle Xen est dédiée exclusivement à Novell Sentinel Log Manager et que vous n'avez pas besoin de conserver de données, supprimez la machine virtuelle.

Applicatif matériel : pour désinstaller le gestionnaire des journaux d'une machine physique, si le système est dédié exclusivement à Novell Sentinel Log Manager et que vous n'avez pas besoin de conserver de données, reformatez le disque dur.

8.2 Désinstallation de Sentinel Log Manager1 Loguez-vous au serveur Sentinel Log Manager en tant qu'utilisateur root.2 Pour exécuter le script de désinstallation, exécutez la commande suivante :

/opt/novell/sentinel_log_mgr/setup/uninstall-slm

3 Lorsque vous êtes invité à confirmer que vous souhaitez procéder à la désinstallation, appuyez sur o.Le serveur Sentinel Log Manager est d'abord arrêté, puis désinstallé.

Désinstallation 63

8.3 Désinstallation du gestionnaire des collecteursCette section aborde les procédures de désinstallation de Sentinel Collector Manager installé sur des machines Windows ou Linux.

Section 8.3.1, « Désinstallation du gestionnaire des collecteurs sous Linux », page 64 Section 8.3.2, « Désinstallation du gestionnaire des collecteurs sous Windows », page 64 Section 8.3.3, « Nettoyage manuel des répertoires », page 65

8.3.1 Désinstallation du gestionnaire des collecteurs sous Linux

1 Loguez-vous en tant qu'utilisateur root.2 Dans la machine sur laquelle le gestionnaire des collecteurs est installé, naviguez jusqu'à

l'emplacement suivant :$ESEC_HOME/_uninst

3 Exécutez la commande suivante :

./uninstall.bin

4 Sélectionnez une langue et cliquez sur OK.5 Cliquez sur Suivant dans l'assistant de protection de l'installation.6 Sélectionnez les fonctions à désinstaller, puis cliquez sur Suivant.7 Arrêtez toutes les applications Sentinel Log Manager en cours d'exécution, puis cliquez sur

Suivant.8 Cliquez sur Désinstaller.9 Cliquez sur Terminer.

10 Sélectionnez Reboot the system (Redémarrer le système), puis cliquez sur Terminer.

8.3.2 Désinstallation du gestionnaire des collecteurs sous Windows

1 Loguez-vous en tant qu'administrateur.2 Arrêtez le serveur Sentinel Log Manager.3 Sélectionnez Démarrer > Exécuter.4 Spécifiez les informations suivantes :

%Esec_home%\_uninst

5 Double-cliquez sur le fichier uninstall.exe pour l'exécuter.6 Sélectionnez une langue et cliquez sur OK.

L'assistant de protection de l'installation s'affiche.7 Cliquez sur Suivant. 8 Sélectionnez les fonctions à désinstaller, puis cliquez sur Suivant.9 Arrêtez toutes les applications Sentinel Log Manager en cours d'exécution, puis cliquez sur

Suivant.10 Cliquez sur Désinstaller.11 Cliquez sur Terminer.12 Sélectionnez Reboot the system (Redémarrer le système), puis cliquez sur Terminer.


8.3.3 Nettoyage manuel des répertoires

« Linux » page 65 « Windows » page 65

Linux

1 Loguez-vous en tant qu'utilisateur root à la machine de laquelle vous souhaitez supprimer le gestionnaire des collecteurs.

2 Arrêtez tous les processus Sentinel Log Manager.3 Supprimez le contenu du répertoire /opt/novell/sentinel6.

Windows

1 Loguez-vous en tant qu'administrateur à la machine de laquelle vous souhaitez supprimer le gestionnaire des collecteurs.

2 Supprimez le dossier %CommonProgramFiles%\InstallShield\Universal et l'ensemble de son contenu.

3 Supprimez le dossier %ESEC_HOME% situé à l'emplacement par défaut : C:\Program Files\Novell\Sentinel6.

Désinstallation 65

A ADépannage - installation

Cette section présente certains des problèmes pouvant survenir pendant l'installation, ainsi que la procédure permettant de les résoudre.

Section A.1, « Échec de la mise à niveau de Sentinel Log Manager si le mot de passe dbauser ne correspond pas à celui repris dans le fichier .pgpass », page 67

Section A.2, « Échec de l'installation en raison d'une configuration réseau incorrecte », page 68 Section A.3, « Problème de configuration du réseau avec VMware Player 3 sous SLES 11 »,

page 68 Section A.4, « Le gestionnaire des collecteurs génère une exception sous Windows 2008 lorsque

le contrôle d'accès utilisateur est activé », page 69 Section A.5, « Mise à niveau de Sentinel Log Manager installé par un utilisateur non-root autre

que novell », page 70 Section A.6, « L'UUID n'est pas créé pour les gestionnaires des collecteurs ayant fait l'objet d'une

création d'image », page 70

A.1 Échec de la mise à niveau de Sentinel Log Manager si le mot de passe dbauser ne correspond pas à celui repris dans le fichier .pgpass

Problème :

Lorsque vous mettez à niveau Sentinel Log Manager, la mise à niveau de la base de données échoue si le mot de passe dbauser ne correspond pas à celui indiqué dans le fichier .pgpass.

Le comportement est différent suivant la méthode d'installation :

Programme d'installation standard : la mise à niveau n'est pas effectuée et un message approprié s'affiche pour indiquer la cause de l'erreur et la solution à appliquer.

Console de l'applicatif : Le message d'erreur suivant s'affiche :

Installing: novell-SLMdb-1.2.0.2-954 [error]Installation of novell-SLMdb-1.2.0.2-954 failed:(with --nodeps --force) Error: Subprocess failed. Error: RPM failed: Unable to login to the database, cannot continue with the upgrade. Check if the dbauser password specified in /home/novell/.pgpass is correct and try again.error: %pre(novell-SLMdb-1.2.0.2-954.x86_64) scriptlet failed, exit status 2error: install: %pre scriptlet failed (2), skipping novell-SLMdb-1.2.0.2-954

Abort, retry, ignore? [a/r/i] (a):

WebYaST : WebYaST continue à indiquer qu'une mise à jour est disponible. Vous pouvez consulter le fichier journal /var/opt/novell/sentinel_log_mgr/log/install.log pour découvrir l'origine exacte de cette erreur.

Dépannage - installation 67

Solution :

Mettez à jour le mot de passe dans le fichier .pgpass avec le mot de passe dbauser actuel et procédez à la mise à niveau. Pour plus d'informations sur le fichier .pgpass, consultez la documentation de PostgreSQL.

Si vous procédez à la mise à niveau à l'aide de la console de l'applicatif, effectuez l'une des opérations suivantes :

Entrez a pour abandonner l'installation, mettez à jour le mot de passe dans le fichier /home/novell/.pgpass, puis exécutez le correctif zypper pour procéder à la mise à niveau.

Ouvrez une autre console et mettez à jour le mot de passe dans le fichier /home/novell/.pgpass. Dans la console de mise à niveau, entrez r pour procéder à la mise à niveau.

Entrez i pour ignorer le message d'erreur et procéder à l'installation. Une fois la mise à niveau terminée, mettez à jour le mot de passe dans le fichier /home/novell/.pgpass, puis exécutez le correctif zypper dans la console pour finaliser la procédure de mise à niveau.

Si vous effectuez la mise à niveau à l'aide de WebYaST :

1 Connectez-vous à la console de l'applicatif.2 Mettez à jour le mot de passe de l'administrateur de la base de données (dbauser) dans le fichier

/home/novell/.pgpass.3 Dans WebYaST, cliquez sur Update All (Tout mettre à jour) pour poursuivre la procédure de mise

à niveau.Une fois la mise à niveau terminée, le message System is up to date (Le système est à jour) s'affiche dans WebYaST.

A.2 Échec de l'installation en raison d'une configuration réseau incorrecteAu cours du premier démarrage, si le programme d'installation détecte que les paramètres réseau sont incorrects, un message d'erreur s'affiche. Si le réseau est indisponible, l'installation de Sentinel Log Manager sur l'applicatif échoue.

Pour résoudre ce problème, configurez correctement les paramètres réseau, de sorte que le système dispose d'une adresse IP et d'un nom d'hôte valides.

A.3 Problème de configuration du réseau avec VMware Player 3 sous SLES 11 L'erreur suivante risque de se produire lorsque vous essayez de configurer le réseau avec VMware Player 3 sous SLES 11 :

Jan 12 14:57:34.761: vmx| VNET: MACVNetPortOpenDevice: Ethernet0: can't open vmnet device (No such device or address)Jan 12 14:57:34.761: vmx| VNET: MACVNetPort_Connect: Ethernet0: can't open data fdJan 12 14:57:34.761: vmx| Msg_Post: ErrorJan 12 14:57:34.761: vmx| [msg.vnet.connectvnet] Could not connect Ethernet0 to virtual network "/dev/vmnet0". More information can be found in the vmware.log file.Jan 12 14:57:34.761: vmx|[msg.device.badconnect] Failed to connect virtual device Ethernet0. Jan 12 14:57:34.761: vmx| --


http://www.postgresql.org/docs/8.2/static/libpq-pgpass.html

http://www.postgresql.org/docs/8.2/static/libpq-pgpass.html

Cette erreur signifie que le fichier VMX a peut-être été ouvert par une autre machine virtuelle. Pour corriger cette erreur, vous devez mettre à jour l'adresse MAC dans le fichier VMX comme suit :

1 Ouvrez le fichier VMX dans un éditeur de texte.2 Copiez l'adresse MAC à partir du champ ethernet0.generatedAddress. 3 Ouvrez le fichier /etc/udev/rules.d/70-persistent-net.rules à partir du système

d'exploitation invité.4 Mettez en commentaire la ligne originale, puis tapez une ligne SUBSYSTEM comme suit :

SUBSYSTEM=="net", DRIVERS=="?*", ATTRS{address}==<MAC address>, NAME="eth0"

5 Remplacez <adresse MAC> par l'adresse MAC copiée à l'Étape 2.6 Enregistrez et fermez le fichier.7 Ouvrez la machine virtuelle dans VMware Player.

A.4 Le gestionnaire des collecteurs génère une exception sous Windows 2008 lorsque le contrôle d'accès utilisateur est activéProblème : loguez-vous en tant qu'utilisateur appartenant au groupe administrateur et exécutez la commande setup.bat à l'invite du terminal pour installer le gestionnaire des collecteurs. Redémarrez le système ou démarrez manuellement les services du gestionnaire des collecteurs, puis loguez-vous avec les mêmes références utilisateur. Les exceptions sont consignées dans le fichier collector_manager0.0.log qui a une incidence sur les fonctionnalités suivantes du gestionnaire des collecteurs :

Les assignations ne sont pas initialisées. Vous ne pouvez pas choisir de fichier source d'événements sur le système de fichiers de la

machine du gestionnaire des collecteurs (Win2008) en utilisant le connecteur de fichier.

Cause possible : vous avez installé le gestionnaire des collecteurs sur une machine Windows 2008 SP1 Standard Edition 64 bits. Par défaut, le contrôle d'accès utilisateur est activé sur la machine.

Solution : changez le propriétaire connecté aux services de déploiement rapide de Sentinel 6.1 et sélectionnez l'utilisateur actuel. Par défaut, le propriétaire Se connecter est défini sur Local System Account (Compte système local). Pour modifier l'option par défaut :

1 Exécutez services.msc pour ouvrir la fenêtre Services.2 Cliquez avec le bouton droit sur Sentinel, puis sélectionnez Propriétés.3 Dans la fenêtre Sentinel Properties (Propriétés Sentinel), sélectionnez l'onglet Se connecter.4 Sélectionnez This Account (Ce compte), puis fournissez les références de l'utilisateur en cours que

vous avez utilisées pour l'installation du gestionnaire des collecteurs..

REMARQUE : L'utilisateur doit figurer dans le groupe des administrateurs.

Dépannage - installation 69

A.5 Mise à niveau de Sentinel Log Manager installé par un utilisateur non-root autre que novellLa procédure de mise à niveau échoue si vous essayez de mettre à niveau le serveur Novell Sentinel Log Manager 1.0 installé avec l'identité d'un utilisateur non-root autre que novell. Ce problème survient en raison de la nature des autorisations de fichier définies lors de l'installation de Sentinel Log Manager 1.0.

Pour mettre à niveau le serveur Sentinel Log Manager 1.0 installé avec l'identité d'un utilisateur non-root autre que novell, procédez comme suit :

1 Créez l'utilisateur novell. 2 Modifiez la propriété de l'installation de Sentinel Log Manager 1.0 en novell:novell.

chown -R novell:novell /opt/novell/<install_directory>

Remplacez <répertoire_installation> par le nom du répertoire d'installation. Exemples

chown -R novell:novell /opt/novell/sentinel_log_mgr_1.0_x86-64

3 Remplacez la valeur de l'entrée ESEC_USER dans /etc/opt/novell/sentinel_log_mgr/config/esecuser.properties par novell.

A.6 L'UUID n'est pas créé pour les gestionnaires des collecteurs ayant fait l'objet d'une création d'imageSi vous créez l'image d'un serveur de gestionnaire des collecteurs (à l'aide par exemple de ZenWorks Imaging) et que vous restaurez les images sur différentes machines, Sentinel Log Manager n'identifie pas de manière unique les nouvelles instances du gestionnaire des collecteurs. Cela s'explique par le fait que les UUID sont en double.

Vous devez générer l'UUID sur les systèmes de gestionnaires des collecteurs que vous venez d'installer en effectuant les opérations suivantes :

1 Supprimez le fichier host.id ou sentinel.id stocké dans le dossier /var/opt/novell/sentinel_log_mgr/data.

2 Redémarrez le gestionnaire des collecteurs.Le gestionnaire des collecteurs génère automatiquement l'UUID.


Terminologie Sentinel

Cette section décrit la terminologie employée dans ce document.

Collecteurs. Utilitaire qui analyse les données et fournit un flux d'événements plus riche en intégrant une taxonomie, une détection d'exploits et des informations pertinentes sur le plan professionnel au flux de données avant que les événements ne soient corrélés, analysés et envoyés à la base de données.

Connecteurs. Utilitaire qui emploie des méthodes normalisées pour le secteur pour se connecter à la source de données et obtenir des données brutes.

Conservation des données. Stratégie qui définit la durée de conservation des événements avant leur suppression du serveur Sentinel Log Manager.

Source d'événements. Applicateur ou système qui consigne l'événement.

Gestion de source d'événements. ESM. Interface qui permet de gérer et de surveiller les connexions entre Sentinel et ses sources d'événements, en employant des connecteurs et des collecteurs Sentinel.

Événements par seconde. EPS. Valeur qui mesure la vitesse à laquelle un réseau génère des données à partir de ses périphériques et applications de sécurité. Il s'agit également du taux auquel Sentinel Log Manager peut collecter et stocker les données des périphériques de sécurité.

Intégrateur. Plug-ins permettant aux systèmes Sentinel de se connecter à d'autres systèmes externes. Les opérations JavaScript peuvent utiliser les intégrateurs pour interagir avec d'autres systèmes.

Données brutes . Événements non traités reçus par le connecteur et directement envoyés au bus de messages Sentinel Log Manager, puis inscrits sur le disque sur le serveur Sentinel Log Manager. Les données brutes varient d'un connecteur à l'autre en raison du format des données stockées sur le périphérique.

Terminologie Sentinel 71

sentinel log manager 1.2€¦ · fournit ce document et le logiciel qui y est dÉcrit « en...

Documents