Sentinel Log Manager 1.2 - Home | NetIQAcerca de esta guía 7 Acerca de esta guía Esta guía presenta una descripción general de Novell Sentinel Log Manager y de su instalación

Sentinel Log Manager 1.2.2

Guía de instalación

Julio de 2014

Información legal

NetIQ Sentinel está protegido por la patente estadounidense n.º 05829001.

ESTE DOCUMENTO Y EL SOFTWARE DESCRITO EN EL MISMO SE FACILITAN DE ACUERDO CON Y SUJETOS A LOS TÉRMINOS DE UN ACUERDO DE LICENCIA O DE UN ACUERDO DE NO DIVULGACIÓN. EXCEPTO EN LA FORMA ESTABLECIDA EXPRESAMENTE EN EL MENCIONADO ACUERDO DE LICENCIA O ACUERDO DE NO DIVULGACIÓN, NETIQ CORPORATION PROPORCIONA ESTE DOCUMENTO Y EL SOFTWARE DESCRITO EN EL MISMO "TAL COMO ESTÁN" SIN NINGÚN TIPO DE GARANTÍA, YA SEA EXPRESA O IMPLÍCITA, INCLUIDA SIN LIMITACIÓN, CUALQUIER GARANTÍA EXPRESA DE COMERCIALIZACIÓN O IDONEIDAD PARA UN FIN EN PARTICULAR. ALGUNOS ESTADOS O JURISDICCIONES NO PERMITEN LAS EXENCIONES DE GARANTÍA EXPRESAS O IMPLÍCITAS EN DETERMINADAS TRANSACCIONES; POR TANTO, ESTE ENUNCIADO PODRÍA NO SER DE APLICACIÓN EN SU CASO.

A efectos de claridad, cualquier módulo, adaptador u otro material similar ("Módulo") se concede bajo licencia de acuerdo con los términos y condiciones del Acuerdo de licencia del usuario final correspondiente a la versión aplicable del producto o software de NetIQ con el que se relaciona o interactúa y, al acceder al Módulo, copiarlo o usarlo, usted se compromete a quedar vinculado por dichos términos. Si no está de acuerdo con los términos del Acuerdo de licencia del usuario final, entonces no está autorizado para usar, acceder a o copiar el Módulo, y deberá destruir todas las copias del Módulo y ponerse en contacto con NetIQ para recibir más instrucciones.

Se prohíbe prestar, vender, alquilar o entregar este documento y el software descrito en este documento de ninguna forma sin el permiso previo por escrito de NetIQ Corporation, excepto en la medida permitida por la ley. Excepto según se establece en el mencionado acuerdo de licencia o acuerdo de no divulgación, se prohíbe la reproducción, almacenamiento en un sistema de recuperación o transmisión por cualquier medio, ya sea electrónico, mecánico o de otro tipo, de cualquier parte de este documento o del software descrito en este documento sin el permiso previo por escrito de NetIQ Corporation. Algunas empresas, nombres y datos mencionados en este documento se utilizan con fines ilustrativos y puede que no representen a empresas, personas o datos reales.

Este documento podría incluir imprecisiones técnicas o errores tipográficos. Periódicamente se realizan cambios en la información contenida en este documento. Estos cambios pueden incorporarse en nuevas ediciones de este documento. NetIQ Corporation puede realizar mejoras o cambios en el software descrito en este documento en cualquier momento.

Derechos restringidos del gobierno de los Estados Unidos: si el software y la documentación se adquieren por parte de o en nombre del gobierno de los Estados Unidos o por parte de un contratista o subcontratista (en cualquier nivel) principal del gobierno de los Estados Unidos, de conformidad con 48 C.F.R. 227.7202-4 (para adquisiciones del Departamento de Defensa `[DOD]) y con 48 C.F.R. 2.101 y 12.212 (para adquisiciones que no sean del DOD), los derechos del gobierno sobre el software y la documentación, incluidos los derechos de uso, modificación, reproducción, publicación, actuación, visualización o divulgación estarán sujetos en todas sus vertientes a los derechos y restricciones de licencia comercial establecidos en el presente acuerdo de licencia.

© 2014 NetIQ Corporation. Reservados todos los derechos. Para obtener información acerca de las marcas comerciales de NetIQ, consulte http://www.netiq.com/company/legal/.

http://www.netiq.com/company/legal/

Tabla de contenido

Acerca de esta guía 7

1 Introducción 9

1.1 Descripción general del producto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.1.1 Orígenes de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111.1.2 Gestión de orígenes de eventos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.1.3 Recopilación de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.1.4 Gestor de recopiladores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131.1.5 Almacenamiento de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131.1.6 Búsqueda y generación de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141.1.7 Sentinel Link . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141.1.8 Interfaz de usuario basada en Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

1.2 Descripción general de la instalación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

2 Requisitos del sistema 17

2.1 Requisitos del hardware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.1.1 Servidor de Sentinel Log Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.1.2 Sistema del gestor de recopiladores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192.1.3 Estimación de requisitos de almacenamiento de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . 192.1.4 Estimación de utilización de E/S del disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202.1.5 Estimación de uso del ancho de banda de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.1.6 Entorno virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

2.2 Sistemas operativos compatibles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.2.1 Sentinel Log Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222.2.2 Gestor de recopiladores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

2.3 Navegadores compatibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222.3.1 Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222.3.2 Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

2.4 Entorno virtual admitido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232.5 Conectores admitidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232.6 Orígenes de eventos admitidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242.7 Límites recomendados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

2.7.1 Límites del gestor de recopiladores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262.7.2 Límites de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272.7.3 Límites de EPS de acciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272.7.4 Límites de archivos abiertos de SLES. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

2.8 Rendimiento de búsquedas e informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282.8.1 Respuesta de búsqueda y velocidad de finalización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282.8.2 Velocidad de generación de informes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

3 Instalación en un sistema SLES 11 SP1 existente 31

3.1 Antes de empezar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313.2 Instalación estándar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323.3 Instalación personalizada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343.4 Instalación silenciosa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363.5 Instalación no root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Tabla de contenido 3

4 Guía

4 Instalación del dispositivo 39

4.1 Antes de empezar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394.2 Puertos utilizados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.2.1 Puertos abiertos en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404.2.2 Puertos utilizados a nivel local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

4.3 Instalación del dispositivo VMware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414.4 Instalación del dispositivo Xen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424.5 Instalación del dispositivo en hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444.6 Configuración posterior a la instalación de la aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

4.6.1 Instalación de VMware Tools. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454.6.2 Acceso a la interfaz Web de dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

4.7 Configuración de WebYaST. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454.8 Configuración del dispositivo con SMT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

4.8.1 Requisitos previos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474.8.2 Configuración del dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484.8.3 Actualización del dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

4.9 Inicio y detención de la aplicación mediante la interfaz del usuario basada en la Web. . . . . . . . . . . 484.10 Registro para recibir actualizaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

5 Actualización de Sentinel Log Manager 51

5.1 Requisitos previos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515.2 Actualización del servidor Sentinel Log Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525.3 Actualización del gestor de recopiladores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535.4 Actualización del dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

5.4.1 Actualización de la aplicación mediante WebYast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545.4.2 Actualización de la aplicación con zypper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555.4.3 Actualización de la aplicación con SMT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

5.5 Actualización de módulos auxiliares (plug-in) de Sentinel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

6 Acceso a la interfaz Web 57

7 Instalación de gestores de recopiladores adicionales 59

7.1 Antes de empezar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597.2 Ventajas de los gestores de recopiladores adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607.3 Instalación de gestores de recopiladores adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

8 Desinstalación 63

8.1 Desinstalación del dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638.2 Desinstalación de Sentinel Log Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638.3 Desinstalación del gestor de recopiladores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

8.3.1 Desinstalación del gestor de recopiladores en Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648.3.2 Desinstalación del gestor de recopiladores en Windows . . . . . . . . . . . . . . . . . . . . . . . . . . 648.3.3 Limpieza manual de directorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

A Solución de problemas de instalación 67

A.1 Sentinel Log Manager no se actualiza si la contraseña de dbauser no coincide con la contraseña de dbauser almacenada en el archivo .pgpass. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

A.2 La instalación falló debido a una configuración de red incorrecta . . . . . . . . . . . . . . . . . . . . . . . . . . . 68A.3 Problemas para configurar VMware Player 3 en SLES 11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

de instalación de Sentinel Log Manager 1.2.2

A.4 El Gestor de recopiladores ha producido una excepción en Windows 2008 cuando UAC está habilitado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

A.5 Actualización del gestor de registros instalado como usuario no root que no es el usuario de Novell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

A.6 No se crea un UUID para los gestores de recopiladores con imagen creada . . . . . . . . . . . . . . . . . . 70

Terminología de Sentinel 71

Tabla de contenido 5

6 Guía de instalación de Sentinel Log Manager 1.2.2

Acerca de esta guía

Esta guía presenta una descripción general de Novell Sentinel Log Manager y de su instalación.

Capítulo 1, “Introducción”, en la página 9 Capítulo 2, “Requisitos del sistema”, en la página 17 Capítulo 3, “Instalación en un sistema SLES 11 SP1 existente”, en la página 31 Capítulo 4, “Instalación del dispositivo”, en la página 39 Capítulo 5, “Actualización de Sentinel Log Manager”, en la página 51 Capítulo 6, “Acceso a la interfaz Web”, en la página 57 Capítulo 7, “Instalación de gestores de recopiladores adicionales”, en la página 59 Capítulo 8, “Desinstalación”, en la página 63 Apéndice A, “Solución de problemas de instalación”, en la página 67 “Terminología de Sentinel” en la página 71

Audiencia

Esta guía está destinada a los administradores y usuarios finales de Novell Sentinel Log Manager.

Comentarios

Nos gustaría recibir sus comentarios y sugerencias acerca de este manual y del resto de la documentación incluida con este producto. Utilice la función de comentarios del usuario de la parte inferior de cada página de la documentación en línea, o bien visite el sitio Web de comentarios sobre la documentación de Novell (http://www.novell.com/documentation/feedback.html) e introduzca allí sus comentarios.

Documentación adicional

Para obtener más información sobre cómo crear sus propios módulos auxiliares (plug-in) (por ejemplo, JasperReports), vaya a la página Web de Sentinel SDK (http://developer.novell.com/wiki/index.php/Develop_to_Sentinel). El entorno de creación de los módulos auxiliares (plug-in) de informes de Sentinel Log Manager es idéntico al que se ha documentado para Novell Sentinel.

Para obtener más información sobre la documentación de Sentinel, consulte el sitio Web de documentación de Sentinel (http://www.novell.com/documentation/sentinel61/index.html).

Para obtener más información sobre cómo configurar Sentinel Log Manager, consulte Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2).

Comunicar con Novell

Sitio Web de Novell (http://www.novell.com) Asistencia técnica de Novell (http://support.novell.com/

phone.html?sourceidint=suplnav4_phonesup)

Acerca de esta guía 7

http://www.novell.com/documentation/feedback.html

http://www.novell.com/documentation/feedback.html

http://developer.novell.com/wiki/index.php/Develop_to_Sentinel

http://www.novell.com/documentation/sentinel61/index.html

http://www.novell.com/documentation/sentinel61/index.html

http://www.novell.com

http://support.novell.com/phone.html?sourceidint=suplnav4_phonesup

Novell Self Support (http://support.novell.com/support_options.html?sourceidint=suplnav_supportprog)

Sitio de descarga de revisiones (http://download.novell.com/index.jsp) Asistencia técnica 24x7 de Novell (http://www.novell.com/company/contact.html) Sentinel TIDS (http://support.novell.com/products/sentinel) Foro de asistencia de la comunidad de Sentinel (http://forums.novell.com/novell-product-

support-forums/sentinel/)


http://support.novell.com/support_options.html?sourceidint=suplnav_supportprog

http://download.novell.com/index.jsp

http://www.novell.com/company/contact.html

http://support.novell.com/products/sentinel

http://forums.novell.com/novell-product-support-forums/sentinel/

1 1Introducción

Novell Sentinel Log Manager recopila y gestiona datos de una amplia gama de dispositivos y aplicaciones, como orígenes de eventos de sistemas de detección de intrusos, cortafuegos, sistemas operativos, routers, servidores Web, bases de datos, conmutadores, mainframes y antivirus. Novell Sentinel Log Manager ofrece procesamiento de eventos de gran velocidad, retención de datos a largo plazo, retención de datos basada en directivas, adición de datos regionales y sencillas funciones de búsqueda y creación de informes para una variedad de aplicaciones y dispositivos.

Sección 1.1, “Descripción general del producto”, en la página 9 Sección 1.2, “Descripción general de la instalación”, en la página 15

1.1 Descripción general del productoNovell Sentinel Log Manager 1.2 ofrece a las organizaciones una solución de gestión de registros flexible y escalable. Novell Sentinel Log Manager es una solución de gestión de registros que soluciona los desafíos básicos de la gestión y recopilación de registros y además ofrece una completa solución enfocada en reducir el coste y la complejidad del control del riesgo y simplificar los requisitos de conformidad.

Introducción 9

Figura 1-1 Arquitectura Novell Sentinel Log Manager

Dispositivos

Java Web Start

Bus de mensajes (ActiveMQ)

Buscar

Buscar

NFS

httpsSSL SSL

CIFS

Buscar

Servicio de recopilación de datos

Servicio de acceso a los datos

Servicio de generación de informes (Jasper)

Servicio de eventos

Contenedor de Tomcat ServletServidor alterno (proxy) SSL

Client

Log Manager Appliance

Base de datos de configuración

(PostgreSQL)

Almacén de eventos en línea

• Gestión de orígenes de eventos• Canales

EnterasysDragon

Datos en bruto

Índice de eventos

Gestión remota de comunicaciones

Partición 1

GWT JSP

HP-UX

Datos en bruto

Índice de eventos

Partición 2

Eventos

Almacén de eventos de reserva

Partición N-2(zip)

Partición N-1(zip)

Partición N(zip)

SLES

Check PointIPS

CiscoFirewall

IBMAIX

Tripwire • Configuración• Gestión de usuario

• Almacenamiento de informes• Ejecución de informe

• Almacenamiento de datos en bruto/eventos• Búsqueda de eventos• Archivado

IU ESM Swing

Firefox/InternetExplorer

Gestor de recopiladores ligero

SSL

Eventos


Novell Sentinel Log Manager tiene las siguientes funciones:

Las funciones de búsqueda distribuida permiten a los clientes buscar eventos recopilados no sólo en el servidor local de Sentinel Log Manager sino también en uno o varios servidores de Sentinel Log Manager desde una consola centralizada.

Informes de conformidad previamente creados para simplificar la tarea de generar informes de conformidad para auditoría o análisis forenses.

Al utilizar tecnología de almacenamiento no patentada, los clientes pueden aprovechar su infraestructura existente para gestionar los costes.

Interfaz del usuario basada en navegador que admite la recopilación, almacenamiento, generación de informes y búsqueda de datos de registro para simplificar considerablemente las tareas de supervisión y gestión.

Controles eficientes y granulares y personalización para administradores de TI a través de nuevas funciones de permisos de usuarios y grupos que proporcionan una mayor transparencia a las actividades de la infraestructura de TI.

Esta sección incluye la siguiente información:

Sección 1.1.1, “Orígenes de eventos”, en la página 11 Sección 1.1.2, “Gestión de orígenes de eventos”, en la página 12 Sección 1.1.3, “Recopilación de datos”, en la página 12 Sección 1.1.4, “Gestor de recopiladores”, en la página 13 Sección 1.1.5, “Almacenamiento de datos”, en la página 13 Sección 1.1.6, “Búsqueda y generación de informes”, en la página 14 Sección 1.1.7, “Sentinel Link”, en la página 14 Sección 1.1.8, “Interfaz de usuario basada en Web”, en la página 14

1.1.1 Orígenes de eventos

Novell Sentinel Log Manager recopila datos de orígenes de eventos que generan registros en syslog, el registro de eventos de Windows, archivos, bases de datos, SNMP, Novell Audit (auditoría de Novell), Security Device Event Exchange (SDEE), Check Point Open Platforms for Security (OPSEC) y otros protocolos y mecanismos de almacenamiento.

Sentinel Log Manager admite todos los orígenes de eventos si existen recopiladores adecuados para analizar los datos de dichos orígenes de eventos. Novell Sentinel Log Manager proporciona recopiladores para numerosos orígenes de eventos. El Recopilador de eventos genérico recopila y procesa los datos de orígenes de eventos no reconocidos que tienen conectores adecuados.

Puede configurar los orígenes de eventos para la recopilación de datos mediante la interfaz Gestión de orígenes de eventos.

Para ver una lista completa de orígenes de eventos admitidos, consulte la Sección 2.6, “Orígenes de eventos admitidos”, en la página 24.

Introducción 11

1.1.2 Gestión de orígenes de eventos

La interfaz Gestión de orígenes de eventos le permite importar y configurar los conectores y recopiladores de Sentinel 6.0 y 6.1.

Puede realizar las siguientes tareas a través de la vista activa de la ventana de Gestión de orígenes de eventos:

Agregar o editar conexiones a orígenes de eventos utilizando los asistentes de configuración. Ver en tiempo real el estado de las conexiones a orígenes de eventos. Importar o exportar la configuración de orígenes de eventos hacia o desde la Vista activa. Ver y configurar conectores y recopiladores que están instalados con Sentinel. Importar o exportar conectores y recopiladores desde o hacia un repositorio centralizado. Supervisar el flujo de datos a través de los recopiladores y conectores configurados. Ver la información de los datos en bruto. Diseñar, configurar y crear los componentes de la jerarquía de orígenes de eventos y ejecutar las

acciones requeridas utilizando estos componentes.

Para obtener más información, consulte la sección Gestión de orígenes de eventos en la Guía del usuario de Sentinel (http://www.novell.com/documentation/sentinel61/#admin).

1.1.3 Recopilación de datos

Novell Sentinel Log Manager recopila datos de los orígenes de eventos configurados con la ayuda de conectores y recopiladores.

Los recopiladores son guiones que analizan los datos de una variedad de orígenes de eventos en una estructura de eventos normalizada de Sentinel, o en algunos casos recopilan otras modalidades de datos de fuentes de datos externas. Cada recopilador se debe distribuir con un conector compatible. Los conectores facilitan la conectividad entre los recopiladores de Sentinel Log Manager y los orígenes de datos o eventos.

Novell Sentinel Log Manager proporciona una interfaz mejorada del usuario basada en la Web para syslog y Novell Audit que permite recopilar fácilmente registros de diversos orígenes de eventos.

Novell Sentinel Log Manager recopila datos por medio una variedad de métodos de conexión:

El conector de syslog acepta y configura de forma automática los orígenes de datos de syslog que envían datos a través del Protocolo de datagrama del usuario (UDP), el Protocolo de control de transmisión (TCP) o el Sistema de capas de transporte (TLS) seguro.

El conector de auditoría acepta y configura de forma automática los orígenes de datos de Novell habilitados para auditoría.

El conector de archivo lee los archivos de registro. El conector de SNMP recibe los mensajes de alerta SNMP. El conector JDBC lee tablas de la base de datos. El conector WMS accede a los registros de eventos de Windows en los escritorios y los

servidores. El conector SDEE se conecta a los dispositivos que admiten el protocolo SDEE, como por

ejemplo los dispositivos de Cisco. El conector de Log Export API (LEA) de Check Point facilita la integración entre los

recopiladores de Sentinel y los servidores de cortafuegos Check Point.


http://www.novell.com/documentation/sentinel61/#admin

http://www.novell.com/documentation/sentinel61/#admin

El conector de Sentinel Link acepta datos de otros servidores de Novell Sentinel Log Manager. El conector de procesos acepta datos de procesos creados de forma personalizada que producen

registros de eventos.

También puede adquirir una licencia adicional para descargar conectores para SAP y sistemas operativos mainframe.

Para obtener la licencia, llame al 1-800-529-3400 o póngase en contacto con Asistencia técnica de Novell (http://support.novell.com).

Para obtener más información sobre cómo configurar los conectores, consulte la documentación sobre los conectores en el sitio Web de módulos auxiliares (plug-in) de Sentinel (http://support.novell.com/products/sentinel/secure/sentinelplugins.html).

Para obtener más información sobre la configuración de recopilación de datos, consulte la sección “Configuración de recopilación de datos” de Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2.2).

Nota: Siempre debe descargar e importar la versión más reciente de los recopiladores y los conectores. Los recopiladores y conectores actualizados se publican con regularidad en el sitio Web de módulos auxiliares (plug-in) de Sentinel 6.1 (http://support.novell.com/products/sentinel/secure/sentinelplugins.html). Las actualizaciones de los conectores y recopiladores incluyen soluciones, asistencia para eventos adicionales y mejoras de rendimiento.

1.1.4 Gestor de recopiladores

El gestor de recopiladores proporciona un punto de recopilación de datos flexible para Sentinel Log Manager. Novell Sentinel Log Manager instala un gestor de recopiladores por defecto durante la instalación. No obstante, puede instalar gestores de recopiladores de manera remota en ubicaciones adecuadas dentro de la red. Estos gestores de recopiladores ejecutan conectores y recopiladores y distribuyen los datos recopilados a Novell Sentinel Log Manager para su almacenamiento y recopilación.

Para obtener información sobre la instalación de gestores de recopiladores adicionales, consulte “Instalación de gestores de recopiladores adicionales” en la página 60.

1.1.5 Almacenamiento de datos

Los datos fluyen entre los componentes de recopilación de datos y los componentes de almacenamiento de datos. Estos componentes utilizan un sistema de indexado y almacenamiento de datos basado en archivos que mantiene los datos de registro de los dispositivos recopilados, y una base de datos PostgreSQL que mantiene los datos de configuración de Novell Sentinel Log Manager.

Los datos se almacenan en un formato comprimido en el sistema de archivos del servidor y luego se almacenan en una ubicación configurada para su almacenamiento a largo plazo. Los datos se pueden almacenar a nivel local o en un recurso SMB montado a distancia (CIFS) o en un recurso compartido NFS. Los archivos de datos se suprimen de las ubicaciones de almacenamiento locales y de red en función del programa configurado en la directiva de retención de datos.

Puede configurar las directivas de retención de datos para suprimir datos de la ubicación de almacenamiento si se ha excedido el tiempo límite de retención de datos para determinados datos o si el espacio disponible disminuye por debajo de un valor especificado de espacio en el disco.

Para obtener más información sobre la configuración del almacenamiento de datos, consulte “Configuración de almacenamiento de datos” en Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2).

Introducción 13

http://support.novell.com

http://support.novell.com

http://support.novell.com/products/sentinel/secure/sentinelplugins.html



1.1.6 Búsqueda y generación de informes

Los componentes de búsqueda y generación de informes le ayudan a buscar y generar informes sobre los datos del registro de eventos en los sistemas de indexado y de almacenamiento tanto locales como de red. Los datos de eventos almacenados se pueden buscar de forma genérica o en campos de eventos específicos como el nombre de usuario de origen. Estos resultados de búsqueda se pueden delimitar o filtrar aún más y guardarlos en una plantilla de informes para su uso en el futuro.

Sentinel Log Manager incluye informes previamente instalados. También puede cargar informes adicionales. Puede ejecutar informes según un programa o siempre que sea necesario.

Para obtener información sobre una lista de informes por defecto, consulte “Generación de informes” en Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2).

Para obtener más información sobre la búsqueda de eventos y la generación de informes, consulte los apartados “Searching Events” (Búsqueda de eventos) y “Reporting” (Generación de informes) de la Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2.2).

1.1.7 Sentinel Link

Sentinel Link se puede utilizar para remitir datos de eventos desde un servidor Sentinel Log Manager a otro. Con un conjunto jerárquico de gestores Sentinel Log Manager, se pueden conservar registros completos en diversas ubicaciones regionales, mientras que los eventos más importantes se remiten a un único Sentinel Log Manager para realización de informes y búsquedas centralizadas.

Además, Sentinel Link puede remitir eventos importantes a Novell Sentinel, un sistema de gestión de eventos de información de seguridad (SIEM) completo, para correlación avanzada, solución de incidentes e inyección de información de contexto de gran valor como, por ejemplo, la importancia del servidor o información de identidad desde un sistema de gestión de identidades.

1.1.8 Interfaz de usuario basada en Web

Novell Sentinel Log Manager incluye una interfaz de usuario basada en la Web para configurar y usar el gestor de registros. La funcionalidad de la interfaz del usuario la facilita un servidor Web y una interfaz gráfica del usuario basada en Java Web Start. Todas las interfaces del usuario se comunican con el servidor por medio de una conexión cifrada.

Puede usar la interfaz Web de Novell Sentinel Log Manager para realizar las tareas siguientes:

Buscar eventos Guardar los criterios de búsqueda como una plantilla de informe Ver y gestionar informes Lanzar la interfaz Gestión de orígenes de eventos para configurar la recopilación de datos para

los orígenes de eventos que no sean syslog o las aplicaciones de Novell (sólo administradores) Configurar la remisión de datos (sólo administradores) Descargar el instalador del Gestor de recopiladores Sentinel para una instalación remota (sólo

administradores) Ver la actividad de los orígenes de eventos (sólo administradores) Configurar la recopilación de datos para los orígenes de datos de syslog y Novell (sólo

administradores)


Configurar el almacenamiento de datos y ver la actividad de la base de datos (sólo administradores)

Configurar el archivado de datos (sólo administradores) Configurar acciones asociadas para enviar los datos de evento coincidentes a los canales de

salida (sólo para los administradores). Gestionar cuentas y permisos de usuarios (sólo administradores)

1.2 Descripción general de la instalaciónNovell Sentinel Log Manager se puede instalar como dispositivo o en un sistema operativo SUSE Linux Enterprise Server (SLES) 11 SP1 existente. Cuando se instala Sentinel Log Manager como dispositivo, el servidor del Gestor de registros se instala en un sistema operativo SLES 11 SP1.

Novell Sentinel Log Manager instala los siguientes componentes por defecto:

Servidor de Sentinel Log Manager Servidor de comunicaciones Servidor Web e interfaz del usuario basada en la Web Servidor de realización de informes Gestor de recopiladores

Algunos de estos componentes requieren una configuración adicional.

Novell Sentinel Log Manager instala por defecto un gestor de recopiladores. Si desea tener más gestores de recopiladores, puede instalarlos por separado en equipos remotos. Para obtener más información, consulte la Capítulo 7, “Instalación de gestores de recopiladores adicionales”, en la página 59.

Introducción 15


2 2Requisitos del sistema

En las siguientes secciones se describen los requisitos de hardware, sistema operativo, navegador, conectores admitidos y compatibilidad de orígenes de eventos para Novell Sentinel Log Manager.

Sección 2.1, “Requisitos del hardware”, en la página 17 Sección 2.2, “Sistemas operativos compatibles”, en la página 21 Sección 2.3, “Navegadores compatibles”, en la página 22 Sección 2.4, “Entorno virtual admitido”, en la página 23 Sección 2.5, “Conectores admitidos”, en la página 23 Sección 2.6, “Orígenes de eventos admitidos”, en la página 24 Sección 2.7, “Límites recomendados”, en la página 26 Sección 2.8, “Rendimiento de búsquedas e informes”, en la página 28

2.1 Requisitos del hardware Sección 2.1.1, “Servidor de Sentinel Log Manager”, en la página 17 Sección 2.1.2, “Sistema del gestor de recopiladores”, en la página 19 Sección 2.1.3, “Estimación de requisitos de almacenamiento de datos”, en la página 19 Sección 2.1.4, “Estimación de utilización de E/S del disco”, en la página 20 Sección 2.1.5, “Estimación de uso del ancho de banda de la red”, en la página 21 Sección 2.1.6, “Entorno virtual”, en la página 21

2.1.1 Servidor de Sentinel Log Manager

Novell Sentinel Log Manager se admite en procesadores AMD Opteron e Intel Xeon de 64 bits, pero no se admite en procesadores Itanium.

En la siguiente tabla se enumeran los requisitos de hardware recomendados para un sistema de producción que albergue 90 días de datos en línea. Los requisitos recomendados se aplican para un tamaño de evento medio de 300 bytes.

Tabla 2-1 Requisitos de hardware de Sentinel Log Manager

Requisitos Sentinel Log Manager (500 EPS)

Sentinel Log Manager (2500 EPS)


Compresión Hasta 10:1 Hasta 10:1 Hasta 10:1

Orígenes de eventos máximos

Hasta 1000 Hasta 1000 Hasta 2000

Requisitos del sistema 17

Siga estas pautas para obtener un rendimiento óptimo del sistema:

El almacenamiento local debe tener espacio suficiente para guardar como mínimo 5 días de datos, incluyendo tanto datos de eventos como datos en bruto. Para obtener más información sobre la forma de calcular los requisitos de almacenamiento de datos, consulte la Sección 2.1.3, “Estimación de requisitos de almacenamiento de datos”, en la página 19.

El almacenamiento en red contiene el total de 90 días, e incluye una copia totalmente comprimida de los datos de eventos en el almacenamiento local. Se guarda una copia de los datos de eventos en almacenamiento local con fines de rendimiento de búsqueda y creación de informes. El tamaño del almacenamiento local se puede reducir si preocupa su tamaño. Sin embargo, debido al gasto de descompresión, se producirá una disminución estimada del 70% en el rendimiento de búsqueda y creación de informes en los datos que normalmente estarían en el almacenamiento local.

Debe configurar la ubicación de almacenamiento en red en una red SAN externa de varias unidades o en un almacenamiento con interconexión a la red (NAS).

Un equipo puede incluir más de un origen de eventos. Por ejemplo, un servidor de Windows puede incluir dos orígenes de eventos de Sentinel porque se desea recopilar datos del sistema operativo Windows y también de la base de datos de SQL Server alojado en dicho equipo.

El volumen de estado regular recomendado es del 80% del número máximo de EPS con licencia. Novell recomienda añadir más instancias de Sentinel Log Manager si se alcanza este límite.

Los límites para el máximo de orígenes de eventos no son límites estrictos sino recomendaciones basadas en las pruebas de rendimiento realizadas por Novell y dan por supuesto una velocidad media de eventos por segundo baja por origen de evento (menos de 3 EPS). Una velocidad de EPS más alta da lugar a orígenes de eventos máximos sostenibles más bajos. Puede usar la ecuación (orígenes de eventos máximos) x (media de EPS por origen de eventos) = número máximo de eventos para obtener los límites aproximados para la velocidad media de EPS específica o para el número de orígenes de eventos, siempre que el número máximo de orígenes de eventos no supere el límite indicado anteriormente.

Número de eventos máximo

500 2500 7500

CPU Una CPU Intel Xeon E5450 3 GHz (4 núcleos)

O bien

Dos CPU Intel Xeon L5240 3 GHz (2 núcleos) (4 núcleos en total)

Una CPU Intel Xeon E5450 3 GHz (4 núcleos)

O bien

Dos CPU Intel Xeon L5240 3 GHz (2 núcleos) (4 núcleos en total)

Dos CPU Intel Xeon X5470 3,33 GHz (4 núcleos) CPUs (8 núcleos en total)

Memoria de acceso aleatorio (RAM)

4 GB 4 GB 8 GB

Almacenamiento local (30 días)

2 unidades de 7,2 k RPM de 500 GB (RAID basada en hardware con caché de 256 MB, RAID 1)

4 unidades de 7,2 k RPM de 1 TB (RAID basada en hardware con caché de 256 MB, RAID 10)

16 unidades de 15 k RPM de 600 GB (RAID basada en hardware con caché de 512 MB, RAID 10) o red de área de almacenamiento equivalente (SAN)

Almacenamiento en red (90 días)

600 GB 2 TB 5.8 TB

RequisitosSentinel Log Manager (500 EPS)




2.1.2 Sistema del gestor de recopiladores

Un procesador Intel Xeon X5570 2,93-GHz (4 núcleos de CPU)

4 GB de RAM

10 GB de espacio libre en el disco duro

2.1.3 Estimación de requisitos de almacenamiento de datos

Sentinel Log Manager se utiliza para retener datos en bruto durante un largo período de tiempo con el fin de cumplir los requisitos legales y de otro tipo. Sentinel Log Manager utiliza compresión para ayudarle a utilizar el espacio de almacenamiento local o de red de forma eficaz. Sin embargo, los requisitos de almacenamiento podrían aumentar de forma significativa transcurrido un largo período de tiempo.

Para superar los problemas de limitación de costes de los grandes sistemas de almacenamiento, puede usar sistemas de almacenamiento de datos económicos para almacenar los datos a largo plazo. Los sistemas de almacenamiento basados en cinta representan la solución más común y rentable. No obstante, las cintas no permiten el acceso aleatorio a los datos almacenados, que resulta necesario para realizar búsquedas rápidas. Por ello, resulta recomendable un planteamiento híbrido para el almacenamiento de datos a largo plazo, en el que los datos que se han de buscar están disponibles en un sistema de almacenamiento de acceso aleatorio y los datos que queremos conservar, y no buscar, se guardan en un medio alternativo y económico, como una cinta. Para obtener instrucciones sobre cómo aplicar este enfoque híbrido, consulte “Uso de almacenamiento de acceso secuencial para el almacenamiento de datos a largo plazo” en Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2).

Para determinar la cantidad de espacio de almacenamiento de acceso aleatorio necesario para Sentinel Log Manager, haga primero una estimación del número de días de datos que necesita buscar con regularidad o sobre los que necesita ejecutar informes. Debe tener suficiente espacio en el disco duro ya sea a nivel local en el equipo de Sentinel Log Manager o a distancia en el protocolo Server Message Block (SMB) o el protocolo CIFS, el sistema de archivos de red (NFS) o en una SAN para que Sentinel Log Manager los utilice con fines de archivado de datos.

Debe tener el siguiente espacio adicional en el disco duro aparte de los requisitos mínimos:

Para acomodar las velocidades de datos superiores a las esperadas. Para copiar datos desde la cinta y de nuevo a Sentinel Log Manager para realizar búsquedas y

generar informes sobre los datos históricos.

Utilice las siguientes fórmulas para estimar la cantidad de espacio necesario para almacenar datos:

Almacenamiento de eventos local (parcialmente comprimidos): {tamaño medio en bytes por evento} x {número de días} x {eventos por segundo} x 0,00007 = espacio total de almacenamiento (GB) necesario

Los tamaños de evento típicos tienen de 300 a 1000 bytes. Almacenamiento de eventos en red (totalmente comprimidos): {tamaño medio en bytes por

evento} x {número de días} x {eventos por segundo} x 0,00002 = espacio total de almacenamiento (GB) necesario

Almacenamiento de datos en bruto (totalmente comprimidos tanto en almacenamiento local como en red): {tamaño medio en bytes por registro de datos en bruto} x {número de días} x {eventos por segundo} x 0,000012 = espacio total de almacenamiento (GB) necesarioEl tamaño medio típico de datos en bruto para los mensajes de syslog es de 200 bytes.


Tamaño total de almacenamiento local (con almacenamiento en red habilitado): {Tamaño de almacenamiento local de eventos para el número de días deseado} + {Tamaño de almacenamiento de datos en bruto durante un día) = Espacio total de almacenamiento (GB) necesario Si está habilitado el almacenamiento en red, los datos de eventos se trasladan al almacenamiento en red una vez que se llene el espacio de almacenamiento local. No obstante, los datos en bruto sólo se ubican en el almacenamiento local de forma temporal hasta que se trasladan al almacenamiento en red. Por lo general, se tarda menos de un día en trasladar los datos en bruto del almacenamiento local al almacenamiento en red.

Tamaño total de almacenamiento local (con el almacenamiento en red deshabilitado): {Tamaño de almacenamiento local de eventos} + {Tamaño de almacenamiento de datos en bruto para el tiempo de retención) = Espacio total de almacenamiento (GB) necesario

Tamaño total de almacenamiento en red: {Tamaño de almacenamiento en red de eventos para el tiempo de retención} + {Tamaño de almacenamiento de datos en bruto para el tiempo de retención} = Espacio total de almacenamiento (GB) necesario

Nota:

Los coeficientes de cada fórmula representan ((segundos por día) x (GB por byte) x relación de compresión).

Estas cifras son sólo estimaciones y dependen del tamaño de los datos de eventos así como del tamaño de los datos comprimidos.

Parcialmente comprimidos significa que los datos están comprimidos, pero no el índice de los datos. Totalmente comprimidos significa que tanto los datos de eventos como los datos del índice están comprimidos. La relación de compresión de los datos de eventos es por lo general de 10:1. La relación de compresión del índice es por lo general de 5:1. El índice se utiliza para optimizar la búsqueda a través de los datos.

Puede usar las fórmulas anteriores para determinar cuánto espacio de almacenamiento se requiere para un sistema de almacenamiento de datos a largo plazo, como por ejemplo una cinta.

2.1.4 Estimación de utilización de E/S del disco

Utilice las siguientes fórmulas para estimar el nivel de utilización del disco en el servidor a diversas velocidades de EPS.

Datos escritos en el disco (kilobytes por segundo): (tamaño medio de eventos en bytes + tamaño medio de datos en bruto en bytes) x (eventos por segundo) x 0,004 coeficiente de compresión = datos escritos por segundo en el disco

Por ejemplo, a 500 EPS, para un tamaño medio de eventos de 464 bytes y un tamaño medio de datos en bruto de 300 bytes en el archivo de registro, los datos escritos en el disco se determinan de la siguiente manera:

(464 bytes + 300 bytes) x 500 EPS x 0,004 = 1558 KB Número de peticiones de E/S en el disco (transferencias por segundo): (tamaño medio de

eventos en bytes + tamaño medio de datos en bruto en bytes) x (eventos por segundo) x 0,00007 coeficiente de compresión = Peticiones de E/S por segundo en el discoPor ejemplo, a 500 EPS, para un tamaño medio de eventos de 464 bytes y un tamaño medio de datos en bruto de 300 bytes en el archivo de registro, el número de peticiones de E/S por segundo en el disco se determina de la siguiente manera:(464 bytes + 300 bytes) x 500 EPS x 0,00007 = 26 tps


Número de bloques escritos por segundo en el disco: (tamaño medio de eventos en bytes + tamaño medio de datos en bruto en bytes) x (eventos por segundo) x 0,008 coeficiente de compresión = Bloques escritos por segundo en el discoPor ejemplo, a 500 EPS, para un tamaño medio de eventos de 464 bytes y un tamaño medio de datos en bruto de 300 bytes en el archivo de registro, el número de bloques escritos por segundo en el disco se determina de la siguiente manera:(464 bytes + 300 bytes) x 500 EPS x 0,008 = 3056

Lectura de datos del disco por segundo al realizar una búsqueda: (tamaño medio de eventos en bytes + tamaño medio de datos en bruto en bytes) x (número de eventos que coinciden con una consulta en millones) x 0,013 coeficiente de compresión = kilobytes leídos por segundo del discoPor ejemplo, con 3 millones de eventos coincidentes con la consulta de búsqueda, para un tamaño medio de eventos de 464 bytes y un tamaño medio de datos en bruto de 300 bytes en el archivo de registro, la lectura de datos por segundo en el disco se determina de la siguiente manera:(464 bytes + 300 bytes) x 3 x 0,013 = 300 KB

2.1.5 Estimación de uso del ancho de banda de la red

Utilice las siguientes fórmulas para estimar el nivel de utilización del ancho de banda de la red en el servidor a diversas velocidades de EPS:

{tamaño medio de eventos en bytes + tamaño medio de datos en bruto en bytes} x {eventos por segundo} x 0,0003 coeficiente de compresión = ancho de banda de la red en Kbps (kilobits por segundo)

Por ejemplo, a 500 EPS para un tamaño medio de eventos de 464 bytes y un tamaño medio de datos en bruto de 300 bytes en el archivo de registro, el uso de ancho de banda de la red se determina de la siguiente manera:

(464 bytes + 300 bytes} x 500 EPS x 0,0003 = 115 Kbps

2.1.6 Entorno virtual

Sentinel Log Manager se ha probado a fondo en servidores VMware ESX y la compatibilidad es total. Para obtener resultados de rendimiento comparables a los resultados de pruebas en equipos físicos en ESX o en otro entorno virtual, este debe contar con la misma memoria, CPU, espacio en disco y opciones de E/S que las recomendaciones del equipo físico.

Para obtener información sobre recomendaciones para equipos físicos, consulte la Sección 2.1, “Requisitos del hardware”, en la página 17.

2.2 Sistemas operativos compatiblesNovell admite Sentinel Log Manager en los sistemas operativos descritos en esta sección. Novell también admite Sentinel Log Manager en sistemas con pequeñas actualizaciones a estos sistemas operativos, como por ejemplo parches de seguridad y correcciones (hotfixes). Sin embargo, no es posible ejecutar Sentinel Log Manager en sistemas que hayan realizado importantes actualizaciones de estos sistemas operativos hasta que Novell no haya probado y certificado dichas actualizaciones.

Sección 2.2.1, “Sentinel Log Manager”, en la página 22 Sección 2.2.2, “Gestor de recopiladores”, en la página 22


2.2.1 Sentinel Log Manager

SUSE Linux Enterprise Server 11 SP3 de 64 bits.

Un sistema de archivos de alto rendimiento.

Nota: Todas las pruebas de Novell se realizan con el sistema de archivos ext3.

2.2.2 Gestor de recopiladores

Puede instalar gestores de recopiladores adicionales en los siguientes sistemas operativos:

“Linux” en la página 22 “Windows” en la página 22

Linux

SUSE Linux Enterprise Server 11 SP3 (64 bits)

Windows

Windows Server 2003 (32 y 64 bits)

Windows Server 2003 SP2 (32 bits y 64 bits)

Windows Server 2003 R2 (32 y 64 bits)

Windows Server 2008 (64 bits)

Windows Server 2008 R2 (64 bits)

2.3 Navegadores compatiblesLa interfaz de Sentinel Log Manager está optimizada para una visualización a una resolución de 1280 x 1024 o superior en los siguientes navegadores:

Sección 2.3.1, “Linux”, en la página 22 Sección 2.3.2, “Windows”, en la página 22

2.3.1 Linux

Mozilla Firefox 5 y versiones posteriores

2.3.2 Windows

Mozilla Firefox 5 y versiones posteriores

Microsoft Internet Explorer 8 y 11*

* Consulte “Requisitos previos para Internet Explorer” en la página 23.


Requisitos previos para Internet Explorer

Si se establece el Nivel de seguridad de Internet en Alto, sólo aparecerá una página en blanco después de entrar en Sentinel Log Manager. Para salvar este problema, vaya a Herramientas > Opciones de Internet> pestaña Seguridad> Sitios de confianza. Haga clic en el botón Sitio y añada el sitio Web de Sentinel Log Manager a la lista de sitios de confianza.

Asegúrese de que no esté seleccionada la opción Herramientas > Vista de compatibilidad. Si no está habilitada la opción para Preguntar automáticamente para descargas de archivos, puede

que el cuadro emergente de descarga de archivos esté bloqueado por el navegador. Para salvar este problema, vaya a Herramientas >Opciones de Internet> pestaña Seguridad> Nivel personalizado y luego desplácese hacia abajo a la sección de descarga y seleccione Habilitar para habilitar la opción Preguntar automáticamente para descargas de archivos.

2.4 Entorno virtual admitido VMware ESX/ESXi 3.5/4.0 o superior

VMPlayer 3 (sólo demostración)

Xen 3.1.1

2.5 Conectores admitidosSentinel Log Manager admite todos los conectores que son admitidos por Sentinel y Sentinel RD.

Conector de auditoría

Conector de proceso Check Point LEA

Conector de base de datos

Conector de generador de base de datos

Conector de archivos

Conector de procesos

Conector syslog

Conector de SNMP

Conector de SDEE

Conector de Sentinel Link

Conector de WMS

Conector de mainframe

Conector de SAP

Nota: Los conectores de mainframe y SAP requieren una licencia aparte.


2.6 Orígenes de eventos admitidosSentinel Log Manager admite una amplia gama de dispositivos y aplicaciones, como orígenes de eventos de sistemas de detección de intrusos, cortafuegos, sistemas operativos, routers, servidores Web, bases de datos, conmutadores, mainframes y antivirus. Los datos de estos orígenes de eventos se analizan y normalizan en diversos grados dependiendo de si los datos se procesan mediante el recopilador de eventos genérico que pone toda la carga del evento en un campo común, o mediante un recopilador específico para los dispositivos que analiza los datos en campos individuales.

Sentinel Log Manager admite los siguientes orígenes de eventos:

Cisco Firewall (6 y 7)

Cisco Switch Catalyst serie 6500 (CatOS 8.7)

Cisco Switch Catalyst serie 6500 (IOS 12.2SX)

Cisco Switch Catalyst serie 5000 (CatOS 4.x)

Cisco Switch Catalyst serie 4900 (IOS 12.2SG)

Cisco Switch Catalyst serie 4500 (IOS 12.2SG)

Cisco Switch Catalyst serie 4000 (CatOS 4.x)

Cisco Switch Catalyst serie 3750 (IOS 12.2SE)





Cisco VPN 3000 (4.1.5, 4.1.7 y 4.7.2)

Extreme Networks Summit X650 (con ExtremeXOS 12.2.2 y anteriores)

Extreme Networks Summit X450a (con ExtremeXOS 12.2.2 y anteriores)

Extreme Networks Summit X450e (con ExtremeXOS 12.2.2 y anteriores)


Extreme Networks Summit X250e (con ExtremeXOS 12.2.2 y anteriores)


Enterasys Dragon (7.1 y 7.2)

Recopilador de eventos genérico

HP HP-UX (11iv1 y 11iv2)

IBM AIX (5.2, 5.3 y 6.1)

Juniper Netscreen serie 5

McAfee Firewall Enterprise

McAfee Network Security Platform (2.1, 3.x y 4.1)

McAfee VirusScan Enterprise (8.0i, 8.5i y 8.7i)

McAfee ePolicy Orchestrator (3.6 y 4.0)

McAfee AV Via ePolicy Orchestrator 8.5


Microsoft Active Directory (2000, 2003 y 2008)

Microsoft SQL Server (2005 y 2008)

Nortel VPN (1750, 2700, 2750 y 5000)

Novell Access Manager 3.1

Gestor de identidades 3.6.1 de Novell

Novell Netware 6.5

Servicios NMAS (autenticación modular) de Novell 3.3

Novell Open Enterprise Server 2.0.2

Novell Privileged User Manager 2.2.1

Novell Sentinel Link 1

Servidor de Novell SUSE Linux Enterprise

Novell eDirectory 8.8.3 con el parche de utilidades de eDirectory que se encuentra en el Sitio Web de asistencia de Novell (http://download.novell.com/Download?buildid=RH_B5b3M6EQ~).

Novell iManager 2.7

Red Hat Enterprise Linux

Sourcefire Snort (2.4.5, 2.6.1, 2.8.3.2 y 2.8.4)

Snare for Windows Intersect Alliance (3.1.4 y 1.1.1)

Sun Microsystems Solaris 10

Symantec AntiVirus Corporate Edition (9 y 10)

TippingPoint Security Management System (2.1 y 3.0)

Websense Web Security 7.0

Websense Web Filter 7.0

Nota: Para habilitar la recopilación de datos de orígenes de eventos de Novell iManager y Novell Netware 6.5, añada una instancia de recopilador y un conector hijo (conector de auditoría) en la interfaz de Gestión de orígenes de eventos para cada uno de los orígenes de eventos. Cuando haya terminado, estos orígenes de eventos aparecerán en la interfaz Web de Sentinel Log Manager > recopilación > Orígenes de eventos.

Es posible obtener recopiladores que admiten otros orígenes de eventos en el sitio Web de módulos auxiliares (plug-in) de Sentinel (http://support.novell.com/products/sentinel/secure/sentinelplugins.html) o se pueden crear mediante los módulos auxiliares (plug-in) de SDK disponibles en el sitio Web de SDK de módulos auxiliares (plug-in) de Sentinel (http://developer.novell.com/wiki/index.php?title=Develop_to_Sentinel).


http://download.novell.com/Download?buildid=RH_B5b3M6EQ~

http://download.novell.com/Download?buildid=RH_B5b3M6EQ~



http://developer.novell.com/wiki/index.php?title=Develop_to_Sentinel

2.7 Límites recomendadosLos límites mencionados en esta sección son recomendaciones basadas en las pruebas de rendimiento realizadas en Novell o en instalaciones de clientes. No se trata de límites estrictos. Estas recomendaciones son aproximadas. En sistemas muy dinámicos, es recomendable instalar en un buffer y dejar espacio para la expansión.

Sección 2.7.1, “Límites del gestor de recopiladores”, en la página 26 Sección 2.7.2, “Límites de informes”, en la página 27 Sección 2.7.3, “Límites de EPS de acciones”, en la página 27 Sección 2.7.4, “Límites de archivos abiertos de SLES”, en la página 27

2.7.1 Límites del gestor de recopiladores

A no ser que se indique otra cosa, los límites del gestor de recopiladores son para sistemas de 4 núcleos de CPU a 2,2 GHz cada uno, 4 GB de RAM con el sistema operativo SLES 11.

Tabla 2-2 Datos de rendimiento del gestor de recopiladores

Atributo Límites Comentarios

Número máximo de gestores de recopiladores

20 En este límite se supone que el gestor de recopiladores tiene un número bajo de eps (por ejemplo, menos de 100). El límite se reduce a medida que aumentan los eventos por segundo.

Número máximo de conectores (utilizados por completo) en un único gestor de recopiladores

1 por núcleo de CPU, con al menos 1 núcleo de CPU reservado para el sistema operativo y otros procesos

Un conector utilizado por completo es aquel en el que se producen el máximo posible de eps para dicho tipo de conector.

Número máximo de recopiladores (utilizados por completo) en un único gestor de recopiladores

1 por núcleo de CPU, con al menos 1 núcleo de CPU reservado para el sistema operativo y otros procesos

Un recopilador utilizado por completo es aquel en el que se producen el máximo posible de EPS para dicho tipo de recopilador.

Número máximo de orígenes de eventos en un único gestor de recopiladores

2000 El límite del servidor de Sentinel Log Manager es de 1000 ó 2000, dependiendo del hardware. Si se alcanza el límite del servidor en un solo gestor de recopiladores, entonces se ha alcanzado el límite de orígenes de eventos para todo el sistema Sentinel con dicho gestor de recopiladores.

Número máximo de orígenes de eventos por instancia del servidor de Sentinel Log Manager

2000


2.7.2 Límites de informes

Tabla 2-3 Datos de rendimiento de los informes

2.7.3 Límites de EPS de acciones

A menos que se especifique de otro modo, los límites de EPS de acciones dan por supuesto que se ha configurado una acción por regla.

Tabla 2-4 Cifras de rendimiento de acciones

2.7.4 Límites de archivos abiertos de SLES

En los sistemas en los que hay un gran número de orígenes de eventos (por ejemplo, más de 75), de manera que la mayoría utiliza el Conector de archivos y establece el desplazamiento al principio del archivo, el límite de archivos abiertos de SLES podría no ser igual al número de archivos actualmente abiertos en el sistema y ello podría dar lugar a problemas de rendimiento en Sentinel Log Manager.

Para evitar este problema, puede establecer los límites estrictos y flexibles respecto del número máximo de archivos abiertos en función del número de archivos que están abiertos.

Realice los siguientes pasos para establecer el límite de archivos abiertos:

1 Entre en el sistema como usuario novell.2 Visualice el número de archivos que están abiertos para el usuario (novell) de sentinel.

lsof | wc -l

3 Visualice los límites estrictos y flexibles:

ulimit -Hn

ulimit -Sn

Atributo Límites Comentarios

Número máximo de informes guardados

200

Número máximo de informes que se ejecutan de forma simultánea

3 El límite da por supuesto que el servidor no tiene ya un alto nivel de utilización en recopilación de datos u otras tareas.

Acción EPS por acción

Sentinel Link 300

Registro en archivo 30 - 50

Enviar un mensaje electrónico 40

Registro en Syslog Entre 5 y 10

Ejecutar guión Entre 5 y 10


En función del número de archivos abiertos, se podrán establecer los límites del descriptor del archivo en el archivo /etc/security/limits.conf. Por ejemplo, si el número de archivos abiertos es de 1000, se podrán establecer los límites en 2000.

Nota: Sólo el usuario root puede modificar el archivo /etc/security/limits.conf.

4 Asegúrese de que el usuario root establezca los límites del descriptor del archivo de la siguiente manera:

novell soft nofile 2000

novell hard nofile 2000

Nota: Establecer los límites flexibles es opcional, sin embargo, es obligatorio establecer los límites estrictos.

5 Guarde los cambios.

2.8 Rendimiento de búsquedas e informesEl rendimiento de Sentinel Log Manager puede variar en función del entorno, la configuración y el hardware. Novell ha realizado pruebas detalladas de rendimiento en el sistema Sentinel Log Manager para confirmar y verificar los atributos de calidad del sistema, tales como escalabilidad, fiabilidad y utilización de recursos.

Sección 2.8.1, “Respuesta de búsqueda y velocidad de finalización”, en la página 28 Sección 2.8.2, “Velocidad de generación de informes”, en la página 29

2.8.1 Respuesta de búsqueda y velocidad de finalización

Se realizaron varias pruebas con la siguiente configuración para determinar el tiempo que tarda una búsqueda en obtener datos iniciales:

Hardware: 4 núcleos de CPU a 2,93 GHz cada uno, 4 GB de memoria RAM, que se ejecutan en SLES 11

Velocidad de EPS: la velocidad de EPS entrantes mientras se realiza la búsqueda es de 2000 Almacenamiento de datos: todos los datos de eventos en el intervalo de tiempo se encuentran

en el almacenamiento local

A continuación se indican las observaciones:

Tabla 2-5 Resultados del rendimiento de búsqueda

Eventos totales

Número de eventos que coinciden con la consulta de búsqueda

Tiempo de obtención de resultados iniciales de búsqueda

10.000.000 1.000 - 10.000.000 5 - 10 segundos

100.000.000 20.000.000 - 100.000.000 10 – 30 segundos

200.000.000 110.000.000 - 200.000.000 1 – 5 minutos


2.8.2 Velocidad de generación de informes

Se realizaron varias pruebas con la siguiente configuración para determinar el tiempo de generación de informes.

Hardware: 4 núcleos de CPU a 2,93 GHz cada uno, 4 GB de memoria RAM, que se ejecutan en SLES 11

Velocidad de EPS: La velocidad de EPS entrantes mientras se realiza la búsqueda es de 2000 Ubicación de los datos: Todos los datos de eventos del intervalo de tiempo se encuentran en el

almacenamiento local

A continuación se indican las observaciones:

Tabla 2-6 Resultados del rendimiento de informes

Nota: En el caso de informes con muchos eventos y campos —como el informe de datos del evento—, es posible que el proceso de generación sea más lento y el sistema se quede sin memoria. Aumente la RAM del sistema a fin de mejorar el rendimiento de los informes.

Eventos totalesNúmero de eventos que coinciden con la consulta de búsqueda

Tiempo de generación de informes

10.000.000 1.000 - 10.000.000 1 - 2 minutos

100.000.000 20.000.000 - 100.000.000 10 – 50 minutos

200.000.000 110.000.000 - 200.000.000 1 – 3 horas



3 3Instalación en un sistema SLES 11 SP1 existente

En esta sección se describe el procedimiento para instalar Sentinel Log Manager en un sistema SUSE Linux Enterprise Server (SLES) 11 SP1 existente utilizando el instalador de la aplicación. Puede instalar el servidor de Sentinel Log Manager de varias formas: el procedimiento de instalación estándar, el procedimiento de instalación personalizada o el procedimiento de instalación silenciosa, en el que la instalación de desarrolla sin intervención del usuario y utiliza los valores por defecto. También puede instalar Sentinel Log Manager como usuario diferente de root.

Si elige el método de instalación personalizada, tendrá la opción de instalar el producto con una clave de licencia y además seleccionar una opción de autenticación. Puede configurar la autenticación LDAP para Sentinel Log Manager además de la autenticación de la base de datos. Al configurar Sentinel Log Manager para la autenticación LDAP, los usuarios pueden entrar en el servidor utilizando sus credenciales de Novell eDirectory o de Microsoft Active Directory.

Si desea instalar varios servidores de Sentinel Log Manager en su implantación, puede registrar las opciones de instalación en un archivo de configuración y luego usar el archivo para ejecutar una instalación sin supervisión. Consulte Sección 3.4, “Instalación silenciosa”, en la página 36 para obtener más información.

Sección 3.1, “Antes de empezar”, en la página 31 Sección 3.2, “Instalación estándar”, en la página 32 Sección 3.3, “Instalación personalizada”, en la página 34 Sección 3.4, “Instalación silenciosa”, en la página 36 Sección 3.5, “Instalación no root”, en la página 36

3.1 Antes de empezar Asegúrese de que el hardware y el software cumplen los requisitos mínimos mencionados en el

Capítulo 2, “Requisitos del sistema”, en la página 17. Asegúrese de que esté instalado el paquete rpm libstdc++33-32-bit. Puede instalar este RPM

mediante YaST o con el comando zypper:

zypper in libstdc++33-32bit

Para que Sentinel Log Manager 1.2 y versiones posteriores funcionen correctamente en SLES 11 SP1, debe estar instalada la siguiente versión de RPM o versiones posteriores: Parches de kernel:

kernel-default-2.6.32.29-0.3.1.x86_64.rpm

kernel-default-base-2.6.32.29-0.3.1.x86_64.rpm

RPM util de Linux: libblkid1-2.16-6.11.1.x86_64.rpm

Instalación en un sistema SLES 11 SP1 existente 31

libuuid1-2.16-6.11.1.x86_64.rpm

util-linux-2.16-6.11.1.x86_64.rpm

util-linux-lang-2.16-6.11.1.x86_64.rpm

uuid-runtime-2.16-6.11.1.x86_64.rpm

Sentinel Log Manager 1.1.0.x utiliza squashfs 3.4-3.5.1; sin embargo, SLES 11 SP1 admite squashfs 4.0 y versiones posteriores, que no es compatible con versiones anteriores y no puede abrir un sistema de archivos procesado mediante squash que se haya creado con versiones más antiguas de squashfs. Al instalar estas correcciones de RPM, se corrige el problema de incompatibilidad entre las versiones de squashfs de Sentinel Log Manager 1.1.0.x y SLES 11 SP1. Estos RPM están disponibles a través del canal de actualización en línea de SLES 11. Para más información sobre cómo actualizar el sistema SLES, consulte “YaST Online Update” (http://www.novell.com/documentation/sles11/book_sle_admin/?page=/documentation/sles11/book_sle_admin/data/cha_onlineupdate_you.html) (Actualización en línea de YaST) de la SLES 11 SP1 Administration Guide (Guía de administración en línea de SLES 11 SP1) (http://www.novell.com/documentation/sles11/book_sle_admin/data/book_sle_admin_pre.html).

Nota: La instalación no se llevará a cabo a menos que se hayan instalado los parches de kernel y los RPM util de Linux especificados anteriormente.

Configure el sistema operativo de manera que el comando hostname -f devuelva un nombre de host válido.

Obtenga su clave de licencia delCentro de atención al cliente de Novell (https://secure-www.novell.com/center/ICSLogin/?%22https://secure-www.novell.com/center/regadmin/jsps/home_app.jsp%22), para instalar la versión con licencia.

Sincronice el tiempo utilizando el protocolo de tiempo de red (NTP). Instale los siguientes comandos del sistema operativo:

mount

umount

id

df

du

sudo

Asegúrese de que los siguientes puertos estén abiertos en el cortafuegos:TCP 8080, TCP 8443, TCP 61616, TCP 10013, TCP 1289, TCP 1468, TCP 1443 y UDP 1514Para obtener más información sobre la función para la que se utilizan estos puertos, consulte la Sección 4.2, “Puertos utilizados”, en la página 39.

3.2 Instalación estándarEl procedimiento de instalación estándar instala Sentinel Log Manager con una licencia de evaluación de 60 días y también todas sus funciones con excepción de Restauración de datos.

1 Descargue y copie los archivos de instalación del sitio de descargas de Novell.2 Entre como usuario root en el servidor en el que desea instalar Sentinel Log Manager.3 Especifique el siguiente comando para extraer los archivos de instalación del archivo tar:

tar xfz <install_filename>


http://www.novell.com/documentation/sles11/book_sle_admin/?page=/documentation/sles11/book_sle_admin/data/cha_onlineupdate_you.html

http://www.novell.com/documentation/sles11/book_sle_admin/data/book_sle_admin_pre.html


https://secure-www.novell.com/center/ICSLogin/?%22https://secure-www.novell.com/center/regadmin/jsps/home_app.jsp%22

Reemplace <nombre de archivo_instalación> por el nombre real del archivo de instalación.4 Cambie al directorio donde extrajo el archivo de instalación.5 Especifique el siguiente comando para ejecutar el guión install-slm para instalar Sentinel Log

Manager:

./install-slm

Si desea instalar Sentinel Log Manager en más de un sistema, puede registrar sus opciones de instalación en un archivo. Puede usar este archivo para instalar Sentinel Log Manager en otros sistemas sin supervisión. Para registrar sus opciones de instalación, especifique el siguiente comando:

./install-slm -r responseFile

6 Para continuar con el idioma deseado, elija el número especificado junto al idioma. El acuerdo de licencia de usuario final se muestra en el idioma seleccionado.

7 Lea el acuerdo de licencia del usuario final e introduzca yes o y para aceptar el acuerdo y continuar con la instalación.La instalación comienza instalando todos los paquetes RPM. Esta instalación podría tardar varios segundos en finalizar.La instalación crea un gruponovell y un usuario novell, si aún no existen.

8 Cuando se le indique, especifique la opción para continuar con la instalación estándar.La instalación continúa con la clave de licencia de evaluación de 60 días incluida en el instalador. Esta clave de licencia activa el conjunto completo de funciones del producto durante un período de prueba de 60 días con excepción de la función Restauración de datos. En cualquier momento durante del período de prueba o después, puede añadir a la licencia de evaluación una clave de licencia que haya adquirido.

9 Especifique la contraseña del usuario administrador.10 Confirme la contraseña del usuario administrador.

El instalador selecciona el método para autenticar sólo en la base de datosy continúa con la instalación. La instalación de Sentinel Log Manager finaliza y se inicia el servidor. Podría tardarse entre 5 y 10 minutos en iniciarse todos los servicios después de la instalación a medida que el sistema realiza una inicialización puntual. Espere este tiempo antes de entrar en el servidor.

11 Para entrar en el servidor de Sentinel Log Manager, utilice la dirección URL especificada en la instalación. La dirección URL se parece a https://10.0.0.1:8443/novelllogmanager.Para obtener más información sobre la forma de entrar en el servidor, consulte el Capítulo 6, “Acceso a la interfaz Web”, en la página 57.

12 Para configurar orígenes de eventos para enviar datos a Sentinel Log Manager, consulte “Configuración de recopilación de datos” en Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2).

Nota: Al iniciar el sistema por primera vez después de la instalación, éste podría tardar aproximadamente cinco minutos en inicializarse antes de poder utilizarlo. Esta demora sólo se produce cuando se inicia el sistema por primera vez después de la instalación o de una actualización.


3.3 Instalación personalizadaSi elige el método de instalación personalizada, tendrá la opción de instalar el producto con una clave de licencia y además seleccionar una opción de autenticación. Puede configurar la autenticación LDAP para Sentinel Log Manager además de la autenticación de la base de datos. Al configurar Sentinel Log Manager para autenticación LDAP, los usuarios pueden entrar en el servidor utilizando sus credenciales del directorio LDAP.

Si no configura Sentinel Log Manager para autenticación LDAP durante el proceso de instalación, podrá configurar la autenticación después de la instalación, si es necesario. Para configurar la autenticación LDAP después de la instalación, consulte “Autenticación LDAP” en Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2).



Reemplace <nombre de archivo_instalación> por el nombre real del archivo de instalación.4 Cambie al directorio donde extrajo el archivo de instalación.5 Especifique el siguiente comando para ejecutar el guióninstall-slm para instalar Sentinel Log

Manager:

./install-slm

6 Para continuar con el idioma deseado, elige el número especificado junto al idioma. El acuerdo de licencia de usuario final se muestra en el idioma seleccionado.

7 Lea el acuerdo de licencia del usuario final e introduzca yes o y para aceptar el acuerdo y continuar con la instalación.La instalación comienza instalando todos los paquetes RPM. Esta instalación podría tardar varios segundos en finalizar.La instalación crea un grupo novell y un usuario novell, si aún no existen.

8 Cuando se le indique, especifique la opción para continuar con la instalación personalizada. 9 Cuando se le indique especificar la opción de clave de licencia, introduzca 2para especificar la

clave de licencia para el producto adquirido. 10 Especifique la clave de licencia y luego pulse Intro.

Para obtener más información sobre claves de licencia, consulte “License Information (Información de licencia)” en la Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2).

11 Especifique la contraseña del usuario administrador.12 Confirme la contraseña del usuario administrador.13 Especifique la contraseña para el administrador de bases de datos (dbauser).14 Confirme la contraseña para el administrador de bases de datos (dbauser).15 Puede configurar cualquier número de puerto válido dentro del rango especificado para los

siguientes servicios: Servidor Web Servicio de mensajes Java Servicio de proxy de cliente


Servicio de base de datos Gateway interno de agente

Si desea continuar con los puertos por defecto, introduzca la opción 6 para continuar con la instalación personalizada.

16 Especifique la opción para autenticar usuarios a través de un directorio LDAP externo.17 Especifique la dirección IP o el nombre de host del servidor LDAP.

El valor por defecto es localhost. Sin embargo, no debería instalar el servidor LDAP en el mismo equipo que el servidor de Sentinel Log Manager.

18 Seleccione uno de los siguientes tipos de conexión LDAP: Conexión LDAP SSL/TSL: establece una conexión segura entre el navegador y el servidor

para la autenticación. Introduzca 1 para especificar esta opción. Conexión LDAP no cifrada: establece una conexión no cifrada. Introduzca 2 para

especificar esta opción.19 Especifique el número de puerto del servidor LDAP. El puerto SSL por defecto es 636 y el puerto

no SSL por defecto es 389.20 (Condicional) Si selecciona la conexión LDAP SSL/TSL, especifique si el certificado del servidor

LDAP está firmado por una autoridad de certificación conocida.21 (Condicional) Si especificó n, especifique el nombre de archivo del certificado de servidor

LDAP.22 Seleccione si desea realizar búsquedas anónimas en el directorio LDAP:

Realizar búsquedas anónimas en el directorio LDAP: el servidor de Sentinel Log Manager realiza una búsqueda anónima en el directorio LDAP basándose en el nombre de usuario especificado para recoger el nombre completo de usuario de LDAP correspondiente (DN). Introduzca 1 para especificar este método.

No realizar búsquedas anónimas en el directorio LDAP: introduzca 2 para especificar esta opción.

23 (Condicional) Si seleccionó búsqueda anónima, especifique el atributo de búsqueda y vaya al Paso 26.

24 (Condicional) Si no seleccionó búsqueda anónima en el Paso 22, especifique si va a usar Microsoft Active Directory.Para Active Directory, el atributo userPrincipalName cuyo valor aparece en la forma nombredeusuario@nombrededominio se puede usar opcionalmente para autenticar al usuario antes de buscar el objeto de usuario LDAP, sin necesidad de introducir el DN de usuario.

25 (Condicional) Si desea usar el enfoque anterior para Active Directory, especifique el nombre de dominio.

26 Especifique el DN base.27 Pulse en s para especificar que las opciones facilitadas son correctas, o pulse n para cambiar la

configuración. 28 Para entrar en el servidor de Sentinel Log Manager, utilice la dirección URL especificada en la

instalación. La dirección URL se parece a https://10.0.0.1:8443/novelllogmanager.Para obtener más información sobre la forma de entrar en el servidor, consulte el Capítulo 6, “Acceso a la interfaz Web”, en la página 57.

29 Para configurar orígenes de eventos para enviar datos a Sentinel Log Manager, consulte “Configuración de recopilación de datos” en Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2).



3.4 Instalación silenciosaLa instalación silenciosa o sin supervisión de Sentinel Log Manager resulta útil si desea instalar más de un servidor de Sentinel Log Manager en su implantación. En tal caso, puede registrar los parámetros de instalación durante la primera instalación y luego ejecutar el archivo registrado en todos los demás servidores.



Reemplace <nombre de archivo_instalación> por el nombre real del archivo de instalación.4 Cambie al directorio donde extrajo el archivo de instalación.5 Especifique el siguiente comando para ejecutar el guión install-slm para instalar Sentinel Log

Manager en modo silencioso:

./install-slm -u responseFile

Para obtener más información sobre cómo crear el archivo de respuestas, consulte la Sección 3.2, “Instalación estándar”, en la página 32. La instalación continúa con los valores almacenados en el archivo de respuestas.

6 Para entrar en el servidor de Sentinel Log Manager, utilice la dirección URL especificada en la instalación. La dirección URL se parece a https://10.0.0.1:8443/novelllogmanager.Para obtener más información sobre la forma de entrar en el servidor, consulte el Capítulo 6, “Acceso a la interfaz Web”, en la página 57.

7 Para configurar orígenes de eventos para enviar datos a Sentinel Log Manager, consulte “Configuración de recopilación de datos” en “Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2)”.


3.5 Instalación no rootSi la directiva de su organización no permite ejecutar la instalación completa de Sentinel Log Manager como usuario root, es posible ejecutar la mayoría de los pasos de instalación como otro usuario (novell).

1 Descargue y copie los archivos de instalación del sitio de descargas de Novell.2 Especifique el siguiente comando para extraer los archivos de instalación del archivo tar:


Reemplace <nombre de archivo_instalación> por el nombre real del archivo de instalación.


3 Entre como usuario root al servidor donde desea instalar Sentinel Log Manager as como usuario root.

4 Cambie al directorio donde extrajo el archivo de instalación.5 Especifique el siguiente comando:

./bin/root_install_prepare

Se muestra una lista de comandos que se van a ejecutar con privilegios de usuario root.Además se crea un grupo novell y un usuario novell, si aún no existen.

6 Acepte la lista de comandos.Se ejecutan los comandos visualizados.

7 Especifique el siguiente comendo para cambiar al nuevo usuario (novell) diferente de root recién creado: su novell

8 Especifique el siguiente comando:

./install-slm

9 Para continuar con el idioma deseado, seleccione el número especificado junto al idioma. El acuerdo de licencia de usuario final se muestra en el idioma seleccionado.

10 Lea el acuerdo de licencia del usuario final e introduzca yes o y para aceptar el acuerdo y continuar con la instalación.La instalación comienza instalando todos los paquetes RPM. Esta instalación puede tardar unos segundos en finalizar.

11 Se le indicará que especifique el modo de instalación. Si decide continuar con la instalación estándar, continúe con el paso 8 de la Sección 3.2,

“Instalación estándar”, en la página 32. Si decide continuar con la instalación personalizada, continúe con el paso 8 de la

Sección 3.3, “Instalación personalizada”, en la página 34.La instalación de Sentinel Log Manager finaliza y se inicia el servidor.

12 Especifique el siguiente comando para cambiar al usuarioroot:

su root

13 Especifique el siguiente comando para finalizar la instalación:./bin/root_install_finish

14 Para entrar en el servidor de Sentinel Log Manager, utilice la dirección URL especificada en la producción de instalación. La dirección URL se parece a https://10.0.0.1:8443/novelllogmanager.Para obtener más información sobre la forma de entrar en el servidor, consulte el Capítulo 6, “Acceso a la interfaz Web”, en la página 57.




4 4Instalación del dispositivo

Sentinel Log Manager es un dispositivo de software listo para ejecutarse, basado en SUSE Studio que combina un sistema operativo SUSE Linux Enterprise Server (SLES) 11 SP1 reforzado con un servicio de actualización integrado en el software de Novell Sentinel Log Manager para ofrecer una experiencia al usuario fácil y fluida además de permitir a los clientes aprovechar su inversión existente. El dispositivo de software puede instalarse en hardware o en un entorno virtual.

Sección 4.1, “Antes de empezar”, en la página 39 Sección 4.2, “Puertos utilizados”, en la página 39 Sección 4.3, “Instalación del dispositivo VMware”, en la página 41 Sección 4.4, “Instalación del dispositivo Xen”, en la página 42 Sección 4.5, “Instalación del dispositivo en hardware”, en la página 44 Sección 4.6, “Configuración posterior a la instalación de la aplicación”, en la página 45 Sección 4.7, “Configuración de WebYaST”, en la página 45 Sección 4.8, “Configuración del dispositivo con SMT”, en la página 47 Sección 4.9, “Inicio y detención de la aplicación mediante la interfaz del usuario basada en la

Web”, en la página 48 Sección 4.10, “Registro para recibir actualizaciones”, en la página 49

4.1 Antes de empezar Asegúrese de que se cumplen los requisitos de hardware. Para obtener más información,

consulte la Sección 2.1, “Requisitos del hardware”, en la página 17. Obtenga su clave de licencia del Centro de atención al cliente de Novell (http://www.novell.com/

center) para instalar la versión con licencia. Obtenga el código de registro del Centro de atención al cliente de Novell (http://

www.novell.com/center) para registrarse para obtener actualizaciones de software. Sincronice la hora utilizando el protocolo de tiempo de red (NTP). (Condicional) Si tiene previsto usar VMware, asegúrese de que tiene VMware Converter para

cargar simultáneamente la imagen al servidor VMware ESX y convertirla a un formato que pueda ejecutarse en el servidor ESX.

4.2 Puertos utilizadosObserve que el dispositivo Novell Sentinel Log Manager utiliza los siguientes puertos para la comunicación, y algunos de ellos están abiertos en el cortafuegos:

Sección 4.2.1, “Puertos abiertos en el cortafuegos”, en la página 40 Sección 4.2.2, “Puertos utilizados a nivel local”, en la página 40

Instalación del dispositivo 39

http://www.novell.com/center

http://www.novell.com/center

4.2.1 Puertos abiertos en el cortafuegos

Tabla 4-1 Puertos de red utilizados por Sentinel Log Manager

4.2.2 Puertos utilizados a nivel local

Tabla 4-2 Puertos utilizados para la comunicación a nivel local

Puertos Descripción

TCP 1289 Se utiliza para las conexiones de Novell Audit.

TCP 289 Se reenvía a 1289 para las conexiones de Novell Audit.

TCP 22 Se utiliza para el acceso mediante secure shell al dispositivo Sentinel Log Manager.

UDP 1514 Se utiliza para los mensajes de syslog.

UDP 514 Se reenvía a 1514 para los mensajes de syslog.

TCP 8080 Se utiliza para la comunicación con HTTP.

TCP 80 Se redirecciona a 8080 para el servidor Web de Sentinel Log Manager para la comunicación con HTTP.

TCP 8443 Se utiliza para la comunicación de HTTPS.

TCP 1443 Se utiliza para los mensajes de syslog con SSL cifrado.

TCP 443 Se reenvía a 8443 para el servidor Web de Sentinel Log Manager para la comunicación de HTTPS. También lo utiliza el dispositivo de Sentinel Log Manager Appliance para el servicio de actualización.

TCP 61616 Se utiliza para la comunicación entre los gestores de recopiladores y el servidor.

TCP 10013 Lo utiliza el proxy SSL de la interfaz del usuario de Gestión de orígenes de eventos.

TCP 54984 Lo utiliza la consola de gestión del dispositivo de Sentinel Log Manager (WebYaST).

TCP 1468 Se utiliza para los mensajes de syslog.


TCP 61617 Se utiliza para la comunicación local entre el servidor Web y el servidor.

TCP 5556 Se utiliza en la interfaz de retrobucle para la comunicación interna con el servidor de_gateway_interno y el gateway_interno. Se utiliza para la comunicación entre el motor de agente y el gestor de recopiladores.


4.3 Instalación del dispositivo VMwarePara ejecutar la imagen del dispositivo desde el servidor VMware ESX, importe e instale la imagen del dispositivo en el servidor.

1 Descargue el archivo de instalación del dispositivo VMware.El archivo correcto del dispositivo VMware tiene vmx en el nombre del archivo. Por ejemplo, <sentinel_log_manager_vmx.tar.gz>

2 Especifique el siguiente comando para extraer la imagen comprimida del dispositivo desde el equipo donde está instalado VM Converter:

tar zxvf <install_file>

Reemplace <archivo_instalación> por el nombre real del archivo.3 Para importar la imagen de VMware al servidor ESX, utilice el VMware Converter y siga las

instrucciones en pantalla del asistente de instalación.4 Entre en el equipo del servidor ESX.5 Seleccione la imagen de VMware importada del dispositivo y haga clic en el icono de encendido.6 Seleccione el idioma deseado y luego, haga clic en Siguiente.7 Seleccione la disposición del teclado y haga clic en Siguiente.8 Lea y acepte el acuerdo de licencia del software de Novell SUSE Enterprise Server.9 Lea y acepte el acuerdo de licencia del usuario final de Novell Sentinel Log Manager.

10 En la pantalla Nombre de host y Nombre de dominio, especifique los valores correspondientes. Asegúrese de que se haya seleccionado la opción Assign Hostname to Loopback IP (Asignar nombre de host a IP de retrobucle).

11 Seleccione Siguiente. Se guardará la información configurada de nombre de host.

TCP 5432 Se utiliza para la base de datos PostgreSQL. No es necesario abrir este puerto por defecto. No obstante, si crea informes utilizando Sentinel SDK, entonces deberá abrir este puerto. Para obtener más información, consulte el sitio Web de SDK de módulos auxiliares (plug-in) de Sentinel (http://developer.novell.com/wiki/index.php?title=Develop_to_Sentinel).

Dos puertos TCP adicionales seleccionados aleatoriamente

Se utilizan para la comunicación interna entre el motor de agentes y el gestor de recopiladores.

TCP 8005 Se utiliza para la comunicación interna con los procesos Tomcat.

TCP 32000 Se utiliza para la comunicación interna entre el motor de agentes y el gestor de recopiladores.





12 Realice una de las siguientes acciones: Para usar los ajustes de conexión de red actuales, seleccione la opción Use the following

configuration (Usar la siguiente configuración) en la pantalla Network Configuration (Configuración de red).

Para cambiar los ajustes de conexión de red, seleccione la opción para Cambiar. 13 Establezca la fecha y la hora y haga clic en Siguiente, seguido de la opción para Finalizar.

Nota: Para cambiar la configuración de NTP después de la instalación utilice YaST en la línea de comandos del dispositivo. Puede usar WebYast para cambiar la fecha y la hora, pero no la configuración de NTP.Si la hora parece no estar sincronizada inmediatamente después de la instalación, ejecute el siguiente comando para reiniciar NTP:

rcntp restart

14 Defina la contraseña root de Novell SUSE Enterprise Server, y luego haga clic en Siguiente. 15 Defina la contraseña root y luego haga clic en Siguiente. 16 Defina la contraseña de administrador de Sentinel Log Manager y la contraseña de dbauser, y

luego haga clic en Siguiente. 17 Seleccione Siguiente.

La instalación continúa y finaliza. Anote la dirección IP del dispositivo que aparece en la consola.

18 Pase a la Sección 4.6, “Configuración posterior a la instalación de la aplicación”, en la página 45.


4.4 Instalación del dispositivo Xen1 Descargue y copie el archivo de instalación del dispositivo virtual Xen a /var/lib/xen/images.

El nombre de archivo correcto del dispositivo virtual Xen contiene xen. Por ejemplo, <sentinel_log_manager_xen.tar.gz>

2 Especifique el siguiente comando para desempaquetar el archivo:

tar -xvzf <install_file>

Reemplace <archivo_instalación> por el nombre real del archivo de instalación.3 Cambie al nuevo directorio de instalación. El directorio tiene los siguientes archivos:

archivo de imagen <nombre_archivo>.raw archivo <nombre_archivo>.xenconfig

4 Abra el archivo <nombre_archivo>.xenconfig utilizando el editor de texto.5 Modifique el archivo de la siguiente manera:

Especifique la vía completa al archivo .raw en el ajuste disk.Especifique el ajuste de puente para la configuración de red. Por ejemplo, "bridge=br0" o "bridge=xenbr0". Especifique los valores para name (nombre) y memory (memoria).


Por ejemplo:

# -*- mode: python; -*- name="Sentinel_Log_Manager_1.2.0.0_64" memory=4096 disk=[ "tap:aio:/var/lib/xen/images/Sentinel_Log_Manager_1.2.0.0_64_Xen-0.777.0/Sentinel_Log_Manager_1.2.0.0_64_Xen.x86_64-0.777.0.raw,xvda,w" ] vif=[ "bridge=br0" ]

6 Después de modificar el archivo <nombredearchivo>.xenconfig, especifique el siguiente comando para crear la máquina virtual: xm create <nombre_archivo>.xenconfig

7 (Opcional) Para verificar si se ha creado la máquina virtual, especifique el siguiente comando:xm list La máquina virtual aparece en la lista.Por ejemplo, si ha configurado name="Sentinel_Log_Manager_1.2.0.0_64" en el archivo .xenconfig, la máquina virtual aparecerá con ese nombre.

8 Para iniciar la instalación, especifique el siguiente comando: xm console <nombre vm>

Reemplace <nombre_vm> por el nombre especificado en el ajuste de nombre en el archivo .xenconfig, que también es el valor devuelto en el paso 7. Por ejemplo: xm console Sentinel_Log_Manager_1.2.0.0_64

9 Seleccione el idioma deseado y luego haga clic en Siguiente.10 Seleccione la disposición del teclado y haga clic enSiguiente.11 Lea y acepte el acuerdo de licencia de software de Novell SUSE Enterprise Server.12 Lea y acepte el acuerdo de licencia del usuario final de Novell Sentinel Log Manager.13 En la pantalla Nombre de host y Nombre de dominio, especifique los valores correspondientes.

Asegúrese de que esté seleccionada la opción Assign Hostname to Loopback IP (Asignar nombre de host a IP de retrobucle).

14 Seleccione Siguiente. Se guardará la información configurada de nombre de host.15 Realice una de las siguientes acciones:

Para usar los ajustes de conexión de red actuales, seleccione la opción Use the following configuration (Usar la siguiente configuración) en la pantalla Network Configuration (Configuración de red).

Para cambiar los ajustes de conexión de red, seleccione la opción para Cambiar. 16 Seleccione la fecha y la hora y haga clic en Siguiente, y luego en Finalizar

Nota: Para cambiar la configuración de NTP después de la instalación, utilice YaST desde la línea de comandos del dispositivo. Puede usar WebYast para cambiar la fecha y la hora, pero no la configuración de NTP.Si la hora parece no estar sincronizada inmediatamente después de la instalación, ejecute el siguiente comando para reiniciar NTP:

rcntp restart

17 Defina la contraseña root de Novell SUSE Enterprise Server y luego haga clic en Siguiente. 18 Defina la contraseña de administrador de Sentinel Log Manager y la contraseña de dbauser, y

luego haga clic en Siguiente.





4.5 Instalación del dispositivo en hardwareAntes de instalar el dispositivo en el hardware, asegúrese de que la imagen de disco ISO del dispositivo se ha descargado desde el sitio de asistencia, y que se ha desempaquetado y está disponible en un DVD.

1 Arranque el equipo físico de la unidad de DVD con el DVD.2 Siga las instrucciones en pantalla del asistente de instalación.3 Ejecute la imagen del dispositivo en el DVD seleccionando la entrada superior del menú de

arranque.4 Lea y acepte el acuerdo de licencia del software de Novell SUSE Enterprise Server.5 Lea y acepte el acuerdo de licencia del usuario final de Novell Sentinel Log Manager.6 Seleccione Siguiente.7 En la pantalla Nombre de host y Nombre de dominio, especifique los valores correspondientes.

Asegúrese de que se haya seleccionado la opción Assign Hostname to Loopback IP (Asignar nombre de host a IP de retrobucle).

8 Seleccione Siguiente. Se guarda la configuración del nombre de host.9 Realice una de las siguientes acciones:

Para usar los ajustes de conexión de red actuales, seleccione la opción Use the following configuration (Usar la siguiente configuración) en la pantalla Network Configuration (Configuración de red).

Para cambiar los ajustes de conexión de red, seleccione la opción para Cambiar. 10 Seleccione Siguiente. Se guardarán los ajustes de conexión de red.11 Establezca la fecha y la hora y luego haga clic en Siguiente.

Nota: Para cambiar la configuración de NTP después de la instalación utilice YaST en la línea de comandos del dispositivo. Puede usar WebYast para cambiar la fecha y la hora, pero no la configuración de NTP.Si la hora parece no estar sincronizada inmediatamente después de la instalación, ejecute el siguiente comando para reiniciar NTP:

rcntp restart

12 Defina la contraseña root y luego haga clic en Siguiente.13 Defina la contraseña de administrador de Sentinel Log Manager y la contraseña de dbauser, y

luego haga clic en Siguiente.14 Introduzca el nombre de usuario y la contraseña en la consola para entrar en el dispositivo.

El valor por defecto del nombre de usuario esroot y la contraseña es password.15 Restaure la configuración del terminal:


reset

16 Para instalar el dispositivo en el servidor físico, ejecute el siguiente comando:/sbin/yast2 live-installer




4.6 Configuración posterior a la instalación de la aplicación Sección 4.6.1, “Instalación de VMware Tools”, en la página 45 Sección 4.6.2, “Acceso a la interfaz Web de dispositivo”, en la página 45

4.6.1 Instalación de VMware Tools

Para que Sentinel Log Manager funcione de forma eficaz en el servidor VMware, debe instalar VMware Tools. VMware Tools es un conjunto de utilidades que mejora el rendimiento del sistema operativo del equipo virtual. Además, mejora la gestión del equipo virtual. Para obtener más información sobre la instalación de VMware Tools, consulte VMware Tools for Linux Guests (https://www.vmware.com/support/ws55/doc/ws_newguest_tools_linux.html#wp1127177) (VMware Tools para sistemas Linux invitados).

Para obtener más información sobre la documentación de VMware, consulte el Manual del usuario de la estación de trabajo (http://www.vmware.com/pdf/ws71_manual.pdf)..

4.6.2 Acceso a la interfaz Web de dispositivo

Para entrar en la consola Web del dispositivo e inicializar el software:

1 Abra un navegador Web y entre en https://<dirección IP>:8443. Se mostrará la página Web de Sentinel Log Manager. Se muestra la dirección IP del dispositivo en la consola del dispositivo después de que finalice la instalación y se reinicie el servidor.

2 Puede configurar el dispositivo Sentinel Log Manager para el almacenamiento y la recopilación de datos. Para obtener más información, consulte la Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2.2).

3 Para registrarse para recibir actualizaciones, consulte la Sección 4.10, “Registro para recibir actualizaciones”, en la página 49.

4.7 Configuración de WebYaSTLa interfaz del usuario del dispositivo Novell Sentinel Log Manager está equipada con WebYaST. WebYaST es una consola remota basada en la Web para el control de dispositivos basada en SUSE Linux Enterprise. Puede acceder, configurar y supervisar los dispositivos de Sentinel Log Manager mediante WebYaST. El siguiente procedimiento describe brevemente los pasos necesarios para


https://www.vmware.com/support/ws55/doc/ws_newguest_tools_linux.html#wp1127177

http://www.vmware.com/pdf/ws71_manual.pdf

http://www.vmware.com/pdf/ws71_manual.pdf

configurar WebYaST. Para obtener más información acerca de la configuración detallada, consulte WebYaST User Guide (http://www.novell.com/documentation/webyast/) (Guía del usuario de WebYaST ).

1 Entre en el dispositivo de Sentinel Log Manager.

2 Haga clic en Appliance (Dispositivo).

3 Configure el servidor de Sentinel Log Manager para recibir actualizaciones tal como se describió en Sección 4.10, “Registro para recibir actualizaciones”, en la página 49.

4 Haga clic en Siguiente para finalizar la instalación inicial.


http://www.novell.com/documentation/webyast/

4.8 Configuración del dispositivo con SMTEn entornos protegidos en los que el dispositivo debe ejecutarse sin acceso directo a Internet, debe configurar el dispositivo con la herramienta SMT (Subscription Management Tool), que le permite actualizar el dispositivo a las versiones más recientes disponibles. SMT es un sistema apoderado de paquetes integrado en Centro de servicios al cliente de Novell que proporciona funciones clave de dicho centro.

Sección 4.8.1, “Requisitos previos”, en la página 47 Sección 4.8.2, “Configuración del dispositivo”, en la página 48 Sección 4.8.3, “Actualización del dispositivo”, en la página 48

4.8.1 Requisitos previos

Obtenga las credenciales del Centro de servicios al cliente de Novell para Sentinel Log Manager para obtener actualizaciones de Novell. Para obtener información sobre la forma de obtener credenciales, comuníquese con Asistencia de Novell (http://support.novell.com/phone.html?sourceidint=suplnav4_phonesup).

Asegúrese de que SLES 11 SP1 esté instalada con los siguientes paquetes en el equipo donde desea instalar la herramienta SMT: htmldoc smt perl-DBIx-Transaction perl-File-Basename-Object pertl-DBIx-Migration-Director perl-MIME-Lite perl-Text-ASCIITable smt-support yast2-smt yum-metadata-parser createrepo sle-smt-release-cd sle-smt_en perl-DBI apache2-prefork libapr1 perl-Data-ShowTable perl-Net-Daemon perl-Tie-IxHash fltk libapr-util1 perl-PIRPC apache2-mod_perl apache2-utils


http://support.novell.com/phone.html?sourceidint=suplnav4_phonesup

apache2 perl-DBD-mysql

Instale SMT y configure el servidor de SMT. Para obtener más información, consulte las siguientes secciones de la Documentación de SMT (http://www.novell.com/documentation/smt11/): Instalación de SMT Configuración del servidor de SMT Duplicación de los repositorios de instalación y actualizaciones con SMT

Instale la utilidad wget en el equipo del dispositivo.

4.8.2 Configuración del dispositivo

Para obtener información sobre cómo configurar el dispositivo con SMT, consulte la sección “Configuring Clients to Use SMT (Configuración de clientes para usar SMT)” (http://www.novell.com/documentation/smt11/smt_sle_11_guide/?page=/documentation/smt11/smt_sle_11_guide/data/smt_client.html) en la documentación de Subscription Management Tool.

Para habilitar los repositorios del dispositivo, ejecute el siguiente comando:

Imagen del dispositivo VMWare:

smt-repos -p sentinel_log_manager_1100_64_vmx_x86_64

Imagen del dispositivo Xen:

smt-repos -p sentinel_log_manager_1100_64_xen_x86_64

ISO:

smt-repos -p sentinel_log_manager_1100_64_xen_x86_64

4.8.3 Actualización del dispositivo

Para obtener información sobre cómo actualizar una aplicación, consulte la Sección 5.4.3, “Actualización de la aplicación con SMT”, en la página 56.

4.9 Inicio y detención de la aplicación mediante la interfaz del usuario basada en la WebPuede iniciar y detener el servidor de Sentinel Log Manager utilizando la interfaz del usuario basada en la Web de la siguiente manera:

1 Entre en el dispositivo de Sentinel Log Manager.Se mostrará la interfaz del usuario en la Web de Sentinel Log Manager.

2 Haga clic en Appliance (Dispositivo) para lanzar WebYaST.


http://www.novell.com/documentation/smt11/

http://www.novell.com/documentation/smt11/smt_sle_11_guide/?page=/documentation/smt11/smt_sle_11_guide/data/smt_client.html

3 Haga clic en System Services (Servicios del sistema).

4 Para detener el servidor de Sentinel Log Manager, haga clic en detener.5 Para iniciar el servidor de Sentinel Log Manager, haga clic en inicio.

4.10 Registro para recibir actualizaciones1 Entre en el dispositivo de Sentinel Log Manager.

Se mostrará la interfaz del usuario basada en la Web de Sentinel Log Manager.2 Haga clic en Appliance (Dispositivo) para lanzar WebYaST.3 Haga clic en Registration (Registro).


4 Especifique la ID de correo electrónico donde desea recibir actualizaciones, el nombre del sistema y el código de registro del dispositivo.

5 Haga clic en Guardar.

Para obtener información sobre cómo actualizar un dispositivo, consulte la Sección 5.4, “Actualización del dispositivo”, en la página 54.


5 5Actualización de Sentinel Log Manager

Puede instalar Sentinel Log Manager 1.2.0.2 en Sentinel Log Manager 1.2 y versiones posteriores. Si desea actualizar Sentinel Log Manager 1.1.x, antes debe realizar la actualización a Sentinel Log Manager 1.2.0.1 y, después, instalar Sentinel Log Manager 1.2.0.2.

Nota: Después de la actualización, se conservan todas las personalizaciones de recopiladores realizadas mediante el Modo de ejecución personalizado y el método de archivo auxiliar recomendado en la documentación del SDK.

Sección 5.1, “Requisitos previos”, en la página 51 Sección 5.2, “Actualización del servidor Sentinel Log Manager”, en la página 52 Sección 5.3, “Actualización del gestor de recopiladores”, en la página 53 Sección 5.4, “Actualización del dispositivo”, en la página 54 Sección 5.5, “Actualización de módulos auxiliares (plug-in) de Sentinel”, en la página 56

5.1 Requisitos previos Sentinel Log Manager 1.2 y versiones posteriores requiere la plataforma SUSE Linux Enterprise

Server (SLES) 11 SP1. Si actualiza el sistema a Sentinel Log Manager 1.2 o una versión posterior, asegúrese de que el sistema operativo se haya actualizado a SLES 11 SP1.

Para que Sentinel Log Manager 1.2 y versiones posteriores funcionen correctamente en SLES 11 SP1, debe estar instalada la siguiente versión de RPM o versiones posteriores: Parches de kernel:

kernel-default-2.6.32.29-0.3.1.x86_64.rpm

kernel-default-base-2.6.32.29-0.3.1.x86_64.rpm

RPM util de Linux: libblkid1-2.16-6.11.1.x86_64.rpm

libuuid1-2.16-6.11.1.x86_64.rpm

util-linux-2.16-6.11.1.x86_64.rpm

util-linux-lang-2.16-6.11.1.x86_64.rpm

uuid-runtime-2.16-6.11.1.x86_64.rpm

Sentinel Log Manager 1.1.0.x utiliza squashfs 3.4-3.5.1; sin embargo, SLES 11 SP1 admite squashfs 4.0 y versiones posteriores, que no es compatible con versiones anteriores y no puede abrir un sistema de archivos procesado mediante squash que se haya creado con versiones más antiguas de squashfs. Al instalar estas correcciones de RPM, se corrige el problema de incompatibilidad entre las versiones de squashfs de Sentinel Log Manager 1.1.0.x y SLES 11 SP1. Estos RPM están disponibles a través del canal de actualización en línea de SLES 11. Para más información sobre cómo actualizar el sistema SLES, consulte “YaST Online Update” (http://www.novell.com/documentation/sles11/book_sle_admin/?page=/documentation/sles11/

Actualización de Sentinel Log Manager 51

http://www.novell.com/documentation/sles11/book_sle_admin/?page=/documentation/sles11/book_sle_admin/data/cha_onlineupdate_you.html

book_sle_admin/data/cha_onlineupdate_you.html) (Actualización en línea de YaST) de la SLES 11 SP1 Administration Guide (Guía de administración en línea de SLES 11 SP1) (http://www.novell.com/documentation/sles11/book_sle_admin/data/book_sle_admin_pre.html).

Nota: La instalación no se llevará a cabo a menos que se hayan instalado los parches de kernel y los RPM util de Linux especificados anteriormente.

Si desea actualizar Sentinel Log Manager 1.1.x, antes debe realizar la actualización a Sentinel Log Manager 1.2.0.1 y, después, instalar Sentinel Log Manager 1.2.0.2.

Asegúrese de que no se hayan utilizado enlaces simbólicos para las siguientes carpetas y subcarpetas: opt/novell (carpeta básica) etc/opt/novell (carpeta de configuración) var/opt/novell (carpeta de datos)

Si se han utilizado enlaces simbólicos, elimínelos; es decir, vuelva a poner esos directorios en los directorios de instalación estándar.

5.2 Actualización del servidor Sentinel Log Manager1 Realice una copia de seguridad de su configuración y, a continuación, cree una exportación de

ESM. Para obtener más información sobre cómo realizar una copia de seguridad de los datos, consulte“Copia de seguridad y restauración de datos.”

2 Descargue el parche más reciente del sitio de descargas de Novell (http://download.novell.com).

3 (Condicional) Si desea realizar la actualización a Sentinel Log Manager Hot Fix 1, descargue el parche del sitio de Novell Patch Finder (http://download.novell.com/patch/finder/).

4 Entre como usuario root en el servidor en el que desea instalar Sentinel Log Manager.5 Especifique el siguiente comando para detener el servidor de Sentinel Log Manager:

<install_directory>/bin/server.sh stop

Por ejemplo, /opt/novell/sentinel_log_mgr_/bin # ./server.sh stop.6 Especifique el siguiente comando para extraer los archivos de instalación del archivo tar:


Reemplace <nombre de archivo_instalación> por el nombre real del archivo de instalación.7 Vaya al directorio donde extrajo el archivo de instalación.8 Especifique el siguiente comando para ejecutar el guión install-slm para actualizar Sentinel

Log Manager:

./install-slm

9 Para continuar con el idioma deseado, seleccione el número especificado junto al idioma. El acuerdo de licencia de usuario final se muestra en el idioma seleccionado.

10 Lea el acuerdo de licencia del usuario final e introduzcasí o s para aceptar la licencia y continuar con la instalación.

11 El guión de instalación detecta que ya existe una versión del producto más antigua y le indica que debe especificar si desea actualizar el producto. Si pulsa n, la instalación se cancela. Para continuar con la actualización, pulse s.




http://download.novell.com

http://download.novell.com/patch/finder/

La instalación comienza instalando todos los paquetes RPM. Esta instalación puede tardar unos segundos en finalizar.Si va a actualizar un sistema Sentinel Log Manager 1.1 previamente actualizado desde Sentinel Log Manager 1.0, la instalación existente de Sentinel Log Manager 1.0 permanece intacta, con las siguientes excepciones: Si el directorio de datos de 1.0 (por ejemplo, /opt/novell/

sentinel_log_manager_1.0_x86-64/data) y el directorio de datos de 1.1 (por ejemplo, /var/opt/novell/sentinel_log_mgr/data) se encuentran en el mismo sistema de archivos, entonces los subdirectorios <1.0>/data/eventdata y <1.0>/data/rawdata se transfieren a la ubicación de 1.1, porque los directorios de datos de eventos y datos en bruto suelen ser grandes. Si los directorios de datos de 1.0 y 1.1 se encuentran en sistemas de archivos diferentes, entonces los subdirectorios de datos de eventos y datos en bruto se copian a la ubicación de 1.1, y los archivos de 1.0 permanecen intactos.

Si el directorio de datos de 1.0 existente, como /opt/novell/sentinel_log_mgr_1.0_x86-64, se encuentra en un sistema de archivos montado independiente y no hay espacio suficiente en el sistema de archivos que contiene el directorio de datos de 1.1 (/var/opt/novell/sentinel_log_mgr/data), puede dejar que el instalador vuelva a montar el sistema de archivos de la ubicación de 1.0 en la ubicación de 1.1. También se actualiza una entrada de /etc/fstab. Si decide no permitir que el instalador vuelva a montar el sistema de archivos existente, la actualización se cerrará. Entonces podrá crear espacio suficiente en el sistema de archivos para el directorio de datos de 1.1.

Cuando la instalación de Sentinel Log Manager 1.2.0.2 finalice correctamente y el servidor esté operativo, especifique el siguiente comando para eliminar manualmente el directorio de Sentinel Log Manager 1.0:

rm -rf /opt/novell/slm_1.0_install_directory

Por ejemplo:

rm -rf /opt/novell/sentinel_log_mgr_x86-64

Al eliminar el directorio de instalación se suprime de forma permanente la instalación de Sentinel Log Manager 1.0..

12 Especifique el siguiente comando para iniciar el servidor de Sentinel Log Manager:

<install_directory>/bin/server.sh start

13 Asegúrese de que todos los gestores de recopiladores se actualicen a una versión compatible con el servidor de Sentinel Log Manager actualizado. Para obtener información sobre la forma de actualizar los gestores de recopiladores, consulte la Sección 5.3, “Actualización del gestor de recopiladores”, en la página 53.

Nota: Al iniciar el sistema por primera vez después de la actualización, este podría tardar aproximadamente cinco minutos en inicializarse antes de poder utilizarlo. Esta demora se produce únicamente cuando se inicia el sistema por primera vez después de la instalación o de una actualización.

5.3 Actualización del gestor de recopiladores1 Realice una copia de seguridad de su configuración y cree una exportación de ESM.


Para obtener más información, consulte “Copia de seguridad y restauración de datos” en Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2).

2 Entre en Sentinel Log Manager como administrador.3 Seleccione recopilación > Avanzado.

En esta página puede descargar el instalador de actualizaciones más reciente para el Gestor de recopiladores que sea compatible con el Sentinel Log Manager.

4 Haga clic en el enlace Descargar instalador de la sección del Instalador de actualización del gestor de recopiladores.Se muestra una ventana con opciones para abrir o guardar el archivo scm_upgrade_installer.zip en el equipo local.

5 Guarde el archivo.6 Copie el archivo en una ubicación temporal.7 Extraiga el contenido del archivo .zip.8 Ejecute uno de estos guiones:

Para actualizar el gestor de recopiladores de Windows, ejecute service_pack.bat. Para actualizar el gestor de recopiladores de Linux, ejecute service_pack.sh.

9 Siga las instrucciones que aparecen en pantalla para finalizar el procedimiento de instalación.

5.4 Actualización del dispositivo Puede utilizar WebYaST o SMT para actualizar la aplicación Sentinel Log Manager.

Sección 5.4.1, “Actualización de la aplicación mediante WebYast”, en la página 54 Sección 5.4.2, “Actualización de la aplicación con zypper”, en la página 55 Sección 5.4.3, “Actualización de la aplicación con SMT”, en la página 56

5.4.1 Actualización de la aplicación mediante WebYast

Nota: Si va a actualizar la aplicación Sentinel Log Manager en un sistema operativo anterior a SLES 11 SP3, debe usar la utilidad de línea de comandos zypper, ya que es necesaria la interacción del usuario para completar la actualización. WebYaST no permite la interacción del usuario necesaria. Para obtener información acerca del uso de zypper para actualizar la aplicación, consulte el apartado Sección 5.4.2, “Actualización de la aplicación con zypper”, en la página 55

1 Especifique la URL de Sentinel Log Manager que utiliza el puerto 4984 para lanzar WebYaST. 2 Entre a WebYast con las credenciales de la aplicación.3 Realice una copia de seguridad de su configuración y, a continuación, cree una exportación de

ESM. Para obtener más información sobre cómo realizar una copia de seguridad de los datos, consulte“Copia de seguridad y restauración de datos.”

4 (Condicional) Si aún no ha registrado el dispositivo para actualizaciones automáticas, hágalo ahora. Para obtener más información, consulte Sección 4.10, “Registro para recibir actualizaciones”, en la página 49.


Si la aplicación no está registrada, se mostrará una advertencia en amarillo en WebYast para indicarlo.

5 Para comprobar si existen actualizaciones, haga clic en Updates (Actualizaciones).Se muestran las actualizaciones disponibles.

6 Seleccione y aplique las actualizaciones.Las actualizaciones pueden tardar unos minutos en finalizar. Una vez finalizada de forma satisfactoria la actualización, se mostrará la página de acceso de WebYaST. Antes de actualizar la aplicación, WebYaST detiene el servicio de Sentinel Log Manager automáticamente. Cuando finalice la actualización, debe reiniciar este servicio manualmente.

7 Reinicie el servidor de Sentinel Log Manager mediante la interfaz del usuario basada en la Web. Para obtener más información, consulte Sección 4.9, “Inicio y detención de la aplicación mediante la interfaz del usuario basada en la Web”, en la página 48.

5.4.2 Actualización de la aplicación con zypper

Para actualizar el dispositivo utilizando el parche zypper:

1 Realice una copia de seguridad de su configuración y, a continuación, cree una exportación de ESM. Para obtener más información sobre cómo realizar una copia de seguridad de los datos, consulte“Copia de seguridad y restauración de datos.”

2 (Condicional) Si aún no ha registrado el dispositivo para actualizaciones automáticas, hágalo ahora. Para obtener más información, consulte Sección 4.10, “Registro para recibir actualizaciones”, en la página 49.Si la aplicación no está registrada, se mostrará una advertencia en amarillo en WebYast para indicarlo.

3 Entre a la consola de la aplicación como usuario root.4 Ejecute el comando siguiente:

usr/bin/zypper patch

5 (Condicional) Si realiza la actualización de Sentinel Log Manager a una versión anterior a 1.2, se muestra un mensaje para indicar el conflicto con la versión de squashfs. Pulse 1 para actualizar a la versión 4.0-1.2.10 de squashfs y aceptar el cambio de proveedor.Las versiones 1.1 de Sentinel Log Manager utilizan la versión 3.4 de squashfs, pero Sentinel Log Manager 1.2 y versiones posteriores utilizan squashfs 4.0. Además, el proveedor de squashfs yast2-live-installer ya no es OpenSUSE, sino SLES. Para proseguir con la actualización, antes debe actualizar squashfs y aceptar el cambio de proveedor.

6 Pulse S para continuar.7 (Condicional) Si realiza la actualización de Sentinel Log Manager a una versión anterior a 1.2, se

muestra el acuerdo de licencia de usuario final de Sentinel Log Manager. Pulse sí para aceptar la licencia.El acuerdo de licencia de Sentinel Log Manager 1.2 y versiones posteriores es diferente al acuerdo de licencia de Sentinel Log Manager 1.1. Debe aceptar este nuevo acuerdo de licencia para actualizar Sentinel Log Manager 1.1 y versiones posteriores a 1.2.

8 (Condicional) Si actualiza la aplicación Sentinel Log Manager de un sistema operativo anterior a SLES 11 SP3, se muestra el acuerdo de licencia de usuario final. Pulse sí para aceptar la licencia.


La aplicación Sentinel Log Manager se ha actualizado correctamente. 9 (Condicional) Si realiza la actualización de Sentinel Log Manager a una versión anterior a 1.2, se

muestra advertencia de versión obsoleta cuando finaliza la actualización. Esto se debe a que Sentinel Log Manager 1.2.0.1 utiliza WebYaST 1.1, mientras que Sentinel Log Manager 1.1 utiliza WebYaST 1.0. Durante la actualización, el módulo de idioma de WebYaST 1.0 se degrada a WebYaST 1.1. No obstante, esta advertencia no afecta a la actualización.

10 Reinicie la aplicación Sentinel Log Manager.

5.4.3 Actualización de la aplicación con SMT

En entornos protegidos en los que el dispositivo debe ejecutarse sin acceso directo a Internet, debe configurar el dispositivo con la herramienta SMT (Subscription Management Tool), que le permite actualizar el dispositivo a las versiones más recientes disponibles.

1 Asegúrese de que la aplicación está configurada con SMT.Para obtener más información, consulte la Sección 4.8, “Configuración del dispositivo con SMT”, en la página 47.

2 Entre a la consola de la aplicación como usuario root.3 Actualice el repositorio para la actualización:

zypper ref -s

4 Compruebe si la aplicación está habilitada para la actualización:

zypper lr

5 (Opcional) Compruebe las actualizaciones disponibles para la aplicación:

zypper lu

6 (Opcional) Compruebe los paquetes que incluyen las actualizaciones disponibles para la aplicación:

zypper lp -r SMT-http_<smt_server_ipaddress>:SLM-1.1.0.0-ISO

7 Actualice la aplicación:

zypper up -t patch -r SMT-http_<smt_server_ipaddress>:SLM-1.1.0.0-ISO

8 Reinicie el dispositivo.

rcsentinel_log_mgr restart

5.5 Actualización de módulos auxiliares (plug-in) de SentinelLos módulos auxiliares (plug-in) nuevos y actualizados de Sentinel se cargan con frecuencia en el sitio Web de módulos auxiliares de Sentinel (http://support.novell.com/products/sentinel/secure/sentinelplugins.html). Para obtener las correcciones de defectos, documentación y mejoras más recientes de un módulo auxiliar (plug-in), descargue la versión más reciente de dicho módulo auxiliar. Para obtener más información sobre cómo instalar o actualizar un módulo auxiliar (plug-in), consulte la documentación específica del módulo auxiliar en cuestión.




6 6Acceso a la interfaz Web

El usuario administrador creado durante la instalación puede entrar en la interfaz Web para configurar y utilizar Sentinel Log Manager:

1 Abra un navegador Web compatible. Para obtener más información, consulte Sección 2.3, “Navegadores compatibles”, en la página 22.

2 Especifique la dirección URL de la página de Novell Sentinel Log Manager (por ejemplo, https://10.0.0.1:8443/novelllogmanager) y luego pulse Intro.

3 (Condicional) La primera vez que entre en Sentinel Log Manager, se le pedirá que acepte un certificado. Al aceptar el certificado se muestra la página de inicio de sesión de Sentinel Log Manager.

4 Especifique el nombre de usuario y la contraseña del administrador de Sentinel Log Manager.5 Elija el idioma para la interfaz de Sentinel Log Manager.

Acceso a la interfaz Web 57

La interfaz del usuario de Sentinel Log Manager está disponible en inglés, portugués, francés, italiano, alemán, español, japonés, chino tradicional y chino simplificado.

6 Haga clic en Entrar.Se muestra la interfaz basada en la Web de Novell Sentinel Log Manager.


7 7Instalación de gestores de recopiladores adicionales

Los gestores de recopiladores gestionan toda la recopilación y análisis de datos de Novell Sentinel Log Manager. El proceso de instalación de Sentinel Log Manager instala un gestor de recopiladores por defecto en el servidor de Sentinel Log Manager. No obstante, puede instalar varios gestores de recopiladores en una configuración distribuida.

Sección 7.1, “Antes de empezar”, en la página 59 Sección 7.2, “Ventajas de los gestores de recopiladores adicionales”, en la página 60 Sección 7.3, “Instalación de gestores de recopiladores adicionales”, en la página 60

7.1 Antes de empezar Asegúrese de que el hardware y el software cumplen los requisitos mínimos mencionados en el

Capítulo 2, “Requisitos del sistema”, en la página 17. Sincronice la hora utilizando el protocolo de tiempo de red (NTP). Un gestor de recopiladores requiere conectividad de red con el puerto de bus de mensajes

(61616) en el servidor Sentinel Log Manager. Antes de instalar el gestor de recopiladores, asegúrese de que todos los ajustes del cortafuegos y de red puedan comunicarse a través de este puerto.

Para instalar el gestor de recopiladores en RHEL 6, debe tener instalados el siguiente guión y los siguientes paquetes: Instale el guión ksh:

install ksh-20100621-2.el6.x86_64

Para ejecutar el instalador en el modo de consola, debe tener instalados los siguientes paquetes: glibc-2.12-1.7.el6.i686 nss-softokn-freebl-3.12.7-1.1.el6.i686

Para ejecutar el instalador en el modo de GUI, debe tener instalados los siguientes paquetes: glibc-2.12-1.7.el6.i686 libX11-1.3-2.el6.i686 libXau-1.0.5-1.el6.i686 libxcb-1.5-1.el6.i686 libXext-1.1-3.el6.i686 libXi-1.3-3.el6.i686 libXtst-1.0.99.2-3.el6.i686 nss-softokn-freebl-3.12.7-1.1.el6.i686

Instalación de gestores de recopiladores adicionales 59

7.2 Ventajas de los gestores de recopiladores adicionalesLa instalación de más de un gestor de recopiladores en una red distribuida aporta varias ventajas:

Mejora del rendimiento del sistema: los gestores de recopiladores adicionales pueden analizar y procesar los datos de eventos en un entorno distribuido, incrementando de esta manera el rendimiento del sistema.

Mayor seguridad de los datos y menores requisitos de ancho de banda de la red: si los gestores de recopiladores se encuentran ubicados conjuntamente con los orígenes de eventos, entonces puede aplicarse el filtrado, el cifrado y la compresión de datos en el origen.

Capacidad de recopilar datos de otros sistemas operativos: por ejemplo, puede instalar un gestor de recopiladores en Microsoft Windows para habilitar la recopilación de datos a través del protocolo WMI.

Almacenamiento de archivos en el caché: El gestor de recopiladores remoto puede almacenar en el caché grandes cantidades de datos mientras que el servidor está ocupado temporalmente archivando eventos o procesando un aumento del número de eventos. Esta función es una ventaja para los protocolos, como syslog, que no admiten el almacenamiento en caché de forma original.

7.3 Instalación de gestores de recopiladores adicionales1 Entre en Sentinel Log Manager como administrador.2 Seleccione recopilación > Avanzado.3 Haga clic en el enlace Descargar instalador en la sección del instalador del Gestor de

recopiladores.Se muestra una ventana con opciones para abrir o guardar el archivo scm_installer.zip en el equipo local. Guarde el archivo.

4 Copie y extraiga el archivo a la ubicación donde desea instalar el gestor de recopiladores.5 Ejecute uno de los siguientes archivos de instalación dependiendo del sistema operativo:

Para instalar el gestor de recopiladores en un sistema Windows, ejecute setup.bat. Para instalar el gestor de recopiladores en un sistema Linux, ejecute setup.sh.

6 Seleccione un idioma y haga clic en Aceptar.Se muestra el asistente de instalación.

7 Haga clic en Aceptar.8 Lea y acepte el acuerdo de licencia y luego haga clic en Siguiente.9 Puede continuar con el directorio de instalación por defecto o examinar y seleccionar el

directorio y luego hacer clic en Siguiente.10 No cambie el puerto de bus de mensajes por defecto (61616) y especifique el host/la dirección IP

del servidor Sentinel Log Manager.11 Haga clic en Siguiente para continuar con la Configuración automática de memoria (256

Megabytes).Se muestra un resumen de la instalación.

12 Haga clic en Instalar.13 Especifique el nombre de usuario y la contraseña del gestor de recopiladores.


El nombre de usuario y la contraseña se almacenan en el archivo/etc/opt/novell/sentinel_log_mgr/config/activemqusers.properties ubicado en el servidor de Sentinel Log Manager.Consulte la siguiente línea en el archivo activemqusers.properties :

collectormanager=<password>

donde collectormanager es el nombre de usuario y el valor correspondiente es la contraseña. 14 Acepte el certificado de forma permanente cuando se le indique.15 Haga clic en Finalizar para terminar la instalación de 16 Reinicie el equipo.

Si el gestor de recopiladores se ejecuta en Windows 2008, y si se registran excepciones en el archivo collector_manager0.0.log después de reiniciar, consulte la Sección A.4, “El Gestor de recopiladores ha producido una excepción en Windows 2008 cuando UAC está habilitado”, en la página 69 para encontrar una solución para el problema.

Instalación de gestores de recopiladores adicionales 61


8 8Desinstalación

En esta sección se analizan los procedimientos para desinstalar el servidor de Novell Sentinel Log Manager y el Gestor de recopiladores.

Sección 8.1, “Desinstalación del dispositivo”, en la página 63 Sección 8.2, “Desinstalación de Sentinel Log Manager”, en la página 63 Sección 8.3, “Desinstalación del gestor de recopiladores”, en la página 64

8.1 Desinstalación del dispositivoSi desea retener los datos del Gestor de registros, entonces deberá hacer una copia de seguridad de los datos antes de desinstalar el dispositivo, de manera que pueda restaurar los datos más tarde. Para obtener más información, consulte “Copia de seguridad y restauración de datos” en Sentinel Log Manager 1.2.2 Administration Guide (Guía de administración de Sentinel Log Manager 1.2).

Si no necesita retener ningún dato, utilice los siguientes procedimientos para desinstalar el dispositivo:

Dispositivo VMware ESX: si la máquina virtual está dedicada a Novell Sentinel Log Manager y si no necesita retener ningún dato, suprima la máquina virtual para desinstalar el dispositivo virtual del gestor de registros.

Dispositivo Xen: si la máquina virtual Xen está dedicada a Novell Sentinel Log Manager y si no necesita retener ningún dato, suprima la máquina virtual para desinstalar el dispositivo virtual del gestor de registros.

Dispositivo de hardware: si el sistema está dedicado a Novell Sentinel Log Manager y si no necesita retener ningún dato, reformatee el disco duro para desinstalar el gestor de registros en un equipo físico.

8.2 Desinstalación de Sentinel Log Manager1 Entre en Sentinel Log Manager como usuario root.2 Para ejecutar el guión de desinstalación, ejecute el siguiente comando:

/opt/novell/sentinel_log_mgr/setup/uninstall-slm

3 Cuando se le indique que vuelva a confirmar que desea continuar con la desinstalación, pulse s.El servidor de Sentinel Log Manager se detiene primero y después se desinstala.

Desinstalación 63

8.3 Desinstalación del gestor de recopiladoresEn esta sección se describen los procedimientos necesarios para desinstalar el gestor de recopiladores instalado en equipos Windows o Linux.

Sección 8.3.1, “Desinstalación del gestor de recopiladores en Linux”, en la página 64 Sección 8.3.2, “Desinstalación del gestor de recopiladores en Windows”, en la página 64 Sección 8.3.3, “Limpieza manual de directorios”, en la página 65

8.3.1 Desinstalación del gestor de recopiladores en Linux

1 Entre a la sesión como usuario Root.2 En el equipo donde está instalado el gestor de recopiladores, desplácese a la siguiente ubicación:

$ESEC_HOME/_uninst

3 Ejecute el comando siguiente:

./uninstall.bin

4 Seleccione un idioma y haga clic en Aceptar.5 Haga clic en Siguiente en el asistente de instalación.6 Seleccione las funciones que desea desinstalar y luego haga clic en Siguiente.7 Detenga todas las aplicaciones de Sentinel Log Manager que estén en ejecución, y luego haga clic

en Siguiente.8 Haga clic en Desinstalar.9 Haga clic en Finalizar.

10 Seleccione Reiniciar el sistema y haga clic en Finalizar.

8.3.2 Desinstalación del gestor de recopiladores en Windows

1 Entre como administrador.2 Detenga el servidor de Sentinel Log Manager.3 Seleccione Inicio > Ejecutar.4 Especifique lo siguiente:

%Esec_home%\_uninst

5 Haga doble clic en uninstall.exe para ejecutarlo.6 Seleccione un idioma y haga clic en Aceptar.

Se muestra el asistente de instalación.7 Haga clic en Siguiente.8 Seleccione las funciones que desea desinstalar y luego haga clic en Siguiente.9 Detenga todas las aplicaciones de Sentinel Log Manager que estén en ejecución, y luego haga clic

en Siguiente.10 Haga clic en Desinstalar.11 Haga clic en Finalizar.12 Seleccione Reiniciar el sistema y haga clic en Finalizar.


8.3.3 Limpieza manual de directorios

“Linux” en la página 65 “Windows” en la página 65

Linux

1 Entre en el equipo donde desinstaló en gestor de recopiladores como usuario root.2 Detenga todos los procesos de Sentinel Log Manager.3 Elimine el contenido de /opt/novell/sentinel6

Windows

1 Entre en el equipo donde desinstaló el gestor de recopiladores como administrador.2 Suprima la carpeta %CommonProgramFiles%\InstallShield\Universal y todo su contenido.3 Suprima la carpeta %ESEC_HOME% . La carpeta es por defecto C:\Program

Files\Novell\Sentinel6.

Desinstalación 65


A ASolución de problemas de instalación

En esta sección se enumeran los problemas que podrían ocurrir durante la instalación y el procedimiento para solucionar dichos problemas.

Sección A.1, “Sentinel Log Manager no se actualiza si la contraseña de dbauser no coincide con la contraseña de dbauser almacenada en el archivo .pgpass”, en la página 67

Sección A.2, “La instalación falló debido a una configuración de red incorrecta”, en la página 68 Sección A.3, “Problemas para configurar VMware Player 3 en SLES 11”, en la página 68 Sección A.4, “El Gestor de recopiladores ha producido una excepción en Windows 2008 cuando

UAC está habilitado”, en la página 69 Sección A.5, “Actualización del gestor de registros instalado como usuario no root que no es el

usuario de Novell”, en la página 70 Sección A.6, “No se crea un UUID para los gestores de recopiladores con imagen creada”, en la

página 70

A.1 Sentinel Log Manager no se actualiza si la contraseña de dbauser no coincide con la contraseña de dbauser almacenada en el archivo .pgpass

Problema:

Cuando se actualiza Sentinel Log Manager, la base de datos no se actualiza si la contraseña de dbauser no coincide con la contraseña almacenada en el archivo .pgpass.

El comportamiento varía en función del método de instalación:

Instalador estándar: la actualización se detiene y se muestra un mensaje adecuado para indicar la causa del error y la solución.

Consola de la aplicación: Aparecerá el siguiente mensaje de error:

Installing: novell-SLMdb-1.2.0.2-954 [error]Installation of novell-SLMdb-1.2.0.2-954 failed:(with --nodeps --force) Error: Subprocess failed. Error: RPM failed: Unable to login to the database, cannot continue with the upgrade. Check if the dbauser password specified in /home/novell/.pgpass is correct and try again.error: %pre(novell-SLMdb-1.2.0.2-954.x86_64) scriptlet failed, exit status 2error: install: %pre scriptlet failed (2), skipping novell-SLMdb-1.2.0.2-954

Abort, retry, ignore? [a/r/i] (a):

WebYaST: WebYaST continúa e indica que aún hay una actualización disponible. Consulte el archivo /var/opt/novell/sentinel_log_mgr/log/install.log para conocer la causa real del error.

Solución de problemas de instalación 67

Solución:

Actualice la contraseña almacenada en el archivo .pgpass con la contraseña actual de dbauser y proceda con la instalación. Para obtener información sobre el archivo .pgpass, consulte la documentación de PostgreSQL.

Si realiza la actualización con la consola de la aplicación, siga uno de estos pasos:

Introduzca a para abortar la instalación, actualice la contraseña almacenada en el archivo /home/novell/.pgpass y, a continuación, ejecute el parche zypper para proceder con la actualización.

Abra otra consola y actualice la contraseña almacenada en el archivo /home/novell/.pgpass. En la consola de actualización, introduzca r para proceder con la actualización.

Introduzca i para ignorar el mensaje de error y proceder con la instalación. Cuando finalice la actualización, actualice la contraseña almacenada en el archivo /home/novell/.pgpass y, a continuación, ejecute el parche zypper en la consola para completar el procedimiento de actualización.

Si realiza la actualización con WebYaST:

1 Entre a la consola de la aplicación.2 Actualice la contraseña de dbauser almacenada en el archivo /home/novell/.pgpass.3 En WebYaST, haga clic en Update All (Actualizar todo) para continuar con el proceso de

actualización.Cuando finaliza la actualización, se muestra el mensaje System is up to date (El sistema está actualizado) en WebYaST.

A.2 La instalación falló debido a una configuración de red incorrectaDurante el primer arranque, si el instalador detecta que los ajustes de red son incorrectos, se muestra un mensaje de error. Si la red no está disponible, falla la instalación de Sentinel Log Manager en el dispositivo.

Para solucionar este problema, configure los ajustes de red correctamente, de modo que el sistema tenga una dirección IP y un nombre de host válidos.

A.3 Problemas para configurar VMware Player 3 en SLES 11 Quizá aparezca el siguiente error al intentar configurar la red con VMware Player 3 en SLES 11:

Jan 12 14:57:34.761: vmx| VNET: MACVNetPortOpenDevice: Ethernet0: can't open vmnet device (No such device or address)Jan 12 14:57:34.761: vmx| VNET: MACVNetPort_Connect: Ethernet0: can't open data fdJan 12 14:57:34.761: vmx| Msg_Post: ErrorJan 12 14:57:34.761: vmx| [msg.vnet.connectvnet] Could not connect Ethernet0 to virtual network "/dev/vmnet0". More information can be found in the vmware.log file.Jan 12 14:57:34.761: vmx|[msg.device.badconnect] Failed to connect virtual device Ethernet0. Jan 12 14:57:34.761: vmx| --


http://www.postgresql.org/docs/8.2/static/libpq-pgpass.html

Este error indica que puede que otra máquina virtual haya abierto el archivo VMX. Para solucionar este problema, debe actualizar la dirección MAC del archivo VMX de la siguiente manera:

1 Abra el archivo VMX en un editor de texto.2 Copie la dirección MAC del campo ethernet0.generatedAddress. 3 Abra el archivo /etc/udev/rules.d/70-persistent-net.rules del sistema operativo

invitado.4 Comente la línea original, y luego escriba una línea SUBSYSTEM de la siguiente manera:

SUBSYSTEM=="net", DRIVERS=="?*", ATTRS{address}==<MAC address>, NAME="eth0"

5 Reemplace <dirección MAC> por la dirección MAC que copió en el Paso 2.6 Guarde y cierre el archivo. 7 Abra la máquina virtual en VMware Player.

A.4 El Gestor de recopiladores ha producido una excepción en Windows 2008 cuando UAC está habilitadoProblema: entre como cualquier usuario que pertenezca al grupo de administradores y ejecute el comando setup.bat en un indicador de terminal para instalar el gestor de recopiladores. Reinicie el sistema o inicie manualmente los servicios del gestor de recopiladores; a continuación, entre con las mismas credenciales de usuario. Las excepciones se registran en el archivo collector_manager0.0.log que afecta a las siguientes funciones del gestor de recopiladores:

Las asignaciones no se están inicializando. No puede elegir ningún archivo de orígenes de eventos en el sistema de archivos del equipo del

gestor de recopiladores (Win2008) utilizando el Conector de archivos.

Causa posible: Ha instalado el Gestor de recopiladores en Windows 2008 SP1 standard edition 64 bits. De manera predeterminada, el equipo tiene habilitado el Control de acceso de usuarios (UAC).

Solución: Cambie el propietario de inicio de sesión para los servicios de Sentinel 6.1 Rapid Deployment al usuario actual. Por defecto el propietario de inicio de sesión está establecido en la cuenta local del sistema. Para cambiar la opción por defecto:

1 Ejecute services.msc para abrir la ventana Servicios.2 Haga clic con el botón derecho enSentinel y, a continuación, seleccione Propiedades.3 En la ventana de propiedades de Sentinel, seleccione la pestaña Iniciar sesión,4 Seleccione Esta cuenta y proporcione las credenciales del usuario actual que ha utilizado para

instalar el gestor de recopiladores.

Nota: El usuario debe pertenecer al grupo de administradores.

Solución de problemas de instalación 69

A.5 Actualización del gestor de registros instalado como usuario no root que no es el usuario de NovellEl procedimiento de actualización falla si intenta actualizar el servidor Novell Sentinel Log Manager 1.0 instalado como usuario diferente de root que no es novell. Este problema ocurre debido a la naturaleza de los permisos de archivos definidos durante la instalación de Sentinel Log Manager 1.0.

Para actualizar el servidor Sentinel Log Manager 1.0 instalado como usuario diferente de root que no es novell, haga lo siguiente:

1 Cree el usuario novell. 2 Cambie la propiedad de la instalación de Sentinel Log Manager 1.0 anovell:novell.

chown -R novell:novell /opt/novell/<install_directory>

Cambie <directorio_instalación> al nombre del directorio de instalación. Por ejemplo,

chown -R novell:novell /opt/novell/sentinel_log_mgr_1.0_x86-64

3 Cambie la entrada ESEC_USER en/etc/opt/novell/sentinel_log_mgr/config/esecuser.properties a novell.

A.6 No se crea un UUID para los gestores de recopiladores con imagen creadaSi crea una imagen de un servidor de gestor de recopiladores (por ejemplo, utilizando ZenWorks Imaging) y recupera las imágenes en equipos diferentes, Sentinel Log Manager no identifica de manera exclusiva las nuevas instancias del gestor de recopiladores. Esto sucede porque existen UUID duplicados.

Debe generar el UUID en los sistemas de gestores de recopiladores recién creados realizando estos pasos:

1 Suprima el archivo host.id o sentinel.id ubicado en la carpeta /var/opt/novell/sentinel_log_mgr/data.

2 Reinicie el gestor de recopiladores.El gestor de recopiladores genera automáticamente el UUID.


Terminología de Sentinel

En esta sección se describe la terminología utilizada en este documento.

Recopiladores. Utilidad que analiza los datos y ofrece un flujo de eventos más rico aplicando taxonomía, detección de exploits y relevancia empresarial en el flujo de datos antes de que los eventos se correlacionen, analicen y envíen a la base de datos.

Conectores. Utilidad que utiliza métodos estándar del sector para conectar con los orígenes de datos para obtener datos en bruto.

Retención de datos. Directiva que define el período durante el cual permanecen los eventos antes de que se supriman del servidor de Sentinel Log Manager.

Origen de eventos. El aplicador o sistema que registra el evento.

Gestión de orígenes de eventos. ESM. La interfaz que permite gestionar y supervisar las conexiones entre Sentinel y los orígenes de eventos utilizando los conectores y recopiladores de Sentinel.

Eventos por segundo. EPS. Valor que mide la rapidez con que la red genera datos desde sus aplicaciones y dispositivos de seguridad. También representa una frecuencia según la cual Sentinel Log Manager puede recopilar y almacenar datos de los dispositivos de seguridad.

Integrador. Módulos auxiliares (plug-in) que permiten a los sistemas de Sentinel conectarse con otros sistemas externos. Las acciones de JavaScript pueden usar integradores para interactuar con otros sistemas.

Datos en bruto . Eventos sin procesar que se reciben en el conector y se envían directamente al bus de mensajes de Sentinel Log Manager para después escribirse en el servidor de Sentinel Log Manager. Los datos en bruto varían de un conector a otro debido al formato de los datos almacenados en el dispositivo.

Terminología de Sentinel 71


Documents

Sentinel Log Manager 1.2 - Home | NetIQAcerca de esta guía 7 Acerca de esta guía Esta guía presenta una descripción general de Novell Sentinel Log Manager y de su instalación