Tester l’installation
Rubriques traitées dans ce chapitre :
Section 5.1, « Tester l’installation », page 81
Section 5.2, « Nettoyage après test », page 91
Section 5.3, « Mise en route », page 91
5.1 Tester l’installation
Sentinel est installé avec un collecteur de démonstration qui permet de tester de nombreuses fonctions de base du système. À l'aide de ce collecteur, vous pouvez tester Active Views, la création d'incidents, les règles de corrélation et les rapports. La procédure suivante décrit la procédure pour tester le système et les résultats attendus. Il se peut que vous n'obteniez pas exactement les mêmes
événements, mais vos résultats doivent être similaires à ceux ci-dessous.
Au niveau de base, ces tests vous permettent de vérifier les points suivants :
les services Sentinel sont en fonctionnement ;
la communication via le bus de message est fonctionnelle ; des événements d'audit interne sont envoyés ;
des événements peuvent être envoyés à partir de Collector Manager ; des événements sont insérés dans la base de données et peuvent être récupérés à l'aide d'une requête d'événements historiques ou du serveur de création de rapport ; il est possible de créer et de visualiser des incidents ;
Correlation Engine évalue les règles et déclenche des événements corrélés ;
Sentinel Data Manager parvient à se connecter à la base de données et à lire les informations de partition.
Si l'un de ces tests échoue, consultez le journal de l'installation et les autres fichiers journaux, et contactez le support technique Novell si nécessaire.
Pour tester l'installation :
1 Double-cliquez sur l'icône de Sentinel Control Center sur le Bureau.
5
Tester l’installation
81
2 Loguez-vous au système comme l'administrateur Sentinel spécifié lors de l'installation
(esecadm par défaut). Sentinel Control Center s'ouvre et affiche l'onglet Active Views présentant une fenêtre intitulée « PUBLIC:All, Severity » (PUBLIC : Tout, Gravité).
3 Accédez au menu Gestion de source d'événements et choisissez Vue en direct.
4 Dans la vue graphique, cliquez avec le bouton droit sur Source d'événements 5 eps et sélectionnez Démarrer.
5 Fermez la fenêtre Gestion de source d'événements (vue en direct).
82
Guide d'installation de Sentinel 6.0
6 Accédez à l'onglet Active Views. Il affiche une fenêtre intitulée « PUBLIC: High_Severity,
Severity » (Public : Gravité_élevée, Gravité). Il se peut que vous deviez attendre un certain temps avant que le collecteur démarre et que les données apparaissent dans la fenêtre.
7 Cliquez sur le bouton Requête d'événement dans la barre d'outils. La fenêtre Requête d'événements historiques s'affiche.
8 Dans cette fenêtre, cliquez sur la flèche bas Filtre pour sélectionner un filtre. Mettez en surbrillance le filtre Public: All (Public : Tout), puis cliquez sur Sélectionner.
9 Choisissez une période qui couvre la période d'activité du collecteur. Sélectionnez la plage de dates à l'aide des listes déroulantes De et À.
10 Sélectionnez une taille de lot à partir de la liste déroulante correspondante.
Tester l’installation
83
11 Cliquez sur l'icône de loupe pour exécuter la requête.
12 Maintenez la touche Ctrl ou Maj enfoncée et sélectionnez plusieurs événements dans la fenêtre
Requête d'événements historiques.
13 Cliquez avec le bouton droit, puis sélectionnez Créer un incident.
14 Nommez l'incident TestIncident1 et cliquez sur Créer. Une notification de réussite s'affiche.
Cliquez sur OK.
84
Guide d'installation de Sentinel 6.0
15 Accédez à l'onglet Incident. Le gestionnaire de vues d'incidents s'affiche. Il vous permet de voir l'incident que vous venez de créer.
16 Double-cliquez sur l'incident pour l'ouvrir.
17 Fermez la fenêtre de l'incident. Pour ce faire, allez dans Fichier > Quitter ou cliquez sur le « X
» dans le coin supérieur droit de la fenêtre.
18 Cliquez sur l'onglet Analyse. Dans la fenêtre de navigation, ouvrez le dossier Historical
Reports (Rapports d’historique).
19 Cliquez sur Requête d'événement.
Tester l’installation
85
20 Cliquez sur Analyse > Créer un rapport ou sur l'icône Créer un rapport. Une fenêtre Requête d'événement s'ouvre. Définissez ce qui suit :
le délai filtre le niveau de gravité taille du lot (il s'agit du nombre d'événements à afficher. Les événements sont affichés du plus ancien au plus récent)
21 Cliquez sur le bouton Rafraîchir la requête.
22 Pour afficher le lot d'événements suivant, cliquez sur Suite.
23 Vous pouvez réorganiser les colonnes par glisser-déplacer. Vous pouvez également changer l'ordre de tri d'une colonne en cliquant sur son en-tête.
24 Lorsque votre requête est terminée, elle est ajoutée à la liste de requêtes rapides dans le navigateur.
25 Accédez à l'onglet Corrélation. Le gestionnaire de règle de corrélation s'affiche.
86
Guide d'installation de Sentinel 6.0
26 Cliquez sur Ajouter. L'Assistant de règle de corrélation s'ouvre.
Tester l’installation
87
27 Cliquez sur Simple. La fenêtre Règle simple s'affiche.
28 Utilisez les menus déroulants pour définir un critère de gravité de 4. Cliquez sur Suivant. La fenêtre Mettre à jour les critères s'affiche.
88
Guide d'installation de Sentinel 6.0
29 Sélectionnez l'option « À chaque déclenchement de cette règle, ne pas effectuer d'opération pendant » et utilisez le menu déroulant pour définir la période sur 1 minute. Cliquez sur
Suivant. La fenêtre Description générale s'affiche.
30 Nommez la règle « TestRule1 », entrez une description, puis cliquez sur Suivant.
31 Sélectionnez « Non, ne pas créer d'autre règle », puis cliquez sur Suivant.
32 Ouvrez la fenêtre Gestionnaire de règle de corrélation.
33 Mettez en surbrillance une règle, puis cliquez sur le lien Déployer les règles. La fenêtre
Déployer la règle s'affiche.
34 Dans cette fenêtre, sélectionnez dans la liste déroulante le moteur à utiliser pour déployer la règle.
35 Sélectionnez une action « Envoyer un message électronique » à associer à la règle, puis cliquez sur OK.
Tester l’installation
89
36 Sélectionnez le gestionnaire de moteurs de corrélation. Sous le moteur de corrélation, vous pouvez voir que la règle est déployée/activée.
37 Accédez à l'onglet Active Views et vérifiez que l'événement corrélé a bien été généré.
38 Fermez Sentinel Control Center.
39 Double-cliquez sur l'icône Sentinel Data Manager (SDM) sur le Bureau.
40 Loguez-vous à SDM comme l’administrateur de la base de données Sentinel spécifié lors de l’installation (esecdba par défaut).
41 Cliquez sur chaque onglet pour vous assurer que vous pouvez y accéder.
42 Fermez Sentinel Data Manager.
90
Guide d'installation de Sentinel 6.0
