Supprimer des données (supprimer des partitions) . Novell Sentinel 5

Définition des paramètres d'archivage via la ligne de commande

1. Créez un répertoire de sortie des archives appelé SDM_archive à la racine

(c:\SDM_archive).

REMARQUE : si vous créez un autre répertoire de sortie ou créez un répertoire de sortie dans un autre emplacement, vous devrez modifier le fichier manage_data.bat.

2. Exécutez cette commande comme suit : sdm -action archiveConfig -dirPath <chemin d'accès au répertoire dans lequel enregistrer les fichiers archivés> -keepDays <nombre de jours de conservation> -connectFile <chemin d'accès au fichier enregistré par «

saveConnection »>

Dans l'exemple suivant, toutes les données datant de plus de 30 jours sont archivées dans le répertoire c:\SDM_archive. sdm -action archiveConfig –dirpath c:\SDM_archive keepDays 30 -connectFile sdm.connect

Définition des paramètres d'archivage via l'interface

1. Créez un répertoire de sortie des archives appelé SDM_archive à la racine

(c:\SDM_archive).

REMARQUE : si vous créez un autre répertoire de sortie ou créez un répertoire de sortie dans un autre emplacement, vous devrez modifier le fichier manage_data.bat.

2. L'interface du Gestionnaire de données Sentinel ne requiert aucun paramètre d'archivage.

Elle permet d'archiver directement des données sans qu'il soit nécessaire de définir des paramètres d'archivage.

Supprimer des données (supprimer des partitions)

Cette action (deleteData) supprime les données d'une table donnée dont le nombre de jours de conservation est dépassé. Cette action supprime les données des tables suivantes :

ƒ EVENTS

ƒ CORRELATED_EVENTS

ƒ EVT_DEST_EVT_NAME_SMRY_1

ƒ EVT_DEST_SMRY_1

ƒ EVT_DEST_TXNMY_SMRY_1

ƒ EVT_PORT_SMRY_1

ƒ EVT_SEV_SMRY_1

ƒ EVT_SRC_SMRY_1

Cette action ne supprime pas les partitions qui ne sont pas archivées. Si vous voulez supprimer des partitions non archivées, la valeur true doit être spécifiée pour l'indicateur facultatif forceDelete.

Si forceDelete est utilisé : false ou non spécifié true

Supprime uniquement les partitions plus anciennes que keepDays et celles qui sont archivées.

Supprime toutes les partitions plus anciennes que keepDays, y compris celles qui ne sont pas archivées.

Cette commande utilise les indicateurs suivants :

Gestionnaire de données Sentinel

10-43

-action deleteData

-keepDays <nombre de jours de conservation>

[-forceDelete] <true ou false>

-connectFile <chemin d'accès au fichier enregistré par

saveConnection

>

Exécution de deleteData

1. Exécutez cette commande comme suit : sdm -action deleteData -keepDays <nombre de jours de conservation> -connectFile <chemin d'accès au fichier enregistré par «

saveConnection »>

Dans l'exemple suivant, les partitions de toutes les tables datant de plus de 30 jours sont supprimées et archivées. À la fin de l'opération, une liste des partitions qui n'ont pas été supprimées est générée, si ces partitions n'ont pas été archivées. sdm -action deleteData -keepDays 30 -connectFile sdm.connect

Programmation du fichier Manage_data.bat pour archiver des données et ajouter des partitions

REMARQUE : dans le fichier manage_data.bat, la durée de conservation des données est fixée à 30 jours, le répertoire de sortie des archives est c:\SDM_archive et le fichier connect est %ESEC_HOME%\sdm\sdm.connect. Si vous utilisez d'autres valeurs, vous devez modifier le fichier manage_data.bat.

Si vous avez défini les propriétés de connexion et les paramètres d'archivage, exécutez le fichier manage_data.bat à partir de l'invite de la commande pour vérifier qu'il fonctionne.

Pour archiver des données et ajouter des partitions automatiquement

REMARQUE : les instructions suivantes s'appliquent à Windows 2000 Édition professionnelle. Ces instructions peuvent différer pour Windows XP, mais sont similaires.

1. Dans Windows, cliquez sur Démarrer > Paramètre > Panneau de configuration.

2. Double-cliquez sur Tâches planifiées.

3. Double-cliquez sur Création d'une tâche planifiée. Cliquez sur Suivant.

4. Cliquez sur Parcourir et localisez le fichier manage_data.bat.

5. Entrez le nom de la tâche planifiée (par exemple, SDM_Archive). Sélectionnez

Tous les jours sous Exécuter cette tâche. Cliquez sur Suivant.

6. Sélectionnez l'heure et le jour d'exécution de cette tâche. Cliquez sur Suivant.

7. Entrez une heure et une date. Cliquez sur Suivant.

10-44 Guide de L'Utilisateur de Sentinel

8. Entrez l'utilisateur pour lequel cette tâche s'exécutera. L'utilisateur ne peut pas être le compte d'utilisateur du système local. Il doit s'agir d'un utilisateur spécifique.

Cliquez sur Suivant.

9. Cliquez sur Terminer une fois la tâche planifiée configurée.

Gestionnaire de données Sentinel

10-45

10-46 Guide de L'Utilisateur de Sentinel

11

Utilitaires

Démarrage et arrêt de Sentinel Server et du Gestionnaire de collecteurs - UNIX

REMARQUE : les termes Agent et Collecteur sont interchangeables. Le terme

Collecteur sera utilisé dans la suite de cette documentation.

Démarrage de Sentinel Server sous UNIX

Sous UNIX, le démarrage de Sentinel Server entraîne le démarrage du serveur de communication.

Démarrage de Sentinel Server sous UNIX

1. En tant qu'utilisateur esecadm, accédez au répertoire $ESEC_HOME/sentinel/scripts avec la commande cd.

2. Exécutez la commande suivante :

./sentinel.sh start

Arrêt de Sentinel Server sous UNIX

Sous UNIX, l'arrêt de Sentinel Server entraîne l'arrêt du serveur de communication.

Arrêt de Sentinel Server sous UNIX

1. En tant qu'utilisateur esecadm, accédez au répertoire $ESEC_HOME/sentinel/scripts avec la commande cd.

2. Exécutez la commande suivante :

./sentinel.sh stop

Démarrage du Gestionnaire des collecteurs sous UNIX

Démarrage du Gestionnaire des collecteurs sous UNIX

1. En tant qu'utilisateur esecadm, accédez au répertoire $WORKBENCH_HOME avec la commande cd.

2. Exécutez la commande suivante :

./agent-manager.sh start

Utilitaires

11-1

Arrêt du Gestionnaire des collecteurs sous UNIX

Arrêt du gestionnaire des collecteurs sous UNIX

1. En tant qu'utilisateur esecadm, accédez au répertoire $WORKBENCH_HOME avec la commande cd.

2. Exécutez la commande suivante :

./agent-manager.sh stop

Démarrage et arrêt de Sentinel Server et du Gestionnaire de collecteurs - Windows

En fonction de votre configuration d'installation, votre machine peut exécuter jusqu'à trois services Sentinel. Ces types sont les suivants :

ƒ Sentinel – Watchdog : démarre tous les autres processus serveur Sentinel.

ƒ Sentinel Communication : constitue le serveur de communication Server chiffré.

ƒ Gestionnaire des collecteurs : il s'agit de votre assistant.

Sous les services Windows, vous pouvez démarrer, redémarrer et arrêter manuellement n'importe lequel de ces services.

Démarrage du Gestionnaire des collecteurs sous Windows

Démarrage du Gestionnaire des collecteurs sous Windows

1. Cliquez sur Démarrer > Paramètres > Panneau de configuration.

2. Double-cliquez sur Outils d'administration.

3. Double-cliquez sur Services.

4. Cliquez avec le bouton droit, puis sélectionnez Gestionnaire des collecteurs > Démarrer.

Arrêt du Gestionnaire des collecteurs sous Windows

Arrêt du Gestionnaire des collecteurs sous Windows

1. Cliquez sur Démarrer > Paramètres > Panneau de configuration.

2. Double-cliquez sur Outils d'administration.

3. Double-cliquez sur Services.

4. Cliquez avec le bouton droit, puis sélectionnez Gestionnaire des collecteurs > Arrêter.

Démarrage de Sentinel Server sous Windows

Démarrage de Sentinel Server sous Windows

1. Cliquez sur Démarrer > Paramètres > Panneau de configuration.

2. Double-cliquez sur Outils d'administration.

3. Double-cliquez sur Services.

11-2

Guide de L'Utilisateur de Sentinel

4. Dans la fenêtre Services, sélectionnez Sentinel.

5. Cliquez avec le bouton droit, puis sélectionnez Démarrer ou cliquez sur Démarrer dans la barre d'outils.

Arrêt de Sentinel Server sous Windows

Arrêt de Sentinel Server sous Windows

1. Cliquez sur Démarrer > Paramètres > Panneau de configuration.

2. Double-cliquez sur Outils d'administration.

3. Double-cliquez sur Services.

4. Dans la fenêtre Services, sélectionnez Sentinel.

5. Cliquez avec le bouton droit, puis sélectionnez Arrêter ou cliquez sur Arrêter dans la barre d'outils.

Démarrage du serveur de communication Sentinel sous Windows

Démarrage du serveur de communication Sentinel sous Windows

1. Cliquez sur Démarrer > Paramètres > Panneau de configuration.

2. Double-cliquez sur Outils d'administration.

3. Double-cliquez sur Services.

4. Dans la fenêtre Services, sélectionnez Sentinel Communication.

5. Cliquez avec le bouton droit, puis sélectionnez Démarrer ou cliquez sur Démarrer dans la barre d'outils.

Arrêt du serveur de communication Sentinel sous Windows

Arrêt du serveur de communication Sentinel sous Windows

1. Cliquez sur Démarrer > Paramètres > Panneau de configuration.

2. Double-cliquez sur Outils d'administration.

3. Double-cliquez sur Services.

4. Dans la fenêtre Services, sélectionnez Sentinel Communication.

5. Cliquez avec le bouton droit, puis sélectionnez Arrêter ou cliquez sur Arrêter dans la barre d'outils.

Fichiers de script Sentinel

En fonction de votre configuration d'installation, le répertoire $ESEC_HOME/sentinel/scripts ou %ESEC_HOME%\sentinel\scripts peut contenir tout ou partir des fichiers de script suivants :

ƒ Fichier de script :

ƒ remove_sonic_lock.bat

ƒ start_broker.bat

ƒ start_broker.sh

Description :

Ce script supprime les fichiers de verrouillage du serveur de communication.

Ces scripts démarrent le serveur de communication à partir de la ligne de commande en mode console.

Utilitaires

11-3

ƒ stop_broker.bat

ƒ stop_broker.bat

ƒ stop_container.bat

ƒ stop_container.sh

ƒ sentinel.sh

Ces scripts arrêtent le serveur de communication

à partir de la ligne de commande en mode console.

Ce script redémarre les conteneurs suivants :

DAS_Aggregation

DAS (RT)

DAS_iTRAC

DAS_Binary

DAS_Query

Ce script arrête ou démarre Sentinel Server.

Reportez-vous à

Démarrage de Sentinel Server sous UNIX

ou à

Arrêt de Sentinel Server sous UNIX .

Suppression des fichiers de verrouillage du serveur de communication

Le serveur de communication risque de se verrouiller s'il ne s'est pas arrêté correctement.

Si c'est le cas, vous devez supprimer les fichiers de verrouillage, puis redémarrer le serveur de communication. Ces fichiers se trouvent aux emplacements suivants :

Sous Windows :

%ESEC_HOME%\3rdparty\SonicMQ\MQ6.1\esecDomain\data\_MFSys tem\lock

%ESEC_HOME%\3rdparty\SonicMQ\MQ6.1\SonicMQStore\db.lck

Sous UNIX :

$ESEC_HOME/3rdparty/SonicMQ/MQ6.1/esecDomain/data/_MFSyst em/lock

$ESEC_HOME /3rdparty/SonicMQ/MQ6.1/SonicMQStore/db.lck

Suppression du fichier de verrouillage du serveur de communication (Windows)

1. Accédez avec la commande cd ou avec Windows Explorer au répertoire :

%ESEC_HOME%\sentinel\scripts

2. Double-cliquez (dans l'Explorateur Windows) sur le fichier suivant ou exécutez-le : remove_sonic_lock.bat

Suppression du fichier de verrouillage du serveur de communication (UNIX)

Il n'est généralement pas nécessaire de supprimer le fichier de verrouillage sous UNIX, car il est presque toujours supprimé automatiquement lors du démarrage de Sentinel Server.

Si vous devez procéder à une suppression manuelle, vous devez utiliser les commandes de système de fichiers UNIX (telles que rm).

11-4

Guide de L'Utilisateur de Sentinel

Démarrage du serveur de communication en mode console

Ces scripts démarrent le serveur de communication à partir de la ligne de commande en mode console. Grâce à eux, vous pouvez déboguez le serveur de communication sans exécuter le reste de Sentinel Server. En mode de fonctionnement normal, vous ne devriez pas avoir besoin

de les exécuter (suivez les instructions fournies à la section Démarrage de Sentinel Server sous UNIX

ou

Démarrage de Sentinel Server sous Windows à la place).

Démarrage du serveur de communication (Windows)

REMARQUE : lorsque vous lancez ce script dans Windows, la fenêtre Services n'indique pas qu'il a été lancé. En outre, il ne s'exécute pas tant que la fenêtre d'invite de commande reste ouverte.

1. Accédez avec la commande cd ou avec Windows Explorer au répertoire :

%ESEC_HOME%\sentinel\scripts

2. Double-cliquez (dans l'Explorateur Windows) sur le fichier suivant ou exécutez-le : start_broker.bat

Démarrage du serveur de communication (UNIX)

1. Ouvrez une session avec le nom d'utilisateur esecadm :

2. Avec la commande cd, accédez au répertoire :

$ESEC_HOME/sentinel/scripts

3. Entrez :

./start_broker.sh

Arrêt du serveur de communication en mode console

Ces scripts arrêtent le serveur de communication à partir de la ligne de commande en mode console.

Grâce à eux, vous pouvez déboguez le serveur de communication sans arrêter le reste de

Sentinel Server. En mode de fonctionnement normal, vous ne devriez pas avoir besoin de les exécuter (suivez les instructions fournies à la section

Arrêt de Sentinel Server sous UNIX

ou

Arrêt de Sentinel Server sous Windows à la place).

Arrêt du serveur de communication (Windows)

1. Accédez avec la commande cd ou avec Windows Explorer au répertoire :

%ESEC_HOME%\sentinel\scripts

2. Double-cliquez (dans l'Explorateur Windows) sur le fichier suivant ou exécutez-le : stop_broker.bat

Arrêt du serveur de communication (UNIX)

1. Ouvrez une session avec le nom d'utilisateur esecadm :

2. Avec la commande cd, accédez au répertoire :

$ESEC_HOME/sentinel/scripts

3. Entrez :

Utilitaires

11-5

./stop_broker.sh

Redémarrage des conteneurs Sentinel

Les scripts suivants permettent de redémarrer les conteneurs répertoriés ci-dessous. Le script envoie un message au service spécifié lui indiquant de s'arrêter. Sentinel Watchdog redémarre ensuite le service.

La meilleure méthode pour arrêter, démarrer ou redémarrer ces services de conteneur consiste

à utiliser les vues du serveur de l'onglet Admin du Centre de contrôle Sentinel.

ƒ Nom Description

ƒ DAS_Aggregation

(das_aggregation.xml) exécute et configure le service de regroupement.

ƒ DAS (RT)

(das_rt.xml) exécute et configure le service de vues en temps réel.

ƒ DAS_Query d'événements corrélés ou non.

(das_query.xml) intervient dans toutes les autres opérations de base de données.

Redémarrage d'un conteneur Sentinel (Windows)

1. Avec la commande cd, accédez au répertoire :

%ESEC_HOME%\sentinel\scripts

2. Entrez : stop_container.bat <machine hôte> <nom conteneur>

Par exemple : stop_container.bat localhost DAS_RT

Redémarrage d'un conteneur Sentinel (UNIX)

1. Ouvrez une session avec le nom d'utilisateur esecadm :

2. Avec la commande cd, accédez au répertoire :

$ESEC_HOME/sentinel/scripts

3. Entrez :

./stop_container <machine hôte> <nom conteneur>

Par exemple :

./stop_container localhost DAS_RT

11-6

Guide de L'Utilisateur de Sentinel

Informations de version

Informations de version Sentinel Server

Sentinel Server dispose d'une option de ligne de commande qui permet d'afficher les informations de version des processus suivants :

ƒ watchdog

ƒ rulelg_checker

ƒ correlation_engine

ƒ data_synchronizer

ƒ query_manager

ƒ DAS

Obtention des informations de version Sentinel (UNIX)

1. Avec la commande cd, accédez au répertoire :

$ESEC_HOME/sentinel/bin

2. Entrez :

./<processus> -version

Par exemple :

./correlation_engine –version

Obtention des informations de version Sentinel (Windows)

1. Avec la commande cd, accédez au répertoire :

%ESEC_HOME%\sentinel\bin

2. Entrez :

<processus> -version

Par exemple : correlation_engine –version

Informations de version des fichiers dll et exe

Obtention des informations de version des fichiers dll et exe

1. Avec la commande cd, accédez au répertoire %ESEC_HOME%.

2. Dans les divers sous-répertoires, cliquez avec le bouton droit sur un fichier .dll ou

.exe, puis sélectionnez Propriétés.

3. Cliquez sur l'onglet Version.

4. Dans le volet Item Name (Nom de l’élément), sélectionnez Product Version

(Version du produit). Le numéro de version du fichier apparaît dans le volet Valeur.

Utilitaires

11-7

Informations de version des fichiers .jar Sentinel

Obtention des informations de version des fichiers .jar Sentinel

1. Ouvrez une session sur Sentinel Server en tant qu'utilisateur :

Sous UNIX : esecadm

Sous Windows, ouvrez une session en tant qu'utilisateur disposant des droits Sentinel

Server appropriés.

2. Avec la commande cd, accédez au répertoire :

Sous UNIX :

$ESEC_HOME/utilities

Sous Windows :

%ESEC_HOME%\utilities

3. À la ligne de commande, entrez ce qui suit :

Sous UNIX :

./versionreader.sh <chemin/nom fichier jar>

Sous Windows : versionreader <chemin/nom fichier jar>

Configuration de la messagerie Sentinel

Les paramètres de configuration de la messagerie Sentinel sont stockés dans le fichier execution.properties lors de l'installation. Ce fichier est modifiable après l'installation.

Il réside sur la machine où le service DAS a été installé et se trouve dans le répertoire suivant :

Sous Windows :

%ESEC_HOME%\sentinel\config

Sous UNIX :

$ESEC_HOME/sentinel/config

Deux scripts (mailconfig.sh et mailconfigtest.sh sous UNIX et mailconfig.bat et mailconfigtest. bat sous Windows) permettent de modifier les paramètres de messagerie au sein du fichier execution.properties et de les tester. Le script mailconfig.* permet de modifier les paramètres de messagerie et mailconfigtest.* de les tester. Le texte en gras correspond aux paramètres de messagerie modifiables.

11-8

Guide de L'Utilisateur de Sentinel

Les propriétés du fichier execution.properties sont les suivantes : mail.authentication.user=<domaine\\utilisateur> correlated events retry wait=5000 mail.smtp.host=<HOTE_SMTP> mail.events.max=1000 correlated events retry count=10 mail.address.from=<ADRESSE_SMTP_DE> mail.authentication.password=<mot de passe>

Hôte SMTP servant à envoyer les messages.

Nombre maximal d'événements envoyé dans un message automatiquement déclenché par le moteur de corrélation.

L'objectif est de limiter la taille des messages relatifs aux événements corrélés dotés d'un jeu volumineux d'événements déclencheurs.

Adresse de messagerie qui apparaît dans le champ De des messages envoyés à partir du service DAS.

Mot de passe de mail.authentication.user.

Les scripts mailconfig.sh et mailconfig.bat utilisent les arguments suivants :

-host

-from

-user

-password

Nom ou adresse IP de l'hôte SMTP

Champ De du message

Utilisateur d'authentification de messagerie

Mot de passe de l'utilisateur d'authentification de messagerie

REMARQUE : n'entrez pas votre mot de passe après l'argument –password.

Vous serez invité à entrer un nouveau mot de passe après avoir entré la commande.

Sur la console, le mot de passe est remplacé par des astérisques (*).

Les fichiers mailconfigtest.sh et mailconfig.bat utilisent les arguments suivants :

-to Adresse cible du message

Pour définir les propriétés du message dans le fichier execution.properties

1. Sur la machine où le service DAS est installé, accédez avec la commande cd au répertoire suivant :

Sous UNIX :

$ESEC_HOME/sentinel/config

Sous Windows :

%ESEC_HOME%\sentinel\config

2. Exécutez mailconfig comme suit :

Sous UNIX :

./mailconfig.sh -host <serveur SMTP> -from <adresse message source> -user <nom authentification messagerie> –password

Sous Windows :

Utilitaires

11-9

mailconfig.bat -host <serveur SMTP> -from <adresse message source> -user <utilisateur authentification messagerie> -password

Exemple sous UNIX :

./mailconfig.sh -host 10.0.1.14 -from mon_nom@domaine.com -user mon_nom_utilisateur – password

Exemple sous Windows : mailconfig.bat -host 10.0.1.14 -from mon_nom@domaine.com -user mon_nom_utilisateur – password

Vous serez invité à entrer un nouveau mot de passe après avoir entré cette commande.

Enter your password:*********

Confirm your password:*********

REMARQUE : l'argument password doit toujours figurer en dernier.

Pour tester les paramètres de messagerie dans le fichier execution.properties

1. Sur la machine où le service DAS est installé, accédez avec la commande cd au répertoire suivant :

Sous UNIX :

$ESEC_HOME/sentinel/config

Sous Windows :

%ESEC_HOME%\sentinel\config

2. Exécutez mailconfigtest comme suit :

Sous UNIX :

./mailconfigtest.sh -to <adresse destination message>

Sous Windows : mailconfigtest.bat -to <adresse destination message>

Si le message a été correctement envoyé, le message suivant s'affiche à l'écran.

Email has been sent successfully!

Accédez à la boîte de réception de la messagerie cible pour vérifier la réception du message.

Voici à quoi devraient ressembler l'objet et le corps du message :

Subject: Testing Sentinel mail property

This is a test for Sentinel mail property set up. If you see this message, your Sentinel mail property has been configured correctly to send emails

11-10

Guide de L'Utilisateur de Sentinel

Mise à jour de votre clé de licence

Si votre clé de licence Sentinel a expiré et si Novell en a émis une nouvelle, vous devez exécuter le programme de mise à jour de clé de licence.

Mise à jour de votre clé de licence (UNIX)

1. Ouvrez une session avec le nom d'utilisateur esecadm :

2. Accédez au répertoire $ESEC_HOME/utilities.

3. Entrez la commande suivante :

./softwarekey

4. Entrez le chiffre 1 pour définir la clé primaire. Appuyez sur Entrée.

Mise à jour de votre clé de licence (Windows)

1. Ouvrez une session en tant qu'utilisateur doté des droits d'administrateur.

2. Accédez au répertoire %ESEC_HOME%\utilities.

3. Entrez la commande suivante : softwarekey.exe

4. Entrez le chiffre 1 pour définir la clé primaire. Appuyez sur Entrée.

Utilitaires

11-11

11-12

Guide de L'Utilisateur de Sentinel

12

Démarrage rapide

REMARQUE : les termes Agent et Collecteur sont interchangeables. Le terme

Collecteur sera utilisé dans la suite de cette documentation.

Ce chapitre aborde les procédures de démarrage rapide relatives aux sujets suivants :

ƒ

Security Analysts

ƒ

Report Analysts

ƒ

Administrateurs

Ce chapitre porte sur les points suivants :

ƒ

Active Views™

ƒ

Détection d'exploitation

ƒ

Données d'actif

ƒ

Requête d'événement

ƒ

Rapports d'analyse via les rapports Crystal Reports

ƒ

Corrélation de base

Security Analysts

REMARQUE : il est supposé que vous ou votre administrateur Security avez conçu les filtres et configuré les collecteurs nécessaires à votre système.

Onglet Active Views

Dans l'onglet Active Views, vous pouvez surveiller les événements à mesure qu'ils se produisent et exécuter des requêtes sur ces événements. Vous pouvez les surveiller via un tableau ou via un graphique 3D.

Pour lancer un événement en temps réel

1. Cliquez sur Active Views > Créer une vue active, puis sur la flèche vers le bas Filtrer.

Sélectionnez un filtre, puis cliquez sur Sélectionner.

Démarrage rapide

12-1

2. Cliquez sur Terminer. Si votre réseau est actif, une fenêtre semblable à la suivante peut s'afficher :

REMARQUE : pour afficher un graphique 3-D sans événements en temps réel, cliquez sur la flèche vers le bas Afficher les événements, puis sélectionnez Non.

Détection d'exploitation

Pour afficher les événements qui signalent une exploitation possible, les fonctionnalités suivantes doivent être activées :

ƒ Données de flux Advisor

ƒ Détection d'intrusion

ƒ Analyse de la vulnérabilité

Dans un événement, lorsque la valeur du champ Vulnérabilité (vul) est égale à 1, cela signifie que l'actif ou le périphérique cible est exploité. Si elle est égale à 0, l'actif ou le périphérique cible n'est pas exploité. Si le champ Vulnérabilité est vide, la fonction de détection d'exploitation de Sentinel n'est pas active.

Pour afficher les événements qui signalent une exploitation possible, créez une vue active comportant un filtre dont la valeur du champ Vulnérabilité est égale à 1. Si vous disposez

12-2

Guide de L'Utilisateur de Sentinel

de Nmap et avez exécuté le connecteur Nmap, vous pouvez afficher les informations relatives

à un actif, qu'il s'agisse de l'actif exploité ou d'un autre.

Pour plus d'informations sur le fonctionnement de la détection d'exploitation et connaître les systèmes de détection d'intrusion et les scanners de vulnérabilité pris en charge, reportez-vous au Chapitre 1 : Introduction ou au Chapitre 10 : Gestionnaire de données Sentinel.

Données d'actif

Pour afficher les informations d'actif d'un événement, cliquez avec le bouton droit de la souris sur le ou les événements, puis sélectionnez Analyse > Données de l'actif. Une fenêtre semblable

à celle-ci apparaît.

Requête d'événement

Exemple de scénario : lors de la surveillance du système, vous constatez de nombreuses tentatives Telnet en provenance de l'adresse IP source 189.168.10.22. Les tentatives Telnet peuvent constituer une attaque. Telnet peut permettre à un attaquant de se connecter

à un ordinateur distant comme s'il était connecté localement. Ceci peut donner lieu à des modifications de configuration non autorisées, à l'installation de programmes, de virus, etc.

Vous pouvez procéder à une requête d'événement pour savoir de combien de tentatives Telnet cet attaquant est à l'origine et configurer un filtre pour générer une requête spécifique à cet attaquant. Par exemple, vous disposez des informations suivantes :

IP source : 189.168.10.22

IP cible : 189.168.10.23

Gravité : 5

Nom de l'événement : Attempted_telnet

Type de capteur : H (détection d'intrusion d'hôte)

Démarrage rapide

12-3

Pour effectuer une requête d'événement

1. Cliquez sur Requête d'événement (icône de loupe), puis sur la flèche vers le bas du champ Filtre.

2. Cliquez sur Ajouter, puis entrez le nom de filtre « telnet SIP 189_168_10_22 ».

Dans le champ figurant sous le filtre, entrez :

SourceIP = 189.168.10.22

EventName = Attempted_telnet

Match if, select (and)

Severity = 5

SensorType = H

DestinationIP = 189.168.10.23

3. Cliquez sur Enregistrer. Mettez votre filtre en surbrillance, puis cliquez sur Sélectionner.

4. Entrez la période qui vous intéresse, puis cliquez sur Rechercher (icône de loupe).

Les résultats de la requête apparaissent.

Pour savoir de combien de tentatives Telnet cet attaquant est à l'origine en général, supprimez les champs DestinationIP, SensorType et Severity de votre filtre ou créez un nouveau filtre. Les résultats indiqueront toutes les adresses IP cibles faisant l'objet de tentatives Telnet de la part de cet utilisateur.

Si certains événements sont corrélés (SensorType = C ou W), vous pouvez cliquer avec le bouton droit de la souris sur > Afficher les événements déclencheurs pour savoir quels

événements les ont déclenchés.

D'autres événements pouvant présenter un intérêt sont les événements FTP en surnombre.

Il peut également s'agir d'une connexion distante, qui permet le transfert, la copie et la suppression de fichiers.

Voici une liste brève d'attaques présentant un intérêt. Les types d'attaques sont répertoriés dans une liste complète. Pour plus d'informations sur les attaques de réseau/d'hôte, de nombreuses ressources (manuels et Internet) sont disponibles. Elles décrivent en détail les différents types d'attaques.

Inondation SYN

Inondation ICMP et UDP

Reniflage de paquets

Refus de service

Attaque de type Smurf et Fraggle

Attaque de dictionnaire

12-4

Guide de L'Utilisateur de Sentinel

Report Analysts

REMARQUE : il est supposé que votre administrateur Security a configuré votre serveur Web Crystal Enterprise et publié une liste de rapports disponibles.

Onglet Analyse

L'onglet Analyse permet de générer des rapports d'historique. Les rapports d'historique et ceux relatifs aux vulnérabilités sont publiés sur un serveur Web Crystal et sont générés directement à partir de la base de données Sentinel. Ces rapports peuvent s'avérer utiles pour effectuer le suivi des activités sur une longue période (par exemple, une semaine ou un mois) et examiner ces activités. Ces rapports constituent également une base pour générer des rapports consolidés destinés à vos superviseurs. Si votre serveur Web de rapports est installé, consultez la barre de votre navigateur pour savoir quels rapports sont disponibles.

REMARQUE : le rapport suivant est un exemple de rapport Crystal 9. Les procédures sont les mêmes pour Crystal 11, quel que soit le nom des rapports.

Par exemple, vous êtes chargé de générer des rapports pour votre direction. Il est probable que vous exécutiez le rapport SourceDestinationReports. Ces rapports sont les 10 premières paires IP source - IP cible sur les noms d'hôte, les ports, les adresses IP et les utilisateurs.

Pour exécuter ce rapport, procédez comme suit :

Exécution d'un rapport Crystal

1. Développez les dix premiers rapports et mettez en surbrillance les 10 premières paires IP source - IP cible, puis cliquez sur le bouton Créer un rapport (loupe).

2. Entrez esecrpt (pour l'authentification SQL et Oracle) comme nom d'utilisateur ou votre nom d'utilisateur d'authentification Windows, puis votre mot de passe.

3. Dans la zone Report Type (Type de rapport), sélectionnez Weekly Report (Rapport hebdomadaire). Sélectionnez Specific Date Range (Période spécifique) si vous souhaitez une plage de dates spécifique.

REMARQUE : d'autres rapports peuvent comporter des paramètres supplémentaires

(par exemple, le nom de la ressource et la plage de gravité).

4. Cliquez sur Afficher le rapport.

Démarrage rapide

12-5

5. Vous pouvez exporter ce fichier en tant que fichier Word, PDF, rtf ou Excel ou en tant que rapport Crystal Report en cliquant sur Exporter (enveloppe).

Requête d'événement

De même qu'avec Security Analysts, si vos rapports comportent un ou plusieurs événements qui vous intéressent, vous pouvez exécuter une requête d'événement dans l'onglet Analyse.

Pour exécuter une requête, sélectionnez Historical Events (Événements historiques) >

Requêtes d'événements historiques, puis cliquez sur Créer un rapport (loupe). Pour plus

d'informations, reportez-vous à Requête d'événement .

Administrateurs

Corrélation de base

La corrélation est un processus consistant à analyser les événements de sécurité pour identifier les relations potentielles existant entre deux événements ou plus. La corrélation permet une association rapide des attaques prioritaires en fonction d'éléments communs des données d'événement.

Par rapport au scénario Telnet de la section Requête d'événement , une règle de corrélation

de base peut être créée qui déclenchera un événement corrélé lorsque 4 tentatives Telnet sont effectuées dans un laps de temps de 10 secondes.

Pour créer une règle de corrélation

1. Ouvrez l'onglet Admin et sélectionnez Règles de corrélation dans la barre de navigation.

2. Créez un nouveau dossier et placez-y votre règle. Pour ce faire, utilisez une option du menu du bouton droit de la souris.

3. Sélectionnez Basic Correlation (Corrélation de base), entrez un nom, puis cliquez sur

Suivant. Dans le panneau suivant, cliquez sur la flèche vers le bas, puis sélectionnez

Gestionnaire de filtres. Cliquez sur la flèche vers le bas Filtre sélectionné, puis, dans le panneau Sélection de filtre, cliquez sur Ajouter.

4. Entrez les informations suivantes :

ƒ Nom : telnet_attempt_189_168_10_22

ƒ Nom du filtre : telnet_attempt_189_168_10_22

ƒ SourceIP = 189.168.10.22

ƒ Nom de l'événement = $Attempted_telnet

ƒ Sélectionnez Et

ƒ Severity = 5

ƒ SensorType = H

ƒ DestinationIP = 189.168.10.23

12-6

Guide de L'Utilisateur de Sentinel

5. Cliquez sur Enregistrer. Mettez votre filtre en surbrillance, puis cliquez sur Sélectionner.

6. Cliquez sur Suivant, entrez la valeur 4 pour les cas où la condition est remplie et

10 secondes dans le panneau Threshold Grouping Criteria (Critères de regroupement et de seuil). Cliquez sur Suivant.

7. Dans le panneau Événements et opérations corrélés, redéfinissez le niveau de gravité sur 2 (cliquez sur la flèche vers le bas). Cliquez sur Terminer.

8. Pour déployer cette règle, sélectionnez Gestionnaire de moteurs de corrélation dans le panneau de navigation, sélectionnez un moteur de corrélation, puis cliquez avec le bouton droit de la souris sur > Déployer les règles. Dans le panneau Déployer les règles, recherchez votre règle et cochez-la. Cliquez sur OK. Vérifiez que votre moteur de corrélation et votre règle de corrélation comportent une coche verte indiquant qu'ils sont activés. Pour ce faire, cliquez avec le bouton droit de la souris.

9. Diverses méthodes vous permettent de vérifier la présence d'événements corrélés.

En voici quelques-unes :

ƒ Création d'une fenêtre Active View Events (Événements de la vue active) à l'aide du filtre de corrélation que vous avez créé

ƒ Création d'une fenêtre Active View Events (Événements de la vue active) à l'aide du filtre de corrélation fourni.

ƒ Création d'une fenêtre Active View Events (Événements de la vue active) à l'aide du filtre Tout fourni, prise d'un instantané, tri de la liste par SensorType et affichage de tous les événements dont le champ SensorType a la valeur C.

ƒ Réalisation d'une requête rapide à l'aide du filtre que vous avez créé ou du filtre de corrélation.

Cliquez avec le bouton droit de la souris sur l'événement corrélé et sélectionnez Afficher

les événements déclencheurs pour savoir combien de tentatives Telnet (peut-être plus de 4) ont déclenché cette règle de corrélation.

Démarrage rapide

12-7

12-8

Guide de L'Utilisateur de Sentinel

A

Événements système de Sentinel 5

REMARQUE : les termes Agent et Collecteur sont interchangeables. Le terme

Collecteur sera utilisé dans la suite de cette documentation.

Dans les tableaux de description ci-dessous, les mots en italique entourés de <…> sont remplacés par les valeurs appropriées dans les messages réels.

Événements d'authentification

Échec d'authentification

Lorsqu'une authentification d'utilisateur échoue, l'événement suivant est généré.

Balise Valeur

Gravité

Nom de l'événement

4

AuthenticationFailed (EchecAuthentification)

Ressource

Sous-ressource

Message

UserAuthentication (AuthentificationUtilisateur)

Authenticate (Authentifier)

Authentication of user <name> with

OS name <domUser> from <IP> failed (Échec de l'authentification de l'utilisateur <nom> doté du nom OS <UtilisateurDomaine> de <IP>)

Aucun événement utilisateur de ce type

Lorsqu'un utilisateur tente d'ouvrir une session sur l'application et que l'authentification a réussi, alors que l'utilisateur n'est pas un utilisateur de Sentinel, l'événement suivant est généré.

Balise Valeur

Gravité

Nom de l'événement

4

NoSuchUser (AucunUtilisateurDeCeType)

Ressource

Sous-ressource

Message

UserAuthentication (AuthentificationUtilisateur)

Authenticate (Authentifier)

No existing user with name <name> found

(Aucun utilisateur existant doté du nom <nom> n'a été trouvé)

Événements système de Sentinel 5

A-1

Objets utilisateur en double

En présence d'un second objet utilisateur actif inattendu, l'événement suivant est généré.

Il s'agit d'une erreur interne.

Balise Valeur

Gravité

Nom de l'événement

4

TooManyActiveUsers (TropUtilisateursActifs)

Ressource

Sous-ressource

Message

UserAuthentication (AuthentificationUtilisateur)

Authenticate (Authentifier)

Error in user table : Multiple users with the name

<name> found (Erreur dans la table des utilisateurs : plusieurs utilisateurs dotés du nom

<nom> ont été trouvés)

Compte verrouillé

Lorsqu'un compte utilisateur verrouillé tente d'ouvrir une session, l'événement suivant est généré.

Balise Valeur

Gravité

Nom de l'événement

4

LockedUser (UtilisateurVerrouillé)

Ressource

Sous-ressource

Message

UserAuthentication (AuthentificationUtilisateur)

Authentication (Authentification)

Attempt to login using locked account <acct>

(Tentative de connexion à l'aide du compte verrouillé <compte>)

Sessions utilisateur

Session utilisateur fermée

Lorsqu'un utilisateur ferme une session, l'événement interne suivant est généré.

Balise Valeur

Gravité

Nom de l'événement

1

UserLoggedOut (Utililateurdéconnecté)

Ressource

Sous-ressource

Message

UserSessionManager

(GestionnaireSessionUtilisateur)

User (Utilisateur)

Closing session for

<user>

OS name

<osName>

from

<IP>

was on since

<date>

; currently

<num>

active users (Fermeture de la session pour <utilisateur> doté du nom

OS <NomOS> de <IP> active depuis <date> ; actuellement, <nombre> utilisateurs actifs)

A-2

Guide de L'Utilisateur de Sentinel

Session utilisateur ouverte

Lorsqu'un utilisateur ouvre une session, l'événement interne suivant est généré.

Balise Valeur

Gravité

Nom de l'événement

1

UserLoggedIn (UtilisateurConnecté)

Ressource

Sous-ressource

Message

UserSessionManager

(GestionnaireSessionUtilisateur)

User (Utilisateur)

User

<user>

with OS name

<osName>

at

<IP>

logged in; currently

<num>

active users

( Utilisateur <utilisateur> doté du nom OS

<NomOS> à <IP> connecté ; actuellement

<nombre> utilisateurs actifs)

Utilisateur détecté

Lorsque le serveur redémarre, il perd les informations de session. Il reconstruit la session au moment où il reçoit des messages provenant des utilisateurs actifs. Lorsqu'il détecte un utilisateur connecté, l'événement interne suivant est généré.

Balise Valeur

Gravité

Nom de l'événement

1

UserLoggedIn (UtilisateurConnecté)

Ressource

Sous-ressource

Message

UserSessionManager

(GestionnaireSessionUtilisateur)

User (Utilisateur)

Discovered active user

<user>

with OS name

<osName>

at

<IP>

logged in; currently

<num>

active users (Découverte de l'utilisateur actif <utilisateur> doté du nom OS <NomOS>

à <IP> connecté ; actuellement, <nombre> utilisateurs actifs)

Événement

Erreur lors du déplacement d'un fichier terminé

Lorsqu'un fichier d'événement est terminé, il est placé dans le répertoire de sortie.

Si cette opération échoue, l'événement interne suivant est généré.

Balise Valeur

Gravité

Nom de l'événement

3

MoveArchiveFileFailed

(ÉchecDéplacementFichierArchive)

Ressource

<DAS name> (<Nom DAS>)

Événements système de Sentinel 5

A-3

Sous-ressource

Message

ArchiveFile (FichierArchive)

Error moving completed archive file

<fname>

to

<dir>

(

Erreur lors du déplacement du fichier archive terminé <nom_fichier> vers <rép>

)

Erreur lors de l'insertion d'événements

Lorsque l'insertion d'événements dans la base de données échoue, l'événement interne suivant est généré.

Balise Valeur

Gravité

Nom de l'événement

5

InsertEventsFailed (ÉchecInsertionÉvénements)

Ressource

Sous-ressource

Message

EventSubsystem (Sous-systèmeÉvénement)

Events (Événements)

Error inserting events into the Database—the events may be permanently lost. (Erreur lors de l'insertion d'événements dans la base de données : les événements peuvent être définitivement perdus.) Please check the Database and backend server logs

<Exception>

(

Veuillez vérifier la base de données et le paramètre

<Exception>

des journaux du serveur principal

)

Échec de l'ouverture d'un fichier d'archive

Lorsque l'ouverture d'un fichier d'archive dans lequel sont stockés les événements à regrouper

échoue, l'événement interne suivant est généré.

Balise Valeur

Gravité

Nom de l'événement

3

OpenArchiveFileFailed

(ÉchecOuvertureFichierArchive)

Ressource

<Das name>

(

<Nom DAS>

)

Sous-ressource

Message

ArchiveFile (FichierArchive)

Error opening archive file

<name>

in

<dir>

(

Erreur lors de l'ouverture du fichier archive

<nom> du répertoire <rép>

)

Échec de l'écriture d'un fichier d'archive

Lorsque l'écriture d'un fichier d'archive dans lequel sont stockés les événements à regrouper

échoue, l'événement interne suivant est généré.

Balise Valeur

Gravité

Nom de l'événement

3

WriteArchiveFileFailed

(ÉchecÉcritureFichierArchive)

Ressource

<Das name>

(

<Nom DAS>

)

A-4

Guide de L'Utilisateur de Sentinel

Sous-ressource

Message

Balise Valeur

ArchiveFile (FichierArchive)

Error writing newly received events to aggregation archive file

<fname>

(

Erreur lors de l'écriture d'événements récemment reçus vers le fichier d'archive de regroupement

<nom_fichier>

)

Écriture sur la partition de dépassement (P_MAX)

Un événement notifiant l'utilisateur que des événements sont en cours d'écriture sur la partition de dépassement (P_MAX) est envoyé environ toutes les 5 minutes. Lorsque cela se produit, l'administrateur doit ajouter des partitions supplémentaires à l'aide du Gestionnaire de données Sentinel sans quoi les performances commenceront à se dégrader.

Balise Valeur

Gravité

Nom de l'événement

5

Ressource

InsertIntoOverflowPartition

(InsertionDansPartitionDépassement)

EventSubSystem (Sous-systèmeÉvénement)

Sous-ressource

Message

Events (Événements)

Error: (Erreur :) currently inserting into the overflow partitions (P_MAX), add more partitions (actuellement en cours d'insertion dans les partitions de dépassement (P_MAX), ajouter des partitions supplémentaires)

Insertion d'événements bloquée

Si DAS écrit des données dans la partition de dépassement et si l'utilisateur tente d'ajouter des partitions, le Gestionnaire de données Sentinel envoie une requête à DAS pour qu'il suspende temporairement l'insertion d'événements dans la base de données. Lorsque cela se produit,

DAS envoie des événements internes chaque fois qu'il tente d'insérer des événements dans la base de données.

Balise Valeur

Gravité

Nom de l'événement

4

EventInsertionIsBlocked

Ressource

Sous-ressource

Message

(InsertionÉvénementBloquée)

EventSubSystem (Sous-systèmeÉvénement)

Événements

Event insertion is blocked, waiting

<num>

sec (

Insertion événement bloquée, attente de <nombre> secondes)

Reprise de l'insertion d'événements

Lorsque l'insertion d'événements reprend après avoir été bloquée, l'événement suivant est transmis.

Événements système de Sentinel 5

A-5

Balise Valeur

Gravité

Nom de l'événement

2

EventInsertionResumed

(RepriseInsertionÉvénement)

Resource

SubResource

Message

EventSubSystem (Sous-systèmeÉvénement)

Events (Événements)

Event insertion has resumed after being blocked

(Insertion d'événement reprise après avoir

été bloquée)

Seuil de temps spécifié atteint par l'espace de base de données

Lorsque l'insertion d'événements reprend après avoir été bloquée, l'événement suivant est transmis.

Balise Valeur

Gravité

Nom de l'événement

0

DbSpaceReachedTimeThrshld

Ressource

Sous-ressource

Message

(EspaceBddAtteintSeuilTemps)

Database (BaseDeDonnées)

Database (BaseDeDonnées)

Tablespace

<string>

has

<num>

MB left and growing

<num>

bytes per second and will run out space within the time threshold specified

<num>

seconds (L'espace des tables

<chaîne> a <nombre> Mo restants et augmente de <nombre> octets par seconde et manquera d'espace avant le seuil de temps spécifié

<nombre> secondes)

Seuil de pourcentage spécifié atteint par l'espace de base de données

Lorsque l'insertion d'événements reprend après avoir été bloquée, l'événement suivant est transmis.

Balise Valeur

Gravité

Nom de l'événement

0

DbSpaceReachedPercentThrshld

Ressource

Sous-ressource

Message

(EspaceBddAtteintPourcentSeuil)

Database (BaseDeDonnées)

Database (BaseDeDonnées)

Tablespace

<string>

has current size of

<num>

MB with a max size of

<num>

MB and has reached the percentage threshold of

<num>

%

(L'espace des tables

<chaîne> a une taille actuelle de <nombre> Mo avec une taille max de <nombre> Mo et a atteint le seuil de pourcentage de <nombre> %

)

A-6

Guide de L'Utilisateur de Sentinel

Espace de base de données très faible

Lorsque l'insertion d'événements reprend après avoir été bloquée, l'événement suivant est transmis.

Balise Valeur

Gravité

Nom de l'événement

5

EspaceBddTrèsFaible

Ressource

Sous-ressource

Message

Database (BaseDeDonnées)

Database (BaseDeDonnées)

Tablespace

<string>

has current size of

<num>

MB and has reached the physical threshold of

<num>

MB (L'e space des tables <chaîne> a une taille actuelle de <nombre> Mo et a atteint le seuil physique de <nombre> Mo)

Regroupement

Erreur lors de l'insertion de données récapitulatives dans la base de données

Si une erreur se produit lors du regroupement de données dans la base de données, l'événement interne suivant est généré.

Balise Valeur

Gravité

Nom de l'événement

4

SummaryUpdateFailure

(ÉchecMiseÀJourRécapitulatif)

Ressource

Sous-ressource

Message

Aggregation (Regroupement)

Summary (Récapitulatif)

Error saving summary batch to the database for summary

<summaryName> (

Erreur lors de l'enregistrement vers la base de données du récapitulatif

<NomRécapitulatif>)

Service d'assignation

Erreur lors de l'initialisation de l'assignation portant l'ID

L'événement interne ErrorNoSuchMap est généré par le côté client du service d'assignation

(celui qui fait partie du Gestionnaire des collecteurs). Cette erreur est générée lorsque le

Gestionnaire des collecteurs tente de récupérer une assignation qui n'existe pas. Bien que cet

événement ne devrait pas se produire, il peut être déclenché si des assignations sont créées, puis supprimées.

Balise Valeur

Gravité

Nom de l'événement

4

ErrorNoSuchMap

(ErreurAucuneAssignationDeCeType)

Ressource MappingService (ServiceAssignation)

Événements système de Sentinel 5

A-7

Sous-ressource

Message

Balise Valeur

ReferentialDataObjectMap

(AssignationObjetDonnéesRéférence)

Error initializing map with id <ID>: no such map

(Erreur lors de l'initialisation de l'assignation avec l'ID <ID> : aucune assignation de ce type)

Actualisation de l'assignation à partir du cache

L'événement interne LoadingMapFromCache est généré par le côté client du service d'assignation (celui qui fait partie du Gestionnaire des collecteurs). Lorsque le Gestionnaire des collecteurs reçoit une demande d'actualisation de l'assignation pour prendre en compte les modifications dont elle ou sa définition a fait l'objet, il envoie un événement interne. Cela signifie que le cache est à jour et qu'il rafraîchit l'assignation à partir du cache.

Balise Valeur

Gravité

Nom de l'événement

1

LoadingMapFromCache

(ChargementAssignationDuCache)

Ressource

Sous-ressource

MappingService (ServiceAssignation)

ReferentialDataObjectMap

(AssignationObjetDonnéesRéférence)

Message

Loading from cache v<

version>

of map

<

mapName>

(ID <

id>

) (Chargement à partir du cache de la version

<version> de l'assignation

<nomAssignation> (ID <id>)

Actualisation de l'assignation à partir du serveur

L'événement interne RefreshingMapFromServer est généré par le côté client du service d'assignation (celui qui fait partie du Gestionnaire des collecteurs). Lorsque le Gestionnaire des collecteurs reçoit une demande d'actualisation de l'assignation pour prendre en compte les modifications dont elle ou sa définition a fait l'objet, il envoie un événement interne.

Cela signifie que l'assignation ne se trouvait pas dans le cache ou la version en cache n'était pas à jour et que le Gestionnaire des collecteurs extrait l'assignation du serveur.

Balise Valeur

Gravité

Nom de l'événement

1

RefreshingMapFromServer

(ActualisationAssignationDuServeur)

Ressource

Sous-ressource

MappingService (ServiceAssignation)

ReferentialDataObjectMap

(AssignationObjetDonnéesRéférence)

Message Refreshing from server map <name> with id

<ID> (Actualisation à partir de l'assignation du serveur <nom> avec l'ID <ID>)

Timeout lors de l'actualisation de l'assignation

L'événement interne TimeoutRefreshingMap est généré par le côté client du service d'assignation (celui qui fait partie du Gestionnaire des collecteurs). Lorsque le Gestionnaire des collecteurs reçoit une demande d'actualisation de l'assignation pour prendre en compte les

A-8

Guide de L'Utilisateur de Sentinel

modifications dont elle ou sa définition a fait l'objet, il envoie un événement interne. Cela signifie que le Gestionnaire des collecteurs a tenté d'extraire une assignation du serveur. Celui-ci n'ayant jamais accusé réception de la requête, la requête a expiré. Cette erreur est considérée comme transitoire et le Gestionnaire des collecteurs effectuera une nouvelle tentative.

Balise Valeur

Gravité

Nom de l'événement

4

TimeoutRefreshingMap

(TimeoutActualisationAssignation)

Ressource

Sous-ressource

MappingService (ServiceAssignation)

ReferentialDataObjectMap

(AssignationObjetDonnéesRéférence)

Message Request timed out while refreshing map <name>:

(Expiration du délai de la requête lors de l'actualisation de l'assignation <nom> :

<exception>)

Erreur lors de l'actualisation de l'assignation

Cet événement interne est généré par le côté client du service d'assignation (celui qui fait partie du Gestionnaire de collecteurs). Lorsque le Gestionnaire des collecteurs reçoit une demande d'actualisation de l'assignation pour prendre en compte les modifications dont elle ou sa définition a fait l'objet, il envoie un événement interne. Cela signifie qu'une erreur non transitoire s'est produite lors de la tentative d'actualisation de l'assignation. Le Gestionnaire des collecteurs attendra 15 minutes avant d'effectuer une nouvelle tentative. Si cet

événement se produit au cours de l'initialisation, l'initialisation se poursuit et cette assignation est ignorée jusqu'à ce qu'elle soit correctement chargée.

Balise Valeur

Gravité

Nom de l'événement

4

ErrorRefreshingMapData

(ErreurActualisationDonnéesAssignation)

Ressource

Sous-ressource

ServiceAssignation

ReferentialDataObjectMap

(AssignationObjetDonnéesRéférence)

Message

Error refreshimg map <

mapName>

:

(

Erreur lors de l'actualisation de l'assignation

<nomAssignation> : <exc>

)

Assignation volumineuse chargée

L'événement interne LoadedLargeMap est un événement d'information envoyé par le service d'assignation qui indique qu'une assignation volumineuse a été chargée vers le Gestionnaire des collecteurs. Une assignation est considérée comme volumineuse lorsqu'elle contient plus de 100 000 lignes.

Balise Valeur

Gravité

Nom de l'événement

0

LoadedLargeMap

(AssignationVolumineuseChargée)

Ressource MappingService (ServiceAssignation)

Événements système de Sentinel 5

A-9

Sous-ressource

Message

ReferentialDataObjectMap

Finished loading map <name> with id <ID> and

<num> entries and total size <#>Kb in <##>sec

(Chargement terminé de l'assignation <nom> avec l'ID <ID> et <nombre> entrées dont la taille totale est <#>Ko en <##> secondes)

Durée de chargement d'assignation longue

L'événement interne LongTimeToLoadMap est un événement d'information envoyé par le service d'assignation qui indique que le chargement d'une assignation a pris un temps anormalement long (durée supérieure à une minute).

Balise Valeur

Gravité

Nom de l'événement

0

LongTimeToLoadMap

(TempsChargementAssignationLong)

Ressource

Sous-ressource

Message

MappingService (ServiceAssignation)

ReferentialDataObjectMap

It took <##>sec to load map <name> with id

<ID> and <num> entries and total size <##>Kb

(<##> secondes ont été nécessaires pour charger l'assignation <nom> avec l'ID <ID> et <nombre> entrées et dont la taille totale est <##> Ko)

Timeout dépassé lors de l'attente du rappel

Lorsque le Gestionnaire des collecteurs doit rafraîchir une assignation, il envoie une requête au système principal. La requête comporte un rappel. Le système principal génère l'assignation et lorsque celle-ci est prête, il l'envoie au Gestionnaire des collecteurs à l'aide du rappel.

Si la réponse prend trop longtemps à arriver (plus de dix minutes), le Gestionnaire des collecteurs envoie une seconde demande car il suppose que la première a été perdue. Si tel est le cas, l'événement interne suivant est généré.

Balise Valeur

Gravité

Nom de l'événement

2

TimedoutWaitingForCallback

(TimeoutDépasséAttenteRappel)

Ressource

Sous-ressource

MappingService (ServiceAssignation)

ReferentialDataObjectMap

(AssignationObjetDonnéesRéférence)

Message Map <name> timed out waiting for callback with new map data-retrying (Timeout dépassé pour l'assignation <nom> en attente du rappel avec nouvelles données d'assignation : nouvelle tentative)

A-10

Guide de L'Utilisateur de Sentinel

Erreur lors de l'application d'une mise à jour par incrément

L'événement ErrorApplyingIncrementalUpdate est envoyé lorsque le service d'assignation ne parvient pas appliquer une mise à jour à une assignation client existante.

Balise Valeur

Gravité

Nom de l'événement

4

ErrorApplyingIncrementalUpdate

(ErreurApplicationMiseÀJourParIncrément)

Ressource

Sous-ressource

MappingService (ServiceAssignation)

ReferentialDataObjectMap

(AssignationObjetDonnéesRéférence)

Message The error <error> occurred while applying updates to map <

mapName

> (ID <

mapId

>) v.<

version

>.

Rescheduling a refresh to complete map update. (L' erreur <erreur> s'est produite lors de l'application de mises à jour de l'assignation <nomAssignation> (ID

<IDAssignation>) version <version>.

Planification d'une nouvelle actualisation pour terminer la mise à jour de l'assignation.)

Erreur de synchronisation détectée

L'événement OutOfsyncDetected est envoyé lorsque le service d'assignation détecte qu'une assignation est périmée. Le service d'assignation planifie automatiquement une actualisation.

Balise Valeur

Gravité

Nom de l'événement

2

OutOfsyncDetected

(ErreurSynchronisationDétectée)

Ressource

Sous-ressource

MappingService (ServiceAssignation)

ReferentialDataObjectMap

(AssignationObjetDonnéesRéférence)

Message Map <

mapName>

detected the map data is outof-sync, probably due to a missed update notification--scheduling a refresh (L'assignation

<nomAssignation> a détecté que les données d'assignation ne sont plus à jour, probablement

à cause d'une notification de mise à jour manquée – planification d'actualisation en cours)

Routeur d'événements

Routeur d'événements en cours d'exécution

Le routeur d'événements est le composant principal du Gestionnaire des collecteurs

(il est celui qui réalise les assignations, qui applique les filtres globaux et qui publie les

événements). L'événement interne EventRouterIsRunning est envoyé au routeur lors de l'initialisation lorsque celui-ci est prêt. Au redémarrage du Gestionnaire des collecteurs, un autre événement est envoyé lorsqu'il est prêt.

Événements système de Sentinel 5

A-11

L'événement n'est envoyé que lorsque le routeur d'événements a correctement chargé tous les filtres globaux et l'intégralité des informations d'assignation.

Balise Valeur

Gravité

Nom de l'événement

1

EventRouterIsRunning

(RouteurÉvénementsEnCoursExécution)

Ressource

Sous-ressource

Message

AgentManager (GestionnaireAgents)

EventRouter (RouteurÉvénements)

Event router completed its initialization in <mode> mode (Le routeur d'événements

à terminé son initialisation en mode <mode>)

Routeur d'événements en cours d'initialisation

L'événement interne EventRouterInitializing est envoyé lorsqu'un routeur d'événements commence son initialisation, c'est-à-dire lorsqu'il a établi une connexion avec le système principal (DAS Query).

Balise Valeur

Gravité

Nom de l'événement

1

EventRouterInitializing

(InitialisationRouteurÉvénements)

Ressource

Sous-ressource

Message

AgentManager (GestionnaireAgents)

EventRouter (RouteurÉvénements)

Le routeur d'événements lance l'initialisation en mode <mode>

Routeur d'événements en cours d'arrêt

L'événement EventRouterStopping est envoyé lorsque le routeur d'événements reçoit une requête lui indiquant de s'arrêter au cours du processus d'arrêt.

Balise Valeur

Gravité

Nom de l'événement

2

EventRouterStopping (RouteurÉvénementsArrêt)

Ressource

Sous-ressource

Message

AgentManager (GestionnaireAgents)

EventRouter (RouteurÉvénements)

Routeur d'événements en cours d'arrêt

Routeur d'événements en cours d'achèvement

L'événement EventRouterTerminating est envoyé lorsque le routeur d'événements reçoit une requête lui indiquant de s'arrêter au cours du processus d'arrêt.

Balise Valeur

Gravité

Nom de l'événement

2

RouteurÉvénementsAchèvement

Ressource

Sous-ressource

Message

AgentManager (GestionnaireAgents)

EventRouter (RouteurÉvénements)

Event router is terminating (Routeur d'événements en cours d'achèvement)

A-12

Guide de L'Utilisateur de Sentinel

Moteur de corrélation

Moteur de corrélation en cours d'exécution

Le processus du moteur de corrélation peut être rendu inactif par l'utilisateur. Son état d'exécution détermine si le processus actif est en train de traiter ou non des événements.

Le processus démarre avec l'état inactif (arrêté) et attend de récupérer la configuration depuis la base de données. L'événement EngineRunning est envoyé lorsque le moteur change d'état

(arrêt à en cours d'exécution).

Balise Valeur

Gravité

Nom de l'événement

1

EngineRunning (MoteurEnCoursExécution)

Ressource

Sous-ressource

Message

CorrelationEngine (MoteurCorrélation)

CorrelationEngine (MoteurCorrélation)

Correlation Engine is processing events.

(Le moteur de corrélation est en train de traiter les événements.)

Moteur de corrélation arrêté

L'événement EngineStopped est envoyé lorsque le moteur change d'état (en cours d'exécution

à arrêt).

Balise Valeur

Gravité

Nom de l'événement

Ressource

1

EngineStopped (MoteurArrêté)

CorrelationEngine (MoteurCorrélation)

Sous-ressource

Message

CorrelationEngine (MoteurCorrélation)

Correlation Engine has stopped processing events. (Le moteur de corrélation a arrêté de traiter les événements.)

Déploiement de règles démarré

L'événement DeploymentStarted est envoyé lorsque le moteur a correctement chargé un déploiement de règles, et ce quel que soit l'état d'exécution du moteur.

Balise Valeur

Gravité

Nom de l'événement

1

DeploymentStarted (DéploiementDémarré)

Ressource

Sous-ressource

Message

CorrelationEngine (MoteurCorrélation)

Deployment (Déploiement) deployment <name> started (déploiement

<nom> démarré)

Événements système de Sentinel 5

A-13

Déploiement de règles arrêté

L'événement DeploymentStopped est envoyé lorsque le moteur a correctement déchargé un déploiement de règles, et ce quel que soit l'état d'exécution du moteur.

Balise Valeur

Gravité

Nom de l'événement

1

DeploymentStopped (DéploiementArrêté)

Ressource

Sous-ressource

Message

CorrelationEngine (MoteurCorrélation)

Deployment (Déploiement) deployment <name> stopped

(déploiement <nom> arrêté)

Déploiement de règles modifié

L'événement DeploymentModified est envoyé lorsque le moteur a correctement rechargé un déploiement de règles, et ce quel que soit l'état d'exécution du moteur.

Balise Valeur

Gravité

Nom de l'événement

1

DeploymentModified (DéploiementModifié)

Ressource

Sous-ressource

Message

CorrelationEngine (MoteurCorrélation)

Déploiement

Deployment <name> modified (Déploiement

<nom> modifié)

Watchdog

Processus contrôlé démarré

Watchdog est exécuté en tant que service. Sa principale fonction est de maintenir les processus Sentinel en cours d'exécution. Si un processus s'arrête, Watchdog le redémarre automatiquement. L'événement ProcessStart est envoyé lorsqu'un processus est redémarré.

Balise Valeur

Gravité

Nom de l'événement

1

ProcessStart (ProcessusDémarré)

Ressource

Sous-ressource

Message

Watchdog

Process (Processus)

Process <ProgramName> spawned (<pid>)

(Processus <NomProgramme> régénéré (<pid>))

Processus contrôlé arrêté

L'événement ProcessStop est envoyé lorsqu'un processus est arrêté. La gravité est définie sur

5 si le processus a été configuré pour se régénérer de façon dynamique (par exemple lorsque son arrêt n'était pas prévu). La gravité est définie sur 1 si le processus a été configuré pour ne s'exécuter qu'une seule fois.

Balise Valeur

Gravité

Nom de l'événement

1/5

ProcessStop (ProcessusArrêté)

A-14

Guide de L'Utilisateur de Sentinel

Ressource

Sous-ressource

Message

Watchdog

Process (Processus)

Process <ProgramName> exited with code

<exit_code> (Processus <NomProgramme> quitté avec le code <code_fermeture>)

Processus Watchdog démarré

Lorsque le processus Watchdog démarre, l'événement interne suivant est généré.

Balise Valeur

Gravité

Nom de l'événement

1

ProcessStart (ProcessusDémarré)

Ressource

Sous-ressource

Message

Watchdog

Watchdog

Service WatchDog en cours de démarrage

Processus Watchdog arrêté

Lorsque le processus Watchdog est arrêté, l'événement interne suivant est généré.

Balise Valeur

Gravité

Nom de l'événement

5

ProcessStop (ProcessusArrêté)

Ressource

Sous-ressource

Message

Watchdog

Watchdog

WatchDog Service Ended (Service WatchDog terminé)

Moteur/Gestionnaire des collecteurs

Port démarré

Le Gestionnaire des collecteurs envoie l'événement PortStart lorsqu'un port est démarré.

Balise Valeur

Gravité

Nom de l'événement

1

PortStart (PortDémarré)

Ressource

Sous-ressource

Message

AgentManager (GestionnaireAgents)

AgentManager (GestionnaireAgents)

Processing started for port_<port id> (Traitement démarré pour le port_<ID port>)

Port arrêté

Le Gestionnaire des collecteurs envoie l'événement PortStop lorsqu'un port est arrêté.

Gravité

Nom de l'événement

Ressource

Balise Valeur

1

PortStop (PortArrêté)

AgentManager (GestionnaireAgents)

Événements système de Sentinel 5

A-15

Sous-ressource

Message

AgentManager (GestionnaireAgents)

Processing stopped for port_<port id>

(Traitement arrêté pour le port_<ID port>)

Processus persistant interrompu

Le Moteur du collecteur envoie l'événement PersistentProcessDied lorsque le connecteur de processus persistant détecte que son processus contrôlé a été interrompu.

Balise Valeur

Gravité

Nom de l'événement

5

PersistentProcessDied

Ressource

Sous-ressource

Message

(ProcessusPersistantInterrompu)

AgentManager (GestionnaireAgents)

AgentManager (GestionnaireAgents)

Persistent Process on port <port id> has died.

(Processus persistant sur le port <ID port> a été interrompu.)

Processus persistant redémarré

Le Moteur du collecteur envoie l'événement PersistentProcessRestarted lorsque le connecteur de processus persistant est en mesure de redémarrer le processus contrôlé interrompu.

Balise Valeur

Gravité

Nom de l'événement

1

PersistentProcessRestarted

(ProcessusPersistantRedémarré)

Ressource

Sous-ressource

Message

AgentManager (GestionnaireAgents)

AgentManager (GestionnaireAgents)

Persistent Process on port <ID port> has restarted.

(Processus persistant sur le port <ID port> a redémarré.)

Service d'événements

Dépendance cyclique

Le Service d'événements envoie l'événement CyclicalDependency lorsqu'il détecte un cycle dans la définition d'événement (dans les dépendances entre balises émanant d'assignations référentielles). Vérifiez la configuration d'événements dans le Gestionnaire de données

Sentinel et résolvez la dépendance.

Balise Valeur

Gravité

Nom de l'événement

5

CyclicalDependency (DépendanceCyclique)

Ressource EventService (ServiceÉvénements)

A-16

Guide de L'Utilisateur de Sentinel

Sous-ressource

Message

ObjectAttrInfos (InfosAttrObjet)

Cyclical dependency detected in event transformations. Check event configuration.

(Dépendance Cyclique détectée dans les transformations d'événements. Vérifiez la configuration des événements.)

Vues actives

Vue active créée

DAS_Binary envoie l'événement RtChartCreated lorsqu'une vue active est créée.

Gravité

Nom de l'événement

Ressource

Balise Valeur

1

RtChartCreated (GraphiqueTRCréé)

RealTimeSummaryService

(ServiceRécapitulatifTempsRéel)

Sous-ressource

Message

ChartManager (GestionnaireGraphiques)

Creating new Active View with filter <filter> and attribute <attribute> for users with security filter

<security filter>. Currently <n> Active View(s)

Collecting. (Création d'une nouvelle vue active avec le filtre <filtre> et l'attribut <attribut> pour les utilisateurs doté du filtre de sécurité <filtre de sécurité>. Actuellement, <n> vue(s) active(s) recueille(nt) des données.)

Vue active atteinte

DAS_Binary envoie l'événement RtChartJoiningExistingData lorsqu'un utilisateur se connecte à une vue active existante.

Balise Valeur

Gravité

Nom de l'événement

1

RtChartJoiningExistingData

Ressource

Sous-ressource

Message

(GraphiqueTRAtteintDonnéesExistantes)

RealTimeSummaryService

(ServiceRécapitulatifTempsRéel)

ChartManager (GestionnaireGraphiques)

Joining existing Active View with filter <filter> and attribute <attribute> for users with security filter <security filter>. Currently <n> Active

View(s) Collecting. (Ajout de vue active existante doté du filtre <filtre> et de l'attribut

<attribut> pour les utilisateurs se servant du filtre de sécurité <filtre de sécurité>. Actuellement,

<n> vue(s) active(s) recueille(nt) des données.)

Événements système de Sentinel 5

A-17

Vue active inactive supprimée

DAS_Binary envoie l'événement RtChartInactiveAndRemoved lorsqu'une vue active non permanente est supprimée en raison de son inactivité.

Balise Valeur

Gravité

Nom de l'événement

1

RtChartInactiveAndRemoved

(GraphiqueTRInactifSupprimé)

Ressource

Sous-ressource

Message

RealTimeSummaryService

(ServiceRécapitulatifTempsRéel)

ChartManager (GestionnaireGraphiques)

Removed idle Active View with filter <filter> and attribute <attribute> for users with security filter <security filter>. Currently <n> Active

View(s) Collecting. (Suppression de la vue active inactive dotée du filtre <filtre> et de l'attribut

<attribut> pour les utilisateurs se servant du filtre de sécurité <filtre de sécurité>. Actuellement,

<n> vue(s) active(s) recueille(nt) des données.)

Vue active permanente inactive supprimée

DAS_Binary envoie l'événement RtPermanentChartRemoved lorsqu'une vue active permanente est supprimée en raison de son inactivité. Les vues actives permanentes sont celles enregistrées dans les préférences utilisateur et qui expirent par défaut après plusieurs jours d'inactivité.

Balise Valeur

Gravité

Nom de l'événement

1

RtPermanentChartRemoved

(GraphiquePermanentTRSupprimé)

Ressource

Sous-ressource

Message

RealTimeSummaryService

(ServiceRécapitulatifTempsRéel)

ChartManager (GestionnaireGraphiques)

Removed idle permanent Active View with filter

<filter> and attribute <attribute> for users with security filter <security filter>. Currently <n>

Active View(s) Collecting. (Suppression de la vue active permanente inactive dotée du filtre

<filtre> et de l'attribut <attribut> pour les utilisateurs se servant du filtre de sécurité <filtre de sécurité>. Actuellement, <n> vue(s) active(s) recueille(nt) des données.)

A-18

Guide de L'Utilisateur de Sentinel

Vue active désormais permanente

DAS_Binary envoie l'événement RtChartIsNowPermanent lorsqu'il détecte une vue active qui vient d'être rendue permanente. Comme cette vérification se produit à intervalle régulier, plusieurs minutes peuvent s'écouler entre le moment où la vue active est enregistrée dans les préférences et celui où l'événement est généré.

Balise Valeur

Gravité

Nom de l'événement

1

RtChartIsNowPermanent

(GraphiqueTRDésormaisPermanent)

Ressource

Sous-ressource

Message

RealTimeSummaryService

(ServiceRécapitulatifTempsRéel)

ChartManager (GestionnaireGraphiques)

Active View with filter <filter> and attribute

<attribute> for users with security filter <security filter> is now permanent. (La vue active dotée du filtre <filtre> et de l'attribut <attribut> pour les utilisateurs se servant du filtre de sécurité <filtre de sécurité> est désormais permanente.)

Vue active désormais non permanente

DAS_Binary envoie l'événement RtChartNotPermanent lorsqu'il détecte une vue active précédemment permanente qui n'est plus permanente. Comme cette vérification se produit

à intervalle régulier, plusieurs minutes peuvent s'écouler entre le moment où la vue active est supprimée des préférences et celui où l'événement est généré.

Balise Valeur

Gravité

Nom de l'événement

1

RtChartNotPermanent

Ressource

Sous-ressource

Message

RealTimeSummaryService

(ServiceRécapitulatifTempsRéel)

ChartManager (GestionnaireGraphiques)

Active View with filter <filter> and attribute

<attribute> for users with security filter <security filter> is no longer permanent. (La vue active dotée du filtre <filtre> et de l'attribut <attribut> pour les utilisateurs se servant du filtre de sécurité

<filtre de sécurité> n'est plus permanente.)

Événements système de Sentinel 5

A-1 9

Résumé

Nom de l'événement

AuthenticationFailed

NoSuchUser

TooManyActiveUsers

LockedUser

UserLoggedOut

UserLoggedIn

UserLoggedIn

MoveArchiveFileFailed

InsertEventsFailed

OpenArchiveFileFailed

WriteArchiveFileFailed

SummaryUpdateFailure

InsertIntoOverflowPartition

EventInsertionIsBlocked

EventInsertionResumed

EventRouterIsRunning

EventRouterInitializing

EventRouterStopping

EventRouterTerminating

ErrorNoSuchMap

LoadingMapFromCache

RefreshingMapFromServer

TimeoutRefreshingMapData

ErrorRefreshingMapData

LoadedLargeMap

LongTimeToLoadMap

TimedoutWaitingForCallback

0

0

4

4

2

1

1

2

4

1

1

4

2

2

4

5

3

5

3

3

1

1

4

1

4

4

Gravité Source

4 UserAuthentication

UserAuthentication

UserAuthentication

UserAuthentication

UserSessionManager

UserSessionManager

UserSessionManager

Nom DAS

EventSubSystem

Nom DAS

Nom DAS

Aggregation

EventSubSystem

EventSubSystem

EventSubSystem

AgentManager

AgentManager

AgentManager

AgentManager

MappingService

MappingService

MappingService

MappingService

MappingService

MappingService

MappingService

MappingService

A-20

Guide de L'Utilisateur de Sentinel

Sous-ressource

Authenticate

Authenticate

Authenticate

Authenticate

User

User

User

ArchiveFile

Events

ArchiveFile

ArchiveFile

Summary

Events

Events

Events

EventRouter

EventRouter

EventRouter

EventRouter

ReferentialDataObjectMap

ReferentialDataObjectMap

ReferentialDataObjectMap

ReferentialDataObjectMap

ReferentialDataObjectMap

ReferentialDataObjectMap

ReferentialDataObjectMap

ReferentialDataObjectMap

Composant

Authentication

Authentication

Authentication

Authentication

User Session

User

User

Event

Event

Event

Event

Aggregation

Event

Event

Event

EventRouter

EventRouter

EventRouter

EventRouter

Mapping

Mapping

Mapping

Mapping

Mapping

Mapping

Mapping

Mapping

Nom de l'événement

ErrorApplyingIncrementalUpdat e

OutOfSyncDetected

EngineRunning

EngineStopped

DeploymentStarted

DeploymentStopped

DeploymentModified

ProcessStart

ProcessStop

ProcessStart

ProcessStop

PortStart

PortStop

1

PersistentProcessDied

PersistentProcessRestarted

SortDependencies

DbSpaceReachedTimeThrshld

DbSpaceReachedPercentThrshld 0

DbSpaceVeryLow 5

RtChartCreated

RtChartJoiningExistingData

1

1

5

0

RtChartInactiveAndRemoved 1

RtChartPermanentAndRemoved 1

RtChartIsNowPermanent

RtChartNotPermanent

1

1

5

1

5

Gravité Source

4 MappingService

1

1

1

1/5

1

1

2

1

MappingService

CorrelationEngine

CorrelationEngine

CorrelationEngine

CorrelationEngine

CorrelationEngine

Watchdog

Watchdog

Watchdog

Watchdog

AgentManager

AgentManager

AgentManager

AgentManager

EventService

Database

Database

Database

RealTimeSummaryService

RealTimeSummaryService

RealTimeSummaryService

RealTimeSummaryService

RealTimeSummaryService

RealTimeSummaryService

Sous-ressource

ReferentialDataObjectMap

ReferentialDataObjectMap

CorrelationEngine

CorrelationEngine

Deployment

Deployment

Deployment

Process

Process

Watchdog

Watchdog

AgentManager

AgentManager

AgentManager

AgentManager

ObjectAttrInfo

Database

Database

Database

ChartManager

ChartManager

ChartManager

ChartManager

ChartManager

ChartManager

Composant

Mapping

Mapping

EventService

Event

Event

Event

Active Views

Active Views

Active Views

Active Views

Active Views

Active Views

Événements système de Sentinel 5

A-21

A-22

Guide de L'Utilisateur de Sentinel

activation option de menu Configuration des menus 9-23 activité clic droit ............................................... 5-8, 5-9 création .................................................... 5-11 exportation................................................ 5-13 importation................................................ 5-13 modification .............................................. 5-13 addPartitions .............................10-31, 10-32

Advisor mise à jour........................................... 7-1, 7-3 mise à jour – téléchargement direct depuis Internet....................................... 7-3 mise à jour – téléchargement

Internet relayé........................................ 7-3 affichage comptes d'utilisateur................................. 9-30 incident ....................................................... 4-2 paramètres d'une option du menu

Configuration du menu ........................ 9-23 affichage des partitions - interface .......................... 10-4, 10-7, 10-9 affichage des partitions - ligne de commande ......................... 10-33 affichage des pièces jointes ..................... 4-7 ajout filtre privé.................................................. 9-17 filtre public ................................................ 9-17 fonctionnalité de navigateur à une option du menu Configuration du menu............................................... 9-24 option au menu Configuration du menu............................................... 9-21 ajout de partitions - interface.........10-5, 10-6 ajout de partitions – ligne de commande ......................... 10-31 ajout d'événements à un incident........... 3-26 architecture..............................................1-3 archivage des données ........................ 10-35 archiveConfig ........................... 10-34, 10-35 archiveData .........................................10-35 archiver des partitions - interface ....................................10-5, 10-6 arrêt de la couche de communication ....11-5 arrêt d'une session utilisateur.................9-31 assignation ................................. 10-9, 10-15 ajout............................................... 10-9, 10-15 mise à jour .............................................. 10-17 mise à jour (ligne de commande) ........... 10-41 suppression ............................................ 10-16 assignation de données aux événements.......... 10-9, 10-15, 10-18 assignation de graphiques ........... 3-13, 3-14 balises assignation ............................................. 10-20 nouvelle assignation ............................... 10-20

Centre de contrôle démarrage (UNIX) ...................................... 2-2

Centre de contrôle Sentinel affichage des fenêtres en cascade ............. 2-7 affichage en mosaïque ............................... 2-7 fenêtre de navigation, afficher .................... 2-7 fenêtre de navigation, arrimer..................... 2-7 fenêtre de navigation, faire flotter ............... 2-7 fenêtre de navigation, masquer .................. 2-7 mot de passe .............................................. 2-9 position des onglets.................................... 2-7 réduction des fenêtres ................................ 2-8 restauration des fenêtres............................ 2-8 clé de licence mise à jour .............................................. 11-11 clonage comptes d'utilisateur ................................. 9-30 filtre privé .................................................. 9-19 filtre public ................................................ 9-19 option du menu Configuration du menu.... 9-22 collecteur affichage des détails................................... 8-4 arrêt ............................................................ 8-4 démarrage .................................................. 8-4 surveillance ................................................ 8-1 colonnes d'événements alias ........................................................ 10-23 assignation ............................................. 10-20 nouvelle assignation ............................... 10-20 renommer ............................................... 10-23 comptes d'utilisateur affichage................................................... 9-30 index i

clonage..................................................... 9-30 création .................................................... 9-28 modification .............................................. 9-30 suppression .............................................. 9-30 condition logique différent de ................................................. 9-7 différent de la balise META ........................ 9-7

égal à ......................................................... 9-7

égal à la balise META ................................ 9-7

égal à Regex .............................................. 9-7

égal à Subnet ............................................. 9-7 inférieur à ................................................... 9-7 inférieur à la base META ............................ 9-7 inférieur ou égal à....................................... 9-7 inférieur ou égal à la balise META.............. 9-7 supérieur à ................................................. 9-7 supérieur à la balise META ........................ 9-7 supérieur ou égal à..................................... 9-7 supérieur ou égal à la balise META............ 9-7 configuration rapport Advisor ........................................... 9-2 rapport Analyse .......................................... 9-2 configuration de la messagerie .....3-10, 11-8 configuration de l'en-tête d'une colonne d'événements ........... 10-23 configuration des partitions .................. 10-30 configuration d'un événement .............. 10-23 description .............................................. 10-22 configuration visualiseur de pièces jointes .................................. 4-7 conteneur redémarrage (UNIX) ................................. 11-6 redémarrage (Windows) ........................... 11-6 conteneur Sentinel redémarrage (UNIX) ................................. 11-6 redémarrage (Windows) ........................... 11-6 contrôleur des données .. Voir synchroniseur des données corrélation................................................1-2 corrélation avancée définition ..................................................... 9-5 corrélation de base définition ..................................................... 9-5

Correlation Engine ................................. 1-14 corrélation RuleLg libre ii

Guide de L'Utilisateur de Sentinel définition ..................................................... 9-5 correlation_engine..................................1-14 couche de communication arrêt (UNIX) .............................................. 11-5 arrêt (Windows) ........................................ 11-5 démarrage (UNIX) .................................... 11-5 démarrage (Windows) .............................. 11-5 suppression du fichier de verrouillage (UNIX) ......................... 11-4 suppression du fichier de verrouillage (Windows) ................... 11-4 couche de communication Sentinel arrêt (UNIX) .............................................. 11-5 arrêt (Windows) ........................................ 11-5 démarrage (UNIX) .................................... 11-5 démarrage (Windows) .............................. 11-5 suppression du fichier de verrouillage (UNIX) ......................... 11-4 suppression du fichier de verrouillage (Windows) ................... 11-4 création comptes d'utilisateur ................................. 9-28 dossier de règles ........................................ 9-8 filtre global ................................................ 9-16 incident ....................................................... 4-6 incidents ................................................... 3-12 rapport Advisor ........................................... 7-1 rapport d'analyse ........................................ 6-2 règle ........................................................... 9-8 vue de collecteur ........................................ 8-3

Crystal Report

10 rapports les plus utilisés ........................ 6-1 exécution .................................................... 6-2

DAS ....................................................... 1-14

Data Access Service ...................... See DAS data_synchronizer ..................................1-14 dbstats ..................................................10-40 définition d'assignation ............... 10-9, 10-15 définition de processus modification ......................................... 5-3, 5-4 deleteData ................................ 10-36, 10-43 démarrage de la couche de communication..............................11-5 démarrage de la couche de communication (UNIX)..................11-5

démarrage rapide

Crystal Report .......................................... 12-5 détection d'exploitation ............................. 12-2 données d'actif ......................................... 12-3 règle de corrélation................................... 12-6 requête d'évènement....................... 12-4, 12-6 déplacement option de menu Configuration des menus ........................................... 9-23 déploiement règles de corrélation................................. 9-10 désactivation option de menu Configuration des menus ........................................... 9-23 détails filtre privé.................................................. 9-19 filtre public ................................................ 9-19 détails de rôle affichage................................................... 9-31 détails des événements instantané................................................... 3-8 navigateur visuel ........................................ 3-8 détection d'exploitation............................1-7

Données Advisor .................................... 3-15 données d'actif ....................................... 3-18 données de flux Advisor........................... 7-5 dossier de règles création ...................................................... 9-8 dossiers de règles ..................................... 9-3 dropImported ................. 10-33, 10-39, 10-40 dropPartition ......................................... 10-32 enregistrement des pièces jointes ........... 4-7 enregistrement des préférences .............. 2-8 envoi par courrier électronique execution.properties ................................... 4-8 incident ....................................................... 4-8 eSecurity service................... Voir Watchdog

événement ............................................... 1-2

événement corrélé ................................. 3-13

événement en temps réel affichage..................................................... 3-3 navigateur visuel......................................... 3-3 nombre maximum d'événements................ 3-3 valeur de mise en cache............................. 3-3

événements affichage des événements déclencheurs d'un événement corrélé ....................... 3-13 enquêter ................................................... 3-13 relation avec les incidents .......................... 4-2

Événements corrélés génération d'un rapport............................... 6-3 exécution

Crystal Report ..................................... 6-2, 7-1 execution.properties .................................4-8 exportation dossier de règles de corrélation ................. 9-9 faire pivoter graphique 3D à barres................................ 3-8 graphique en rubans 3D ............................. 3-8 fenêtre Corrélation modification ................................................ 9-9 fichier de script agent-manager.sh ........................... 11-1, 11-2 remove_sonic_lock.bat............................. 11-3 remove_sonic_lock.sh .............................. 11-3 sentinel.sh ....................................... 11-1, 11-4 start_broker.bat ........................................ 11-3 start_broker.sh.......................................... 11-3 stop_broker.bat ........................................ 11-4 stop_container.bat .................................... 11-4 stop_container.sh ..................................... 11-4 fichier de verrouillage suppression .............................................. 11-4 fichier verrouillé suppression .............................................. 11-4 filesToImport.........................................10-37 filtre global ..............................................9-15 base de données ...................................... 9-16 création..................................................... 9-16 database and GUI (base de données et interface utilisateur........................... 9-16 drop (abandon) ......................................... 9-16 réorganisation........................................... 9-17 suppression .............................................. 9-17 filtre privé ................................................9-15 ajout.......................................................... 9-17 index

iii

clonage..................................................... 9-19 détails ....................................................... 9-19 modification .............................................. 9-19 suppression .............................................. 9-19 filtre public ............................................... 9-14 ajout ......................................................... 9-17 clonage..................................................... 9-19 détails ....................................................... 9-19 modification .............................................. 9-19 suppression .............................................. 9-19 filtres....................................................... 9-14 privés........................................................ 9-15 publics........................................................9-14 fitlres globaux..................................................... 9-15 flux de travail ............................... Voir iTRAC fonctionnement de HP-OpenView.......... 3-23 génération rapport Événements corrélés ..................... 6-3 rapport Requête d'événement .................... 6-2 gestion de la base de données addPartition ............................................ 10-31 affichage des partitions ................... 10-7, 10-9 affichage des partitions – ligne de commande ........................... 10-33 ajout de partitions - ligne de commande.................................... 10-31 archivage des données - ligne de commande ........................... 10-35 archiveConfig ......................................... 10-34 archiveData ............................................ 10-35 assignation ............................................. 10-20 configuration des partitions - ligne de commande ........................... 10-30 deleteData .............................................. 10-36 dropPartition ........................................... 10-32 enregistrement d'une connexion ............ 10-29 fichiers à importer - ligne de commande ........................... 10-37 gestion des archives - ligne de commande ........................... 10-34 gestion des partitions ............................. 10-30 importation de données - ligne de commande ........................... 10-38 liste de fichiers à importer ...................... 10-37 mise à jour de l'assignation - ligne de commande ........................... 10-41 mise à jour des assignations .................. 10-17 nouvelle assignation............................... 10-20 partitionConfig ........................................ 10-30 regroupement ......................................... 10-25 renommer les colonnes d'événements ... 10-23 iv

Guide de L'Utilisateur de Sentinel suppression de données – ligne de commande ........................... 10-36 suppression des assignations ................ 10-16 suppression des données importées - ligne de commande ........................... 10-40 suppression des partitions - ligne de commande ........................... 10-32 utilisation de l'espace de la base de données - ligne de commande...... 10-40 gestion des archives.............................10-34

Gestionnaire de données Sentinel supprimer des partitions - interface .......... 10-6

Gestionnaire de données Sentinel affichage des partitions - interface ............................. 10-4, 10-7, 10-9 affichage des partitions – ligne de commande ........................... 10-33 ajout de partitions – ligne de commande ........................... 10-31 ajout d'un fichier d'assignation....... 10-9, 10-15 ajouter des partitions - interface ...... 10-5, 10-6 archivage des données – ligne de commande ........................... 10-35 archiveConfig ......................................... 10-34 archiveData ............................................ 10-35 archiver des partitions - interface..... 10-5, 10-6 assignation ............................................. 10-20 assignation de données aux événements ............ 10-9, 10-15, 10-18 configuration des partitions - ligne de commande ........................... 10-30 configuration d'un événement................. 10-23 configuration d'un événement - description ......................................... 10-22 connexion à la base de données .............. 10-2 dbstats.................................................... 10-40 définition d'assignation .................. 10-9, 10-15 deleteData .............................................. 10-36 démarrage (UNIX) .................................... 10-2 démarrage (Windows ............................... 10-2 dropImported .......................................... 10-40 enregistrement des propriétés de connexion dans la base de données ........................................ 10-29 fichiers à importer – ligne de commande ........................... 10-37 filesToImport........................................... 10-37 fileToImport ............................................ 10-37 gestion des archives – ligne de commande ........................... 10-34 importation de données – ligne de commande ........................... 10-38 importData .............................................. 10-38 importer des partitions - interface ...................................... 10-5, 10-6

mise à jour des données de l'assignation – ligne de commande.... 10-41 mise à jour d'une assignation ................. 10-17 nouvelle assignation............................... 10-20 partitionConfig ........................................ 10-30 regroupement .............................. 10-24, 10-25 regroupement - informations du fichier d'événement....................... 10-27 regroupement - informations sur le récapitulatif .............................. 10-26 regroupement - récapitulatif du fichier d'événement....................... 10-28 renommer une colonne d'événements ... 10-23 sdm.connect ........................................... 10-28 suppression de données – ligne de commande ........................... 10-36 suppression de données importées – ligne de commande ........................... 10-40 suppression des partitions – ligne de commande ........................... 10-32 suppression d'une assignation ............... 10-16 supprimer des partitions - interface...................................... 10-5, 10-6 updateMapData...................................... 10-41 utilisation de l'espace – igne de commande ............................ 10-40 viewPartition ........................................... 10-33 gestionnaire de vues d'incidents ajout d'une vue ........................................... 4-4

Gestionnaire des collecteurs arrêt (UNIX) .............................................. 11-2 arrêt (Windows) ........................................ 11-2 démarrage (UNIX) .................................... 11-1 démarrage (Windows) .............................. 11-2 redémarrage............................................... 8-1 redémarrage (UNIX) ................................. 11-1

Gestionnaire des données Sentinel ....... 10-1

Gestionnaire d'utilisateurs ouverture .................................................. 9-28 graphique 3D à barres faire pivoter................................................. 3-8 graphique en rubans 3D faire pivoter................................................. 3-8 heure de réception de flux de données changement................................................ 7-5 hôte Wizard création d'un visualiseur de

Gestionnaires de collecteurs ................. 8-3 création d'une vue de collecteur ................. 8-3 modification d'une vue de collecteur........... 8-4 surveillance ................................................ 8-3

Hôte Wizard surveillance ................................................ 8-1 importation dossier de règles de corrélation ................. 9-9 importation de données........................10-38 importData ............................................10-38 importer des partitions - interface ................................... 10-5, 10-6 incident affichage..................................................... 4-2 affichage des pièces jointes ....................... 4-7 ajout d'événements .................................. 3-26 ajout d'une vue d'incident ........................... 4-4 configuration du visualiseur de pièces jointes .................................... 4-7 création.............................................. 3-12, 4-6 enregistrement des pièces jointes .............. 4-7 envoi par courrier électronique ................... 4-8 modification ................................................ 4-9 option de vue ....................................... 4-2, 4-4 relation avec les événements ..................... 4-2 suppression ................................................ 4-9 suppression du processus de travail .......... 4-9 instantané détails des événements.............................. 3-8 fermeture .................................................. 3-26 masquer les détails des événements ....... 3-10 organisation des colonnes.......................... 3-24 suppression .............................................. 3-26 table en temps réel des événements........ 3-25 tri 3-26 intégration de tiers

Centre de service HP ............................... 3-23

Remedy .................................................... 3-23 iTRAC achèvement de processus........................ 5-11 activité, clic droit .................................. 5-8, 5-9 ajout.......................................................... 9-31 création d'une activité ............................... 5-11 démarrage de processus.......................... 5-11 exportation d'une activité .......................... 5-13 importation d'une activité .......................... 5-13 incident associé ................................... 5-8, 5-9 modification d'une activité......................... 5-13 modification d'une définition de processus .................................. 5-3, 5-4 suppression .............................................. 9-31 surveillance de processus ........................ 5-10 surveillance de processus – définition d'une option .......................... 5-10 index

v

jeu de règles de corrélation exportation.................................................. 9-9 importation.................................................. 9-9 suppression ................................................ 9-9 liste de fichiers à importer .................... 10-37 liste de surveillance définition ..................................................... 9-4 masquer les détails des événements instantané................................................. 3-10 navigateur visuel ...................................... 3-10 message concernant un événement par message électronique ........................ 3-10 message concernant un incident par message électronique ........................ 3-11 messagerie Advisor.................................. 7-4 mise à jour de clé de licence

ID hôte (UNIX)........................................ 11-11

ID hôte (Windows) .................................. 11-11 modification comptes d'utilisateur................................. 9-30 fenêtre Corrélation...................................... 9-9 filtre privé.................................................. 9-19 filtre public ................................................ 9-19 incident ....................................................... 4-9 option de menu Configuration des menus 9-23 vue de collecteur ........................................ 8-4 mot de passe

Centre de contrôle Sentinel ........................ 2-9 mot de passe Advisor téléchargement direct ................................. 7-3 moteur de corrélation ............................... 9-6 arrêt .......................................................... 9-10 démarrage ................................................ 9-10 navigateur visuel détails des événements.............................. 3-8 fermeture .................................................. 3-26 masquer les détails des événements ....... 3-10 organisation des colonnes...........................3-24 suppression .............................................. 3-26 option de menu Configuration des menus activation .................................................. 9-23 déplacement............................................. 9-23 désactivation ............................................ 9-23 modification .............................................. 9-23 suppression .............................................. 9-23 option de vue incident ................................................ 4-2, 4-4 option du menu Configuration du menu ajout.......................................................... 9-21 ajout de la fonctionnalité de navigateur .... 9-24 clonage ..................................................... 9-22 option du menu de configuration utilisation .................................................. 3-24 ouverture fenêtre Règles de corrélation ..................... 9-8

Gestionnaire d'utilisateurs ........................ 9-28 paramètres d'une option du menu

Configuration du menu affichage................................................... 9-23 partitionConfig ......................................10-30 position des onglets

Centre de contrôle Sentinel ........................ 2-7 préférences enregistrement............................................ 2-8 processus ...............................................1-12 achèvement .............................................. 5-11

Correlation Engine.................................... 1-14

DAS .......................................................... 1-14 data_synchronizer .................................... 1-14 démarrage ................................................ 5-11

Query Manager......................................... 1-15 vérificateur RuleLg.................................... 1-14

Watchdog ................................................. 1-13

Query Manager ......................................1-15 quick start

Active View............................................... 12-1 rapport Advisor configuration de l'URL ................................ 9-2 création....................................................... 7-1 rapport Analyse configuration de l'URL ................................ 9-2 recommandation ajouter des partitions .............................. 10-42 archiver les données .............................. 10-42 règle création....................................................... 9-8 règles ........................................................ 9-3 règles de corrélation.................................9-3 vi

Guide de L'Utilisateur de Sentinel

déploiement.............................................. 9-10 exportation ...................................................9-6 importation ...................................................9-6

Règles de corrélation, fenêtre ouverture .................................................... 9-8 règles d'événement ................................... 9-3 regroupement ....................................... 10-24 activer le récapitulatif.............................. 10-25 afficher les informations sur le récapitulatif .................................... 10-26 désactiver le récapitulatif ........................ 10-25 exécution des fichiers d'événements pour un récapitulatif ........................... 10-28 interroger les fichiers d'événements pour un récapitulatif ........................... 10-27 validité d'un récapitulatif ......................... 10-26

Remedy .................................................. 3-23 renommer les en-têtes des colonnes d'événements................................... 10-23 requête d'événement ............................. 3-15

Requête d'événement génération d'un rapport .............................. 6-2 rulelg_checker........................................ 1-14 saveConnection exécution ................................................ 10-29 script file ................................................. 11-3

SDM ........................... Voir Gestionnaire des données Sentinel

Sentinel architecture................................................ 1-3 description .................................................. 1-3 processus ................................................. 1-12

Sentinel Control Center closing window ........................................... 2-8 restoring window ........................................ 2-8 starting in Windows .................................... 2-2

Sentinel Server arrêt (UNIX) .............................................. 11-1 arrêt (Windows) ........................................ 11-3 démarrage (UNIX) ........................... 11-1, 11-4 démarrage (Windows) ..................... 11-2, 11-3 service d'assignation ......................1-7, 10-7 session utilisateur arrêt .......................................................... 9-31 suppression comptes d'utilisateur ................................. 9-30 filtre global ................................................ 9-17 filtre privé .................................................. 9-19 filtre public ................................................ 9-19 incident ....................................................... 4-9 jeu de règles de corrélation ........................ 9-9 option de menu Configuration des menus ........................................... 9-23 règle de corrélation..................................... 9-9 suppression de partitions .....................10-32 suppression des données importées .........................................10-40 supprimer des partitions - interface ................................... 10-5, 10-6 surveillance de processus définition d'une option............................... 5-10 surveillande de processus......................5-10 synchroniseur des données ...................1-14 table en temps réel des événements prise d'un instantané ................................ 3-25 updateMapData ....................................10-41 utilisateur par défaut

ESEC_CORR ........................................... 9-27 esecadm ................................................... 9-27 esecapp.................................................... 9-27 esecdba.................................................... 9-27 esecrpt...................................................... 9-27 utilisateurs par défaut .................Voir utilisateur par défaut utilisation de l'espace de la base de données ......................................10-40 vérificateur de règle de corrélation......... Voir vérificateur RuleLg vérificateur RuleLg .................................1-14 version Sentinel fichiers .dll ................................................ 11-7 fichiers .exe .............................................. 11-7 fichiers jar ................................................. 11-8 version Sentinel (UNIX)..........................11-7 version Sentinel (Windows)....................11-7 vue active affichage..................................................... 3-3 affiner la table des événements.................. 3-6 index

vii

changer le type des graphiques ................. 3-6 filtrer une table d'événements en temps réel......................................... 3-6 navigateur visuel ........................................ 3-3 prise d'un instantané ................................ 3-25 propriétés ................................................... 3-3 redéfinir les paramètres.............................. 3-6 vue de collecteur création ...................................................... 8-3 modification ................................................ 8-4 vulnérabilité analyse ..................................................... 3-22 données Advisor....................................... 3-16

SmartViews .............................................. 3-18

Watchdog ...............................................1-13

Wizard redémarrage ............................................... 8-1 viii

Guide de L'Utilisateur de Sentinel