Guía de instalación y configuración NetIQ Sentinel 7.0.1 March 2012
Información legal NetIQ Corporation ( NetIQ ) no otorga ninguna garantía con respecto al contenido o el uso de la ayuda en línea o cualquier otra documentación, y rechaza específicamente toda garantía expresa o implícita de comercialización o adecuación para un fin en particular. NetIQ se reserva el derecho a revisar esta publicación y a realizar cambios en su contenido en cualquier momento, sin obligación de notificar tales cambios a ninguna persona o entidad. NetIQ no otorga ninguna garantía con respecto a ningún programa de software, y específicamente rechaza cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. NetIQ se reserva el derecho a realizar cambios en cualquiera de las partes o en la totalidad del software de NetIQ en cualquier momento, sin obligación de notificar de tales cambios a ninguna persona ni entidad. Los productos o la información técnica que se proporcionan bajo este Acuerdo pueden están sujetos a los controles de exportación de Estados Unidos o a la legislación sobre comercio de otros países. Usted se compromete a cumplir todas las regulaciones de control de las exportaciones, así como a obtener las licencias o clasificaciones oportunas para exportar, reexportar o importar mercancías. De la misma forma, acepta no realizar exportaciones ni reexportaciones a las entidades que se incluyan en las listas actuales de exclusión de exportaciones de EE. UU., así como a ningún país terrorista o sometido a embargo, tal y como queda recogido en las leyes de exportación de EE. UU. Asimismo, se compromete a no usar el producto para fines prohibidos, como la creación de misiles o armas nucleares, químicas o biológicas. NetIQ no asume ninguna responsabilidad por los fallos que cometa el usuario en la obtención de los permisos de exportación necesarios. Copyright 2012 Novell, Inc. Reservados todos los derechos. Se prohíbe la reproducción, fotocopia, almacenamiento en un sistema de recuperación o transmisión de cualquier parte de esta publicación sin el consentimiento expreso por escrito del propietario de los derechos de publicación. Todas las marcas comerciales de terceros son propiedad de sus respectivos titulares. Para obtener más información, póngase en contacto con NetIQ en: 1233 West Loop South, Houston, Texas 77027 U.S.A www.netiq.com
Tabla de contenido Acerca de esta guía 7 Parte I Instalación 9 1 Cumplimiento de los requisitos del sistema 11 1.1 Requisitos del sistema y plataformas compatibles.......................................11 1.1.1 Sistemas operativos y plataformas compatibles................................. 11 1.1.2 Requisitos del hardware................................................... 12 1.1.3 Plataformas de bases de datos compatibles.................................... 14 1.1.4 Navegadores compatibles.................................................. 14 1.1.5 Estimación de requisitos de almacenamiento de datos............................ 16 1.1.6 Estimación de utilización de E/S del disco..................................... 17 1.1.7 Estimación de uso del ancho de banda de la red................................ 18 1.1.8 Entorno virtual........................................................... 18 1.2 Requisitos del sistema para conectores y recopiladores.................................. 18 1.3 Puertos utilizados................................................................ 19 1.3.1 Servidor de Sentinel...................................................... 19 1.3.2 Gestor de recopiladores................................................... 20 1.3.3 Motor de correlación...................................................... 21 2 Instalación de Sentinel 23 2.1 Métodos de instalación........................................................... 23 2.1.1 Instalación estándar y personalizada......................................... 24 2.1.2 Componentes instalados...................................................24 2.2 Antes de empezar............................................................... 24 2.3 Opciones de instalación........................................................... 25 2.4 Instalación interactiva............................................................. 26 2.4.1 Configuración estándar.................................................... 26 2.4.2 Configuración personalizada................................................ 27 2.5 Instalación silenciosa............................................................. 29 2.6 Instalación de Sentinel como usuario diferente de root................................... 30 2.7 Modificación de la configuración después de la instalación................................ 31 3 Instalación de gestores de recopiladores adicionales 33 3.1 Ventajas de los gestores de recopiladores adicionales................................... 33 3.2 Antes de empezar............................................................... 33 3.3 Instalación de un gestor de recopiladores adicional.....................................34 3.4 Cómo añadir un usuario personalizado para un gestor de recopiladores..................... 35 4 Instalación de motores de correlación adicionales 37 4.1 Antes de empezar............................................................... 37 4.2 Instalación de un motor de correlación adicional........................................ 37 4.3 Cómo añadir un usuario personalizado para el motor de correlación........................ 39 Tabla de contenido 3
5 Instalación del dispositivo 41 5.1 Antes de empezar............................................................... 41 5.2 Instalación del dispositivo VMware.................................................. 41 5.2.1 Instalación de Sentinel..................................................... 42 5.2.2 Instalación del gestor de recopiladores........................................ 43 5.2.3 Instalación del motor de correlación.......................................... 44 5.3 Instalación del dispositivo Xen...................................................... 45 5.3.1 Instalación de Sentinel..................................................... 45 5.3.2 Instalación del gestor de recopiladores........................................ 47 5.3.3 Instalación del motor de correlación.......................................... 48 5.4 Instalación del dispositivo en hardware............................................... 49 5.4.1 Instalación de Sentinel..................................................... 49 5.4.2 Instalación del gestor de recopiladores........................................ 50 5.4.3 Instalación del motor de correlación.......................................... 51 5.5 Configuración del dispositivo posterior a la instalación...................................52 5.5.1 Instalación de VMware Tools................................................ 52 5.5.2 Acceso a la interfaz Web de dispositivo....................................... 52 5.6 Configuración de WebYaST........................................................ 52 5.7 Configuración del dispositivo con SMT............................................... 53 5.7.1 Requisitos previos........................................................ 53 5.7.2 Configuración del dispositivo................................................54 5.8 Inicio y detención del servidor mediante la interfaz basada en la Web....................... 54 5.9 Registro para recibir actualizaciones................................................. 54 6 Resolución de problemas en la instalación 55 6.1 La instalación falló debido a una configuración de red incorrecta........................... 55 6.2 El UUID no se crea para gestores de recopiladores con imagen o motores de correlación........ 55 7 Pasos siguientes 57 Parte II Configuración 59 8 Acceso a la interfaz Web de Sentinel 61 9 Cómo añadir componentes adicionales de Sentinel 63 9.1 Instalación de conectores y recopiladores............................................. 63 9.1.1 Instalación de un recopilador................................................63 9.1.2 Instalación de un conector.................................................. 64 9.2 Cómo añadir conectores y recopiladores adicionales.................................... 64 9.2.1 Cómo añadir recopiladores adicionales........................................ 64 9.2.2 Cómo añadir conectores adicionales.......................................... 65 10 Gestión de datos 67 10.1 Estructura de directorio........................................................... 67 10.2 Consideraciones sobre almacenamiento.............................................. 67 10.2.1 Uso de una partición en una instalación independiente........................... 68 10.2.2 Uso de una partición en una instalación de dispositivo............................ 68 4 Tabla de contenido
11 Configuración de contenido predefinido 71 12 Configuración de la hora 73 12.1 Comprender el tiempo en Sentinel................................................... 73 12.2 Configuración de la hora en Sentinel................................................. 75 12.3 Cómo manejar las zonas horarias................................................... 75 13 Información sobre licencias 77 13.1 Descripción de licencias de Sentinel................................................. 77 13.1.1 Licencia de prueba....................................................... 77 13.1.2 Licencias empresariales................................................... 77 13.2 Cómo añadir una clave de licencia.................................................. 78 13.2.1 Cómo añadir una clave de licencia mediante la interfaz Web....................... 78 13.2.2 Cómo añadir una clave de licencia a través de la línea de comandos................ 78 14 Configuración de Sentinel para alta disponibilidad 79 Parte III Actualización de Sentinel 81 15 Actualización del servidor Sentinel 83 16 Actualización del dispositivo Sentinel 85 17 Actualización del gestor de recopiladores 87 18 Actualización del motor de correlación 89 19 Actualización de módulos auxiliares (plug-in) de Sentinel 91 Parte IV Migración 93 20 Escenarios de migración compatibles 95 21 Pasos siguientes 97 Parte V Desinstalación 99 22 Desinstalación de Sentinel 101 22.1 Desinstalación del servidor de Sentinel............................................. 101 22.2 Desinstalación del gestor de recopiladores remoto o del motor de correlación................ 101 23 Tareas posteriores a la desinstalación 103 23.1 Eliminación de la configuración del sistema de Sentinel................................ 103 23.1.1 Finalización de la desinstalación del motor de correlación........................ 103 23.1.2 Finalización de la desinstalación del gestor de recopiladores...................... 104 Tabla de contenido 5
6 Guía de instalación y configuración de NetIQ Sentinel 7.0.1
Acerca de esta guía Esta guía proporciona una introducción a NetIQ Sentinel y explica la forma de instalar, migrar y configurar Sentinel. Usuarios a los que va dirigida Esta guía está dirigida a administradores y consultores de Sentinel. Comentarios Nos gustaría recibir sus comentarios y sugerencias acerca de este manual y del resto de la documentación incluida con este producto. Utilice la función de comentarios del usuario situada en la parte inferior de las páginas de la documentación en línea. Actualizaciones de la documentación Para obtener la versión más reciente de la Guía de instalación y configuración de NetIQ Sentinel 7.0.1, visite el sitio Web de documentación de Sentinel (http://www.novell.com/documentation/sentinel70). Documentación adicional La documentación técnica de Sentinel se divide en varios volúmenes distintos. Son los siguientes: Sentinel Overview Guide (Guía de descripción general de Sentinel) (http://www.novell.com/ documentation/sentinel70/s70_overview/data/bookinfo.html) Sentinel Quick Start Guide (Guía de inicio rápido de Sentinel) (http://www.novell.com/ documentation/sentinel70/s70_quickstart/data/s70_quickstart.html) Sentinel Administration Guide (Guía de administración de Sentinel) (http://www.novell.com/ documentation/sentinel70/s70_admin/data/bookinfo.html) Sentinel User Guide (Guía del usuario de Sentinel) (http://www.novell.com/documentation/ sentinel70/s70_user/data/bookinfo.html) Sentinel Link Overview Guide (Guía de descripción general de Sentinel Link) (http:// www.novell.com/documentation/sentinel70/sentinel_link_overview/data/bookinfo.html) Eventos de auditoría interna de Sentinel (http://www.novell.com/documentation/sentinel70/ s70_auditevents/data/bookinfo.html) SDK de Sentinel (http://www.novell.com/developer/develop_to_sentinel.html) El sitio de SDK de Sentinel proporciona información sobre cómo crear sus propios módulos auxiliares (plug-ins). Acerca de esta guía 7
Contacto con Novell y NetIQ Sentinel es ahora un producto de NetIQ, si bien Novell sigue manejando muchas funciones de asistencia. Sitio Web de Novell (http://www.novell.com) Sitio Web de NetIQ (http://www.netiq.com) Asistencia técnica (http://support.novell.com/contact/ getsupport.html?sourceidint=suplnav4_phonesup) Autoasistencia (http://support.novell.com/ support_options.html?sourceidint=suplnav_supportprog) Sitio de descarga de revisión (http://download.novell.com/index.jsp) Foros de asistencia de la comunidad de Sentinel (http://forums.novell.com/novell-productsupport-forums/sentinel/) Sentinel TIDs (http://support.novell.com/products/sentinel) Sitio Web del módulo auxiliar (plug-in) de Sentinel (http://support.novell.com/products/ sentinel/secure/sentinel61.html) Lista de notificación por correo electrónico: Inscríbase a través del sitio Web de módulos auxiliares de Sentinel Cómo contactar con asistencia para ventas Para cualquier pregunta sobre nuestros productos, precios y capacidades, póngase en contacto con su representante local. Si no puede contactar con su representante local, comuníquese con nuestro equipo de Asistencia para ventas. Oficinas mundiales: Ubicaciones de las oficinas de NetIQ (http://www.netiq.com/about_netiq/ officelocations.asp) Estados Unidos y Canadá: 888-323-6768 Correo electrónico: info@netiq.com Sitio Web: www.netiq.com 8 Guía de instalación y configuración de NetIQ Sentinel 7.0.1
I Instalación Utilice la siguiente información para instalar Sentinel: Capítulo 1, Cumplimiento de los requisitos del sistema, en la página 11 Capítulo 2, Instalación de Sentinel, en la página 23 Capítulo 3, Instalación de gestores de recopiladores adicionales, en la página 33 Capítulo 4, Instalación de motores de correlación adicionales, en la página 37 Capítulo 5, Instalación del dispositivo, en la página 41 Capítulo 6, Resolución de problemas en la instalación, en la página 55 Capítulo 7, Pasos siguientes, en la página 57 Instalación 9
10 Guía de instalación y configuración de NetIQ Sentinel 7.0.1
1 1Cumplimiento de los requisitos del sistema En las siguientes secciones se describen los requisitos de compatibilidad de hardware, sistema operativo, navegador, conectores admitidos y orígenes de eventos para Sentinel. Sección 1.1, Requisitos del sistema y plataformas compatibles, en la página 11 Sección 1.2, Requisitos del sistema para conectores y recopiladores, en la página 18 Sección 1.3, Puertos utilizados, en la página 19 1.1 Requisitos del sistema y plataformas compatibles NetIQ admite Sentinel en los sistemas operativos descritos en esta sección. NetIQ también admite Sentinel en sistemas con pequeñas actualizaciones a estos sistemas operativos, como por ejemplo parches de seguridad y correcciones (hotfixes). Sin embargo, no es posible ejecutar Sentinel en sistemas que hayan realizado importantes actualizaciones de estos sistemas operativos hasta que NetIQ no haya probado y certificado dichas actualizaciones. Sección 1.1.1, Sistemas operativos y plataformas compatibles, en la página 11 Sección 1.1.2, Requisitos del hardware, en la página 12 Sección 1.1.3, Plataformas de bases de datos compatibles, en la página 14 Sección 1.1.4, Navegadores compatibles, en la página 14 Sección 1.1.5, Estimación de requisitos de almacenamiento de datos, en la página 16 Sección 1.1.6, Estimación de utilización de E/S del disco, en la página 17 Sección 1.1.7, Estimación de uso del ancho de banda de la red, en la página 18 Sección 1.1.8, Entorno virtual, en la página 18 1.1.1 Sistemas operativos y plataformas compatibles El servidor Sentinel, el gestor de recopiladores y el motor de correlación son compatibles con los siguientes sistemas operativos y plataformas: Cumplimiento de los requisitos del sistema 11
Categoría Sistema operativo Requisito Sentinel es compatible con los siguientes sistemas operativos: SUSE Linux Enterprise Server (SLES) 11 SP1 de 64 bits * Red Hat Enterprise Linux for Servers (RHEL) 6 de 64 bits * Sentinel 7 no se admite en las instalaciones Open Enterprise Server de SLES. Plataforma virtual NetIQ proporciona dispositivos que instalan un servidor SLES 11 SP1 de 64 bits y Sentinel en las siguientes plataformas virtuales: VMWare ESX 4.0 Xen 4.0 Imágenes ISO en DVD NetIQ proporciona un archivo de imagen ISO en DVD que instala SLES 11 SP1 de 64 bits y Sentinel en: Servidor Hyper-V 2008 R2 Hardware sin sistema operativo instalado 1.1.2 Requisitos del hardware Las recomendaciones de hardware para una implementación de Sentinel pueden variar en función de la implementación individual, por lo que se recomienda consultar con NetIQ Consulting Services (servicios de consultoría) o con algún socio de NetIQ Sentinel antes de finalizar la arquitectura de Sentinel. Servidor de Sentinel en la página 12 Gestor de recopiladores en la página 13 Motor de correlación en la página 14 Servidor de Sentinel En esta sección se enumeran los requisitos de hardware recomendados para un sistema de producción que albergue 90 días de datos en línea. Estas recomendaciones suponen un tamaño medio de eventos de 600 bytes. Las recomendaciones de almacenamiento local y en red incluyen un buffer del 20 % por encima de las estimaciones reales de almacenamiento. NetIQ recomienda integrar un buffer en caso de que las estimaciones sean inexactas o que alguno de los servidores experimente mayor actividad con el tiempo. Utilice los siguientes requisitos de hardware para ejecutar el servidor Sentinel con todos los componentes de Sentinel instalados en un solo servidor: 12 Guía de instalación y configuración de NetIQ Sentinel 7.0.1
Categoría 100 EPS 2500 EPS 5000 EPS CPU Un procesador Intel Xeon X5570 2,93 GHz (4 núcleos de CPU) Dos CPU Intel Xeon X5470 3,33 GHz (4 núcleos) CPUs (8 núcleos en total) Dos CPU Intel Xeon X5470 3,33 GHz (4 núcleos) CPUs (8 núcleos en total) Almacenami ento local (30 días) 2 unidades de 256 GB, 7200 RPM (hardware RAID con caché de 256 MB) 8 unidades de 7200 RPM, x 1.2 TB (RAID 10 en hardware con 256 MB de caché) 16 unidades de 15000 RPM, x 1.2 TB, (RAID 10 en hardware con 512 MB de caché) o una red de área de almacenamiento equivalente (SAN) Almacenami ento en red (90 días) 2 x 128 GB 4 x 1 TB 8 x 1 TB Memoria Otras instalaciones: 4 GB Instalación de imagen ISO en DVD: 4.5 GB 16 GB 24 GB NOTE: Sentinel es compatible en procesadores Intel Xeon x86 de 64 bits y AMD Opteron, pero no con los procesadores puros de 64 bits como Itanium. Siga estas pautas para obtener un rendimiento óptimo del sistema: El almacenamiento local debe tener espacio suficiente para guardar como mínimo 5 días de datos, incluyendo tanto datos de eventos como datos en bruto. Para obtener más información sobre la forma de calcular los requisitos de almacenamiento de datos, consulte la Sección 1.1.5, Estimación de requisitos de almacenamiento de datos, en la página 16. El almacenamiento en red contiene el total de 90 días, e incluye una copia totalmente comprimida de los datos de eventos en el almacenamiento local. Se guarda una copia de los datos de eventos en el almacenamiento local para buscar e informar de datos de rendimiento. El tamaño de almacenamiento local puede disminuirse si preocupan los costes de almacenamiento. Sin embargo, debido al gasto de descompresión, se producirá una disminución estimada del 70% en el rendimiento de búsqueda y creación de informes en los datos que normalmente estarían en el almacenamiento local. Debe configurar la ubicación de almacenamiento en red en una red SAN externa de varias unidades o en un almacenamiento con interconexión a la red (NAS). El volumen de estado regular recomendado es del 80 % del número máximo de EPS con licencia. NetIQ recomienda añadir otras instancias de Sentinel si se alcanza el límite. Gestor de recopiladores Utilice los siguientes requisitos de hardware para ejecutar el gestor de recopiladores en un sistema diferente del servidor Sentinel en un entorno de producción: Cumplimiento de los requisitos del sistema 13
Categoría Mínimo Recomendación CPU Un procesador Intel Xeon L5240 de 3 GHz (de 2 núcleos) Un procesador Intel Xeon X5570 2,93-GHz (4 núcleos de CPU) Espacio de disco 10 GB (RAID 1) 20 GB (RAID 1) Memoria 1.5 GB 4 GB Número estimado (EPS) 500 2.000 Motor de correlación Utilice los siguientes requisitos del sistema para ejecutar el motor de correlación en un sistema diferente del servidor Sentinel en un entorno de producción: Categoría Mínimo Recomendación CPU Un procesador Intel Xeon L5240 de 3 GHz (de 2 núcleos) Un procesador Intel Xeon X5570 2,93-GHz (4 núcleos de CPU) Espacio de disco 10 GB (no se requiere RAID) 10 GB (no se requiere RAID) Memoria 1.5 GB 4 GB Número estimado (EPS) 500 2500 1.1.3 Plataformas de bases de datos compatibles Sentinel incluye un sistema de almacenamiento basado en archivos integrado y una base de datos, que son todo lo necesario para ejecutar Sentinel. Sin embargo, si utiliza la función opcional de sincronización de datos para copiar datos a un almacén de datos, Sentinel admite el uso de Oracle versión 11g R2 o Microsoft SQL Server 2008 R2 como almacén de datos. 1.1.4 Navegadores compatibles La interfaz Web de Sentinel está optimizada para una visualización a una resolución de 1280 x 1024 o superior en los siguientes navegadores compatibles: NOTE: Para cargar correctamente las aplicaciones del cliente de Sentinel, debe tener instalado en su sistema el módulo auxiliar (plug-in) de Sun Java. 14 Guía de instalación y configuración de NetIQ Sentinel 7.0.1
Plataforma Navegador Windows 7 Firefox 5, 6, 7, 8, 9 y 10 Internet Explorer 8 y 9 * SLES 11 SP1 y RHEL 6 Firefox 5, 6, 7, 8, 9 y 10 Para obtener más información sobre Internet Explorer 8, consulte Requisitos previos para Internet Explorer en la página 15. Para obtener más información, consulte la Actualización manual de la versión de Firefox en la página 15. Requisitos previos para Internet Explorer Si el nivel de Seguridad de Internet se configura en Alto, aparece una página en blanco después de entrar en Sentinel y el navegador podría bloquear la ventana emergente de descarga de archivos. Para salvar este problema, deberá fijar primero el nivel de seguridad en Medio-alto y luego cambiar a nivel Personalizado de la siguiente manera: 1 Desplácese a Herramientas > Opciones de Internet > pestaña Seguridad y fije el nivel de seguridad en Medio-alto. 2 Asegúrese de que no esté seleccionada la opción Herramientas > Vista de compatibilidad. 3 Desplácese a Herramientas > Opciones de Internet > pestaña Seguridad> Nivel personalizado, luego desplácese a la sección Descargas y elija Habilitar en la opción Pedir intervención del usuario automática para descargas de archivo. Actualización manual de la versión de Firefox Sentinel admite Firefox versiones 5 a 10; sin embargo, el sistema SLES 11 SP1 se envía con Firefox versión 3.6x. Realice los siguientes pasos para actualizar manualmente la instalación de SLES 11 SP1 para que incluya una versión compatible de Firefox: 1 Abra YaST. 2 Seleccione Software > Repositorios de software para mostrar la ventana de Repositorios de software configurados. 3 Haga clic en Añadir para abrir la ventana Tipo de medio. 4 Seleccione la opción para Especificar URL y haga clic en Siguiente. Se mostrará la ventana Dirección URL del repositorio. 5 Introduzca el enlace del Repositorio de software (http://download.opensuse.org/repositories/ mozilla/sle_11/) en el cuadro de texto de dirección URL y luego haga clic en Siguiente. Se descargará el repositorio de software. 6 Haga clic en Aceptar para actualizar el repositorio de software. 7 Haga clic en Gestión de software para abrir la ventana de YaST2. 8 Introduzca Firefox en el cuadro de texto Buscar. Se mostrará la lista de paquetes de Firefox. 9 Seleccione los paquetes necesarios para la versión compatible de Firefox que desea instalar. Cumplimiento de los requisitos del sistema 15
Si selecciona un paquete que está en conflicto con la versión existente, se mostrará un cuadro de diálogo de advertencia. Seleccione la opción que corresponda y luego haga clic en el botón Aceptar. Inténtelo de nuevo. 10 Haga clic en Aceptar. 1.1.5 Estimación de requisitos de almacenamiento de datos Sentinel se utiliza para retener datos en bruto durante un largo período de tiempo con el fin de cumplir los requisitos legales y de otro tipo. Sentinel utiliza compresión para ayudarle a utilizar el espacio de almacenamiento local o de red de forma eficaz. Sin embargo, los requisitos de almacenamiento podrían aumentar de forma significativa transcurrido un largo período de tiempo. Para superar los problemas de limitación de costes de los grandes sistemas de almacenamiento, puede usar sistemas de almacenamiento de datos económicos para almacenar los datos a largo plazo. Los sistemas de almacenamiento basados en cinta representan la solución más común y rentable. No obstante, las cintas no permiten el acceso aleatorio a los datos almacenados, que resulta necesario para realizar búsquedas rápidas. Por ello, resulta recomendable un planteamiento híbrido para el almacenamiento de datos a largo plazo, en el que los datos que se han de buscar están disponibles en un sistema de almacenamiento de acceso aleatorio y los datos que queremos conservar, y no buscar, se guardan en un medio alternativo y económico, como una cinta. Para obtener instrucciones para la aplicación de este planteamiento híbrido, consulte Using Sequential-Access Storage for Long Term Data Storage (Uso de almacenamiento de acceso secuencial para el almacenamiento de datos a largo plazo) en NetIQ Sentinel 7.0.1 Administration Guide (Guía de administración de NetIQ Sentinel 7.0.1). Para determinar la cantidad de espacio de almacenamiento de acceso aleatorio necesario para Sentinel, haga primero una estimación del número de días de datos que necesita buscar con regularidad o sobre los que necesita ejecutar informes. Debe tener suficiente espacio en el disco duro ya sea a nivel local en el equipo de Sentinel o a distancia en el protocolo Server Message Block (SMB) o el protocolo CIFS, el sistema de archivos de red (NFS) o en una SAN para que Sentinel los utilice con fines de archivado de datos. Debe tener el siguiente espacio adicional en el disco duro aparte de los requisitos mínimos: Para acomodar las velocidades de datos superiores a las esperadas. Para copiar datos desde la cinta y de nuevo a Sentinel para realizar búsquedas y generar informes sobre los datos históricos. Utilice las siguientes fórmulas para estimar la cantidad de espacio necesario para almacenar datos: Almacenamiento de eventos local (parcialmente comprimidos): {tamaño medio en bytes por evento} x {número de días} x {eventos por segundo} x 0.00008 = espacio total de almacenamiento (GB) necesario Los tamaños de evento típicos tienen de 300 a 1000 bytes. Almacenamiento de eventos en red (totalmente comprimidos): {tamaño medio en bytes por evento} x {número de días} x {eventos por segundo} x 0.00001 = espacio total de almacenamiento (GB) necesario Almacenamiento de datos en bruto (totalmente comprimidos tanto en almacenamiento local como en red): {tamaño medio en bytes por registro de datos en bruto} x {número de días} x {eventos por segundo} x 0.000003 = espacio total de almacenamiento (GB) necesario El tamaño medio típico de datos en bruto para los mensajes de syslog es de 200 bytes. 16 Guía de instalación y configuración de NetIQ Sentinel 7.0.1
Tamaño total de almacenamiento local (con almacenamiento en red habilitado): {Tamaño de almacenamiento local de eventos para el número de días deseado} + {Tamaño de almacenamiento de datos en bruto durante un día) = Espacio total de almacenamiento (GB) necesario Si está activado el almacenamiento en red, los datos de eventos normalmente se copian al almacenamiento en red al cabo de 2 días. Para obtener más información, consulte Configuring Data Storage (Configuración de almacenamiento de datos) en la NetIQ Sentinel 7.0.1 Administration Guide (Guía de administración de NetIQ Sentinel 7.0.1). Tamaño total de almacenamiento local (con el almacenamiento en red deshabilitado): {Tamaño de almacenamiento local de eventos} + {Tamaño de almacenamiento de datos en bruto para el tiempo de retención) = Espacio total de almacenamiento (GB) necesario Tamaño total de almacenamiento en red: {Tamaño de almacenamiento en red de eventos para el tiempo de retención} + {Tamaño de almacenamiento de datos en bruto para el tiempo de retención} = Espacio total de almacenamiento (GB) necesario NOTE: Los coeficientes de cada fórmula representan ((segundos por día) x (GB por byte) x relación de compresión). Estas cifras son sólo estimaciones y dependen del tamaño de los datos de eventos así como del tamaño de los datos comprimidos. Parcialmente comprimidos significa que los datos están comprimidos, pero no el índice de los datos. Totalmente comprimidos significa que tanto los datos de eventos como los datos del índice están comprimidos. La relación de compresión de los datos de eventos es por lo general de 10:1. La relación de compresión del índice es por lo general de 5:1. El índice se utiliza para optimizar la búsqueda a través de los datos. Puede usar las fórmulas anteriores para determinar cuánto espacio de almacenamiento se requiere para un sistema de almacenamiento de datos a largo plazo, como por ejemplo una cinta. 1.1.6 Estimación de utilización de E/S del disco Utilice las siguientes fórmulas para estimar el nivel de utilización del disco en el servidor a diversas velocidades de EPS. Datos escritos en el disco (kilobytes por segundo): (tamaño medio de eventos en bytes + tamaño medio de datos en bruto en bytes) x (eventos por segundo) x 0,002 coeficiente de compresión = datos escritos por segundo en el disco Por ejemplo, a 500 EPS, para un tamaño medio de eventos de 758 bytes y un tamaño medio de datos en bruto de 490 bytes en el archivo de registro, los datos escritos en el disco se determinan de la siguiente manera: (758 bytes + 490 bytes) x 500 EPS x 0,002 = ~1100 KB Número de peticiones de E/S en el disco (transferencias por segundo): (tamaño medio de eventos en bytes + tamaño medio de datos en bruto en bytes) x (eventos por segundo) x 0,00002 coeficiente de compresión = Peticiones de E/S por segundo en el disco Por ejemplo, a 500 EPS, para un tamaño medio de eventos de 758 bytes y un tamaño medio de datos en bruto de 490 bytes en el archivo de registro, el número de peticiones de E/S por segundo en el disco se determina de la siguiente manera: Cumplimiento de los requisitos del sistema 17
(758 bytes + 490 bytes) x 500 EPS x 0,00002 = ~10 transferencias por segundo Número de bloques escritos por segundo en el disco: (tamaño medio de eventos en bytes + tamaño medio de datos en bruto en bytes) x (eventos por segundo) x 0,003 coeficiente de compresión = Bloques escritos por segundo en el disco Por ejemplo, a 500 EPS, para un tamaño medio de eventos de 758 bytes y un tamaño medio de datos en bruto de 490 bytes en el archivo de registro, el número de bloques escritos por segundo en el disco se determina de la siguiente manera: (758 bytes + 490 bytes) x 500 EPS x 0,003 = ~1800 bloques por segundo Lectura de datos del disco por segundo al realizar una búsqueda: (tamaño medio de eventos en bytes + tamaño medio de datos en bruto en bytes) x (número de eventos que coinciden con una consulta en millones) x 0,40 coeficiente de compresión = kilobytes leídos por segundo del disco Por ejemplo, a 5 millones de eventos coincidentes con la consulta de búsqueda, para un tamaño medio de eventos de 758 bytes y un tamaño medio de datos en bruto de 490 bytes en el archivo de registro, la lectura de datos por segundo en el disco se determina de la siguiente manera: (758 bytes + 490 bytes) x 5 x 0,4 = ~500 KB 1.1.7 Estimación de uso del ancho de banda de la red Utilice las siguientes fórmulas para estimar el uso de ancho de banda de la red entre el servidor Sentinel y el gestor de recopiladores remoto a diferentes números de eventos por segundo (EPS): {tamaño medio de eventos en bytes + tamaño medio de datos en bruto en bytes} x {eventos por segundo} x 0,0003 coeficiente de compresión = ancho de banda de la red en Kbps (kilobits por segundo) Por ejemplo, a 500 EPS para un tamaño medio de eventos de 758 bytes y un tamaño medio de datos en bruto de 490 bytes en el archivo de registro, el uso de ancho de banda de la red se determina de la siguiente manera: (758 bytes + 490 bytes} x 500 EPS x 0,0003 = ~175 Kbps 1.1.8 Entorno virtual Sentinel se ha probado a fondo en servidores VMware ESX y la compatibilidad es total. Al configurar un entorno virtual, los equipos virtuales deben tener 2 o más CPU. Para obtener resultados de rendimiento comparables a los resultados obtenidos en las pruebas con equipos físicos en ESX o en otro entorno virtual, el entorno virtual debe contar con la misma capacidad de memoria, CPU, espacio en disco y opciones de E/S que las recomendaciones para equipos físicos. Para obtener información sobre recomendaciones para equipos físicos, consulte la Sección 1.1, Requisitos del sistema y plataformas compatibles, en la página 11. 1.2 Requisitos del sistema para conectores y recopiladores Cada conector y recopilador tiene sus propios requisitos del sistema y plataformas compatibles. Consulte la documentación del conector y del recopilador en la página Web de módulos auxiliares (plug-ins) de Sentinel (http://support.novell.com/products/sentinel/secure/sentinelplugins.html). 18 Guía de instalación y configuración de NetIQ Sentinel 7.0.1
1.3 Puertos utilizados Sección 1.3.1, Servidor de Sentinel, en la página 19 Sección 1.3.2, Gestor de recopiladores, en la página 20 Sección 1.3.3, Motor de correlación, en la página 21 1.3.1 Servidor de Sentinel Puertos locales Sentinel utiliza los siguientes puertos para la comunicación interna con la base de datos y demás procesos internos: Puertos TCP 5432 TCP 27017 TCP 28017 TCP 32000 Descripción Se utiliza para la base de datos PostgreSQL. No es necesario abrir este puerto por defecto. No obstante, si crea informes utilizando Sentinel SDK, entonces deberá abrir este puerto. Para obtener más información, consulte el sitio Web de SDK de módulos auxiliares (plug-in) de Sentinel (http:// developer.novell.com/wiki/index.php?title=develop_to_sentinel). Se utiliza para la base de datos de configuración Inteligencia de seguridad. Se utiliza para la interfaz Web de la base de datos Inteligencia de seguridad. Se utiliza para la comunicación interna entre el proceso empaquetador (wrapper) y el proceso del servidor. Puertos de red Sentinel utiliza diferentes puertos para la comunicación externa con otros componentes. Para la instalación del dispositivo, los puertos se abren en el cortafuegos por defecto. No obstante, para la instalación estándar, es necesario configurar el sistema operativo en el que va a instalar Sentinel para poder abrir los puertos en el cortafuegos. Para que Sentinel funcione correctamente, asegúrese de que estén abiertos en el cortafuegos los siguientes puertos: Cumplimiento de los requisitos del sistema 19
Puertos TCP 1099 y 2000 TCP 1289 UDP 1514 TCP 8443 TCP 1443 TCP 61616 TCP 10013 TCP 1468 TCP 10014 Descripción Los utilizan conjuntamente las herramientas de supervisión para conectar con el proceso del servidor Sentinel utilizando las Extensiones de gestión de Java (JMX). Se utiliza para las conexiones de Audit. Se utiliza para los mensajes de syslog. Se utiliza para la comunicación de HTTPS. Se utiliza para los mensajes de syslog con SSL cifrado. Se utiliza para la comunicación entre los gestores de recopiladores y el servidor. Utilizados por el Centro de control de Sentinel y Solution Designer. Se utiliza para los mensajes de syslog. Lo utilizan los gestores de recopiladores remotos con el fin de conectar con el servidor a través de un proxy de SSL. Sin embargo, esto es poco común. Por defecto, los gestores de recopiladores remotos utilizan el puerto SSL 61616 para conectar con el servidor. Puertos específicos del dispositivo del servidor Sentinel Además de los puertos anteriores, están abiertos los siguientes puertos en el dispositivo del servidor Sentinel. Puertos TCP 22 TCP 54984 TCP 289 UDP 443 UDP 514 TCP 1290 UDP y TCP 40000-41000 Descripción Se utiliza para el acceso mediante secure shell al dispositivo Sentinel Lo utiliza la consola de gestión del dispositivo de Sentinel (WebYaST). También lo utiliza el dispositivo Sentinel para el servicio de actualización. Se reenvía a 1289 para las conexiones de Audit. Se remite a 8443 para la comunicación HTTPS. Se reenvía a 1514 para los mensajes de syslog. Este es el puerto de Sentinel Link al que se permite conectar a través del cortafuegos de SuSE. Puertos que pueden utilizarse al configurar los servidores de recopilación de datos, como syslog. Sentinel no escucha estos puertos por defecto. 1.3.2 Gestor de recopiladores Puertos de red Para que el gestor de recopiladores de Sentinel funcione correctamente, asegúrese de que estén abiertos en el cortafuegos los siguientes puertos: 20 Guía de instalación y configuración de NetIQ Sentinel 7.0.1
Puertos TCP 1289 UDP 1514 TCP 1443 TCP 1468 TCP 1099 y 2000 Descripción Se utiliza para las conexiones de Audit. Se utiliza para los mensajes de syslog. Se utiliza para los mensajes de syslog con SSL cifrado. Se utiliza para los mensajes de syslog. Los utilizan conjuntamente las herramientas de supervisión para conectar con el proceso del servidor Sentinel utilizando las Extensiones de gestión de Java (JMX). Puertos específicos del dispositivo del gestor de recopiladores Además de los puertos anteriores, los siguientes puertos están abiertos en el dispositivo del gestor de recopiladores de Sentinel. Puertos TCP 22 TCP 54984 TCP 289 UDP 514 TCP 1290 UDP y TCP 40000-41000 Descripción Se utiliza para el acceso mediante secure shell al dispositivo Sentinel Lo utiliza la consola de gestión del dispositivo de Sentinel (WebYaST). También lo utiliza el dispositivo Sentinel para el servicio de actualización. Se reenvía a 1289 para las conexiones de Audit. Se reenvía a 1514 para los mensajes de syslog. Este es el puerto de Sentinel Link al que se permite conectar a través del cortafuegos de SuSE. Puertos que pueden utilizarse al configurar los servidores de recopilación de datos, como syslog. Sentinel no escucha estos puertos por defecto. 1.3.3 Motor de correlación Puertos de red Para que el motor de correlación de Sentinel funcione correctamente, asegúrese de que los siguientes puertos estén abiertos en el cortafuegos: Puertos TCP 1099 y 2000 Descripción Los utilizan conjuntamente las herramientas de supervisión para conectar con el proceso del servidor Sentinel utilizando las Extensiones de gestión de Java (JMX). Puertos específicos del dispositivo del motor de correlación Además de los puertos anteriores, los siguientes puertos están abiertos en el dispositivo del motor de correlación de Sentinel. Cumplimiento de los requisitos del sistema 21
Puertos TCP 22 TCP 54984 Descripción Se utiliza para el acceso mediante secure shell al dispositivo Sentinel Lo utiliza la consola de gestión del dispositivo de Sentinel (WebYaST). También lo utiliza el dispositivo Sentinel para el servicio de actualización. 22 Guía de instalación y configuración de NetIQ Sentinel 7.0.1
2 2Instalación de Sentinel Sentinel puede instalarse como instalación independiente o como dispositivo. El instalador independiente instala Sentinel en un sistema operativo SUSE Linux Enterprise Server (SLES) 11 SP1 o Red Hat Enterprise Linux (RHEL) 6 existente. El instalador del dispositivo instala tanto el sistema operativo SLES 11 SP1 de 64 bits como Sentinel. En esta sección se describe el procedimiento para una instalación independiente del servidor Sentinel en un sistema SLES 11 SP1 o en RHEL 6. Para realizar una instalación como dispositivo, consulte el Capítulo 5, Instalación del dispositivo, en la página 41. Sección 2.1, Métodos de instalación, en la página 23 Sección 2.2, Antes de empezar, en la página 24 Sección 2.3, Opciones de instalación, en la página 25 Sección 2.4, Instalación interactiva, en la página 26 Sección 2.5, Instalación silenciosa, en la página 29 Sección 2.6, Instalación de Sentinel como usuario diferente de root, en la página 30 Sección 2.7, Modificación de la configuración después de la instalación, en la página 31 2.1 Métodos de instalación Para la instalación independiente, hay disponibles los siguientes métodos: Interactivo: la instalación se lleva a cabo con datos que introduce el usuario. Durante la instalación, puede registrar opciones de instalación (valores introducidos por el usuario o valores por defecto) en un archivo, que posteriormente puede utilizarse para una instalación silenciosa. Silencio: puede usar esta opción si se han registrado previamente las opciones de instalación. La instalación silenciosa se refiere al archivo que tiene los datos de instalación registrados y realiza la instalación con los valores capturados en el archivo. La instalación silenciosa es efectiva cuando desea instalar numerosas réplicas de la misma configuración en su entorno. Para obtener más información, consulte Sección 2.5, Instalación silenciosa, en la página 29. Tanto la instalación interactiva como silenciosa de Sentinel pueden realizarse como usuario root o como usuario diferente de root. Sección 2.1.1, Instalación estándar y personalizada, en la página 24 Sección 2.1.2, Componentes instalados, en la página 24 Instalación de Sentinel 23
2.1.1 Instalación estándar y personalizada Al instalar Sentinel, tiene a su disposición las siguientes configuraciones: Estándar: en esta configuración, la instalación utiliza valores por defecto para establecer la configuración. Sólo se requiere la intervención del usuario para introducir la contraseña. Para obtener más información sobre la instalación de Sentinel con la configuración estándar, consulte la Sección 2.4.1, Configuración estándar, en la página 26. Personalizada: en esta configuración, la instalación le indica que especifique valores para establecer la configuración. Puede seleccionar valores por defecto o especificar los valores necesarios. Para obtener más información sobre la instalación de Sentinel con una configuración personalizada, consulte la Sección 2.4.2, Configuración personalizada, en la página 27. Configuración estándar Se instala con una clave de evaluación por defecto de 90 días. Permite especificar la contraseña del administrador y utiliza esta contraseña como contraseña por defecto tanto para el usuario dbauser como appuser. Instala los puertos por defecto para todos los componentes. Autentica los usuarios con la base de datos interna. Configuración personalizada Le permite realizar la instalación con una clave de licencia de 90 días o con una clave de licencia válida. Permite especificar la contraseña del administrador. Para dbauser y appuser, puede especificar una contraseña nueva o usar la contraseña del administrador. Le permite especificar puertos para diferentes componentes. Ofrece la opción de autenticar usuarios con la base de datos interna o mediante autenticación LDAP. 2.1.2 Componentes instalados Existen numerosos componentes en Sentinel. Todos los componentes siguientes se instalan por defecto: Servidor de Sentinel Motor de correlación Gestor de recopiladores Es posible instalar motores de correlación y gestores de recopiladores adicionales en diferentes sistemas. 2.2 Antes de empezar Verifique que haya realizado las siguientes tareas antes de iniciar la instalación: Verifique que el hardware y el software cumplen los requisitos del sistema enumerados en la Sección 1.1, Requisitos del sistema y plataformas compatibles, en la página 11. Si había una instalación previa de Sentinel, asegúrese de que no queden archivos ni ajustes del sistema de una instalación anterior. Para obtener más información, consulte la Parte V, Desinstalación, en la página 99. 24 Guía de instalación y configuración de NetIQ Sentinel 7.0.1
Para obtener un rendimiento, estabilidad y fiabilidad óptimos del servidor Sentinel, utilice el archivo ext3 en SLES y el archivo ext4 en RHEL. Para obtener más información sobre los sistemas de archivos, consulte Overview of File Systems in Linux (http://www.novell.com/ documentation/sles11/stor_admin/data/filesystems.html) (Descripción de los sistemas de archivos en Linux) en la Storage Administration Guide (Guía de administración del almacenamiento). Configure los ajustes de red de manera que el sistema tenga una dirección IP y un nombre de host válidos. Obtenga su clave de licencia del Centro de atención al cliente de Novell (https://securewww.novell.com/center/icslogin/?%22https://secure-www.novell.com/center/regadmin/jsps/ home_app.jsp%22) si piensa instalar la versión con licencia. Sincronice el tiempo utilizando el protocolo de tiempo de red (NTP). Asegúrese de que los puertos enumerados en la Sección 1.3, Puertos utilizados, en la página 19 estén abiertos en el cortafuegos. Para obtener un rendimiento óptimo, los ajustes de memoria deben ser adecuados para la base de datos PostgreSQL: El parámetro SHMMAX debe ser mayor o igual que 1073741824. Para establecer el valor adecuado, añada la siguiente información al final del archivo /etc/sysctl.conf: # for Sentinel Postgresql kernel.shmmax=1073741824 Para realizar una instalación mínima o sin GUI, el sistema operativo del servidor Sentinel debe incluir al menos los componentes del Servidor base del servidor SLES o del servidor RHEL 6. Sentinel requiere las versiones de 64 bits de los siguientes RPM: bash bc coreutils glibc grep libgcc libstdc lsof net-tools openssl python-libs sed zlib 2.3 Opciones de instalación./install-sentinel --help muestra las siguientes opciones: Instalación de Sentinel 25
Opciones Valor Descripción --location Directorio Especifica un directorio diferente de root (/) para instalar Sentinel. -m, --manifest Nombre de archivo Especifica un archivo de inventario del producto que se utilizará en lugar del archivo de inventario por defecto. --no-configure -n, --no-start Especifica que no se debe configurar el producto después de la instalación. Especifica que no se debe iniciar o reiniciar Sentinel después de la instalación o configuración. -r, --recordunattended Nombre de archivo Especifica un archivo para registrar los parámetros que se pueden utilizar para una instalación sin supervisión. -u, --unattended Nombre de archivo Utiliza parámetros del archivo especificado para instalar Sentinel en sistemas sin supervisión. -h, --help Muestra las opciones que se pueden utilizar al instalar Sentinel. -l, --log-file Nombre de archivo Registra los mensajes del registro en un archivo. --no-banner -q, --quiet -v, --verbose Anula la visualización de un mensaje de banda. Muestra menos mensajes. Muestra todos los mensajes durante la instalación. 2.4 Instalación interactiva Sección 2.4.1, Configuración estándar, en la página 26 Sección 2.4.2, Configuración personalizada, en la página 27 2.4.1 Configuración estándar 1 Descargue el archivo de instalación de Sentinel de la página Web de descargas de Novell (http:/ /download.novell.com/index.jsp): 1a En el campo Product or Technology (Producto o Tecnología), examine y seleccione SIEM- Sentinel. 1b Haga clic en Buscar. 1c Haga clic en el botón de la columna Download (Descargar) para obtener una versión de Evaluación de Sentinel 7.0. 1d Haga clic en proceed to download (continuar con la descarga), y luego especifique su nombre de usuario y contraseña. 1e Haga clic en download (descargar) para obtener la versión de instalación de su plataforma. 2 Especifique en la línea de comandos el siguiente comando para extraer el archivo de instalación. tar zxvf <install_filename> Reemplace <nombre de archivo_instalación> por el nombre real del archivo de instalación. 3 Acceda al directorio en el que ha extraído el instalador: 26 Guía de instalación y configuración de NetIQ Sentinel 7.0.1
cd sentinel_server-7.0.0.0.x86_64 4 Especifique el siguiente comando para instalar Sentinel:./install-sentinel O bien Si desea instalar Sentinel en más de un sistema, puede registrar sus opciones de instalación en un archivo. Puede utilizar este archivo para una instalación de Sentinel sin supervisión en otros sistemas. Para registrar sus opciones de instalación, especifique el siguiente comando:./install-sentinel -r <response_filename> 5 Especifique el número del idioma que desea utilizar para la instalación y luego pulse Intro. El acuerdo de licencia de usuario final se muestra en el idioma seleccionado. 6 Pulse la barra espaciadora para leer todo el acuerdo de licencia. 7 Introduzca yes o y para aceptar la licencia y continuar con la instalación. La instalación puede tardar unos segundos en cargar los paquetes de instalación y solicitar el tipo de configuración. 8 Cuando se le indique, especifique 1 para continuar con la configuración estándar. La instalación continúa con la clave de licencia de evaluación de 90 días incluida en el instalador. Esta clave de licencia activa todo el conjunto de funciones del producto durante un período de prueba de 90 días. En cualquier momento durante el período de prueba o después, puede sustituir la licencia de evaluación por una clave de licencia que haya adquirido. 9 Especifique la contraseña del usuario administrador admin. 10 Confirme la contraseña de nuevo. Esta contraseña la utilizan los usuarios admin, dbauser y appuser. La instalación de Sentinel finaliza y se inicia el servidor. Puede tardarse unos segundos en iniciar todos los servicios después de la instalación porque el sistema realiza una inicialización única. Espere a que termine la instalación antes de entrar en el servidor. Para acceder a la interfaz Web de Sentinel, especifique la siguiente dirección URL en el navegador Web: https://<ip_address_sentinel_server>:8443. El valor <dirección_ip_servidor_sentinel> es la dirección IP o el nombre de DNS del servidor Sentinel y 8443 es el puerto por defecto del servidor Sentinel. 2.4.2 Configuración personalizada Si va a instalar Sentinel con una configuración personalizada, puede especificar la clave de licencia, cambiar la contraseña para diferentes usuarios y especificar valores para puertos diferentes que se utilizan para interactuar con los componentes internos. 1 Descargue el archivo de instalación de Sentinel de la página Web de descargas de Novell (http:/ /download.novell.com/index.jsp): 1a En el campo Product or Technology (Producto o Tecnología), examine y seleccione SIEM- Sentinel. 1b Haga clic en Buscar. Instalación de Sentinel 27