()16April2010 安装指南 Novell® SentinelLogManager 1.1 July08,2010 SentinelLogManager1.1安装指南 novdocx()16April2010 法律声明 Novell,Inc.对本文档的内容或使用不作任何声明或保证，特别是对适销性或用于任何特定目的的适用性不作任何明示或暗示保证。
另外，Novell,Inc.保留随时修改本出版物及其内容的权利，并且没有义务将这些修改通知任何个人或实体。
Novell,Inc.对任何软件不作任何声明或保证，特别是对适销性或用于任何特定目的的适用性不作任何明示或暗示保证。
另外，Novell,Inc.保留随时修改Novell软件全部或部分内容的权利，并且没有义务将这些修改通知任何个人或实体。
依据本协议提供的任何产品或技术信息都将受到美国出口控制和其他国家/地区的贸易法律的约束。
您同意遵守所有出口控制法规，并同意在出口、再出口或进口可交付产品之前取得所有必要的许可证或分类证书。
您同意不出口或再出口至当前美国出口排除列表上所列的实体，或者美国出口法律中规定的任何被禁运的国家/地区或支持恐怖主义的国家/地区。
您同意不将可交付产品用于禁止的核武器、导弹或生物化学武器的最终用途。
有关出口Novell软件的详细讯息，请访问NovellInternationalTradeServices网页(http:///info/exports/)。
如果您未能获得任何必要的出口许可，Novell对此不负任何责任。
版权所有©2009-2010Novell,Inc.保留所有权利。
未经出版商的明确书面许可，不得复制、影印、传送此出版物的任何部分或将其储存在检索系统上。
Novell,Inc.404WymanStreet,Suite500Waltham,MA02451U.S.A. 联机文档：要访问该Novell产品及其他Novell产品的最新联机文档，请参见Novell文档网页(http:///documentation)。
novdocx()16April2010 Novell商标 有关Novell商标，请参见Novell商标和服务标记列表(pany/legal/trademarks/tmlist.html)。
第三方资料 所有第三方商标均属其各自所有者的财产。
novdocx()16April2010 4SentinelLogManager1.1安装指南 novdocx()16April2010 目录 关于本指南
7 1简介
9 1.1产品概述.....................................9 1.1.1事件源.................................111.1.2事件源管理...............................111.1.3数据收集................................121.1.4收集器管理器..............................131.1.5数据储存................................131.1.6搜索和报告...............................131.1.7Sentinel链接..............................131.1.8基于Web的用户界面...........................141.2安装概述....................................14 2系统要求 15 2.1硬件要求....................................15 2.1.1SentinelLogManager服务器.......................152.1.2收集器管理器服务器...........................162.1.3数据储存要求评估............................162.1.4虚拟环境................................172.2支持的操作系统.................................17 2.2.1SentinelLogManager................................................172.2.2收集器管理器..............................182.3支持的浏览器..................................18 2.3.1Linux.............................................................182.3.2Windows..........................................................182.4受支持的虚拟环境................................18 2.5受支持的连接器.................................19 2.6支持的事件源..................................19 3在现有的SLES11系统上进行安装 23 3.1开始之前的准备工作...............................233.2标准安装....................................243.3自定义安装...................................243.4无提示安装...................................263.5非根安装....................................27 4安装设备 29 4.1开始之前的准备工作...............................294.2使用的端口...................................29 4.2.1在防火墙中打开的端口..........................294.2.2本地使用的端口.............................304.3安装VMware设备................................304.4安装Xen设备..................................314.5在硬件上安装设备................................334.6设备的安装后设置................................34 目录
5 novdocx()16April2010 4.7配置WebYaST.............................................................344.8注册更新....................................36 5登录到Web界面 39 6升级SentinelLogManager 43 6.1从1.0升级到1.1...........................................................436.2升级收集器管理器................................446.3从1.0到1.1设备迁移..............................44 7安装附加收集器管理器。
47 7.1开始之前的准备工作...............................477.2附加收集器管理器的优势.............................477.3安装附加收集器管理器。
.............................47 8卸装SentinelLogManager 49 8.1卸装设备....................................49 8.2从现有SLES11系统卸装.............................49 8.3卸装收集器管理器................................49 8.3.1卸装Linux收集器管理器.........................498.3.2卸装Windows收集器管理器........................508.3.3手动清理目录..............................50 A排查安装错误 51 A.1因为错误网络配置导致安装失败..........................51A.2在SLES11上使用VMwarePlayer3配置网络问题................................51A.3升级以非根用户而非Novell用户身份安装的LogManager...........................52 Sentinel技术 53 6SentinelLogManager1.1安装指南 novdocx()16April2010 关于本指南 本指南提供NovellSentinelLogManager及其安装的概述。
Š第1章“简介”（第9页）Š第2章“系统要求”（第15页）Š第3章“在现有的SLES11系统上进行安装”（第23页）Š第4章“安装设备”（第29页）Š第5章“登录到Web界面”（第39页）Š第6章“升级SentinelLogManager”（第43页）Š第7章“安装附加收集器管理器。
”（第47页）Š第8章“卸装SentinelLogManager”（第49页）Š附录A“排查安装错误”（第51页）ŠSentinel技术（第53页） 适用对象本指南适用于NovellSentinelLogManager管理员和最终用户。
反馈我们希望听到您对本手册和本产品中包含的其他文档的意见和建议。
请使用联机文档各页底部的“用户注释”功能，或转到Novell文档反馈网站(/documentation/feedback.html)，并在该处输入您的注释。
其他文档有关构建个人插件（例如，JasperReports）的详细信息，请访问SentinelSDK网页(/wiki/index.php/Develop_to_Sentinel)。
SentinelLogManager报告插件的构建环境与NovellSentinel存档的内容相同。
有关Sentinel文档的详细信息，请参考Sentinel文档网站(/documentation/sentinel61/index.html)。
有关配置SentinelLogManager的补充文档，请参阅《SentinelLogManager1.1管理指南》。
联系NovellŠNovell网站()ŠNovell技术支持(?
sourceidint=suplnav4_phonesup)ŠNovell自我支持(/support_options.html?
sourceidint=suplnav_supportprog)Š增补程序下载站点(/index.jsp)ŠNovell24x7支持() 关于本指南
7 novdocx()16April2010 ŠSentinelTIDS(/products/sentinel)ŠSentinel社区支持论坛(/novell-product-support-forums/sentinel/) 8SentinelLogManager1.1安装指南 novdocx()16April2010 1简介 NovellSentinelLogManager从各种设备和应用程序收集并管理数据，包括入侵检测系统、防火墙、操作系统、路由器、Web服务器、数据库、交换机、大型机和防病毒事件源。
NovellSentinelLogManager为各种应用程序和设备提供高事件率处理、长期数据保留、基于策略的数据保留、区域数据集合以及简单的搜索和报告功能。
Š第1.1节“产品概述”（第9页）Š第1.2节“安装概述”（第14页） 1.1产品概述 NovellSentinelLogManager1.1向组织提供了一个灵活和可缩放的日志管理解决方案。
NovellSentinelLogManager是一个解决基本日志收集和管理难题的日志管理解决方案，它还提供了一个完整的解决方案，专门用于降低风险控制成本及复杂性，同时简化合规要求。

1 简介
9 novdocx()16April2010 图1-1NovellSentinelLogManager体系结构 LogManagerAppliance 揜函㟿㗽ㄢ3RVWJUH64/ 勣㧉ℚↅⷧ⌷ ⷧ㫲ℚↅⷧ⌷ 幍⮖ 6/(
6 +38; (QWHUDV\V'UDJRQ 7ULSZLUH ,%0$,;&KHFN3RLQW,36&LVFR棁䋺⬨ ⒕◉☮ⱚ㟿㗽 ℚↅℚↅ侱ㆤ ⒕◉☮ⱚ㟿㗽 ℚↅℚↅ侱ㆤ NFSCIFS 㚫侱 ෼۠N-2(zip) ⒕◉1]LS ⒕◉
1]LS 㚫侱 㟿㗽㟅楕㦜┰ ವℚↅ䄟丰䚕ವ抩拢 㟿㗽幎桽㦜┰ ವ揜函ವ䞷㓆丰䚕 㔴⛙㦜┰-DVSHU ವ㔴⛙ⷧ⌷ವ㔴⛙㓶嫛 ℚↅ㦜┰ ፺‫ࡧ‬ ವℚↅ☮ⱚ㟿㗽⌷ⷧವℚↅ㚫侱ವⷧ㫲 66/ⅲ䚕 帾㋾㋊兎$FWLYH04 SSL7RPFDW6HUYOHW⹈⣷ SSL&ROOHFWRU0DQDJHU/LWH 扫䲚抩帾 *:7-63 SSL⸱㓆䵾 https (606ZLQJ
8, -DYD:HE6WDUW )LUHIR[,QWHUQHW([SORUHU 10SentinelLogManager1.1安装指南 novdocx()16April2010 NovellSentinelLogManager具有以下功能： Š使用分布式搜索功能，客户不仅可以在本地SentinelLogManager服务器上搜索收集的事件，还可以从一台集中式控制台中的一台或多台SentinelLogManager服务器上进行搜索。
Š预置合规报告，可为审核或取证分析简化生成合规报告任务。
Š通过非专有储存技术，客户可充分利用其现有的基础设施，从而进一步控制成本。
Š增强的基于浏览器的用户界面，支持收集、储存、报告和搜索日志数据，极大地简化了 监视和管理任务。
Š通过新建组和用户权限功能实现IT管理员的粒度和高效控制及自定义，提高IT基础设 施活动的透明度。
本节包括以下信息： Š第1.1.1节“事件源”（第11页）Š第1.1.2节“事件源管理”（第11页）Š第1.1.3节“数据收集”（第12页）Š第1.1.4节“收集器管理器”（第13页）Š第1.1.5节“数据储存”（第13页）Š第1.1.6节“搜索和报告”（第13页）Š第1.1.7节“Sentinel链接”（第13页）Š第1.1.8节“基于Web的用户界面”（第14页） 1.1.1事件源 NovellSentinelLogManager从事件源中收集数据，这些事件源可将日志生成到syslog、Windows事件日志、文件、数据库、SNMP、NovellAudit、安全性设备事件交换(SDEE)、安全性检查点开放平台(OPSEC)和其他储存机制和协议。
若有合适的连接器解析来自这些事件源的数据，那么SentinelLogManager可支持所有事件源。
NovellSentinelLogManager提供许多事件源的收集器。
普通事件收集器从拥有合适连接器的未识别的事件源收集和处理数据。
您可以使用事件源管理界面为数据收集配置事件源。
有关受支持事件源的完整列表，请参阅第2.6节“支持的事件源”（第19页）。
1.1.2事件源管理 事件源管理界面可使您导入和配置Sentinel6.0和6.1连接器和收集器。
您可以通过事件源管理窗口的实时视图执行以下任务： Š通过使用配置向导，添加或编辑到事件源的连接。
Š查看到事件源的连接的实时状态。
Š将事件源配置导入至实时视图，或从实时视图导出事件源配置。
Š查看并配置随Sentinel安装的连接器和收集器。
Š从集中式储存库中导入连接器和收集器，或将连接器和收集器导出至集中式储存库。
简介11 novdocx()16April2010 Š通过配置的收集器和连接器监视数据流。
Š查看原始数据信息。
Š设计、配置和创建事件源层次的组件，并使用这些组件执行所需操作。
有关详细信息，请参阅《Sentinel用户指南》(/documentation/sentinel61/#admin)的“事件源管理”部分。
1.1.3数据收集 NovellSentinelLogManager通过连接器和收集器的帮助从已配置的事件源收集数据。
收集器是将各种事件源的数据解析为标准Sentinel事件结构的脚本，或在一些情况从外部数据源收集其他形式的数据。
每个收集器应与一个兼容的连接器一起部署。
连接器实现了SentinelLogManager收集器和事件或数据源之间的连接。
NovellSentinelLogManager为syslog和NovellAudit提供了增强的基于Web的用户界面支持，可轻松地从不同的事件源收集日志。
NovellSentinelLogManager会使用各种连接方式来收集数据：ŠSyslog连接器自动接受和配置通过用户数据报协议(UDP)、传送控制协议(TCP)或安全传输层系统(TLS)发送数据的syslog数据源。
Š审计连接器自动接受和配置启用审计的Novell数据源。
Š文件连接器读取日志文件。
ŠSNMP连接器接收SNMP陷阱。
ŠJDBC连接器从数据库表进行读取。
ŠWMS连接器访问台式机和服务器上的Windows事件日志。
ŠSDEE连接器连接支持SDEE协议的设备（如Cisco设备）。
Š检查点日志导出API(LEA)连接器在Sentinel收集器和检查点防火墙服务器之间实现集成。
ŠSentinel链接连接器接受来自其他NovellSentinelLogManager服务器的数据。
Š进程连接器接受来自输出事件日志的自编进程的数据。
您也可以购买一个附加许可证，以下载SAP和大型机操作系统的连接器。
要获取许可证，可拨打电话1-800-529-3400，或联系Novell技术支持()。
有关配置连接器的详细信息，请参阅位于Sentinel内容网站(/products/sentinel/sentinel61.html)的连接器文档。
有关配置数据收集的详细信息，请参阅《SentinelLogManager1.1管理指南》中的“配置数据收集”。
注释：您必须始终下载和导入最新版本的收集器和连接器。
更新的收集器和连接器将定期发布到Sentinel6.1内容网站()。
连接器和收集器的更新包括修复、附加事件支持和性能改进。
12SentinelLogManager1.1安装指南 novdocx()16April2010 1.1.4收集器管理器 收集器管理器为SentinelLogManager提供一个灵活的数据收集点。
NovellSentinelLogManager在安装时将在默认情况下安装一个收集器管理器。
但是，您可以在您的网络中的合适位置远程安装收集器管理器，这些远程收集器管理器将运行连接器和收集器，并将收集的数据转发到NovellSentinelLogManager，以便储存和处理。
有关安装附加收集器管理器的信息，请参阅安装附加收集器管理器。
（第47页）。
1.1.5数据储存 数据从数据收集组件流向数据储存组件。
这些组件使用一个基于文件的数据储存和索引系统保存收集的设备日志数据，使用一个PostgreSQL数据库保存NovellSentinelLogManager配置数据。
数据以压缩格式储存在服务器文件系统上，然后储存到配置的位置以长期储存。
数据可以储存到本地，也可以储存在远程安装的SMB(CIFS)或NFS共享上。
数据文件基于数据保留策略中配置的时间表从本地和网络储存位置中删除。
若特定数据的数据保留时间已超过限制或可用空间降到指定磁盘空间值以下，您可以配置数据保留策略以从储存位置删除数据。
有关配置数据储存的详细信息，请参阅“《SentinelLogManager1.1管理指南》”中的配置数据储存。
1.1.6搜索和报告 搜索和报告组件帮助您在本地和网络数据储存和索引系统中搜索和报告事件日志数据。
储存的事件数据可以进行一般搜索或针对特定事件字段（如源用户名）进行搜索。
这些搜索结果可以进一步精确或筛选，并作为报告模板保存供以后使用。
SentinelLogManager带有预装报告。
您也可以上载附加报告。
您可以按时间表或必要时运行报告。
关于默认报告列表的信息，请参阅《SentinelLogManager1.1管理指南》中的“报告”。
有关搜索事件和生成报告的信息，请参阅《SentinelLogManager1.1管理指南》中的“搜索”和“报告”。
1.1.7Sentinel链接 Sentinel链接可用于在两个SentinelLogManager之间转发事件数据。
使用一组分级的SentinelLogManager，可以在多个区域位置保留完整的日志，同时将比较重要的事件转发至某个单独的SentinelLogManager以进行集中搜索和报告。
此外，Sentinel链接可以将重要事件转发至NovellSentinel（一套完整的安全信息事件管理(SIEM)系统），从而实现高级关联、事件更新、高价值背景信息（例如，服务器危急程度或来自身份管理系统的身份信息）注入。
简介13 novdocx()16April2010 1.1.8基于Web的用户界面 NovellSentinelLogManager带有一个基于Web的用户界面，以配置和使用LogManager。
用户界面功能由Web服务器和一个基于JavaWebStart的图形用户界面提供。
所有用户界面通过使用一个加密连接与服务器进行通信。
您可以使用NovellSentinelLogManagerWeb界面执行以下任务： Š搜索事件Š将搜索准则另存为报告模板Š查看和管理报告Š起动事件源管理界面以为数据源而非syslog和Novell应用程序配置数据收集。
（仅管理 员）Š配置数据转发（仅管理员）Š为远程安装下载Sentinel收集器管理器安装程序（仅管理员）Š查看事件源的健康状态（仅管理员）Š为syslog和Novell数据源配置数据收集（仅管理员）Š配置数据储存并查看数据库的状态（仅管理员）Š配置数据存档（仅管理员）Š配置关联操作以将匹配事件数据发送到输出通道（仅管理员）Š管理用户帐户和许可权限（仅管理员） 1.2安装概述 NovellSentinelLogManager可以作为设备安装，也可安装在现有的SUSELinuxEnterpriseServer(SLES)11操作系统上。
若SentinelLogManager作为设备安装，LogManager服务器则安装在SLES11操作系统上。
默认情况下，NovellSentinelLogManager安装以下组件： ŠSentinelLogManager服务器Š通信服务器ŠWeb服务器和基于Web的用户界面Š报告服务器Š收集器管理器部分这些组件需要附加配置。
默认情况下，NovellSentinelLogManager将安装一个收集器管理器。
若您想要附加的收集器管理器，您可以在远程计算机上单独进行安装。
有关详细信息，请参阅第7章“安装附加收集器管理器。
”（第47页）。
14SentinelLogManager1.1安装指南 novdocx()16April2010 2系统要求 以下部分描述NovellSentinelLogManager的硬件、操作系统、浏览器、受支持连接器和事件源兼容性要求。
Š第2.1节“硬件要求”（第15页）Š第2.2节“支持的操作系统”（第17页）Š第2.3节“支持的浏览器”（第18页）Š第2.4节“受支持的虚拟环境”（第18页）Š第2.5节“受支持的连接器”（第19页）Š第2.6节“支持的事件源”（第19页） 2.1硬件要求 Š第2.1.1节“SentinelLogManager服务器”（第15页）Š第2.1.2节“收集器管理器服务器”（第16页）Š第2.1.3节“数据储存要求评估”（第16页）Š第2.1.4节“虚拟环境”（第17页） 2.1.1SentinelLogManager服务器 NovellSentinelLogManager支持64位IntelXeon和AMDOpteron处理器，但不支持Itanium处理器。
注释：这些要求针对平均事件大小为300字节。
保留90天在线数据的生产系统建议满足以下硬件要求： 表2-1SentinelLogManager硬件要求 要求 压缩最大事件源数量最大事件率CPU SentinelLogManager(500EPS) SentinelLogManager(2500SentinelLogManager(7500 EPS) EPS) 高达10:
1 高达10:
1 最多1000 最多1000 500 2500 一个IntelXeonE5450一个IntelXeonE545033-GHz（4核）CPUGHz（4核）CPU 或 或 两个IntelXeonL5240两个IntelXeonL524033-（2核）CPU（共4（2核）CPU（共4核）核） 高达10:
1 最多2000 7500 两个IntelXeonX54703.33GHz（4核）CPU（共8核）
2 系统要求15 novdocx()16April2010 要求 随机存取存储器(RAM)储存 SentinelLogManager(500EPS) 4GB SentinelLogManager(2500SentinelLogManager(7500 EPS) EPS) 4GB 8GB 2个500GB，72002个1TB，7200RPM驱RPM驱动器（硬件动器（硬件RAID带256RAID带256MB缓存，MB缓存，RAID1）RAID1） 6个450GB，15000RPM驱动器（硬件RAID带512MB缓存，RAID10） 注释： Š一台计算机可以包括多个事件源。
例如，一台Windows服务器可以包括两个Sentinel事件源，因为您想从Windows操作系统以及托管在该服务器的SQLServer数据库收集数据。
Š您必须将网络储存位置设置到一个外部多驱动器储存网络区域(SAN)或网络附属储存(NAS)上。
Š推荐的稳态量是最大许可的EPS的80%。
若达到此限制，Novell建议您添加附加SentinelLogManager实例。
注释：最大事件源限制不是硬限制，而是基于Novell进行的性能测试和假定每个事件源每秒处于低平均事件率（小于3EPS）。
高EPS率将导致低可持续最大事件源。
可使用等式（最大事件源）x（每个事件源平均EPS）=最大事件率算出特定的平均EPS率或事件源数的大致限制，只要最大事件源数不超过上面指定的限制。
2.1.2收集器管理器服务器 ‰一个IntelXeonL52403-GHz（2核CPU）‰256MBRAM ‰10GB可用磁盘空间。
2.1.3数据储存要求评估 SentinelLogManager用于长期保留原始数据，以遵守法律和其他要求。
SentinelLogManager采用压缩形式以帮助您高效使用本地和网络储存空间。
但是随着时间增长，储存要求将变得严重起来。
要克服大型储存系统的成本限制问题，您可以使用经济有效的数据储存系统来长期储存数据。
基于磁带的储存系统是最常见并且经济有效的解决方案。
但是，磁带不允许随机访问已储存的数据，而要执行快速搜索则必须支持随机访问。
因此，希望有一种长期储存数据的混合方式，其中需要搜索的数据位于随机访问储存系统上，而需要保留且不搜索的数据保存到经济有效的备用系统上，如磁带。
有关部署这种混合方式的说明，请参阅《SentinelLogManager1.1管理指南》中的“对长期数据储存使用顺序存取储存”。
要确定SentinelLogManager所需的随机存取储存空间的大小，首先估计您需要对多少天的数据执行定期搜索或运行报告。
您应当在本地SentinelLogManager计算机上拥有足够的硬盘空间，或者在远程ServerMessageBlock(SMB)协议、CIFS协议、网络文件系统(NFS)或SAN上拥有足够空间，以用于SentinelLogManager储存数据。
16SentinelLogManager1.1安装指南 novdocx()16April2010 您也应当拥有以下超出您的最低要求的附加硬盘空间。
Š考虑到高于预期的数据率。
Š要将数据从磁带复制回SentinelLogManager，以在历史数据上执行搜索和报告。
使用以下公式估计储存数据所需的空间大小：Š事件数据储存大小：{天数}x{每秒事件数}x{平均事件字节大小}x0.000012=所需的储存大小（以GB为单位）事件大小通常为300-1000字节。
Š原始数据储存大小：{天数}x{每秒事件数}x{平均原始数据字节大小}x0.000012=所需的储存大小（以GB为单位）syslog讯息的平均原始数据大小通常是200字节。
Š总储存字节：({事件平均字节大小}+{原始数据平均字节大小})x{天数}x{每秒事件数}x0.000012=所需的总储存大小（以GB为单位） 注释：这些数字仅仅是基于您的事件数据大小和压缩数据的大小而所做的估计。
以上公式计算出在外部储存系统上储存完全压缩的数据所需的最低储存空间。
当本地储存装满时，SentinelLogManager将数据从本地（部分压缩）压缩并移动到外部（完全压缩）储存系统中。
因此，估计外部储存空间需求对于数据保留变得至关重要。
要为最近的数据改善搜索和报告性能，您可以将本地储存空间提高到SentinelLogManager的硬件要求以上；但是并不要求这样做。
您还可以使用以上公式确定长期数据储存系统（如磁带）所需的储存空间。
2.1.4虚拟环境 SentinelLogManager经过广泛测试，完全支持VMwareESX服务器。
虚拟环境中的性能结果类似于在物理计算机上获取的测试结果，但是虚拟环境应提供与物理计算机上建议的相同的内存、CPU、磁盘空间和I/O。
2.2支持的操作系统 本部分包含SentinelLogManager服务器和远程收集器管理器的受支持操作系统的信息。
Š第2.2.1节“SentinelLogManager”（第17页）Š第2.2.2节“收集器管理器”（第18页） 2.2.1SentinelLogManager 本部分仅当将在现有的操作系统上安装SentinelLogManager时适用。
‰64位SUSELinuxEnterpriseServer11。
‰高性能文件系统。
注释：所有Novell测试都使用ext3文件系统进行。
系统要求17 novdocx()16April2010 2.2.2收集器管理器 您可以在以下操作系统上安装附加收集器管理器：ŠLinux（第18页）ŠWindows（第18页） Linux‰SUSELinuxEnterpriseServer10SP2（32位和64位）‰SUSELinuxEnterpriseServer11（32位和64位） Windows‰WindowsServer2003（32位和64位）‰WindowsServer2003SP2（32位和64位）‰WindowsServer2008（64位） 2.3支持的浏览器 SentinelLogManager界面在以下受支持的浏览器上对1280x1024或更高分辨率显示进行了优化： Š第2.3.1节“Linux”（第18页）Š第2.3.2节“Windows”（第18页） 2.3.1Linux ‰MozillaFirefox3.6 2.3.2Windows ‰MozillaFirefox3（3.6最佳）‰MicrosoftExplorer8（8.0最佳） Explorer8的先决条件Š若安全级别设置为高，在登录到NovellSentinelLogManager以后将仅显示空白页。
要解决此问题，请导航到工具>选项>安全选项卡>可信站点。
单击站点按钮，将SentinelLogManager网站添加到受信任站点列表。
Š确保工具>兼容性视图选项未选中。
Š若文件下载的自动提示选项未启用，浏览器可能阻止文件下载弹出窗口。
要解决此问题，导航到工具>选项>安全选项卡>自定义级别，然后向下拖动到下载部分，选择启用以启用文件下载的自动提示选项。
2.4受支持的虚拟环境 ‰VMwareESX/ESXi3.5/4.0或更高 18SentinelLogManager1.1安装指南 novdocx()16April2010 ‰VMPlayer3（仅演示版）‰Xen3.1.1 2.5受支持的连接器 SentinelLogManager支持所有Sentinel和SentinelRD支持的连接器。
‰审计连接器‰检查点LEA进程连接器‰数据库连接器‰数据生成器连接器‰文件连接器‰进程连接器‰Syslog连接器‰SNMP连接器‰SDEE连接器‰Sentinel链接连接器‰WMS连接器‰大型机连接器‰SAP连接器 注释：大型机和SAP连接器要求一个单独许可证。
2.6支持的事件源 SentinelLogManager支持各种设备和应用程序，包括入侵检测系统、防火墙、操作系统、路由器、Web服务器、数据库、交换机、大型机和防病毒事件源。
来自事件源的数据会进行不同程度的解析和标准化，具体取决于数据处理时是使用普通事件收集器将整个事件有效负载放入公共字段，还是使用设备特定的收集器将数据解析到单个字段中。
SentinelLogManager支持以下事件源： ‰Cisco防火墙（6和7）‰CiscoSwitchCatalyst6500系列(CatOS8.7)‰CiscoSwitchCatalyst6500系列(IOS12.2SX)‰CiscoSwitchCatalyst5000系列(CatOS4.x)‰CiscoSwitchCatalyst4900系列(IOS12.2SG)‰CiscoSwitchCatalyst4500系列(IOS12.2SG)‰CiscoSwitchCatalyst4000系列(CatOS4.x)‰CiscoSwitchCatalyst3750系列(IOS12.2SE)‰CiscoSwitchCatalyst3650系列(IOS12.2SE)‰CiscoSwitchCatalyst3550系列(IOS12.2SE)‰CiscoSwitchCatalyst2970系列(IOS12.2SE) 系统要求19 novdocx()16April2010 ‰CiscoSwitchCatalyst2960系列(IOS12.2SE)‰CiscoVPN3000（4.1.5、4.1.7和4.7.2）‰ExtremeNetworksSummitX650（含ExtremeXOS12.2.2和早期版本）‰ExtremeNetworksSummitX450a（含ExtremeXOS12.2.2和早期版本）‰ExtremeNetworksSummitX450e（含ExtremeXOS12.2.2和早期版本）‰ExtremeNetworksSummitX350（含ExtremeXOS12.2.2和早期版本）‰ExtremeNetworksSummitX250e（含ExtremeXOS12.2.2和早期版本）‰ExtremeNetworksSummitX150（含ExtremeXOS12.2.2和早期版本）‰EnterasysDragon（7.1和7.2）‰普通事件收集器‰HPHP-UX（11iv1和11iv2）‰IBMAIX（5.2、5.3和6.1)‰JuniperNetscreenSeries5‰McAfeeFirewallEnterprise‰McAfee网络安全平台（2.1、3.x和4.1）‰McAfeeVirusScanEnterprise（8.0i、8.5i和8.7i）‰McAfeeePolicyOrchestrator（3.6和4.0）‰McAfeeAVViaePolicyOrchestrator8.5‰MicrosoftActiveDirectory（2000、2003和2008）‰MicrosoftSQLServer（2005和2008）‰NortelVPN（1750、2700、2750和5000）‰NovellessManager3.1‰NovellIdentityManager3.6.1‰NovellNetware6.5‰NovellModularAuthenticationServices3.3‰NovellOpenEnterpriseServer2.0.2‰NovellPrivilegedUserManager2.2.1‰NovellSentinelLink1‰NovellSUSELinuxEnterpriseServer‰在Novell支持网站(/Download?
buildid=RH_B5b3M6EQ~)可以 获取包含eDirectory工具增补程序的NovelleDirectory8.8.3‰NovelliManager2.7‰RedHatEnterpriseLinux‰SourcefireSnort（2.4.5、2.6.1、2.8.3.2和2.8.4）‰SnareforWindowsIntersectAlliance（3.1.4和1.1.1）‰SunMicrosystemsSolaris10‰SymantecAntiVirusCorporateEdition（9和10）‰TippingPoint安全管理系统（2.1和3.0） 20SentinelLogManager1.1安装指南 novdocx()16April2010 ‰WebsenseWebSecurity7.0‰WebsenseWebFilter7.0注释：要从NovelliManager和NovellNetware6.5事件源启用数据收集，请在事件源管理界面中为每个事件源添加一个收集器和一个子连接器（审计连接器）实例。
当完成此操作后，这些事件源将显示在SentinelLogManagerWeb控制台中的Audit服务器选项卡下。
支持附加事件源的收集器可从Sentinel6.1内容网站(/products/sentinel/sentinel61.html)获取，也可使用Sentinel插件SDK网站(/wiki/index.php?
title=Develop_to_Sentinel)上提供的SDK插件进行构建。
系统要求21 novdocx()16April2010 22SentinelLogManager1.1安装指南 novdocx()16April2010 3在现有的SLES11系统上进行安装 这部分描述使用应用程序安装程序在现有的SUSELinuxEnterpriseServer(SLES)11系统上安装SentinelLogManager的过程。
您可以使用多种方式安装SentinelLogManager服务器：标准安装过程、自定义安装过程或无提示安装过程，其中无提示安装过程将无需用户输入，使用默认值进行。
您还可以作为非根用户安装SentinelLogManager。
若您选择自定义安装方法，则可以选择使用许可证密钥安装产品，并选择一个鉴定选项。
除数据库鉴定之外，您还可以为SentinelLogManager设置LDAP鉴定。
当您为LDAP鉴定配置SentinelLogManager时，用户可以使用其NovelleDirectory或MicrosoftActiveDirectory证书登录到服务器。
若您希望在部署中安装多个SentinelLogManager服务器，则可以在一个配置文件中记录这些安装选项，然后使用该文件运行一个无人照管的安装。
有关详细信息，请参阅第3.4节“无提示安装”（第26页）。
在继续安装之前，请确保已满足第2章“系统要求”（第15页）中指定的最低要求。
Š第3.1节“开始之前的准备工作”（第23页）Š第3.2节“标准安装”（第24页）Š第3.3节“自定义安装”（第24页）Š第3.4节“无提示安装”（第26页）Š第3.5节“非根安装”（第27页） 3.1开始之前的准备工作 ‰确保您的硬件和软件满足第2章“系统要求”（第15页）中提到的最低要求。
‰以hostname-f命令返回一个有效主机名这种方式配置操作系统。
‰从Novell客户关怀中心(/center/ICSLogin/?
%22https:// secure-/center/regadmin/jsps/home_app.jsp%22)获取许可证密钥以安装授权的版本。
‰使用网络时间协议(NTP)同步时间。
‰安装以下操作系统命令： ŠmountŠumountŠIDŠdfŠduŠsudo‰确保以下端口在防火墙中打开：TCP8080、TCP8443、TCP61616、TCP10013、TCP1289、TCP1468、TCP1443和UDP1514
3 在现有的SLES11系统上进行安装23 novdocx()16April2010 3.2标准安装 标准安装过程将安装含所有默认选项和一个90天评估许可证的SentinelLogManager。
1从Novell下载站点下载和复制安装文件。
2作为根登录到要安装SentinelLogManager的服务器。
3指定以下命令从tar文件抽取安装文件： tarxfz 使用安装文件实际名称替换。
4指定以下命令运行install-slm脚本，以安装SentinelLogManager： ./install-slm 若您希望在多个系统上安装SentinelLogManager，则可以在一个文件中记录您的安装选项。
您可以使用此文件在其他无人照管的系统上安装SentinelLogManager。
要记录您的安装选项，请指定以下命令： ./install-slm-rresponseFile 5要使用选择的语言继续，请选择该语言旁边的编号。
最终用户许可证协议将以选定的语言显示。
6阅读最终用户许可证协议并输入yes或y接受此许可证，然后继续安装。
安装将开始安装所有的RPM包。
该安装完成可能需要几秒钟的时间。
若不存在，安装将创建一个novell组和一个novell用户。
7当收到提示时，请指定标准安装选项以继续。
安装将采用安装程序附带的90天评估许可证密钥继续进行。
使用此许可证密钥可以激活所有产品功能，并获得90天的试用期。
在试用期内或试用期结束后，您随时可以使用购买的许可证密钥替换评估许可证。
8指定管理员用户的口令。
9确认管理员用户的口令。
安装程序将选择仅鉴定数据库方法并继续安装。
SentinelLogManager安装完成并且服务器将启动。
在安装完成之后系统执行一次性初始化时，所有服务启动可能需要大约5-10分钟。
在登录到服务器之前请等候这段时间。
10要登录到SentinelLogManager服务器，请使用安装输出中指定的URL。
此URL类似于https://10.0.0.1:8443/novelllogmanager。
有关登录到该服务器的详细信息，请参阅第5章“登录到Web界面”（第39页）。
11要配置事件资源以向SentinelLogManager发送数据，请参阅《SentinelLogManager1.1管理指南》中的“配置数据收集”。
3.3自定义安装 若您选择自定义安装方法，则可以选择使用许可证密钥安装产品，并选择一个鉴定选项。
除数据库鉴定之外，您还可以为SentinelLogManager设置LDAP鉴定。
当您为LDAP鉴定配置SentinelLogManager时，用户可以使用LDAP目录证书登录到服务器。
24SentinelLogManager1.1安装指南 novdocx()16April2010 若您在安装过程中未为LDAP鉴定配置SentinelLogManager，可根据需要在安装之后配置鉴定。
要在安装之后设置LDAP鉴定，请参阅《SentinelLogManager1.1管理指南》中的“LDAP鉴定”。
1从Novell下载站点下载和复制安装文件。
2作为根登录到要安装SentinelLogManager的服务器。
3指定以下命令从tar文件抽取安装文件： tarxfz 使用安装文件实际名称替换。
4指定以下命令运行install-slm脚本，以安装SentinelLogManager： ./install-slm 5要使用选择的语言继续，请选择该语言旁边的编号。
最终用户许可证协议将以选定的语言显示。
6阅读最终用户许可证协议并输入yes或y接受此许可证，然后继续安装。
安装将开始安装所有的RPM包。
该安装完成可能需要几秒钟的时间。
若不存在，安装将创建一个novell组和一个novell用户。
7当收到提示时，请指定自定义安装选项以继续。
8当提示指定许可证密钥选项时，请输入2以为已购买的产品指定许可证密钥。
9指定许可证密钥，然后按Enter。
有关许可证密钥的详细信息，请参阅《SentinelLogManager1.1管理指南》中的“管理许可证密钥”。
10指定管理员用户的口令。
11确认管理员用户的口令。
12指定数据库管理员口令(dbauser)。
13确定数据库管理员口令(dbauser)。
14您可以为以下服务配置指定范围内的任何有效端口号： ŠWeb服务器ŠJava消息服务Š客户端代理服务Š数据库服务Š代理内部网关若您想以默认端口继续，请输入选项6以继续自定义安装。
15指定通过一个外部LDAP目录鉴定用户的选项。
16指定LDAP服务器的IP地址或主机名。
默认值为localhost。
但是，您不可将LDAP服务器安装在与SentinelLogManager服务器相同的计算机上。
17选择以下LDAP连接类型之一：ŠSSL/TSLLDAP连接：为鉴定在浏览器和服务器之间建立一个安全连接。
输入
1 以指定此选项。
Š未加密LDAP连接：建立一个未加密连接。
输入2以指定此选项。
在现有的SLES11系统上进行安装25 novdocx()16April2010 18指定LDAP服务器端口号。
默认SSL端口是636，默认非SSL端口是389。
19（有条件）若您已选择SSL/TSLLDAP连接，则指定LDAP服务器证书是否经著名的 CA签名。
20（有条件）若您指定了n，则指定LDAP服务器证书的文件名。
21选择您是否想在LDAP目录上执行匿名搜索： Š在LDAP目录上执行匿名搜索：SentinelLogManager服务器基于指定的用户名在LDAP目录上执行一次匿名搜索，以获取相应LDAP用户的判别名(DN)。
输入1以指定此方法。
Š不要在LDAP目录上执行匿名搜索：输入2以指定此选项。
22（有条件）若您已选择匿名搜索，则指定搜索属性并将其移动到步骤25。
23（有条件）若您在步骤21中未选择匿名搜索，请指定您是否在使用MicrosoftActive Directory。
对于ActiveDirectory，userPrincipalName属性的值形式是userName@domainName，可以在搜索LDAP用户对象之前选择性用于鉴定用户，无需输入用户DN。
24（有条件）若希望对ActiveDirectory使用以上方法，请指定域名。
25指定基础DN。
26按y指定提供的选项正确，否则按n并更改配置。
27要登录到SentinelLogManager服务器，请使用安装输出中指定的URL。
此URL类似于https://10.0.0.1:8443/novelllogmanager。
有关登录到该服务器的详细信息，请参阅第5章“登录到Web界面”（第39页）。
3.4无提示安装 若需要在部署中安装多个SentinelLogManager服务器，SentinelLogManager无提示或无人照管安装非常有用。
在此情况下，您可以在第一次安装期间记录安装参数，然后在所有其他服务器上运行记录的文件。
1从Novell下载站点下载和复制安装文件。
2作为根登录到要安装SentinelLogManager的服务器。
3指定以下命令从tar文件抽取安装文件： tarxfz 使用安装文件实际名称替换。
4指定以下命令运行install-slm脚本以在无提示模式下安装SentinelLogManager： ./install-slm-uresponseFile 有关创建响应文件的信息，请参阅第3.2节“标准安装”（第24页）。
安装将使用响应文件中储存的值继续。
5要登录到SentinelLogManager服务器，请使用安装输出中指定的URL。
此URL类似于https://10.0.0.1:8443/novelllogmanager。
有关登录到该服务器的详细信息，请参阅第5章“登录到Web界面”（第39页）。
6要配置事件资源以向SentinelLogManager发送数据，请参阅“《SentinelLogManager1.1管理指南》”中的“配置数据收集”。
26SentinelLogManager1.1安装指南 novdocx()16April2010 3.5非根安装 如果组织政策不允许以根身份运行SentinelLogManager完整安装，大多数安装步骤可使用其他用户身份安装。
1从Novell下载站点下载和复制安装文件。
2指定以下命令从tar文件抽取安装文件： tarxfz 使用安装文件实际名称替换。
3以根身份登录到要使用根身份安装SentinelLogManager的服务器。
4指定以下命令： ./bin/root_install_prepare 此时将显示要使用根权限执行的一列命令。
若不存在，还将创建一个novell组和一个novell用户。
5接受命令列表。
显示的命令将被执行。
6指定以下命令以更改为新创建的非根novell用户：novell： sunovell 7指定以下命令： ./install-slm 8要使用选择的语言继续，请选择该语言旁边的编号。
最终用户许可证协议将以选定的语言显示。
9阅读最终用户许可证协议并输入yes或y接受此许可证，然后继续安装。
安装将开始安装所有的RPM包。
该安装完成可能需要几秒钟的时间。
10将提示您指定安装模式。
Š若选择标准安装，请遵循第3.2节“标准安装”（第24页）中的步骤8至步骤11。
Š若选择自定义安装，请遵循第3.3节“自定义安装”（第24页）中的步骤8至步骤23。
SentinelLogManager安装结束，服务器将启动。
11指定以下命令以更改为根用户： suroot 12指定以下命令以结束安装： ./bin/root_install_finish 13要登录到SentinelLogManager服务器，请使用安装输出中指定的URL。
此URL类似于https://10.0.0.1:8443/novelllogmanager。
有关登录到该服务器的详细信息，请参阅第5章“登录到Web界面”（第39页）。
在现有的SLES11系统上进行安装27 novdocx()16April2010 28SentinelLogManager1.1安装指南 novdocx()16April2010 4安装设备 NovellSentinelLogManager设备是在SUSEStudio的基础上构建的一个准备运行式软件设备，整合了强化的SUSELinuxEnterpriseServer(SLES)11操作系统和NovellSentinelLogManager软件集成更新服务，以提供简洁无缝的用户体验，并使客户可利用现有的投资。
该软件设备可在硬件上或虚拟环境中安装。
Š第4.1节“开始之前的准备工作”（第29页）Š第4.2节“使用的端口”（第29页）Š第4.3节“安装VMware设备”（第30页）Š第4.4节“安装Xen设备”（第31页）Š第4.5节“在硬件上安装设备”（第33页）Š第4.6节“设备的安装后设置”（第34页）Š第4.7节“配置WebYaST”（第34页）Š第4.8节“注册更新”（第36页） 4.1开始之前的准备工作 Š确保符合硬件要求。
有关详细信息，请参阅第2.1节“硬件要求”（第15页）。
Š从Novell客户关怀中心(/center)获取许可证密钥以安装授权的版 本。
Š从Novell客户关怀中心(/center)获取注册码以注册软件更新。
Š使用网络时间协议(NTP)同步时间。
Š（有条件）如果计划使用VMware，请确保拥有VMware转换器，以同时将图像上传到 VMwareESX服务器并转换成可在ESX服务器上运行的格式。
4.2使用的端口 注意NovellSentinelLogManager设备使用以下端口进行通信，一些已在防火墙中打开。
Š第4.2.1节“在防火墙中打开的端口”（第29页）Š第4.2.2节“本地使用的端口”（第30页） 4.2.1在防火墙中打开的端口 表4-1SentinelLogManager使用的网络端口 端口 TCP1289TCP289TCP22 说明 用于NovellAudit连接。
转发到1289以进行NovellAudit连接。
用于确保壳层访问SentinelLogManager设备的安全。

4 安装设备29 novdocx()16April2010 端口 UDP1514UDP514TCP8080TCP80 TCP8443TCP1443TCP443 TCP61616TCP10013TCP54984TCP1468 说明 用于syslog讯息。
转发到1514以用于syslog讯息。
用于HTTP通信。
还被SentinelLogManager设备用于更新服务。
转发到8080用于SentinelLogManager的Web服务器的HTTP通信。
还被SentinelLogManager设备用于更新服务。
用于HTTPS通信。
还被SentinelLogManager设备用于更新服务。
用于SSL加密syslog讯息。
转发到8443用于SentinelLogManager的Web服务器的HTTPS通信。
还被SentinelLogManager设备用于更新服务。
用于收集器管理器和服务器之间的通信。
由事件源管理用户界面SSL代理使用。
由SentinelLogManager设备管理控制台(WebYaST)使用。
用于syslog讯息。
4.2.2本地使用的端口 表4-2用于本地通信的端口 端口 TCP61617TCP5556 TCP5432 两个附加的随机选择的TCP端口TCP8005TCP32000 说明 用于Web服务器和服务器之间的内部通信。
用于环路接口的内部通信，internal_gateway_server和internal_gateway之间。
用于代理引擎和收集器管理器之间的通信。
用于PostgreSQLdatabase数据库。
无需默认打开此端口。
但若使用SentinelSDK开发报告，则必须打开此报告。
有关详细信息，请参阅Sentinel插件SDK网站(/wiki/index.php?
title=Develop_to_Sentinel)。
用于代理引擎和收集器管理器之间的通信。
用于与Tomcat进程的内部通信。
用于代理引擎和收集器管理器之间的通信。
4.3安装VMware设备 要从VMwareESX服务器运行设备映像，请在服务器上导入并安装该设备映像。
1下载VMware设备安装文件。
正确的VMware设备文件的文件名中有vmx。
例如， Sentinel_Log_Manager_1.1.0.0_64_VMX.x86_64-0.777.0.vmx.tar.gz 30SentinelLogManager1.1安装指南 novdocx()16April2010 2建立一个设备映像可以安装至的ESX数据储存。
3以管理员身份登录到要安装该设备的服务器。
4指定以下命令从安装了VM转换器的机器抽取压缩的设备映像。
tarzxvf 使用实际文件名替换。
5要将VMware映像导入到ESX服务器，请使用VMware转换器并按照安装向导中的屏 幕指导操作。
6登录到ESX服务器机器。
7选择导入的设备VMware映像，然后单击开机图标。
8选择您的语言，然后单击下一步。
9选择键盘布局，然后单击下一步。
10阅读并接受NovellSUSEEnterpriseServer软件许可证协议。
11阅读并接受NovellSentinelLogManager最终用户许可证协议。
12在主机名和域名屏幕中，指定主机名和域名。
确保选择了将主机名写入到/etc/hosts选 项。
13选择下一步。
主机名配置即保存。
14执行以下步骤之一： Š要使用当前的网络连接设置，请选择网络配置II中的使用以下配置。
Š要更改网络连接设置，请选择更改。
15设置时间和日期，单击下一步，然后单击完成。
注释：要在安装后更改NTP配置，请从设备命令行使用YaST。
可使用WebYast更改时间和日期，但不是NTP配置。
如果在安装后时间立即显示未同步，请运行以下命令重新启动NTP： tprestart 16设置NovellSUSEEnterpriseServer根口令，然后单击下一步。
17设置根口令，然后单击下一步。
18设置SentinelLogManagerAdmin口令和dbauser口令，然后单击下一步。
19选择下一步。
网络连接设置即保存。
安装将继续并完成。
记录控制台中显示的设备IP地址。
20进行第4.6节“设备的安装后设置”（第34页）。
4.4安装Xen设备 1下载Xen虚拟设备安装文件并复制到/var/lib/xen/images。
正确的Xen虚拟设备文件名包含xen。
例如，Sentinel_Log_Manager_1.1.0.0_64_Xen.x86_64- 0.777.0.xen.tar.gz 2使用以下命令解压该文件： tar-xvzf 使用安装文件实际名称替换。
安装设备31 novdocx()16April2010 3更改到新的安装目录。
此目录有以下文件：Š.raw映像文件。
Š.xenconfig文件 4使用一个文本编辑器打开.xenconfig文件。
5按如下操作修改该文件： 在磁盘设置中指定.raw文件的完整路径。
指定您的网络配置的网桥设置。
例如，"bridge=br0"或"bridge=xenbr0"。
指定名称和内存设置的值。
例如： #-*-mode:python;-*name="Sentinel_Log_Manager_1.1.0.0_64"memory=4096disk=["tap:aio:/var/lib/xen/images/Sentinel_Log_Manager_1.1.0.0_64_Xen0.777.0/Sentinel_Log_Manager_1.1.0.0_64_Xen.x86_64-0.777.0.raw,xvda,w"]vif=["bridge=br0"] 6在修改了.xenconfig文件后，指定以下命令以创建VM： xmcreate.xenconfig 7（可选）要验证VM是否创建，请指定以下命令：xmlistVM将显示在列表中。
例如，若在.xenconfig文件中配置了name=”Sentinel_Log_Manager_1.1.0.0_64”，则VM将显示该名称。
8要开始此安装，请指定以下命令： xmconsole 使用.xenconfig文件的名称设置中指定的名称替换，该名称也是步骤7中返回的值。
例如： xmconsoleSentinel_Log_Manager_1.1.0.0_64 9选择您的语言，然后单击下一步。
10选择键盘布局，然后单击下一步。
11阅读并接受NovellSUSEEnterpriseServer软件许可证协议。
12阅读并接受NovellSentinelLogManager最终用户许可证协议。
13在主机名和域名屏幕中，指定主机名和域名。
确保选择了将主机名写入/etc/hosts选项。
14选择下一步。
主机名配置即保存。
15执行以下步骤之一： Š要使用当前的网络连接设置，请选择网络配置II中的使用以下配置。
Š要更改网络连接设置，请选择更改。
16设置时间和日期，请单击下一步，然后单击完成。
注释：要在安装后更改NTP配置，请从设备命令行使用YaST。
可使用WebYast更改时间和日期，但不是NTP配置。
如果在安装后时间立即显示未同步，请运行以下命令重新启动NTP： 32SentinelLogManager1.1安装指南 novdocx()16April2010 tprestart 17设置NovellSUSEEnterpriseServer根口令，然后单击下一步。
18设置SentinelLogManagerAdmin口令和dbauser口令，然后单击下一步。
安装将继续并完成。
记录控制台中显示的设备IP地址。
19进行第4.6节“设备的安装后设置”（第34页）。
4.5在硬件上安装设备 在硬件上安装设备前，确保从支持的站点下载了设备ISO磁盘映像并进行了解压，通过DVD方式提供。
1从已插入此DVD的DVD驱动器启动物理计算机。
2使用安装向导的屏幕指导。
3通过在启动菜单选择顶部安装来运行DVD。
4阅读并接受NovellSUSEEnterpriseServer软件许可证协议。
5阅读并接受NovellSentinelLogManager最终用户许可证协议。
6选择下一步。
7在主机名和域名屏幕中，指定主机名和域名。
确保选择了将主机名写入到/etc/hosts选项。
8选择下一步。
主机名配置即保存。
9执行以下步骤之一： Š要使用当前的网络连接设置，请选择网络配置II屏幕中的使用以下配置。
Š要更改网络连接设置，请选择更改。
10选择下一步。
网络连接设置即保存。
11设置时间和日期，然后单击下一步。
注释：要在安装后更改NTP配置，请从设备命令行使用YaSTfrom。
可使用WebYast更改时间和日期，但不是NTP配置。
如果在安装后时间立即显示未同步，请运行以下命令重新启动NTP： tprestart 12设置根口令，然后单击下一步。
13设置SentinelLogManagerAdmin口令和dbauser口令，然后单击下一步。
14在控制台输入用户名和口令以登录设备。
用户名的默认值是root，口令是password。
15要在物理服务器上安装设备，请运行以下命令： /sbin/yast2live-installer 安装将继续并完成。
记录控制台中显示的设备IP地址。
16进行第4.6节“设备的安装后设置”（第34页）。
安装设备33 novdocx()16April2010 4.6设备的安装后设置 登录到设备Web控制台并初始化软件：1打开Web浏览器并登录到https://:8443。
此时将显示SentinelLogManagerWeb页面。
安装完成和服务器重新启动后，设备控制台将显示设备的IP地址。
2您可以配置SentinelLogManager设备用于数据储存和数据收集。
有关配置设备的更多信息，请参阅《SentinelLogManager1.1管理指南》。
3要注册更新，请参阅第4.8节“注册更新”（第36页）。
4.7配置WebYaST NovellSentinelLogManager设备用户界面配有WebYaST。
WebYaST是一个基于Web的远程控制台，用于控制基于SUSELinuxEnterprise的设备。
您可以使用WebYaST访问、配置和监视SentinelLogManager设备。
以下过程简短描述了配置WebYaST的步骤。
有关详细配置信息，请参阅WebYaST用户指南(/documentation/webyast/)。
1登录到SentinelLogManager设备。
2单击设备。
34SentinelLogManager1.1安装指南 3指定系统的登录凭证，然后单击登录。
4选择您的语言，然后单击下一步。
安装设备35 novdocx()16April2010 novdocx()16April2010 5指定配置邮件服务器的详细信息，然后单击保存。
此时即会显示注册页。
6配置SentinelLogManager服务器以按照第4.8节“注册更新”（第36页）中的描述接收更新。
7单击下一步完成初始设置。
4.8注册更新 1登录到SentinelLogManager设备。
登录到SentinelLogManager设备。
2单击设备起动WebYaST。
36SentinelLogManager1.1安装指南 novdocx()16April2010 3单击注册。
安装设备37 novdocx()16April2010 4指定设备注册码。
5单击保存。
6要检查是否有任何更新，请单击更新。
结果页指示是否有任何更新。
38SentinelLogManager1.1安装指南 novdocx()16April2010 5登录到Web界面 安装期间创建的管理员用户可登录到Web界面配置和使用SentinelLogManager：1打开支持的Web浏览器。
有关更多信息，请参见第2.3节“支持的浏览器”（第18页）。
2指定NovellSentinelLogManager页面的URL（例如，https://10.0.0.1:8443/novelllogmanager），然后按Enter。
3（有条件）首次登录SentinelLogManager时，将提示您接受一个证书。
在接受证书后将显示SentinelLogManager登录页面。

5 登录到Web界面39 novdocx()16April2010 4指定SentinelLogManager管理员的用户名和口令。
5选择SentinelLogManager界面的语言。
SentinelLogManager用户界面语言有英语、葡萄牙语、法语、意大利语、德语、西班牙语、日语、繁体中文和简体中文。
6单击登录。
40SentinelLogManager1.1安装指南 novdocx()16April2010 此时将显示NovellSentinelLogManagerWeb用户界面。
登录到Web界面41 novdocx()16April2010 42SentinelLogManager1.1安装指南 novdocx()16April2010 6升级SentinelLogManager 可使用升级脚本将NovellSentinelLogManager从1.0.0.4或更高版本升级到SentinelLogManager1.1。
Š第6.1节“从1.0升级到1.1”（第43页）Š第6.2节“升级收集器管理器”（第44页）Š第6.3节“从1.0到1.1设备迁移”（第44页） 6.1从1.0升级到1.1 1若您的SentinelLogManager服务器版本早于1.0.0.4，则必须将其升级到1.0.0.4版或更高版本。
2从Novell下载站点下载和复制安装文件。
3作为根登录到要安装SentinelLogManager的服务器。
4指定以下命令以停止SentinelLogManager服务器： /bin/server.sh 例如，/opt/novell/sentinel_log_mgr_1.0_x86-64/bin/server.sh5指定以下命令从tar文件抽取安装文件： tarxfz 使用安装文件实际名称替换。
6指定以下命令运行install-slm脚本以升级SentinelLogManager： ./install-slm 7要使用选择的语言继续，请选择该语言旁边的编号。
最终用户许可证协议将以选定的语言显示。
8阅读最终用户许可证协议并输入yes或y接受此许可证，然后继续安装。
9安装脚本将提示您存在早期产品版本，并提示您指定是否升级该产品。
若按n，安装将 终止。
要继续升级，请按y。
安装将开始安装所有的RPM包。
该安装完成可能需要几秒钟的时间。
现有SentinelLogManager1.0安装将保留不动，以下内容除外： Š若1.0数据目录（例如，/opt/novell/sentinel_log_manager_1.0_x86-64/data）和1.1数据目录（例如，/var/opt/novell/sentinel_log_mgr/data）位于同一文件系统，那么<1.0>/data/eventuate和<1.0>/data/rawdata子目录将被移动到1.1位置，因为eventdata和rawdata目录通常非常大。
若1.0数据和1.1数据目录位于不同的文件系统，则eventdata和rawdata子目录将复制到1.1位置，1.0文件保留不动。
Š若现有1.0数据目录（例如，/opt/novell/sentinel_log_mgr_1.0_x86-64）位于一个单独安装的文件系统上并且含有1.1数据目录(/var/opt/novell/sentinel_log_mgr/data)的文件系统空间不足，可允许安装程序从1.0位置到1.1位置重新安装该文件系统。
/etc/fstab中的任何条目也将更新。
若决定不让安装程序重新安装现有文件系统，升级将停止。
然后可在文件系统上为1.1数据目录创建足够的空间。

6 升级SentinelLogManager43 novdocx()16April2010 10当SentinelLogManager安装成功并且服务器功能正常时，必须指定以下命令手动去除SentinelLogManager1.0目录。
rm-rf/opt/novell/slm_1.0_install_directory 例如： rm-rf/opt/novell/sentinel_log_mgr_1.0_x86-64 永久移除该安装目录将删除SentinelLogManager1.0安装 6.2升级收集器管理器 1以管理员身份登录到SentinelLogManager。
2选择收集>高级。
3单击下载安装程序链接。
在收集器管理器升级安装程序部分。
将显示一个窗口，有在本地计算机打开或保存scm_upgrade_installer.zip文件的选项。
保存文件。
4将文件复制到临时位置。
5抽取.zip文件的内容。
6作为收集器管理器安装的拥有者，根据您的操作软件运行以下升级文件之一： Š要升级Windows收集器管理器，请运行service_pack.bat。
Š要升级Linux收集器管理器，请运行service_pack.sh。
7按照屏幕指导完成安装。
8重启动计算机。
6.3从1.0到1.1设备迁移 若已安装SentinelLogManager1.0并希望迁移到SentinelLogManager设备1.1，请按照下面的步骤迁移数据和配置。
1（有条件）若安装的SentinelLogManager版本低于1.0hotfix4，请将其升级到SentinelLogManager1.0hotfix5，此为提供的最新的热修复。
从Novell补丁下载站点(/protected/Summary.jsp?
buildid=VgZ3aerzjYc~)下载该热修复。
注释：必须是注册用户才能下载补丁。
若尚未注册，请在补丁下载站点单击“注册”创建一个用户帐户。
2升级到SentinelLogManager1.1。
有关详细信息，请参阅第6.1节“从1.0升级到1.1”（第43页）。
3指定以下命令以更改为novell用户： su-novell 4指定以下命令以更改为/bin用户： cd/opt/novell/sentinel_log_mgr/bin 5指定以下命令完整备份SentinelLogManager1.1数据和配置。
./backup_util.sh-mbackup-c-e-l-r-s-w-f$APP_HOME/data/ 使用一个文件名替换以储存备份数据。
44SentinelLogManager1.1安装指南 novdocx()16April2010 有关备份数据的详细信息，请参阅“备份和恢复数据”。
6在一台独立的计算机上安装SentinelLogManager设备1.1。
有关详细信息，请参阅第
4 章“安装设备”（第29页）。
7将含有备份数据的文件复制到新安装的SentinelLogManager1.1设备上。
8指定以下命令： chownnovell:novell 9指定以下命令以更改为/bin用户： cd/opt/novell/sentinel_log_mgr/bin 10指定以下命令从SentinelLogManager1.1应用程序完整恢复备份的数据： ./backup_util.sh-mrestore-f$APP_HOME/data/ 有关详细信息，请参阅“备份和恢复数据”。
升级SentinelLogManager45 novdocx()16April2010 46SentinelLogManager1.1安装指南 novdocx()16April2010 7安装附加收集器管理器。
收集器管理器为NovellSentinelLogManager管理所有的数据收集和数据分析。
SentinelLogManager安装进程默认将在SentinelLogManager服务器上安装一个收集器管理器。
但是可在分布式安装中安装多个收集器管理器。
Š第7.1节“开始之前的准备工作”（第47页）Š第7.2节“附加收集器管理器的优势”（第47页）Š第7.3节“安装附加收集器管理器。
”（第47页） 7.1开始之前的准备工作 Š确保您的硬件和软件满足第2章“系统要求”（第15页）中提到的最低要求。
Š使用网络时间协议(NTP)同步时间。
Š在SentinelLogManager服务器上，收集器管理器需要到讯息总线端口(61616)的网络连 接。
在开始安装收集器管理器前，确保所有防火墙和其他网络设置允许通过此端口进行通信。
7.2附加收集器管理器的优势 在一个分布式网络中安装多个收集器管理器可提供一些优势： Š改进系统性能：附加收集器管理器可在一个分布式环境中分析和处理事件数据，从而提升系统性能。
Š提供了附加数据安全并降低了网络带宽要求：若收集器管理器与事件源位于同一位置，筛选、加密和数据压缩都可在源处执行。
Š可从附加操作系统收集数据：例如，可在MicrosoftWindows上安装一个收集器管理器以通过WMI协议启用数据收集。
Š文件超速缓存:如果启用文件超速缓存，远程收集器管理器可在服务器暂时存档事件或处理事件暴增时超速缓存大量数据。
对于本身并不支持事件超速缓存的协议（如syslog）而言，此功能是一种优势。
7.3安装附加收集器管理器。
1以管理员身份登录到SentinelLogManager。
2选择收集>高级。
3单击下载安装程序链接。
在收集器管理器安装程序部分。
将显示一个窗口，其中具有在本地计算机打开或保存scm_installer.zip文件的选项。
保存文件。
4复制并抽取该文件到要安装收集器管理器的位置。
5根据您的操作软件运行以下安装文件之一： Š要在Windows系统上安装收集器管理器，请运行setup.bat。
Š要在Linux系统上安装收集器管理器，请运行setup.sh。

7 安装附加收集器管理器。
47 novdocx()16April2010 6选择一种语言，然后单击确定。
此时将显示安装程序。
7单击“确定”。
8阅读并接受许可证协议，然后单击下一步。
9可以选择默认安装目录或浏览并选择目录，然后单击下一步。
10不更改默认讯息总线端口(61616)，指定通信服务器的主机名，然后单击下一步。
11单击下一步使用默认自动内存配置（256MB）。
此时将显示安装摘要。
12单击安装。
13指定收集器管理器的用户名和口令。
注释：用户名和口令储存在SentinelLogManager服务器上的/etc/opt/novell/sentinel_log_mgr/config/activemqusers.properties文件中。
14当提示时永久接受证书。
15单击完成以完成安装。
16重启动计算机。
48SentinelLogManager1.1安装指南 novdocx()16April2010 8卸装SentinelLogManager 本节介绍卸装NovellSentinelLogManager服务器和收集器管理器的过程。
Š第8.1节“卸装设备”（第49页）Š第8.2节“从现有SLES11系统卸装”（第49页）Š第8.3节“卸装收集器管理器”（第49页） 8.1卸装设备 若希望保留任何LogManager数据，在卸装设备前必须备份该数据，以在稍后恢复。
有关详细信息，请参阅《SentinelLogManager1.1管理指南》中的“备份和恢复数据”。
若不需要保留任何数据，请使用以下步骤卸装设备： ŠVMwareESX设备：如果虚拟计算机专用于NovellSentinelLogManager，而您不需要保留任何数据，请删除虚拟机以卸装LogManager虚拟设备。
ŠXen设备：如果Xen虚拟计算机专用于NovellSentinelLogManager，而您不需要保留任何数据，请删除虚拟机以卸装LogManager虚拟设备。
Š硬件设备：如果系统专用于NovellSentinelLogManager，而您不需要保留任何数据，请重新格式化硬盘，以卸装物理计算机上的LogManager。
8.2从现有SLES11系统卸装 1作为根登录到SentinelLogManager服务器。
2要运行卸装脚本，请执行以下命令： /opt/novell/sentinel_log_mgr/setup/uninstall-slm 3当提示重新确认希望卸装时，请按y。
将首先停止SentinelLogManager服务器，然后卸装。
8.3卸装收集器管理器 本节介绍卸装在Windows或Linux计算机上安装的Sentinel收集器管理器的过程。
Š第8.3.1节“卸装Linux收集器管理器”（第49页）Š第8.3.2节“卸装Windows收集器管理器”（第50页）Š第8.3.3节“手动清理目录”（第50页） 8.3.1卸装Linux收集器管理器 1以根用户身份登录。
2在安装收集器管理器的计算机上，导航到以下位置： $ESEC_HOME/_unist 3运行以下命令：
8 卸装SentinelLogManager49 novdocx()16April2010 ./uninstall.bin 4选择一种语言，然后单击确定。
5在安装向导中单击下一步。
6选择要卸装的功能，然后单击下一步。
7停止所有正在运行的SentinelLogManager应用程序，然后单击下一步。
8单击卸装。
9单击完成。
10选择重引导系统，然后单击完成。
8.3.2卸装Windows收集器管理器 1以管理员身份登录。
2停止SentinelLogManager服务器。
3选择“开始”>“运行”。
4指定以下内容： %Esec_home%\_uninst 5双击uninstall.exe运行它。
6选择一种语言，然后单击确定。
此时将显示安装向导。
7单击“下一步”。
8选择要卸装的功能，然后单击下一步。
9停止所有正在运行的SentinelLogManager应用程序，然后单击下一步。
10单击卸装。
11单击完成。
12选择重引导系统，然后单击完成。
8.3.3手动清理目录 ŠLinux（第50页）ŠWindows（第50页） Linux 1以根身份登录到要卸装收集器管理器的计算机。
2停止所有SentinelLogManager进程。
3去除/opt/novell/sentinel6的内容。
Windows 1以管理员身份登录到要卸装收集器管理器的计算机。
2删除%CommonProgramFiles%\InstallShield\Universa文件夹及其所有内容。
3删除%ESEC_HOME%文件夹。
此文件夹默认位置为C:\ProgramFils\Novell\Sentinel6。
50SentinelLogManager1.1安装指南 novdocx()16April2010 A排查安装错误 本节包含安装过程中可能出现的一些问题及解决这些问题的步骤。
Š第A.1节“因为错误网络配置导致安装失败”（第51页）Š第A.2节“在SLES11上使用VMwarePlayer3配置网络问题”（第51页）Š第A.3节“升级以非根用户而非Novell用户身份安装的LogManager”（第52页） A.1因为错误网络配置导致安装失败 首次启动时，如果安装程序发现网络设置不正确，将会显示一条错误讯息。
若网络不可用，在设备上安装SentinelLogManager将失败。
要解决此问题，请正确配置网络设置。
当验证配置时，ifconfig命令应返回有效的IP地址，hostname-f命令应返回有效的主机名。
A.2在SLES11上使用VMwarePlayer3配置网络问题 在SLES11上尝试使用VMwarePlayer3配置网络时可能看见以下错误： Jan1214:57:34.761:vmx|VNET:MACVNetPortOpenDevice:0:can'topendevice(Nosuchdeviceoraddress)Jan1214:57:34.761:vmx|VNET:MACVNetPort_Connect:0:can'topendatafdJan1214:57:34.761:vmx|Msg_Post:ErrorJan1214:57:34.761:vmx|[]Couldnotconnect0towork"/dev/0".Moreinformationcanbefoundinthevmware.logfile.Jan1214:57:34.761:vmx|[msg.device.badconnect]Failedtoconnectvirtualdevice0.Jan1214:57:34.761:vmx|-- 此错误指示VMX文件可能已被其他VM打开了。
要解决此问题，必须按照以下所示更新VMX文件中的MAC地址： 1在文本编辑器中打开VMX文件。
2从0.generatedAddress字段复制MAC地址。
3从来宾操作系统打开/etc/udev/rules.d/.rules文件。
4将原行注释掉，然后按如下所示键入一个SUBSYSTEM行： SUBSYSTEM==",DRIVERS=="?
*",ATTRS{address}==,NAME="eth0" 5使用步骤2步骤2中复制的MAC地址替换。
6保存并关闭文件。
7在VMwarePlayer中打开VM。

A 排查安装错误51 novdocx()16April2010 A.3升级以非根用户而非Novell用户身份安装的LogManager 若尝试升级以非根用户而非novell用户身份安装的NovellSentinelLogManager1.0服务器，升级过程失败。
发生此问题是由SentinelLogManager1.0安装时设置的文件权限性质造成的。
要升级以非根用户而非novell用户身份安装的SentinelLogManager10服务器请执行以下操作： 1创建novell用户。
2将SentinelLogManager1.0安装的所有权更改为novell:novell。
chown-Rnovell:novell/opt/novell/ 将更改为安装目录的名称。
例如， chown-Rnovell:novell/opt/novell/sentinel_log_mgr_1.0_x86-64 3在config/esecuser.properties中将ESEC_USER项更改为novell。
4以根身份登录，然后升级到SentinelLogManager1.1、有关升级的详细信息，请参阅第 6.1节“从1.0升级到1.1”（第43页）。
52SentinelLogManager1.1安装指南 novdocx()16April2010 Sentinel技术 本章节介绍了此文档中所使用的术语。
收集器一个实用工具，在对事件进行关联和分析并将其发送到数据库之前，会通过将分类、利用检测和业务相关性注入数据流，来分析数据并递送更丰富的事件流。
连接器：一个使用行业标准方法连接到数据源以获取原始数据的实用工具。
数据保留定义事件在从SentinelLogManager服务器删除之前保留的时间的策略。
事件源记录事件的施放器或系统。
事件源管理ESM-事件源管理(ESM)界面，您可以使用Sentinel连接器和Sentinel收集器管理和监视Sentinel与其事件源之间的连接。
每秒的事件数EPS-一个用于测量网络从其安全设备和应用程序生成数据的速度的值。
此值也为SentinelLogManager可从安全设备收集和储存数据的速度。
集成器使Sentinel系统可连接到其他外部系统的插件。
JavaScript操作可使用集成器与其他系统互动。
原始数据未处理的事件，由连接器接收并直接发送到SentinelLogManager讯息总线，然后写入到SentinelLogManager服务器的磁盘上。
由于储存在设备中的原始数据的格式问题，原始数据会因连接器的不同而有所不同。
Sentinel技术53