Резервное копирование и восстановление данных сервера Central Node в режиме распределенного решения и мультитенантности

В этом сценарии описана процедура создания резервной копии и восстановления данных из нее на серверах Central Node, развернутых в режиме распределенного решения или мультитенантности.

Для создания резервной копии и восстановления данных при использовании режима распределенного решения или мультитенантности вам необходимо подключиться к каждому серверу Central Node в иерархии и выполнить этапы инструкции, расположенной ниже.

Резервное копирование и восстановление данных на серверах Central Node, развернутых в режиме распределенного решения или мультитенантности, содержит следующие этапы:

Создание резервной копии

Вы можете создать резервную копию с помощью меню администратора или с помощью режима Technical Support Mode:

Как создать резервную копию в меню администратора;

Как создать резервную копию в режиме Technical Support Mode.

Войдите в консоль управления того сервера, резервную копию которого вы хотите создать, по протоколу SSH или через терминал.
В ответ на приглашение системы введите имя и пароль учетной записи администратора.
Отобразится меню администратора компонента приложения.
В списке разделов меню администратора приложения выберите раздел Technical Support Mode.
Нажмите на клавишу Enter.
Отобразится окно подтверждения входа в режим Technical Support Mode.
Подтвердите, что хотите выполнять действия с приложением в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
Выполните команду:
sudo kata-run.sh kata-backup-restore backup

Вы также можете указать один или несколько параметров к этой команде (см. таблицу ниже).

Подсказка по использованию параметров доступна по команде -h.

Параметры для создания резервной копии

Обязательный параметр	Параметр	Описание
Да	`-b <path>`	Создать резервную копию по указанному пути, где <path> – абсолютный или относительный путь к директории, в которой создается резервная копия.
Нет	`-c`	Очистить директорию перед сохранением резервной копии.
Нет	`-d <number of stored files>`	Указать максимальное количество файлов резервной копии, хранимых в директории, где <number> – количество файлов.
Нет	`-е`	Сохранить файлы в Хранилище.
Нет	`-q`	Сохранить файлы на карантине.
Нет	`-a`	Сохранить файлы, ожидающие повторной проверки (rescan).
Нет	`-s`	Сохранить артефакты Sandbox.
Нет	`-n`	Сохранить параметры Central Node или PCN.
Нет	`-l <filepath>`	Сохранить результат выполнения команды в файл, где <filepath> – имя файла журнала событий, включая абсолютный или относительный путь к файлу.

Если дополнительные параметры не указаны, резервная копия будет содержать только базы данных (базу обнаружений, сведения о статусе VIP, список данных, исключенных из проверки, уведомления).

Пример:

Команда для создания резервной копии:

sudo kata-run.sh kata-backup-restore backup -b <path> -c -d <number of stored files> -e -q -a -s -n -l <filepath>

Сохранение резервной копии на жесткий диск

Сохраните резервную копию на жестком диске компьютера, выполнив команду:

scp <имя учетной записи для работы в меню администратора и в консоли управления сервером>@<IP-адрес сервера>:<имя файла резервной копии вида data_kata_<дата и время создания резервной копии>.tar>

Пример:

Команда для загрузки на жесткий диск компьютера резервной копии, созданной на сервере Central Node с IP-адресом 10.0.0.10 под учетной записью admin 10 апреля 2020 года в 10 часов 00 минут 00 секунд:

scp admin@10.0.0.10:data_kata_2020_04_10T10_00_00.tar

Резервная копия будет сохранена на жесткий диск вашего компьютера в текущую директорию.

Переустановка приложения
Удалите и заново установите Kaspersky Anti Targeted Attack Platform.

Восстановление данных из резервной копии производится только на сервер с ролью Central Node. Если вы предварительно назначите серверу роль PCN или SCN, процесс восстановления завершится ошибкой.

При установке приложения вам нужно указать то же значение маски сети для адресации серверов, которое было указано для маски сети в резервной копии приложения. Если значения не совпадают, после восстановления приложения возникает ошибка в работе встроенного Sensor. При необходимости вы можете восстановить работу компонента.

После установки вам нужно добавить в приложение те же типы лицензионных ключей (KATA, KATA + NDR, KEDR), что и в приложении на сервере, где была создана резервная копия. Это необходимо для того, чтобы восстановить все сохраненные в резервной копии параметры Central Node, PCN или SCN.

Загрузка резервной копии на сервер

Загрузите резервную копию на сервер Central Node, выполнив команду:

scp <имя файла резервной копии вида data_kata_<дата и время создания резервной копии>.tar> <имя учетной записи для работы в меню администратора и в консоли управления сервером>@<IP-адрес сервера>:

Пример:

Команда для загрузки резервной копии, созданной 10 апреля 2020 года в 10 часов 00 минут 00 секунд, на сервер Central Node с IP-адресом 10.0.0.10 под учетной записью admin:

scp data_kata_2020_04_10T10_00_00.tar admin@10.0.0.10:

Резервная копия будет загружена на сервер Central Node в текущую директорию.

Восстановление данных из резервной копии

Вы можете восстановить данные из резервной копии на сервере Central Node с помощью меню администратора или с помощью режима Technical Support Mode:

Как восстановить данные в меню администратора;

Войдите в консоль управления того сервера, данные которого вы хотите восстановить, по протоколу SSH или через терминал.
В ответ на приглашение системы введите имя и пароль учетной записи администратора компонента приложения.
Отобразится меню администратора компонента приложения.
В списке разделов меню администратора приложения выберите раздел System administration.
Нажмите на клавишу Enter.
Откроется окно выбора действий.
В списке действий выберите Backup/Restore settings.
Нажмите на клавишу Enter.
Откроется окно Backup/Restore settings.
В списке файлов с резервными копиями приложения выберите файл, из которого вы хотите восстановить данные сервера.
Если нужного файла нет в списке, вам нужно загрузить файл с резервной копией на сервер.
Нажмите на клавишу Enter.
Откроется окно выбора действий.
В списке действий выберите Restore <имя файла резервной копии вида data_kata_<дата и время создания резервной копии>.tar>
Нажмите на клавишу Enter.
Откроется окно подтверждения действия.
Нажмите на кнопку Restore.
Начнется процесс восстановления данных сервера из резервной копии.

Настройки получения зеркалированного трафика со SPAN-портов будут восстановлены автоматически, если имена сетевых интерфейсов совпадают на сервере, на котором была создана резервная копия, и на сервере, на котором происходит восстановление данных из резервной копии.

Как восстановить данные в режиме Technical Support Mode.

Войдите в консоль управления того сервера, данные которого вы хотите восстановить, по протоколу SSH или через терминал.
В ответ на приглашение системы введите имя и пароль учетной записи администратора приложения.
Отобразится меню администратора компонента приложения.
В списке разделов меню администратора приложения выберите раздел Technical Support Mode.
Нажмите на клавишу Enter.
Отобразится окно подтверждения входа в режим Technical Support Mode.
Подтвердите, что хотите выполнять действия с приложением в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
Выполните команду:

sudo kata-run.sh kata-backup-restore restore

Вы также можете указать один или несколько параметров к этой команде (см. таблицу ниже).

Подсказка по использованию параметров доступна по команде -h.

Параметры для восстановления данных

Обязательный параметр

Параметр

Описание команды

Да

-r <path>

Восстановить данные из файла резервной копии,

где <path> – полный путь к файлу резервной копии.

Нет

-l <filepath>

Сохранить результат выполнения команды в файл, где <filepath> – имя файла журнала событий, включая абсолютный или относительный путь к файлу.

Пример:

Команда для восстановления данных из резервной копии:

sudo kata-run.sh kata-backup-restore restore -r <path> -l <filepath>

Если аппаратная конфигурация сервера Central Node, на котором была создана резервная копия, отличается от аппаратной конфигурации сервера, на котором вы планируете восстановить параметры сервера, после восстановления вам нужно заново настроить параметры масштабирования приложения.

После восстановления данных вам не требуется заново подключать SCN к PCN: параметры подключения к PCN и список подключенных SCN восстанавливаются из резервной копии.

Резервная копия параметров сервера не содержит PCAP-файлы записанного зеркалированного сетевого трафика. Вы можете сохранить и восстановить PCAP-файлы самостоятельно, выполнив копирование из директории /data/volumes/dumps подключенного хранилища. После восстановления данных вам необходимо подключить внешнее хранилище.

Ограничение, действующее при восстановлении данных в режиме распределенного решения и мультитенантности

После восстановления данных в режиме распределенного решения и мультитенантности в таблице алертов могут не отображаться новые алерты, созданные в результате проверки технологией AM. Вы можете проверить наличие ограничения и при необходимости устранить его.

Чтобы проверить отображение новых алертов в таблице алертов:

Включите точку мониторинга для используемого Sensor.
Если вы используете Sensor, установленный отдельно, войдите в консоль управления этого сервера Sensor по протоколу SSH или через терминал.
Если вы используете встроенный Sensor, войдите в консоль управления того сервера Central Node, на котором располагается встроенный Sensor, по протоколу SSH или через терминал.
Если Central Node развернут в виде кластера, вам требуется войти в консоль управления обрабатывающего сервера, на котором включена обработка зеркалированного SPAN-трафика.

Как определить адрес этого сервера
1. Войдите в консоль управления любого работоспособного сервера кластера по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя и пароль учетной записи администратора компонента приложения.
  Отобразится меню администратора компонента приложения.
3. В списке разделов меню администратора приложения выберите раздел Technical Support Mode.
4. Нажмите на клавишу Enter.
  Отобразится окно подтверждения входа в режим Technical Support Mode.
5. Подтвердите, что хотите выполнять действия с приложением в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
6. Определите адрес обрабатывающего сервера, на котором включена обработка зеркалированного SPAN-трафика, в кластере:
  sudo docker node ls -q | sudo xargs docker node inspect -f '{{ if eq (index .Spec.Labels "infrastructure.span") "true" }}{{ .Description.Hostname }}{{ end }}'
  
  Отобразится адрес обрабатывающего сервера кластера, на котором включена обработка зеркалированного SPAN-трафика.
7. Войдите в консоль управления этого сервера по протоколу SSH:
  ssh admin@<адрес сервера, полученный на шаге 6>
В ответ на приглашение системы введите имя учетной записи администратора и пароль, заданный при установке компонента.
Отобразится меню администратора компонента приложения.
В меню администратора приложения выберите режим Technical Support Mode.
Нажмите на клавишу ENTER.
Отобразится окно подтверждения входа в режим Technical Support Mode.
Подтвердите, что хотите выполнять действия с приложением в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу ENTER.
Выполните команду:
watch "curl http://127.0.0.1:9191/metrics | grep preprocessor_files_extracted_fromhttp"

Если для поля preprocessor_files_extracted_fromhttp отображается значение 0, , выполните приведенные ниже шаги инструкции по устранению ограничения.

Чтобы устранить ограничение при использовании встроенного Sensor:

Войдите в консоль управления того сервера Central Node, на котором располагается встроенный Sensor, по протоколу SSH или через терминал.
Если Central Node развернут в виде кластера, вам требуется войти в консоль управления обрабатывающего сервера, на котором включена обработка зеркалированного SPAN-трафика.

Как определить адрес этого сервера
1. Войдите в консоль управления любого работоспособного сервера кластера по протоколу SSH или через терминал.
2. В ответ на приглашение системы введите имя и пароль учетной записи администратора компонента приложения.
  Отобразится меню администратора компонента приложения.
3. В списке разделов меню администратора приложения выберите раздел Technical Support Mode.
4. Нажмите на клавишу Enter.
  Отобразится окно подтверждения входа в режим Technical Support Mode.
5. Подтвердите, что хотите выполнять действия с приложением в режиме Technical Support Mode. Для этого выберите Yes и нажмите на клавишу Enter.
6. Определите адрес обрабатывающего сервера, на котором включена обработка зеркалированного SPAN-трафика, в кластере:
  sudo docker node ls -q | sudo xargs docker node inspect -f '{{ if eq (index .Spec.Labels "infrastructure.span") "true" }}{{ .Description.Hostname }}{{ end }}'
  
  Отобразится адрес обрабатывающего сервера кластера, на котором включена обработка зеркалированного SPAN-трафика.
7. Войдите в консоль управления этого сервера по протоколу SSH:
  ssh admin@<адрес сервера, полученный на шаге 6>
Повысьте привилегии пользователя, выполнив команду:
sudo -i
Выполните команды:
kata-sensor-tool reset

kata-sensor-tool reset-core

kata-sensor-tool init-embedded-sensor
Убедитесь, что новый алерт отображается в таблице алертов, выполнив шаги инструкции по проверке отображения новых алертов.

Ограничение будет устранено.

Чтобы устранить ограничение при использовании Sensor, установленного на отдельном от Central Node сервере:

Удалите подключенный Sensor в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.
Войдите в консоль управления этого сервера Sensor, по протоколу SSH или через терминал.
Повысьте привилегии пользователя, выполнив команду:
sudo -i
Выполните команду:
kata-sensor-tool reset
Подключите Sensor к Central Node заново.
Убедитесь, что новый алерт отображается в таблице алертов, выполнив шаги инструкции по проверке отображения новых алертов.

Ограничение будет устранено.

В начало