分布式解决方案和多租户模式下 Central Node 服务器的数据备份和恢复
此场景描述了在分布式解决方案或多租户模式下部署的 Central Node 服务器上备份和恢复数据的过程。
要在使用分布式解决方案和多租户模式时备份和恢复数据,您必须连接到层次结构中的每个 Central Node 服务器,并按照以下说明的步骤进行操作。
备份和恢复以分布式解决方案或多租户模式部署的 Central Node 服务器上的数据涉及以下步骤:
- 创建备份副本
您可以使用管理员菜单或在技术支持模式下创建备份副本:
如何在管理员菜单中创建备份副本
Kaspersky Anti Targeted Attack Platform 的备份副本仅包含数据库(警报数据库、VIP 身份详细信息、从扫描中排除的数据列表、通知)和 Central Node 或 PCN 设置。
- 登录到您要通过 SSH 或终端进行备份的服务器的管理控制台。
- 出现提示时,输入管理员账户的用户名和密码。
显示应用程序组件管理员菜单。
- 在应用程序管理员菜单部分的列表中,选择系统管理部分。
- 按 Enter 键。
这将打开操作选择窗口。
- 在操作列表中,选择备份/恢复设置。
- 按 Enter 键。
这将打开备份/恢复设置窗口。
- 在操作列表中,选择新建。
- 按 Enter 键。
这将打开备份设置窗口。
- 单击备份。
备份副本已创建。
如何在技术支持模式下创建备份副本
- 登录到您要通过 SSH 或终端进行备份的服务器的管理控制台。
- 出现提示时,输入管理员账户的用户名和密码。
显示应用程序组件管理员菜单。
- 在应用程序管理员菜单部分的列表中,选择“技术支持模式”部分。
- 按 Enter 键。
这将打开技术支持模式确认窗口。
- 确认您想要在技术支持模式下管理应用程序。为此,请选择是并按Enter。
- 运行以下命令:
sudo kata-run.sh kata-backup-restore backup
您还可以为此命令指定一个或多个参数 (请参阅下表)。
您也可以使用 -h 命令接收有关使用参数的提示。
创建备份副本的参数
必需的参数
|
参数
|
描述
|
是
|
-b <路径>
|
在指定路径创建备份副本,
其中 <path> 是要创建备份副本的目录的绝对路径或相对路径。
|
否
|
-c
|
保存备份副本之前清除目录。
|
否
|
-d <存储文件数>
|
指定目录中存储的最大备份文件数,其中 <number> 是文件数。
|
否
|
-e
|
将文件保存在存储中。
|
否
|
-q
|
将文件保存在隔离区中。
|
否
|
-a
|
保存等待重新扫描的文件。
|
否
|
-s
|
保存 Sandbox 工件。
|
否
|
-n
|
保存 Central Node 或 PCN 设置。
|
No
|
-l <文件路径>
|
将命令执行结果保存到文件中,其中<文件路径>是事件日志文件的名称,包括文件的绝对路径或相对路径。
|
如果未定义其他设置,备份副本仅包含数据库(警报数据库、VIP 状态详细信息、从扫描中排除的数据列表、通知)。
示例:
创建备份副本的命令:
sudo kata-run.sh kata-backup-restore backup -b <路径> -c -d <存储文件数> -e -q -a -s -n -l <文件路径>
|
- 将备份副本保存到硬盘
要将备份副本保存在计算机硬盘上,请运行以下命令:
scp <用于在管理员菜单和服务器管理控制台中工作的账户的名称>@<服务器的 IP 地址>:<备份文件的名称,格式为:data_kata_<创建备份副本的日期和时间>.tar>
示例:
用于将于 2020 年 4 月 10 日 10 时 00 分 00 秒在“admin”账户下的 IP 地址为 10.0.0.10 的 Central Node 服务器上创建的备份副本下载到计算机硬盘的命令:
scp admin@10.0.0.10:data_kata_2020_04_10T10_00_00.tar
备份副本保存到您的计算机硬盘上的当前目录中。
|
- 重新安装应用程序
删除并重新安装 Kaspersky Anti Targeted Attack Platform。
数据只能从备份恢复到具有 Central Node 角色的服务器。如果在开始之前为服务器分配 PCN 或 SCN 角色,则恢复过程将失败。
安装应用程序时,您需要为寻址服务器指定与应用程序备份副本中指定的相同的网络掩码。如果值不匹配,则嵌入式 Sensor 在应用程序恢复后会遇到错误。如果需要,您可以恢复该组件。
安装后,您必须向应用程序添加与创建备份副本的服务器上相同类型的授权许可密钥(KATA、KATA + NDR、KEDR)。这对于恢复备份副本中保存的所有 Central Node、PCN 或 SCN 设置是必要的。
- 将备份副本上传至服务器
通过运行以下命令将备份副本上传到 Central Node 服务器:
scp <备份文件的名称,格式为:data_kata_<备份副本创建的日期和时间>.tar> <用于在管理员菜单和服务器管理控制台中工作的账户名称>@<服务器的 IP 地址>:
示例:
用于将于 2020 年 4 月 10 日 10 时 00 分 00 秒创建的备份副本上传到“admin”账户下的 IP 地址为 10.0.0.10 的 Central Node 服务器的命令:
scp data_kata_2020_04_10T10_00_00.tar admin@10.0.0.10:
备份副本将上传至 Central Node 服务器的当前目录。
|
- 从备份副本恢复数据
您可以使用管理员菜单或在技术支持模式下从 Central Node 服务器上的备份副本恢复数据:
如何在管理员菜单中恢复数据
- 登录到您要通过 SSH 或终端恢复其数据的服务器的管理控制台。
- 出现提示时,输入应用程序组件管理员账户的用户名和密码。
显示应用程序组件管理员菜单。
- 在应用程序管理员菜单部分的列表中,选择系统管理部分。
- 按 Enter 键。
这将打开操作选择窗口。
- 在操作列表中,选择备份/恢复设置。
- 按 Enter 键。
这将打开备份/恢复设置窗口。
- 在包含应用程序备份副本的文件列表中,选择要从中恢复服务器设置的文件。
如果必要的文件未列出,请将包含备份副本的文件上传到服务器。
- 按 Enter 键。
这将打开操作选择窗口。
- 在操作列表中,选择“恢复 <备份文件的名称,格式为:data_kata_<备份副本的创建日期和时间>.tar>”
- 按 Enter 键。
这将打开操作确认窗口。
- 单击恢复。
从备份副本恢复服务器数据的过程开始。
如果创建备份副本的服务器和从备份副本恢复数据的服务器上的网络接口名称相同,则会自动恢复从 SPAN 端口接收镜像流量的设置。
如何在技术支持模式下恢复数据
- 登录到您要通过 SSH 或终端恢复其数据的服务器的管理控制台。
- 出现提示时,输入应用程序管理员账户的用户名和密码。
显示应用程序组件管理员菜单。
- 在应用程序管理员菜单部分的列表中,选择“技术支持模式”部分。
- 按 Enter 键。
这将打开技术支持模式确认窗口。
- 确认您想要在技术支持模式下管理应用程序。为此,请选择是并按Enter。
- 运行以下命令:
sudo kata-run.sh kata-backup-restore restore
您还可以为此命令指定一个或多个参数(请参阅下表)。
您也可以使用 -h 命令接收有关使用参数的提示。
数据恢复参数
必需的参数
|
参数
|
命令描述
|
是
|
-r <路径>
|
从包含备份副本的文件中恢复数据,
其中 <path> 是备份文件的完整路径。
|
No
|
-l <文件路径>
|
将命令执行结果保存到文件中,其中<文件路径>是事件日志文件的名称,包括文件的绝对路径或相对路径。
|
示例:
从备份副本恢复数据的命令:
sudo kata-run.sh kata-backup-restore restore -r <路径> -l <文件路径>
|
如果创建备份副本的服务器和从备份副本恢复数据的服务器上的网络接口名称相同,则会自动恢复从 SPAN 端口接收镜像流量的设置。
如果在其上创建备份副本的 Central Node 服务器的硬件配置与您计划在其上恢复服务器设置的服务器的硬件配置不同,您需要在恢复后重新配置应用程序扩展设置。
恢复数据后,您不需要将 SCN 重新连接到 PCN:PCN 连接设置和连接的 SCN 列表将从备份副本中恢复。
服务器设置的备份副本不包含记录的镜像网络流量的 PCAP 文件。您可以通过从连接的存储的 /data/volumes/dumps 目录复制 PCAP 文件来自行保存和恢复它们。恢复数据后,您必须连接外部存储。
在分布式解决方案和多租户模式下恢复数据时适用的限制
在分布式解决方案和多租户模式下恢复数据后,AM 技术创建的新警报可能不会显示在警报表中。您可以检查该限制是否适用于您,并在必要时采取措施修复它。
要查看警报表中是否显示新警报,请执行以下操作:
- 为您正在使用的 Sensor 启用监控点。
- 如果您使用的是独立 Sensor,请使用 SHH 或终端登录到该 Sensor 服务器的管理控制台。
- 如果您使用的是嵌入式 Sensor,请通过 SSH 或使用终端登录到托管嵌入式 Sensor 的 Central Node 服务器的管理控制台。
如果 Central Node 部署为集群,您需要登录到启用了镜像 SPAN 流量处理的工作服务器的管理控制台。
如何找出此服务器的地址
- 通过 SSH 或使用终端进入任何正常运行的集群服务器的管理控制台。
- 出现提示时,输入应用程序组件管理员账户的用户名和密码。
显示应用程序组件管理员菜单。
- 在应用程序管理员菜单部分的列表中,选择“技术支持模式”部分。
- 按 Enter 键。
这将打开技术支持模式确认窗口。
- 确认您想要在技术支持模式下管理应用程序。为此,请选择是并按 Enter。
- 确定集群中启用镜像 SPAN 镜像流量处理的工作服务器的地址:
sudo docker node ls -q | sudo xargs docker node inspect -f '{{ if eq (index .Spec.Labels "infrastructure.span") "true" }}{{ .Description.Hostname }}{{ end }}'
集群中启用镜像 SPAN 镜像流量处理的工作服务器的地址。
- 使用 SSH 协议登录此服务器的管理控制台:
ssh admin@<步骤 6 中获得的服务器地址>
- 系统提示时,输入管理员用户名和安装组件期间指定的密码。
显示应用程序组件管理员菜单。
- 在应用程序管理员菜单中,选择技术支持模式。
- 按 ENTER。
- 这将打开技术支持模式确认窗口。
- 确认您想要在技术支持模式下管理应用程序。为此,请选择“是”并按 ENTER。
- 运行以下命令:
watch "curl http://127.0.0.1:9191/metrics | grep preprocessor_files_extracted_fromhttp"
如果 preprocessor_files_extracted_fromhttp 字段显示 0,请按照以下步骤解除限制。
要在使用嵌入式 Sensor 时解除限制:
- 通过 SSH 或使用终端登录到托管嵌入式 Sensor 的 Central Node 服务器的管理控制台。
如果 Central Node 部署为集群,您需要登录到启用了镜像 SPAN 流量处理的工作服务器的管理控制台。
如何找出此服务器的地址
- 通过 SSH 或使用终端进入任何正常运行的集群服务器的管理控制台。
- 出现提示时,输入应用程序组件管理员账户的用户名和密码。
显示应用程序组件管理员菜单。
- 在应用程序管理员菜单部分的列表中,选择“技术支持模式”部分。
- 按 Enter 键。
这将打开技术支持模式确认窗口。
- 确认您想要在技术支持模式下管理应用程序。为此,请选择是并按 Enter。
- 确定集群中启用镜像 SPAN 镜像流量处理的工作服务器的地址:
sudo docker node ls -q | sudo xargs docker node inspect -f '{{ if eq (index .Spec.Labels "infrastructure.span") "true" }}{{ .Description.Hostname }}{{ end }}'
集群中启用镜像 SPAN 镜像流量处理的工作服务器的地址。
- 使用 SSH 协议登录此服务器的管理控制台:
ssh admin@<步骤 6 中获得的服务器地址>
- 通过运行以下命令提高用户的权限。
sudo -i
- 运行以下命令:
kata-sensor-tool reset
kata-sensor-tool reset-core
kata-sensor-tool init-embedded-sensor
- 按照检查新警报说明中的步骤,验证警报表中是否显示新警报。
限制已移除。
要消除使用独立于 Central Node 安装在服务器上的 Sensor 时的限制:
- 在 Kaspersky Anti Targeted Attack Platform Web 界面中删除连接的 Sensor。
- 通过 SSH 协议或终端登录到 Sensor 的管理控制台。
- 通过运行以下命令提高用户的权限。
sudo -i
- 运行以下命令:
kata-sensor-tool reset
- 将 Sandbox 重新连接到 Central Node。
- 按照检查新警报说明中的步骤,验证警报表中是否显示新警报。
限制已移除。
页面顶部