分佈式解決方案和多租戶模式下 Central Node 伺服器的資料備份與還原
此場景描述了在分佈式解決方案或多租戶模式下部署的 Central Node 伺服器上備份和還原資料的過程。
要在使用分佈式解決方案和多租戶模式時備份和還原資料,您必須連線到層次結構中的每個 Central Node 伺服器,並按照以下說明的步驟進行操作。
備份和還原以分佈式解決方案或多租戶模式部署的 Central Node 伺服器上的資料涉及以下步驟:
- 建立備份副本
您可以使用管理員功能表或在技術支援模式下建立備份副本:
如何在管理員功能表中建立備份副本
Kaspersky Anti Targeted Attack Platform 的備份副本僅包含資料庫(警示資料庫、VIP 身分詳細資料、從掃描中排除的資料清單、通知)和 Central Node 或 PCN 設定。
- 登入您要透過 SSH 或終端進行備份的伺服器的管理主控台。
- 出現提示時,輸入管理員帳戶的使用者名稱和密碼。
顯示應用程式元件管理員功能表。
- 在應用程式管理員功能表部分的清單中,選擇系統管理部分。
- 按Enter鍵。
這將開啟操作選擇視窗。
- 在操作清單中,選擇備份/還原設定。
- 按Enter鍵。
這將開啟備份/還原設定視窗。
- 在操作清單中,選擇建立。
- 按Enter鍵。
這將開啟備份設定視窗。
- 點擊備份。
備份副本已建立。
如何在技術支援模式下建立備份副本
- 登入您要透過 SSH 或終端進行備份的伺服器的管理主控台。
- 出現提示時,輸入管理員帳戶的使用者名稱和密碼。
顯示應用程式元件管理員功能表。
- 在應用程式管理員功能表部分的清單中,選擇“技術支援模式”部分。
- 按 Enter 鍵。
這將開啟技術支援模式確認視窗。
- 確認您想要在技術支援模式下管理應用程式。為此,請選擇是並按 Enter。
- 執行以下命令:
sudo kata-run.sh kata-backup-restore backup
您也可以為此命令指定一個或多個參數 (請參閱下表)。
您也可以使用-h指令接收有關使用參數的提示。
建立備份副本的參數
必需的參數
|
參數
|
敘述
|
是
|
-b <路徑>
|
在指定路徑建立備份副本,
其中<path>是要建立備份副本的目錄的絕對路徑或相對路徑。
|
否
|
-c
|
儲存備份副本之前清除目錄。
|
否
|
-d <儲存檔案數>
|
指定目錄中儲存的最大備份檔案數,其中<number>是檔案數。
|
否
|
-e
|
將檔案儲存在儲存中。
|
否
|
-q
|
將檔案儲存在隔離區中。
|
否
|
-a
|
儲存等待重新掃描的檔案。
|
否
|
-s
|
儲存 Sandbox 工件。
|
否
|
-n
|
儲存 Central Node 或 PCN 設定。
|
No
|
-l <檔案路徑>
|
將命令執行結果儲存到檔案中,其中<檔案路徑>是事件日誌檔案的名稱,包括檔案的絕對路徑或相對路徑。
|
如果未定義其他設定,備份副本僅包含資料庫(警示資料庫、VIP 狀態詳細資訊、從掃描中排除的資料清單、通知)。
範例:
建立備份副本的指令:
sudo kata-run.sh kata-backup-restore backup -b <路徑> -c -d <儲存檔案數> -e -q -a -s -n -l <檔案路徑>
|
- 將備份副本儲存到硬碟
若要將備份副本儲存在電腦硬碟上,請執行以下命令:
scp <用於在管理員功能表和伺服器管理主控台中工作的帳戶的名稱>@<伺服器的 IP 位址>:<備份檔案的名稱,格式為:data_kata_<建立備份副本的日期和時間>.tar>
範例:
用於將於 2020 年4 月10 日10 時 00 分00 秒在“admin”帳戶下的 IP 位址為 10.0.0.10 的 Central Node 伺服器上建立的備份副本下載到電腦硬碟的命令:
scp admin@10.0.0.10:data_kata_2020_04_10T10_00_00.tar
備份副本儲存到您的電腦硬碟上的目前目錄。
|
- 重新安裝應用程式
刪除並重新安裝 Kaspersky Anti Targeted Attack Platform。
資料只能從備份還原到具有 Central Node 角色的伺服器。如果在開始之前為伺服器指派 PCN 或 SCN 角色,則還原過程將會失敗。
安裝應用程式時,您需要為尋址伺服器指定與應用程式備份副本中指定的相同的網路遮罩。如果值不匹配,則嵌入式 Sensor 在應用程式還原後會遇到錯誤。如果需要,您可以還原該元件。
安裝後,您必須在應用程式新增與建立備份副本的伺服器上相同類型的產品授權金鑰(KATA、KATA + NDR、KEDR)。這對於還原備份副本中保存的所有 Central Node、PCN 或 SCN 設定是必要的。
- 將備份副本上傳至伺服器
透過執行以下命令將備份副本上傳到 Central Node 伺服器:
scp <備份檔案的名稱,格式為:data_kata_<備份副本所建立的日期和時間>.tar> <用於在管理員功能表和伺服器管理主控台中工作的帳戶名稱>@<伺服器的 IP 位址>:
範例:
用於將於 2020 年4 月10 日10 時 00 分00 秒建立的備份副本上傳到“admin”帳戶下的 IP 位址為 10.0.0.10 的 Central Node 伺服器的命令:
scp data_kata_2020_04_10T10_00_00.tar admin@10.0.0.10:
備份副本將上傳至 Central Node 伺服器的目前目錄。
|
- 從備份副本還原資料
您可以使用管理員功能表或在技術支援模式下從 Central Node 伺服器上的備份副本還原資料:
如何在管理員功能表中還原資料
- 登入您要透過 SSH 或終端還原其資料的伺服器的管理主控台。
- 出現提示時,輸入應用程式元件管理員帳戶的使用者名稱和密碼。
顯示應用程式元件管理員功能表。
- 在應用程式管理員功能表部分的清單中,選擇系統管理部分。
- 按Enter鍵。
這將開啟操作選擇視窗。
- 在操作清單中,選擇備份/還原設定。
- 按Enter鍵。
這將開啟備份/還原設定視窗。
- 在包含應用程式備份副本的檔案清單中,選擇要從中還原伺服器設定的檔案。
如果必要的檔案未列出,請將包含備份副本的檔案上傳到伺服器。
- 按Enter鍵。
這將開啟操作選擇視窗。
- 在操作清單中,選擇“還原 <備份檔案的名稱,格式為:data_kata_<備份副本的建立日期和時間>.tar>”
- 按Enter鍵。
這將開啟操作確認視窗。
- 點擊還原。
從備份副本還原伺服器資料的過程開始。
如果建立備份副本的伺服器和從備份副本還原資料的伺服器上的網路介面名稱相同,則會自動還原從 SPAN 連接埠接收映像流量的設定。
如何在技術支援模式下還原資料
- 登入您要透過 SSH 或終端還原其資料的伺服器的管理主控台。
- 出現提示時,輸入應用程式管理員帳戶的使用者名稱和密碼。
顯示應用程式元件管理員功能表。
- 在應用程式管理員功能表部分的清單中,選擇“技術支援模式”部分。
- 按 Enter 鍵。
這將開啟技術支援模式確認視窗。
- 確認您想要在技術支援模式下管理應用程式。為此,請選擇是並按 Enter。
- 執行以下命令:
sudo kata-run.sh kata-backup-restore restore
您也可以為此命令指定一個或多個參數(請參閱下表)。
您也可以使用-h指令接收有關使用參數的提示。
資料還原參數
必需的參數
|
參數
|
命令描述
|
是
|
-r <路徑>
|
從包含備份副本的檔案中還原資料,
其中<path>是備份檔案的完整路徑。
|
No
|
-l <檔案路徑>
|
將命令執行結果儲存到檔案中,其中<檔案路徑>是事件日誌檔案的名稱,包括檔案的絕對路徑或相對路徑。
|
範例:
從備份副本還原資料的命令:
sudo kata-run.sh kata-backup-restore restore -r <路徑> -l <檔案路徑>
|
如果建立備份副本的伺服器和從備份副本還原資料的伺服器上的網路介面名稱相同,則會自動還原從 SPAN 連接埠接收映像流量的設定。
如果在其上建立備份副本的 Central Node 伺服器的硬體配置與您計劃在其上還原伺服器設定的伺服器的硬體配置不同,您需要在還原後重新配置應用程式延伸設定。
還原資料後,您不需要將 SCN 重新連線到 PCN:PCN 連線設定和連線的 SCN 清單將從備份副本中還原。
伺服器設定的備份副本不包含記錄的映像網路流量的 PCAP 檔案。您可以透過從連線的儲存的/data/volumes/dumps 目錄複製 PCAP 檔案來自行儲存和還原它們。還原資料後,您必須連線外部儲存。
在分佈式解決方案和多租用戶模式下還原資料時適用的限制
在分佈式解決方案和多組織用戶模式下還原資料後,AM 技術建立的新警示可能不會顯示在警示表中。您可以檢查該限制是否適用於您,並在必要時採取措施修復它。
若要檢視警示表中是否顯示新警示,請執行下列操作:
- 為您正在使用的 Sensor 啟用監控點。
- 如果您使用的是獨立 Sensor,請使用 SHH 或終端登入該 Sensor 伺服器的管理主控台。
- 如果您使用的是嵌入式 Sensor,請透過 SSH 或使用終端登入託管嵌入式 Sensor 的 Central Node 伺服器的管理主控台。
如果 Central Node 部署為叢集,您需要登入啟用了映像 SPAN 流量處理的工作伺服器的管理主控台。
如何找出此伺服器的位址
- 透過 SSH 或使用終端機進入任何正常運作的叢集伺服器的管理主控台。
- 出現提示時,輸入應用程式元件管理員帳戶的使用者名稱和密碼。
顯示應用程式元件管理員功能表。
- 在應用程式管理員功能表部分的清單中,選擇“技術支援模式”部分。
- 按 Enter 鍵。
這將開啟技術支援模式確認視窗。
- 確認您想要在技術支援模式下管理應用程式。為此,請選擇是並按 Enter。
- 確定叢集中啟用映像 SPAN 映像流量處理的工作伺服器的位址:
sudo docker node ls -q | sudo xargs docker node inspect -f '{{ if eq (index .Spec.Labels "infrastructure.span") "true" }}{{ .Description.Hostname }}{{ end }}'
叢集中啟用映像 SPAN 映像流量處理的工作伺服器的位址。
- 使用 SSH 協定登入此伺服器的管理主控台:
ssh admin@<步驟 6 中取得的伺服器位址>
- 系統提示時,輸入管理員使用者名稱和安裝元件期間指定的密碼。
顯示應用程式元件管理員功能表。
- 在應用程式管理員功能表中,選擇技術支援模式。
- 按 Enter 鍵。
- 這將開啟技術支援模式確認視窗。
- 確認您想要在技術支援模式下管理應用程式。為此,請選擇是並按 Enter。
- 執行以下命令:
watch "curl http://127.0.0.1:9191/metrics | grep preprocessor_files_extracted_fromhttp"
如果 preprocessor_files_extracted_fromhttp 欄位顯示 0,請依照下列步驟解除限制。
要在使用嵌入式 Sensor 時解除限制:
- 透過 SSH 或使用終端登入託管嵌入式 Sensor 的 Central Node 伺服器的管理主控台。
如果 Central Node 部署為叢集,您需要登入啟用了映像 SPAN 流量處理的工作伺服器的管理主控台。
如何找出此伺服器的位址
- 透過 SSH 或使用終端機進入任何正常運作的叢集伺服器的管理主控台。
- 出現提示時,輸入應用程式元件管理員帳戶的使用者名稱和密碼。
顯示應用程式元件管理員功能表。
- 在應用程式管理員功能表部分的清單中,選擇“技術支援模式”部分。
- 按 Enter 鍵。
這將開啟技術支援模式確認視窗。
- 確認您想要在技術支援模式下管理應用程式。為此,請選擇是並按 Enter。
- 確定叢集中啟用映像 SPAN 映像流量處理的工作伺服器的位址:
sudo docker node ls -q | sudo xargs docker node inspect -f '{{ if eq (index .Spec.Labels "infrastructure.span") "true" }}{{ .Description.Hostname }}{{ end }}'
叢集中啟用映像 SPAN 映像流量處理的工作伺服器的位址。
- 使用 SSH 協定登入此伺服器的管理主控台:
ssh admin@<步驟 6 中取得的伺服器位址>
- 透過執行以下命令提高使用者的權限。
sudo -i
- 執行以下命令:
kata-sensor-tool reset
kata-sensor-tool reset-core
kata-sensor-tool init-embedded-sensor
- 依照檢查新警示說明中的步驟,驗證警示表中是否顯示新警示。
限制已移除。
若要消除使用獨立於 Central Node 安裝在伺服器上的 Sensor 時的限制:
- 在 Kaspersky Anti Targeted Attack Platform Web 介面中刪除連線的 Sensor。
- 透過 SSH 協定或終端登入 Sensor 的管理主控台。
- 透過執行以下命令提高使用者的權限。
sudo -i
- 執行以下命令:
kata-sensor-tool reset
- 將 Sandbox 重新連線到 Central Node。
- 依照檢查新警示說明中的步驟,驗證警示表中是否顯示新警示。
限制已移除。
頁面頂部