NetWitnessリカバリ ツール(NRT)を使用して、NetWitness Serverホストおよびコンポーネント ホストのデータをバックアップおよびリストアすることができます。NRTは、RMA、ハードウェア更新、一般的なバックアップおよびリストアの要件に対応するために、対象ホストのコマンドラインで実行するスクリプトです。Azure VMにデプロイされたホストの災害復旧手順については、「Azure導入環境での災害復旧」を参照してください。
NRTは各ホスト上でローカルに実行する必要があります。リモート ホストや外部ホストから実行することはできません。
次のタイプのホストをバックアップおよびリストアできます。
NRTスクリプトでは、太字の部分(単語間のスペースは除く)をカテゴリとして指定します。
- NetWitness Admin Server(Broker、Investigate、Respond、Health and Wellness、Reporting Engineを含む)
- AnalystUI(Broker、Investigate、Respond、Reporting Engineを含む)
- Archiver(Log Archiver(WorkbenchおよびArchiver))
- Broker(スタンドアロンBroker)
- Concentrator(NetworkまたはLog Concentrator)
- Decoder(Network Decoder(パケット))
- Endpoint(Endpointエージェント)
- Endpoint Broker(Endpoint Broker)
-
Endpoint Log Hybrid(Log Collector、Log Decoder、Endpoint Server、Concentrator)
- ESA Primary(Contexthub、ESA Correlation、Incident Managementデータベース)
- ESA Secondary(ESA Correlation)
- Gateway(Cloud Gateway)
- Log Hybrid Retention(保存用に最適化されたLog Hybird。RSAシリーズ6 Hybridハードウェアで選択)
- Log Collector(Log Collector およびインストールされている場合は Virtual Log Collector を含む)
- Log Decoder(Log Decoder、およびインストールされている場合は Local Log Collector および Warehouse Connector を含む)
- Log Hybrid(Log Collector、Log Decoder、Concentrator)
- Malware(Malware AnalysisおよびBroker)
- Network Hybrid(ConcentratorおよびDecoder)
- Search(Health & Wellness ベータ ホスト)
- UEBA(User Entity and Behavior Analytics)
- Warehouse(Warehouse Connector)
NetWitnessリカバリ ツールの基本的な使用方法
NRTを使用してデータをバックアップする場合は、exportオプションを指定します。データをリストアする場合は、importオプションを指定します。ルート ディレクトリ レベルで、次の形式でコマンドを実行します。
nw-recovery-tool [command] [option]
使用可能なコマンドとオプションは、次の表のとおりです。
コマンドとオプション | 説明 |
---|---|
-h, --help | コマンドとオプションに関するヘルプを表示します。例えば、 次のコマンドを実行すると、有効なカテゴリ名の一覧が表示されます。nw-recovery-tool --help-categories |
-e、 --export | データまたは構成をエクスポートします。 |
-i、--import | データまたは構成をインポートします。 |
-d, --dump-dir <path> | エクスポートするデータの保存場所のパス、またはインポートするデータの保存場所のパスを指定します(例:/var/netwitness/backup)。 |
-C, --category <name> | 対象のコンポーネントをカテゴリによって選択します。 有効なカテゴリー名は、次のとおりです。AdminServer、AnalystUI、Archiver、Broker、Concentrator、Decoder、Endpoint、EndPointBroker,、EndpointLogHybrid、ESAPrimary、ESASecondary、Gateway、LogHybridRetention、LogCollector、LogDecoder、LogHybrid、Malware、NetworkHybrid、Search、UEBA 1つのカテゴリを指定するか、同一ホストに複数のカテゴリが共存する場合は複数のカテゴリを指定できます。次に例を示します。
|
-p, --deploy-password <pwd> | 導入パスワードを指定します。このオプションは、Mongoデータベースを含むカテゴリまたはコンポーネント(例えば、AdminServer、Endpoint Log Hybrid、ESAPrimary)を選択した場合のみ必要です。 |
前提条件
以下の条件を満たしていることを確認してください。
- データをバックアップする前に、このドキュメントを最後までお読みください。NetWitness Platformのバックアップとリストアの手順を開始する前に必要な情報を確認できるよう、このドキュメントにはすべての導入シナリオが網羅されています。
- NRTはバックアップの場合もリストアの場合も、バックアップまたはリストアする各ホストでローカルに実行してください。NRTを他のホストから実行したり、バックアップやリストアを複数のホストで同時に実行することはできません。ただし、同一ホスト上の複数のコンポーネントを同時にバックアップすることはできます。
- データのエクスポートおよびインポートは、同一ホスト上で実行する必要があります。ホストに障害が発生し、新しいホストを導入する場合は、新しいホストに元のホストと全く同じ識別パラメータ(例えば、IPアドレス)を設定し、同一バージョンのNetWitness Platformを実行する必要があります。
-
NRTのexportコマンドを実行する前に、バックアップの保存場所(/var/netwitness/backupを推奨)に十分な空きディスク領域があることを確認してください。tmp ディレクトリは、短時間で一杯になり、システム クラッシュの原因になる可能性があるため、使用しないでください。
- Malwareホストをバックアップする前に、ディスク サイズを確認し、調整してください。次の表に、ハードウェアのタイプ別にバックアップできるMalwareデータベースの最大サイズと、最大サイズ以内に削減する方法を示します。
ホスト ソース
ハードウェアターゲット ハードウェア データベース バックアップ
最大
サイズバックアップ
サイズ
削減方法Malware 4SシリーズHybrid 6シリーズCore
/var/netwitness 2.5TB ロールオーバーを構成する。
データベースから不要なデータを消去する。 - バックアップを取得したホストが使用していたのと同一のISOイメージをリストアします。
- 単一のホストに複数のサービスが共存する場合は、NRTのimport またはexportコマンドを実行する際、単一のコマンドにすべてのサービスを指定するようにしてください。
NRT実行時、バックアップ(export)またはリストア(import)のどちらの場合も、Malware、Reporting Engine、およびPostgresqlサービスの停止と再起動が行われます。
災害復旧のワークフロー
次の図は、災害復旧タスクの概要を示しています。
復旧が必要なのは、障害が発生したホストのみです。つまり、単一のホストに障害が発生した場合は単一のホストを復旧し、複数のホストで障害が発生した場合は複数のホストを復旧します。
図には次のタスクが含まれます。
- バックアップ(初回はできるだけ早期に実行し、以降は可能な頻度で実行)。
- リストア(データをリストアする必要がある場合のみ実行)。
11.xホストでのデータのバックアップとリストア
データのバックアップとリストアの手順は、NetWitness Serverホストとコンポーネント ホストで異なります。
1.) 本ドキュメントの災害復旧手順を実行する際に、UIの[ホスト]ビュー([管理]>[ホスト])でコンポーネント ホスト(=NetWitness Serverホスト以外のホスト)を削除しないでください。2.) 災害復旧手順を実行する前に使用していた既存のホスト名を継続して使用する必要があります。3.) 災害復旧時にシステムにアクセスできるよう、マスター パスワードを記録し安全な場所に保管してください。
11.x NetWitness Serverでのデータのバックアップとリストア
複数のホストからエクスポートするデータを共有ストレージ(たとえば、共有マウントや共有ドライブ)に保存する場合、エクスポートするデータの保存場所のパスには、ホストごとに固有のサブフォルダを追加し、エクスポートしたデータが別のホストのデータによって上書きされないようにしてください。たとえば、--dump-dir /mnt/storage/<host-specific-name>のようにエクスポートするデータの保存場所のパスを指定します。
NetWitness Serverホストでのデータのバックアップ
この手順は、正常に稼働中の既存の11.x NetWitness Serverホスト システムで実行します。
-
ルート レベルで次のコマンドを実行します。
nw-recovery-tool --export --dump-dir /var/netwitness/backup --category AdminServer
サービスがそのサービス専用のホストにインストールされているのではなく、他のカテゴリのサービスと同じホストに共存している場合は、コマンドラインにはそれらのサービスも追加する必要があります。例えば、GatewayやEndpointBrokerが共存している場合、次のように指定します。
nw-recovery-tool--export --dump-dir /var/netwitness/backup --category AdminServer --category Gateway
nw-recovery-tool--export --dump-dir /var/netwitness/backup --category Broker --category EndpointBroker -
/var/netwitness/backupは、エクスポートするデータの保存場所のパスに置き換えます。
- 指定した場所にバックアップしたデータを保存するのに十分な空き領域があることを確認してください。
- バックアップ ディレクトリのパスは、ローカル ホスト上の場所である必要があります。ただし、ネットワーク共有マウントや外部デバイスにデータを保存することはできます。
-
導入管理者のパスワードのプロンプトが表示されたら、パスワードを入力します。もしくは、nw-recovery-toolコマンドにあらかじめ次の引数を指定しておくこともできます。
--deploy-password <password>
ホストを初期インストールしたときに指定した、既存のdeploy_admin パスワードを使用します。
データは、ステップ2で指定した、NetWitness Serverホスト上の保存場所にバックアップされます。
- バックアップしたデータをローカル ホストから別のサーバまたはUSBスティックに移動します。
NetWitness Serverホストへのデータのリストア
-
NetWitness Serverホストを再イメージ化し、元のホストと同じネットワーク構成を設定します。NetWitness Serverホストの再イメージ化の詳細については、バージョン11.5の『物理ホスト インストール ガイド』の「タスク1:NetWitness Serverホストに11.5をインストール」を参照してください。
-
(オプション)バックアップデータの取得にネットワーク接続の確立が必要な場合(例えば、バックアップデータがリモートホスト上に存在する場合など)、次のスクリプトを実行し、元のホストと同じIPアドレス、サブネット、ゲートウェイ、DNS、ドメインの情報を指定します。
netconfig --static --interface <name> --ip <address> --netmask <netmask> --gateway <gateway>
例:
netconfig --static --interface eth0 --ip 192.168.1.100 --netmask 255.255.255.0 --gateway 192.168.1.1
(オプション)DNSサーバを指定する場合は、次のパラメータを追加します。
--dns <address>
(オプション)ローカル ドメイン名を指定する場合は、次のパラメータを追加します。
--domain <name>
-
(オプション)DHCPを使用している場合は、次のスクリプトを実行します。
netconfig --dhcp --interface <name>
例:
netconfig --dhcp --interface eth0
-
バックアップ データを、ローカル ホスト上のバックアップ ディレクトリのパスに追加します。例:
/var/netwitness/backup
-
-
nwsetup-tuiコマンドを実行します。これにより、セットアップ プログラムが開始されます。
セットアップ プログラムの途中で、ホストのネットワーク構成の入力を求められたら、この11.xホストに元々設定されていたのと完全に同一のネットワーク構成を指定してください。
- インストール タイプを選択するプロンプトが表示されたら、[2: Recover (Reinstall)]を選択して[OK]をクリックし、バックアップ データを保存したバックアップ ディレクトリのパスを入力します。
-
インストールが正常に完了したら、バックアップ データと完全に同じリリースおよびパッチ バージョンが実行されていることを確認します。
- データをバックアップした11.xシステムに、パッチが適用されていた場合は、ホストを同一のパッチ バージョンに更新します。更新手順は、そのパッチ バージョンの更新ガイドのオフライン更新手順に従います。
-
データをバックアップした11.xシステムが、メジャーリリース バージョン(例:11.x)を実行し、それ以降のパッチを適用していない場合、 ホストを更新する必要はありません。
-
ホストが正しいバージョンを実行していることが確認できたら、NetWitness Serverで次のコマンドを実行し、データをリストアします。
nw-recovery-tool --import --dump-dir /var/netwitness/backup --category AdminServer
サービスがそのサービス専用のホストにインストールされているのではなく、他のカテゴリのサービスと同じホストに共存している場合は、コマンドラインにはそれらのサービスも追加する必要があります。例えば、GatewayやEndpointBrokerが共存している場合、次の例のように指定します。
nw-recovery-tool--import --dump-dir /var/netwitness/backup --category AdminServer --category Gateway
nw-recovery-tool--import --dump-dir /var/netwitness/backup --category Broker --category EndpointBroker - (オプション)カスタム ファイアウォール ルールを使用する場合、または、/etc/hostsにカスタム エントリーを追加する場合:
- (オプション)カスタム ファイアウォール ルールを使用する場合(つまり、インストール時にnwsetup-tuiコマンドの[Disable Firewall]プロンプトで「Yes」を選択した場合)は、/etc/sysconfig/iptablesファイルをバックアップの<dump-dir>/unmanaged/etc/sysconfig/iptablesファイルからリストアします。
- (オプション)/etc/hostsにカスタム エントリーを追加する場合は、/etc/hosts.usersファイルをバックアップの<dump-dir>/unmanaged/etc/hosts.userからホスト上の/etcにリストアします。
- ステップ6aまたは6bを実行した場合は、次のコマンドを実行してホストを更新します。
nw-manage --refresh-host --host-key <ID, IP, hostname or display name of host>
- NetWitness Serverホストをリブートします。
/etc/hostに更にカスタム エントリーを追加したい場合は、カスタム エントリーを/etc/hosts.usersファイルに追加してから、ホストを更新する必要があります(ステップ6cを参照)。
他のコンポーネント ホストでのデータのバックアップとリストア
次の手順は、既存の正常に稼働中の11.x コンポーネント ホストで実行する必要があります。
コンポーネント ホストでのデータのバックアップ
- ルート レベルで次のコマンドを実行します。
nw-recovery-tool --export --dump-dir /var/netwitness/backup --category <category name><category name>には、次のいずれか1つを指定します。
AdminServer、AnalystUI、Archiver、Broker、Concentrator、Decoder、Endpoint、EndPointBroker,、EndpointLogHybrid、ESAPrimary、ESASecondary、Gateway、LogHybridRetention、LogCollector、LogDecoder、LogHybrid、Malware、NetworkHybrid、Search、UEBA - (オプション)/var/netwitness/backupは、エクスポートするデータの保存場所のパスに置き換えます。
- 指定した場所にバックアップしたデータを保存するのに十分な空き領域があることを確認してください。
- バックアップ ディレクトリのパスは、ローカル ホスト上の場所である必要があります。ただし、ネットワーク共有マウントや外部デバイスにデータを保存することはできます。
- Endpoint Log HybridおよびESA Primaryホストの場合は、次のコマンドを実行して、データベース内のアプリケーション データをエクスポートすることができます。
nw-recovery-tool --export --dump-dir /var/netwitness/backup --component mongo
/var/netwitness/backupは、エクスポートするデータの保存場所のパスに置き換えます。 - Malwareの場合は、次のコマンドにより、Malwareデータベース内のアプリケーション データをエクスポートすることができます。
nw-recovery-tool --export --dump-dir /var/netwitness/backup --component postgresql
/var/netwitness/backupは、エクスポートするデータの保存場所のパスに置き換えます。 - バックアップ データをローカル ホストから別のサーバまたはUSBスティックに移動します。
1.) ホスト タイプに一致するカテゴリーを指定します。2.) 任意のサービスが専用ホストではなく、他のコンポーネント ホスト上に共存している場合は、そのサービスをコマンド ラインに追加する必要があります。例えば、Warehouse ConnectorがLog Decoderホストに共存している場合、コマンド ラインは次のようになります。
nw-recovery-tool--export --dump-dir /var/netwitness/backup --category LogDecoder --category Warehouse
1.) 指定した場所にエクスポートしたMongoデータベースのファイルを保存するのに十分な空き領域があることを確認してください。2.) 単一のコマンドで、Endpoint Log HybridまたはESA Primaryのホスト データとMongoデータベースをバックアップできます。例:nw-recovery-tool --export --dump-dir /var/netwitness/backup --category EndpointLogHybrid --component mongo
導入管理者のパスワードのプロンプトが表示されたら、パスワードを入力します。もしくは、nw-recovery-toolコマンドにあらかじめ次の引数を指定しておくこともできます。
--deploy-password <password>
指定した場所にエクスポートしたMalwareデータベースのファイルを保存するのに十分な空き領域があることを確認してください。
コンポーネント ホストでのデータのリストア
- コンポーネント ホストを再イメージ化し、元のホストと同じネットワーク構成を設定します。コンポーネント ホストの再イメージ化の詳細については、バージョン11.xの『物理ホスト インストール ガイド』の「タスク2:その他のコンポーネントのホストに11.xをインストール」を参照してください。
-
(オプション)バックアップ データの取得にネットワーク接続の確立が必要な場合(たとえば、バックアップ データがリモート ホスト上に存在する場合など)、次のスクリプトを実行し、元のホストと同じIPアドレス、サブネット、ゲートウェイ、DNS、ドメインの情報を指定します。
netconfig --static --interface <name> --ip <address> --netmask <netmask> --gateway <gateway>
例:
netconfig --static --interface eth0 --ip 192.168.1.100 --netmask 255.255.255.0 --gateway 192.168.1.1
(オプション)DNSサーバを指定する場合は、次のパラメータを追加します。
--dns <address>
(オプション)ローカル ドメイン名を指定する場合は、次のパラメータを追加します。
--domain <name>- (オプション)DHCPを使用している場合は、次のスクリプトを実行します。
netconfig --dhcp --interface <name>
例:
netconfig --dhcp --interface eth0 - バックアップ データを、ローカルホスト上のバックアップ ディレクトリのパスに追加します。例:/var/netwitness/backup
- (オプション)DHCPを使用している場合は、次のスクリプトを実行します。
- nwsetup-tuiコマンドを実行します。これにより、セットアップ プログラムが開始します。
- インストール タイプを選択するプロンプトが表示されたら、[2: Recover (Reinstall)]を選択して[OK]をクリックし、バックアップ データを保存したディレクトリのパスを入力します。
-
nwsetup-tui コマンドによるセットアップが完了したら、NetWitness Platformユーザ インタフェースの[ホスト]ビューから[インストール]コマンドを使用して、ホスト上に適切なサービスを再インストールする必要があります。
- サービスのインストールが完了したら、バックアップ データと完全に同じリリースおよびパッチバージョンが実行されていることを確認します。
- データをバックアップした11.xシステムに、パッチが適用されていた場合は、ホストを同一のパッチ バージョンにアップデートします。アップデート手順は、そのパッチ バージョンのオフライン アップデート手順に従います。
- データをバックアップした11.xシステムが、メジャーリリース バージョン(例:11.x)を実行し、それ以降のパッチを適用していない場合、 ホストを更新する必要はありません。
- ホストが正しいバージョンを実行していることを確認できたら、コンポーネント ホストのルート レベルに戻り、次のコマンドを実行してデータをリストアします。
nw-recovery-tool --import --dump-dir /var/netwitness/backup --category <category name>サービスが専用ホストではなく、コンポーネント ホスト上に他のサービスと共存している場合は、コマンドラインにはそれらのサービスも追加する必要があります。例えば、Warehouse ConnectorがLog Decoderホストに共存している場合、コマンド ラインは次のようになります。
nw-recovery-tool--import --dump-dir /var/netwitness/backup --category LogDecoder --category Warehouse - EnpointLogHybridおよびESAPrimaryシステムの場合は、次のコマンドを実行し、アプリケーション データをリストアすることができます。
nw-recovery-tool --import --dump-dir /var/netwitness/backup --component mongo - Malwareホストの場合は、次のコマンドを実行して、Malwareデータベースのアプリケーション データをリストアできます。
nw-recovery-tool --import --dump-dir /var/netwitness/backup --component postgresql - 外部ストレージ(DAC/SAN/Unity/PowerVault)が構成されたDecoder、Log Decoder、Concentrator、Archiver、Network Hybrid、Log Hybridの場合、次の手順を実行します。
- <dump-dir>/unmanaged/etc/fstabファイルの中身を確認し、システムの/etc/fstabファイルに存在しないデバイスのマウント ポイントがないか確認します。
重要: 新しいホスト ハードウェア(つまり、Decoder、Log Decoder、Concentrator、Archiver、Network Hybrid、Log Hybridの新しいホスト)に移行する場合は、次の手順に進む前に以下を実行する必要があります。
1.古いハードウェア ホストと接続された外部ストレージ デバイスの電源をオフにします。
2. 外部ストレージ デバイスを新しいホスト ハードウェアに接続します。
3. 新しいホスト ハードウェアと接続された外部ストレージ デバイスの電源をオンにします。- バックアップの<dump-dir>/unmanaged/etc/fstabファイル内の各デバイスについて、次の手順を完了します。
- 対応するデバイスが存在し、接続されていることを確認します。接続されていない場合は、接続します。今後使用しないデバイスはスキップし、次のデバイスを確認します。
ファイル システムにマウント ポイントのディレクトリが存在することを確認します。存在しない場合は、mkdir <path> コマンドを使用して、ディレクトリを作成します。
- バックアップのfstabファイル内のエントリーを、システムの/etc/fstabファイルに追加します。
シリーズ 5または 6の Hybridハードウェア では、バックアップしたデータを/etc/fstabディレクトリにリストアする必要があります。「付録 A.復旧後のシリーズ5および6 Hybridでのfstabの変更」の手順に従ってください。
- ホストで次のコマンドを実行します。
mount -a
- <dump-dir>/unmanaged/etc/fstabファイルの中身を確認し、システムの/etc/fstabファイルに存在しないデバイスのマウント ポイントがないか確認します。
- (オプション)カスタム ファイアウォール ルールを使用する場合、または、/etc/hostsにカスタム エントリーを追加する場合:
- (オプション)カスタム ファイアウォール ルールを使用する場合(つまり、インストール時にnwsetup-tuiコマンドの[Disable Firewall]プロンプトで「Yes」を選択した場合)は、/etc/sysconfig/iptablesファイルをバックアップの<dump-dir>/unmanaged/etc/sysconfig/iptablesファイルからリストアします。
- (オプション)/etc/hostsにカスタム エントリーを追加する場合は、/etc/hosts.usersファイルを、バックアップの<dump-dir>/unmanaged/etc/hosts.userからホスト上の/etcにリストアします。
- ステップ11aまたは11bを実行した場合は、次のコマンドを実行してホストを更新します。
nw-manage --refresh-host --host-key <ID, IP, hostname or display name of host>
- コンポーネント ホストをリブートします。
セットアップ プログラムの途中で、ホストのネットワーク構成の入力を求められたら、このホストに元々設定されていたものと完全に同じネットワーク構成を指定してください。
導入管理者のパスワードのプロンプトが表示されたら、パスワードを入力します。もしくは、nw-recovery-toolコマンドにあらかじめ次の引数を指定しておくこともできます。
--deploy-password <password>
ハードウェア更新の場合のみ:新しいホスト ハードウェアに追加されたディスク領域の使用
新しいハードウェアで利用可能なディスク領域をすべて使用する方法については、『RSA NetWitness Platformコア データベース チューニング ガイド』を参照してください。RSA NetWitness Platform 11.xのすべてのドキュメントの一覧を、 「総合目次」 で確認できます。