NRT:災害復旧(バックアップおよびリストア)

Document created by RSA Information Design and Development on Jul 23, 2019Last modified by RSA Information Design and Development on Jul 26, 2019
Version 2Show Document
  • View in full screen mode
 

NetWitnessリカバリ ツール(NRT)を使用して、NetWitness Serverホストおよびコンポーネント ホストのデータをバックアップおよびリストアすることができます。NRTは、RMA、ハードウェア更新、一般的なバックアップおよびリストアの要件に対応するために、対象ホストのコマンドラインで実行するスクリプトです。Azure VMにデプロイされたホストの災害復旧手順については、「Azure導入環境での災害復旧」を参照してください。

NRTは各ホスト システムでローカルに実行する必要があります。リモート ホストまたは外部ホストから実行することはできません。

次の種類のホストをバックアップおよびリストアできます。

NRTスクリプトでは、太字の部分をカテゴリとして指定します。

  • NetWitness Admin Server(Respond、ヘルス モニタ、Reporting Engineを含む)
  • Archiver(Log Archiver(WorkbenchとArchiver))
  • Broker(スタンドアロンのBroker)
  • Concentrator(NetworkまたはLog Concentrator)
  • Decoder(Network Decoder(パケット))
  • Endpoint Broker(Endpoint Broker)
  • Endpoint Log Hybrid(Log Collector、Log Decoder、Endpoint Server、Concentrator)

  • ESA Primary(Entity Behavior Analytics、Contexthub、ESA Correlation、Incident Managementデータベース)
  • ESA Secondary(Entity Behavior Analytics、ESA Correlation)
  • Gateway(Cloud Gateway)
  • Log Collector(インストールされている場合、Virtual Log Collectorを含む)
  • Log Decoder(インストールされている場合、ローカルLog CollectorとWarehouse Connectorを含む)
  • Log Hybrid(Log Collector、Log Decoder、Concentrator)
  • Malware(Malware AnalysisとBroker)
  • Network Hybrid(ConcentratorとDecoder)
  • UEBA(User Entity and Behavior Analytics)
  • Warehouse(Warehouse Connector)

NetWitnessリカバリ ツールの基本的な使用方法

NRTを使用してデータをバックアップする場合は、exportオプションを指定します。データをリストアする場合は、importオプションを指定します。ルート ディレクトリ レベルで、次の形式でコマンドを実行します。

nw-recovery-tool [command] [option]

使用可能なコマンドとオプションは、次の表のとおりです。

                                   
コマンドおよびオプション説明

-h, --help

コマンドとオプションに関するヘルプを表示します。例えば、

次のコマンドを実行すると、有効なカテゴリ名のリストが表示されます:nw-recovery-tool --help-categories

-e, --export データまたは構成をエクスポートします。
-i, --importデータまたは構成をインポートします。

-d, --dump-dir <path>

エクスポートするデータの保存場所のパス、またはインポートするデータの保存場所のパスを指定します。(例:/var/netwitness/backup

-C, --category <name>

対象のコンポーネントをカテゴリによって選択します。

有効なカテゴリ名は、次のとおりです:AdminServerArchiverBrokerConcentratorDecoderEndPointBroker,EndpointLogHybridESAPrimaryESASecondaryGatewayLogCollectorLogDecoderLogHybridMalwareNetworkHybridUEBAWarehouse

1つのホストに複数のカテゴリが共存している場合は、1つまたは複数のカテゴリを指定できます。例:

  • --category AdminServer(Admin Serverのみを指定)
    --category AdminServer --category Gateway(Admin ServerとCloud Gatewayを指定)
  • --category ESAPrimary(ESA Primaryのみを指定)
  • --category Broker(Brokerのみを指定)
    --category Broker --category EndpointBroker(BrokerとEndpoint Brokerを指定)

-p, --deploy-password <pwd>

導入パスワードを指定します。このオプションは、Mongoデータベースを含むカテゴリまたはコンポーネント(例えば、AdminServer、Endpoint Log Hybrid、ESAPrimary)を選択した場合のみ必要です。

前提条件

以下の条件を満たしていることを確認してください。

  • データをバックアップする前に、このドキュメントを最後までお読みください。NetWitness Platformのバックアップとリストアの手順を開始する前に必要な情報を確認できるよう、このドキュメントにはすべての導入シナリオが網羅されています。
  • NRTはバックアップの場合もリストアの場合も、バックアップまたはリストアする各ホストでローカルに実行してください。NRTを他のホストから実行したり、バックアップやリストアを複数のホストで同時に実行することはできません。ただし、同一ホスト上の複数のコンポーネントを同時にバックアップすることはできます。
  • データのエクスポートおよびインポートは、同一ホスト上で実行する必要があります。ホストに障害が発生し、新しいホストを導入する場合は、新しいホストに元のホストと全く同じ識別パラメータ(例えば、IPアドレス)を設定し、同一バージョンのNetWitness Platformを実行する必要があります。
  • NRTのexportコマンドを実行する前に、バックアップの保存場所(/var/netwitness/backupを推奨)に十分な空きディスク領域があることを確認してください。tmp ディレクトリは、短時間で一杯になり、システム クラッシュの原因になる可能性があるため、使用しないでください。

  • Malwareのディスク サイズを確認し、バックアップする前に調整してください。次の表に、ハードウェアのタイプ別にバックアップできるMalwareデータベースの最大サイズと、最大サイズまで減らすために実施できる処理を示します。
    ホストソース
    ハードウェア
    ターゲット ハードウェアデータベースバックアップ
    の最大
    サイズ
    バックアップの
    最大サイズまで
    削減する処理
    Malwareシリーズ4Sハイブリッド

    シリーズ6コア

    /var/netwitness2.5TBロールオーバーを構成します。
    データベースから不要な データをパージします。
  • バックアップを取得したホストが使用していたのと同一のISOイメージをリストアします。
  • 単一のホストに複数のサービスが共存する場合は、NRTimport またはexportコマンドを実行する際、単一のコマンドにすべてのサービスを含めるようにしてください。

1.) NRTを実行時、バックアップ(export)またはリストア(import)のどちらの場合も、Malware、Reporting Engine、Postgresqlサービスの停止と再起動が行われます。ログとパケットの収集は停止されません。

災害復旧のワークフロー

次の図は、災害復旧タスクの概要を示しています。

復旧が必要なのは、障害が発生したホストのみです。つまり、単一のホストに障害が発生した場合は単一のホストを復旧し、複数のホストで障害が発生した場合は複数のホストを復旧します。

図には次のタスクが含まれます。

  • バックアップ(初回はできるだけ早期に実行し、以降は可能な頻度で実行)。
  • リストア(データをリストアする必要がある場合のみ実行)。

11.xホストでのデータのバックアップとリストア

データのバックアップとリストアの手順は、NetWitness Serverホストとコンポーネント ホストで異なります。

1.) このドキュメントの災害復旧手順を実行するときは、ユーザ インタフェースの[ホスト]ビュー([管理]>[ホスト])からコンポーネント ホスト(NW Serverホスト以外のホスト)を削除しないでください。2.) 災害復旧手順の実行前に使用していた既存の「ホスト名」を継続して使用する必要があります。3.) 災害復旧時にシステムにアクセスできるように、マスター パスワードを記録し、安全な場所に保管してください。

11.x NetWitness Serverでのデータのバックアップとリストア

複数のホストからエクスポートするデータを共有ストレージ(例えば、共有マウントや共有ドライブ)に保存する場合は、エクスポートするデータの保存場所のパスには、ホストごとに固有のサブフォルダを追加し、エクスポートしたデータが別のホストのデータによって上書きされないようにしてください。たとえば、--dump-dir /mnt/storage/<host-specific-name>のようにエクスポートするデータの保存場所のパスを指定します。

NetWitness Serverホストでのデータのバックアップ

この手順は、既存の正常に稼働中の11.x NetWitness Serverホスト システムで実行します。

  1. ルート レベルで以下のコマンドを実行します。

    nw-recovery-tool --export --dump-dir /var/netwitness/backup --category AdminServer

    任意のサービスがそれ専用のホストにインストールされているのではなく、別のカテゴリのサービスと同じホストに共存している場合は、そのサービスをコマンドラインに追加する必要があります。GatewayまたはEndpointBrokerが共存する場合、次の例のように指定します:
    nw-recovery-tool--export --dump-dir /var/netwitness/backup --category AdminServer --category Gateway
    nw-recovery-tool--export --dump-dir /var/netwitness/backup --category Broker --category EndpointBroker

  2. /var/netwitness/backupは、エクスポートするデータの保存場所のパスに置き換えます。

    1. 指定した場所にバックアップしたデータを保存するのに十分な空き領域があることを確認してください。
    2. バックアップ ディレクトリのパスは、ローカル ホスト上の場所である必要があります。ただし、ネットワーク共有マウントや外部デバイスにデータを保存することはできます。
  3. 導入管理者のパスワードのプロンプトが表示されたら、パスワードを入力します。もしくは、nw-recovery-toolコマンドにあらかじめ次の引数を指定しておくこともできます。

    --deploy-password <password>

    ホストを初期インストールした時に指定した、deploy_admin のパスワードを使用します。

    データは、ステップ2で指定した、NetWitness Serverホスト上の保存場所にバックアップされます。

  4. バックアップしたデータをローカル ホストから別のサーバまたはUSBスティックに移動します。

NetWitness Serverホストへのデータのリストア

  1. NetWitness Serverホストを再イメージ化し、元のホストと同じネットワーク構成を設定します。NetWitness Serverホストの再イメージ化の詳細については、バージョン11.3の『物理ホスト インストール ガイド』の「タスク1:NetWitness Serverホストに11.3をインストール」を参照してください。

    1. (オプション)バックアップデータの取得にネットワーク接続の確立が必要な場合(例えば、バックアップデータがリモートホスト上に存在する場合など)、次のスクリプトを実行し、元のホストと同じIPアドレス、サブネット、ゲートウェイ、DNS、ドメインの情報を指定します。

      netconfig --static --interface <name> --ip <address> --netmask <netmask> --gateway <gateway>

      例:

      netconfig --static --interface eth0 --ip 192.168.1.100 --netmask 255.255.255.0 --gateway 192.168.1.1

      (オプション) DNSサーバを指定する場合は、次のパラメータを追加します。

      --dns <address>

      (オプション) ドメイン名を指定する場合は、次のパラメータを追加します。

      --domain <name>

    2. (オプション)DHCPを使用している場合は、次のスクリプトを実行します。

      netconfig --dhcp --interface <name>

      例:

      netconfig --dhcp --interface eth0

    3. バックアップ データを、ローカルホスト上のバックアップ ディレクトリのパスに追加します。

      /var/netwitness/backup

  2. nwsetup-tuiコマンドを実行します。これにより、セットアップ プログラムが開始されます。

    セットアップ プログラムの途中で、ホストのネットワーク構成の入力を求められたら、この11.xホストに元々設定されていたのと完全に同一のネットワーク構成を指定してください。

  3. インストールタイプを選択するプロンプトが表示されたら、[3:Recover (Reinstall)]を選択して[OK]をクリックし、バックアップ データを保存したバックアップ ディレクトリのパスを入力します。
  4. インストールが正常に完了したら、バックアップ データと完全に同じリリースおよびパッチ バージョンが実行されていることを確認します。

    • データをバックアップした11.xシステムに、パッチが適用されていた場合、ホストを同一のパッチ バージョンに更新します。更新手順は、そのパッチバージョンの更新ガイドのオフライン更新手順に従います。
    • データをバックアップした11.xシステムが、メジャーリリース バージョン(例:11.x)を実行し、それ以降のパッチを適用していない場合、 ホストを更新する必要はありません。

  5. ホストが正しいバージョンを実行していることが確認できたら、NetWitness Serverで次のコマンドを実行し、データをリストアします。

    nw-recovery-tool --import --dump-dir /var/netwitness/backup --category AdminServer

    任意のサービスがそれ専用のホストにインストールされているのではなく、別のカテゴリのサービスと同じホストに共存している場合は、そのサービスをコマンドラインに追加する必要があります。GatewayまたはEndpointBrokerが共存する場合は、次の例のように指定します:
    nw-recovery-tool--import --dump-dir /var/netwitness/backup --category AdminServer --category Gateway
    nw-recovery-tool--import --dump-dir /var/netwitness/backup --category Broker --category EndpointBroker

  6. (オプション)カスタム ファイアウォール ルールを使用している場合(つまり、インストール時にnwsetup-tuiコマンドの[Disable Firewall]プロンプトで[Yes]を選択した場合)、/etc/sysconfig/iptablesファイルをバックアップの<dump-dir>/unmanaged/etc/sysconfig/iptablesファイルからリストアします。
  7. NetWitness Serverホストをリブートします。

他のコンポーネント ホストでのデータのバックアップとリストア

次の手順は、既存の正常に稼働中の11.x コンポーネント ホストで実行する必要があります。

コンポーネント ホストでのデータのバックアップ

  1. ルート レベルで次のコマンドを実行します。
    nw-recovery-tool --export --dump-dir /var/netwitness/backup --category <category name>

    <category name>には、次のいずれか1つを指定します。
    AdminServerArchiverBrokerConcentratorDecoderEndPointBroker,EndpointLogHybridESAPrimaryESASecondaryGatewayLogCollectorLogDecoderLogHybridMalwareNetworkHybridUEBAWarehouse

  2. 1.) ホスト タイプに一致するカテゴリを指定します。2.) 任意のサービスが専用ホストではなく、他のコンポーネントホスト上に共存している場合は、そのサービスをコマンドラインに追加する必要があります。たとえば、Warehouse ConnectorがLog Decoderホスト上に共存している場合、コマンドラインは次のようになります。
    nw-recovery-tool--export --dump-dir /var/netwitness/backup --category LogDecoder --category Warehouse

  3. (オプション)/var/netwitness/backupを、エクスポートするデータの保存場所のパスに置き換えます。
    1. 指定した場所にバックアップしたデータを保存するのに十分な空き領域があることを確認してください。
    2. バックアップ ディレクトリのパスは、ローカル ホスト上の場所である必要があります。ただし、ネットワーク共有マウントや外部デバイスにデータを保存することはできます。
  4. Endpoint Log HybridおよびESA Primaryホストの場合は、次のコマンドを実行して、データベース内のアプリケーション データをエクスポートすることができます。
    nw-recovery-tool --export --dump-dir /var/netwitness/backup --component mongo
    /var/netwitness/backupは、エクスポートするデータの保存場所のパスに置き換えます。
  5. 1.) 指定した場所にエクスポートしたMongoデータベースのファイルを保存するのに十分な空き領域があることを確認してください。2.) 単一のコマンドで、Endpoint Log HybridまたはESA Primaryのホスト データとMongoデータベースをバックアップできます。例:nw-recovery-tool --export --dump-dir /var/netwitness/backup --category EndpointLogHybrid --component mongo

    導入管理者のパスワードのプロンプトが表示されたら、パスワードを入力します。もしくは、nw-recovery-toolコマンドにあらかじめ引数として指定しておくこともできます。

  6. Malwareの場合は、次のコマンドにより、Malwareデータベース内のアプリケーション データをエクスポートすることができます。
    nw-recovery-tool --export --dump-dir /var/netwitness/backup --component postgresql
    /var/netwitness/backupは、エクスポートするデータの保存場所のパスに置き換えます。
  7. 指定した場所にエクスポートしたMalwareデータベースのファイルを保存するのに十分な空き領域があることを確認してください。

  8. バックアップしたデータをローカル ホストから別のサーバまたはUSBスティックに移動します。

コンポーネント ホストでのデータのリストア

  1. コンポーネント ホストを再イメージ化し、元のホストと同じネットワーク構成を設定します。コンポーネント ホストの再イメージ化の詳細については、バージョン11.3の『物理ホスト インストール ガイド』の「タスク2:その他のコンポーネントのホストに11.xをインストール」を参照してください。
  2. (オプション)バックアップデータの取得にネットワーク接続の確立が必要な場合(例えば、バックアップデータがリモートホスト上に存在する場合など)、次のスクリプトを実行し、元のホストと同じIPアドレス、サブネット、ゲートウェイ、DNS、ドメインの情報を指定します。
    netconfig --static --interface <name> --ip <address> --netmask <netmask> --gateway <gateway>
    例:
    netconfig --static --interface eth0 --ip 192.168.1.100 --netmask 255.255.255.0 --gateway 192.168.1.1
    (オプション) DNSサーバを指定する場合は、次のパラメータを追加します。
    --dns <address>
    (オプション) ドメイン名を指定する場合は、次のパラメータを追加します。
    --domain <name>

    1. (オプション)DHCPを使用している場合は、次のスクリプトを実行します。
      netconfig --dhcp --interface <name>
      例:
      netconfig --dhcp --interface eth0
    2. バックアップ データを、ローカルホスト上のバックアップ ディレクトリのパスに追加します。/var/netwitness/backup
  3. nwsetup-tuiコマンドを実行します。これにより、セットアップ プログラムが開始されます。
  4. セットアップ プログラムの途中で、ホストのネットワーク構成の入力を求められたら、この11.xホストに元々設定されていたのと完全に同一のネットワーク構成を指定してください。

  5. インストールタイプを選択するプロンプトが表示されたら、[3:Recover (Reinstall)]を選択して[OK]をクリックし、バックアップ データを保存したバックアップ ディレクトリのパスを入力します。
  6. nwsetup-tui コマンドによるセットアップが完了したら、NetWitness Platformユーザ インタフェースの[ホスト]ビューからInstallコマンドを使用して、ホスト上に適切なサービスを再インストールする必要があります。

  7. サービスのインストールが完了したら、バックアップ データと完全に同じリリースおよびパッチバージョンが実行されていることを確認します。
    • データをバックアップした11.xシステムに、パッチが適用されていた場合、ホストを同一のパッチ バージョンに更新します。更新手順は、そのパッチバージョンの更新ガイドのオフライン更新手順に従います。
    • データをバックアップした11.xシステムが、メジャーリリース バージョン(例:11.x)を実行し、それ以降のパッチを適用していない場合は、 ホストを更新する必要はありません。
  8. ホストが正しいバージョンを実行していることを確認できたら、コンポーネント ホストのルート レベルに戻り、次のコマンドを実行してデータをリストアします。
    nw-recovery-tool --import --dump-dir /var/netwitness/backup --category <category name>

    任意のサービスが専用ホストではなく、他のコンポーネントホスト上に共存している場合は、そのサービスをコマンドラインに追加する必要があります。例えば、Warehouse Connector がLog Decoderホストに共存している場合、コマンド ラインは次のようになります。
    nw-recovery-tool--import --dump-dir /var/netwitness/backup --category LogDecoder --category Warehouse

  9. EnpointLogHybridおよびESAPrimaryシステムの場合は、次のコマンドを実行し、アプリケーション データをリストアすることができます。
    nw-recovery-tool --import --dump-dir /var/netwitness/backup --component mongo
  10. 導入管理者のパスワードのプロンプトが表示されたら、パスワードを入力します。もしくは、nw-recovery-toolコマンドにあらかじめ次の引数を指定しておくこともできます。
    --deploy-password <password>

  11. Malwareの場合は、次のコマンドを実行して、Malwareデータベースのアプリケーション データをリストアできます。
    nw-recovery-tool --import --dump-dir /var/netwitness/backup --component postgresql
  12. 外部ストレージ(JBOD/SAN/Unity/PowerVault)が構成されたDecoder、Log Decoder、Concentrator、Archiver、Network Hybrid、Log Hybridの場合、次の手順を実行します。
    1. <dump-dir>/unmanaged/etc/fstabファイルの中身を確認し、システムの/etc/fstabファイルに存在しないデバイスのマウント ポイントがないか確認します。

      重要:新しいホスト ハードウェア(つまり、Decoder、Log Decoder、Concentrator、Archiver、Network Hybrid、Log Hybridの新しいホスト)に移行する場合は、次の手順に進む前に以下を実行する必要があります。
      1. 古いハードウェア ホストと接続された外部ストレージ デバイスの電源をオフにします。
      2. 外部ストレージ デバイスを新しいホスト ハードウェアに接続します。
      3. 新しいホスト ハードウェアと接続された外部ストレージ デバイスの電源をオンにします。

    2. <dump-dir>/unmanaged/etc/fstabのバックアップ コピーに含まれている各デバイスについて、次の手順を完了します。
      1. 対応するデバイスが存在し、接続されていることを確認します。接続されていない場合は、接続します。今後使用しないデバイスはスキップし、次のデバイスを確認します。
      2. ファイル システムにマウント ポイントのディレクトリが存在することを確認します。存在しない場合には、mkdir <path> コマンドを実行してディレクトリを作成します。

      3. バックアップのfstab ファイル内のエントリを、システムの/etc/fstabファイルに追加します。
    3. 次のコマンドを各ホストで実行します。
      mount -a
  13. (オプション)カスタム ファイアウォール ルールを使用している場合(つまり、インストール時にnwsetup-tuiコマンドの[Disable Firewall]プロンプトで[Yes]を選択した場合)、/etc/sysconfig/iptablesファイルをバックアップの<dump-dir>/unmanaged/etc/sysconfig/iptablesファイルからリストアします。

  14. コンポーネント ホストをリブートします。

ハードウェアの更新のみ - 新しいハードウェア ホストの追加領域の使用

RSA NetWitnessコア データベース チューニング ガイド』(https://community.rsa.com/docs/DOC-95938

を参照して、新しいハードウェアで利用可能なすべての領域の使用方法について確認してください。

You are here
Table of Contents > 災害復旧

Attachments

    Outcomes