NRT:災害復旧(バックアップとリストア)

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

NetWitnessリカバリ ツール(NRT)を使用して、NetWitness Serverホストおよびコンポーネント ホストのデータをバックアップおよびリストアすることができます。NRTは、RMA、ハードウェア更新、一般的なバックアップおよびリストアの要件に対応するために、対象ホストのコマンドラインで実行するスクリプトです。Azure VMにデプロイされたホストの災害復旧手順については、「Azure導入環境での災害復旧」を参照してください。

NRTは各ホスト上でローカルに実行する必要があります。リモート ホストや外部ホストから実行することはできません

次のタイプのホストをバックアップおよびリストアできます。

NRTスクリプトでは、太字の部分(単語間のスペースは除く)をカテゴリとして指定します。

  • NetWitness Admin Server(Broker、Investigate、Respond、Health and Wellness、Reporting Engineを含む)
  • AnalystUI(Broker、Investigate、Respond、Reporting Engineを含む)
  • ArchiverLog Archiver (Workbench および Archiver)
  • Brokerスタンドアロン Broker
  • ConcentratorNetwork または Log Concentrator
  • Decoder Network Decoder (パケット)
  • Endpoint Endpointエージェント(11.4の新しいカテゴリ)
  • Endpoint BrokerEndpoint Broker
  • Endpoint Log Hybrid(Log Collector、Log Decoder、Endpoint Server、Concentrator)

  • ESA Primary(Entity Behavior Analytics、Contexthub、ESA Correlation、Incident Managementデータベース)
  • ESA Secondary(Entity Behavior Analytics、ESA Correlation)
  • Gateway(Cloud Gateway)
  • Log Hybrid Retention(保存用に最適化されたLog Hybird。RSAシリーズ6 Hybridハードウェアで選択)
  • Log Collector(Log Collector およびインストールされている場合は Virtual Log Collector を含む)
  • Log Decoder (Log Decoder、およびインストールされている場合は Local Log Collector および Warehouse Connector を含む)
  • Log Hybrid(Log Collector、Log Decoder、Concentrator)
  • Malware(Malware AnalysisおよびBroker)
  • Network Hybrid(ConcentratorおよびDecoder)
  • Search(Health & Wellness ベータ ホスト)
  • UEBA (User Entity and Behavior Analytics)
  • Warehouse(Warehouse Connector)

NetWitnessリカバリ ツールの基本的な使用方法

NRTを使用してデータをバックアップする場合は、exportオプションを指定します。リストアする場合は、importオプションを指定します。ルート ディレクトリ レベルで、次の形式でコマンドを実行します。

nw-recovery-tool [command] [option]

使用可能なコマンドとオプションは、次の表のとおりです。

                                   
コマンドおよびオプション説明

-h, --help

コマンドおよびオプションに関するヘルプを表示します。例えば、

次のコマンドを実行すると、有効なカテゴリ名の一覧が表示されます。nw-recovery-tool --help-categoriesを指定します。

-e --export データまたは構成をエクスポートします。
-i--importデータまたは構成をインポートします。

-d, --dump-dir <path>

エクスポートするデータの保存場所のパス、またはインポートするデータの保存場所のパスを指定します(例:/var/netwitness/backup)。

-C, --category <name>

対象のコンポーネントをカテゴリによって選択します。

有効なカテゴリ名は次のとおりです。AdminServerAnalystUIArchiverBrokerConcentratorDecoderEndpointEndPointBroker,EndpointLogHybridESAPrimaryESASecondaryGatewayLogHybridRetentionLogCollectorLogDecoderLogHybridMalwareNetworkHybridSearchUEBAWarehouse

1つのカテゴリを指定するか、同一ホストに複数のカテゴリが共存する場合は複数のカテゴリを指定できます。次に例を挙げます。

  • --category AdminServerは、Admin Serverのみを指定します。
    --category AdminServer --category Gatewayは、Admin Serverと Cloud Gateway を指定します。
  • --category ESAPrimaryは、ESA Primaryのみを指定します。
  • --category Brokerは、Brokerのみを指定します。
    --category Broker --category EndpointBrokerは、Broker と Endpoint Brokerを指定します。

-p, --deploy-password <pwd>

導入パスワードを指定します。このオプションは、Mongoデータベースを含むカテゴリまたはコンポーネント(例えば、AdminServer、Endpoint、ESAPrimary)を選択した場合のみ必要です。

前提条件

次の条件を満たしていることを確認してください。

  • データをバックアップする前に、このドキュメントを最後までお読みください。NetWitness Platformのバックアップとリストアの手順を開始する前に必要な情報を確認できるよう、このドキュメントにはすべての導入シナリオが網羅されています。
  • NRTはバックアップの場合もリストアの場合も、バックアップまたはリストアする各ホストでローカルに実行してください。NRTを他のホストから実行したり、バックアップやリストアを複数のホストで同時に実行することはできません。ただし、同一ホスト上の複数のコンポーネントを同時にバックアップすることはできます。
  • データのエクスポートおよびインポートは、同一ホスト上で実行する必要があります。ホストに障害が発生し、新しいホストを導入する場合は、新しいホストに元のホストと全く同じ識別パラメータ(例えば、IPアドレス)を設定し、同一バージョンのNetWitness Suiteを実行する必要があります。
  • NRTのexportコマンドを実行する前に、バックアップの保存場所(/var/netwitness/backupを推奨)に十分な空きディスク領域があることを確認してください。tmp ディレクトリはすぐに満杯になりシステム クラッシュを引き起こす可能性があるため、使用しないでください。

  • Malwareホストをバックアップする前に、ディスク サイズを確認し、調整してください。次の表に、ハードウェア タイプに応じたMalwareデータベースの最大サイズと最大サイズ以内に削減する方法を示します。
    ホストソース
    ハードウェア
    ターゲット ハードウェアデータベースバックアップ
    最大
    サイズ
    バックアップ
    サイズ
    削減方法
    Malware4SシリーズHybrid

    6シリーズCore

    /var/netwitness2.5TBロールオーバーを構成する。
    不要なデータをデータベースから消去する。
  • バックアップ時にホストが使用していたのと同一のISOイメージにリストアします。
  • 単一のホストに複数のサービスが共存する場合は、NRTimport またはexportコマンドを実行する際、単一のコマンドにすべてのサービスを指定するようにしてください。

1.) NRT実行時、バックアップ(export)またはリストア(import)のどちらの場合も、Malware、Reporting Engine、およびPostgresqlサービスの停止と再起動が行われます。

災害復旧のワークフロー

次の図は、災害復旧タスクの概要を示しています。

復旧が必要なのは、障害が発生したホストのみです。つまり、単一のホストに障害が発生した場合は単一のホストを復旧し、複数のホストで障害が発生した場合は複数のホストを復旧します。

図には次のタスクが含まれます。

  • バックアップ(初回はできるだけ早期に実行し、以降は可能な頻度で実行)。
  • リストア(データをリストアする必要がある場合のみ実行)。

11.xホストのバックアップとリストア

データのバックアップとリストアの手順は、NetWitness Serverホストとコンポーネント ホストで異なります。

1.) 本ドキュメントの災害復旧手順を実行する際に、UIの[ホスト]ビュー([管理]>[ホスト])でコンポーネント ホスト(=NetWitness Serverホスト以外のホスト)を削除しないでください。2.) 災害復旧手順を実行する前に使用していた既存のホスト名を継続して使用する必要があります。3.) 災害復旧時にシステムにアクセスできるよう、マスター パスワードを記録し安全な場所に保管してください。

11.x NetWitness Serverでのデータのバックアップとリストア

複数のホストからデータをエクスポートし、共有ストレージ(例えば、共有マウントや共有ドライブ)に保存する場合は、エクスポートするデータの保存場所のパスには、ホストごとに固有のサブフォルダを追加し、エクスポートしたデータが別のホストのデータによって上書きされないようにしてください。例えば、--dump-dir /mnt/storage/<host-specific-name>のようにエクスポートするデータの保存場所のパスを指定します。

NetWitness Serverホストでのデータのバックアップ

この手順は、既存の正常に稼働中の11.xのNetWitness Serverホストで実行する必要があります。

  1. ルート レベルで次のコマンドを実行します。

    nw-recovery-tool --export --dump-dir /var/netwitness/backup --category AdminServer

    サービスがそのサービス専用のホストではなく、他のカテゴリのサービスと同じホスト上で共存している場合は、コマンドラインにはそれらのサービスも追加する必要があります。例えば、GatewayEndpointBrokerが共存している場合、次のように指定します。
    nw-recovery-tool--export --dump-dir /var/netwitness/backup --category AdminServer --category Gateway
    nw-recovery-tool--export --dump-dir /var/netwitness/backup --category Broker --category EndpointBroker

  2. /var/netwitness/backupは、エクスポートしたデータの保存場所のパスに置き換えます。

    1. 指定した場所にバックアップしたデータを保存するのに十分な空き領域があることを確認してください。
    2. バックアップ ディレクトリのパスには、ローカル ホスト上の場所を指定する必要があります。ただし、ネットワーク共有マウントや外部デバイスにデータを保存することはできます。
  3. 導入管理者のパスワードのプロンプトが表示されたら、パスワードを入力します。もしくは、nw-recovery-toolコマンドにあらかじめ次の引数を指定しておくこともできます。

    --deploy-password <password>

    ホストを初期インストールしたときに指定した、既存のdeploy_admin パスワードを使用します。

    ステップ2で指定した、NetWitness Serverホスト上の場所にデータがバックアップされます。

  4. バックアップ データをローカル ホストから別のサーバまたはUSBスティックに移動します。

NetWitness Serverホストへのデータのリストア

  1. NetWitness Serverホストを再イメージ化し、元のホストと同じネットワーク構成を設定します。NetWitness Serverホストの再イメージ化については、『Physical Host Installation Guide for Version 11.4 Guide』の「Task 1 - Install 11.4 on the NetWitness Server(NW Server) Host」を参照してください。RSA NetWitness Platform 11.xのすべてのドキュメントの一覧を、 総合目次 で確認できます。

    1. (オプション)バックアップデータの取得にネットワーク接続の確立が必要な場合(例えば、バックアップデータがリモートホスト上に存在する場合など)、次のスクリプトを実行し、元のホストと同じIPアドレス、サブネット、ゲートウェイ、DNS、ドメインの情報を指定します。

      netconfig --static --interface <name> --ip <address> --netmask <netmask> --gateway <gateway>

      例:

      netconfig --static --interface eth0 --ip 192.168.1.100 --netmask 255.255.255.0 --gateway 192.168.1.1

      (オプション)DNSサーバを指定する場合は、次のパラメータを追加します。

      --dns <address>

      (オプション)ドメイン名を指定する場合は、次のパラメータを追加します。

      --domain <name>

    2. (オプション)DHCPを使用している場合は、次のスクリプトを実行します。

      netconfig --dhcp --interface <name>

      例:

      netconfig --dhcp --interface eth0

    3. バックアップ データを、ローカル ホスト上のバックアップ ディレクトリのパスに追加します。例:

      /var/netwitness/backup

  2. nwsetup-tuiコマンドを実行します。これにより、セットアップ プログラムが開始します。

    セットアップ プログラムの途中で、ホストのネットワーク構成の入力を求められたら、このホストに元々設定されていたものと完全に同じネットワーク構成を指定してください。

  3. インストール タイプを選択するプロンプトが表示されたら、[2:Recover (Reinstall)]を選択して[OK]をクリックした後、バックアップ データを保存したバックアップ ディレクトリのパスを入力します。
  4. インストールが正常に完了したら、バックアップ データと完全に同じリリースおよびパッチ バージョンが実行されていることを確認します。

    • データをバックアップした11.xシステムに、パッチが適用されていた場合、ホストを同一のパッチ バージョンに更新します。更新手順は、そのパッチ バージョンの更新ガイドのオフライン更新手順に従います。
    • データをバックアップした11.xシステムが、メジャーリリース バージョン(例:11.x)を実行し、それ以降のパッチを適用していない場合、 ホストを更新する必要はありません。

  5. ホストが正しいバージョンを実行していることが確認できたら、次のコマンドを実行しNetWitness Serverにデータをリストアします。

    nw-recovery-tool --import --dump-dir /var/netwitness/backup --category AdminServer

    サービスがそのサービス専用のホストではなく、他のカテゴリのサービスと同じホスト上で共存している場合は、コマンドラインにはそれらのサービスも追加する必要があります。例えば、GatewayEndpointBrokerが共存している場合、次のように指定します。
    nw-recovery-tool--import --dump-dir /var/netwitness/backup --category AdminServer --category Gateway
    nw-recovery-tool--import --dump-dir /var/netwitness/backup --category Broker --category EndpointBroker

  6. (オプション)カスタム ファイアウォール ルールを使用している場合(つまり、インストール時にnwsetup-tuiコマンドの[Disable Firewall]プロンプトで[Yes]を選択した場合)、/etc/sysconfig/iptablesファイルをバックアップの<dump-dir>/unmanaged/etc/sysconfig/iptablesファイルからリストアします。
  7. NetWitness Serverホストをリブートします。

コンポーネント ホストでのバックアップとリストア

次の手順は、既存の正常に稼働中の11.x コンポーネント ホストで実行する必要があります。

コンポーネント ホストでのデータのバックアップ

  1. ルート レベルで次のコマンドを実行します。
    nw-recovery-tool --export --dump-dir /var/netwitness/backup --category <category name>

    <category name>には、次のいずれか1つを指定します。
    AdminServerAnalystUIArchiverBrokerConcentratorDecoderEndpointEndPointBroker,EndpointLogHybridESAPrimaryESASecondaryGatewayLogHybridRetentionLogCollectorLogDecoderLogHybridMalwareNetworkHybridSearchUEBA

  2. 1.) ホスト タイプに一致するカテゴリーを指定します。2.) サービスが専用ホストではなく、コンポーネント ホスト上に他のサービスと共存している場合は、コマンドラインにはそれらのサービスも追加する必要があります。例えば、Warehouse ConnectorがLog Decoderホストに共存している場合、コマンド ラインは次のようになります。
    nw-recovery-tool--export --dump-dir /var/netwitness/backup --category LogDecoder --category Warehouse

  3. (オプション)/var/netwitness/backupは、エクスポートしたデータの保存場所のパスに置き換えます。
    1. 指定した場所にバックアップしたデータを保存するのに十分な空き領域があることを確認してください。
    2. バックアップ ディレクトリのパスには、ローカル ホスト上の場所を指定する必要があります。ただし、ネットワーク共有マウントや外部デバイスにデータを保存することはできます。
  4. Endpoint Log HybridおよびESA Primaryホストでは、次のコマンドによりデータベース内のアプリケーション データをエクスポートすることができます。
    nw-recovery-tool --export --dump-dir /var/netwitness/backup --component mongo
    /var/netwitness/backupは、エクスポートしたデータの保存場所のパスに置き換えます。
  5. 1.) 指定した場所にエクスポートしたMongoデータベースのファイルを保存するのに十分な空き領域があることを確認してください。2.) 単一のコマンドで、Endpoint Log Hybrid、またはESA PrimaryのホストのデータとMongoデータベースの両方をバックアップできます。例:nw-recovery-tool --export --dump-dir /var/netwitness/backup --category EndpointLogHybrid --component mongo

    導入管理者のパスワードのプロンプトが表示されたら、パスワードを入力します。もしくは、nw-recovery-toolコマンドにあらかじめ次の引数を指定しておくこともできます。
    --deploy-password <password>

  6. Malwareホストでは、次のコマンドにより、Malwareデータベース内のアプリケーション データをエクスポートすることができます。
    nw-recovery-tool --export --dump-dir /var/netwitness/backup --component postgresql
    /var/netwitness/backupは、エクスポートしたデータの保存場所のパスに置き換えます。
  7. 指定した場所にエクスポートしたMalwareデータベースのファイルを保存するのに十分な空き領域があることを確認してください。

  8. バックアップ データをローカル ホストから別のサーバまたはUSBスティックに移動します。

コンポーネント ホストでのデータのリストア

  1. コンポーネント ホストを再イメージ化し、元のホストと同じネットワーク構成を設定します。コンポーネント ホストの再イメージ化については、『Physical Host Installation Guide for Version 11.4 』の「Task 2 - Install 11.4 on Other Component Hosts」を参照してください。RSA NetWitness Platform 11.xのすべてのドキュメントの一覧を、 総合目次 で確認できます。
  2. (オプション)バックアップ データの取得にネットワーク接続の確立が必要な場合(たとえば、バックアップ データがリモート ホスト上に存在する場合など)、次のスクリプトを実行し、元のホストと同じIPアドレス、サブネット、ゲートウェイ、DNS、ドメインの情報を指定します。
    netconfig --static --interface <name> --ip <address> --netmask <netmask> --gateway <gateway>
    例:
    netconfig --static --interface eth0 --ip 192.168.1.100 --netmask 255.255.255.0 --gateway 192.168.1.1
    (オプション)DNSサーバを指定する場合は、次のパラメータを追加します。
    --dns <address>
    (オプション)ドメイン名を指定する場合は、次のパラメータを追加します。
    --domain <name>

    1. オプション)DHCPを使用している場合は、次のスクリプトを実行します。
      netconfig --dhcp --interface <name>
      例:
      netconfig --dhcp --interface eth0
    2. バックアップ データを、ローカルホスト上のバックアップ ディレクトリのパスに追加します。例:/var/netwitness/backup
  3. nwsetup-tuiコマンドを実行します。これにより、セットアップ プログラムが開始します。
  4. セットアップ プログラムの途中で、ホストのネットワーク構成の入力を求められたら、このホストに元々設定されていたものと完全に同じネットワーク構成を指定してください。

  5. インストール タイプを選択するプロンプトが表示されたら、[2: Recover (Reinstall)]を選択して[OK]をクリックした後、バックアップ データを保存したディレクトリのパスを入力します。
  6. nwsetup-tui コマンドによるセットアップが完了したら、NetWitness Platformユーザ インタフェースの[ホスト]ビューの[インストール]コマンドを使用して、ホスト上に適切なサービスを再インストールする必要があります。

  7. サービスのインストールが完了したら、バックアップ データと完全に同じリリースおよびパッチバージョンが実行されていることを確認します。
    • データをバックアップした11.xシステムに、パッチが適用されていた場合、ホストを同一のパッチ バージョンに更新します。更新手順は、そのパッチ バージョンのオフライン更新手順に従います。
    • データをバックアップした11.xシステムが、メジャーリリース バージョン(例:11.x)を実行し、それ以降のパッチを適用していない場合は、 ホストを更新する必要はありません。
  8. ホストが正しいバージョンを実行していることを確認できたら、コンポーネント ホストのルート レベルに戻り、次のコマンドを実行してデータをリストアします。
    nw-recovery-tool --import --dump-dir /var/netwitness/backup --category <category name>

    サービスが専用ホストではなく、コンポーネント ホスト上に他のサービスと共存している場合は、コマンドラインにはそれらのサービスも追加する必要があります。例えば、Warehouse ConnectorがLog Decoderホストに共存している場合、コマンド ラインは次のようになります。
    nw-recovery-tool--import --dump-dir /var/netwitness/backup --category LogDecoder --category Warehouse

  9. EnpointLogHybridおよびESAPrimaryでは、次のコマンドを実行し、アプリケーション データをリストアすることができます。
    nw-recovery-tool --import --dump-dir /var/netwitness/backup --component mongo
  10. 導入管理者のパスワードのプロンプトが表示されたら、パスワードを入力します。もしくは、nw-recovery-toolコマンドにあらかじめ次の引数を指定しておくこともできます。
    --deploy-password <password>

  11. Malwareホストでは、次のコマンドを実行し、Malwareデータベースのアプリケーション データをリストアすることができます。
    nw-recovery-tool --import --dump-dir /var/netwitness/backup --component postgresql
  12. 外部ストレージ(DAC/SAN/Unity/PowerVault)が構成されたDecoder、Log Decoder、Concentrator、Archiver、Network Hybrid、Log Hybridの場合、次の手順を実行します。
    1. <dump-dir>/unmanaged/etc/fstabファイルの中身を確認し、システムの/etc/fstabに存在しないデバイスのマウント ポイントがないか確認します。

    重要: 新しいホスト ハードウェア(Decoder、Log Decoder、Concentrator、Archiver、Network Hybrid、Log Hybridの新しいホスト)に移行する場合は、次の手順に進む前に、必ず以下の手順を実行してください。
    1.古いホストとアタッチされた外部ストレージ デバイスをパワーオフします。
    2. 新しいホストに外部ストレージ デバイスをアタッチします。
    3. 新しいホストと外部ストレージ デバイスをパワーオンします。

    1. バックアップの <dump-dir>/unmanaged/etc/fstabファイル内の各デバイスについて、次の手順を完了します。
      1. 対応するデバイスが存在し、アタッチされていることを確認します。アタッチされていない場合は、アタッチします。今後使用しないデバイスはスキップし、次のデバイスを確認します。
      2. ファイル システムにマウント ポイントのディレクトリが存在することを確認します。存在しない場合は、mkdir <path> コマンドを実行してディレクトリを作成します。

      3. バックアップのfstabファイル内のエントリを、システムの/etc/fstabファイルに追加します。

        シリーズ 5または 6の Hybridハードウェア では、バックアップしたデータを/etc/fstabにリストアする必要があります。「付録 A.復旧後のシリーズ5および6 Hybridでのfstabの変更付録 A.復旧後のシリーズ5および6 Hybridでのfstabの変更」の手順に従ってください。

    2. ホストで次のコマンドを実行します。
      mount -a
  13. (オプション)カスタム ファイアウォール ルールを使用している場合(つまり、インストール時にnwsetup-tuiコマンドの[Disable Firewall]プロンプトで[Yes]を選択した場合)、/etc/sysconfig/iptablesファイルをバックアップの<dump-dir>/unmanaged/etc/sysconfig/iptablesファイルからリストアします。

  14. コンポーネント ホストをリブートします。

ハードウェア更新の場合のみ:新しいホスト ハードウェアに追加されたディスク領域の使用

新しいハードウェアで利用可能なディスク領域をすべて使用する方法については、『Core Database Tuning Guide for RSA NetWitness Platform』を参照してください。RSA NetWitness Platform 11.xのすべてのドキュメントの一覧を、 総合目次 で確認できます。

 

You are here
Table of Contents > 災害復旧

Attachments

    Outcomes