Archiver Konfigurieren von Backup und Wiederherstellung der Daten

Document created by RSA Information Design and Development on May 8, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema finden Sie Informationen zur Datensicherungs- und Wiederherstellungsfunktion für einen Archiver. Mit dieser Funktion können Sie Archiver-Daten sichern und die gesicherten Daten abrufen.

Sie können die Daten auf folgende Weisen sichern:

  • Dateien mithilfe von Skripts aus Cold-Speicher-Backupordnern in einen Offlinespeicher kopieren
  • Dateien mithilfe von Backupsoftware aus Cold-Speicher-Backupordnern in einen Offlinespeicher kopieren
  • EMC Networker oder eine andere Backupsoftware auf dem Archiver ausführen und täglich inkrementelle Backups der Datenbankdateien ausführen

Hinweis: Details zu den Verfahren zum Sichern von Daten mit Networker finden Sie im Administrationshandbuch für Networker.

Wenn das Datenbackup vorliegt, müssen Sie folgende Aufgaben ausführen, um die gesicherten Daten wiederherzustellen, die auf dem Archiver installiert sind.

                       
AktionBeschreibung
1. Stellen Sie Ihre Daten an einem Speicherort wieder her, der für Archiver zugänglich ist.

Siehe Erstellen einer Sammlung.

2. Erstellen Sie eine Sammlung in Archiver, die diesem Standort verwendet.


Weitere Informationen finden Sie im Thema Managen von Sammlungen im Konfigurationsleitfaden Workbench.
3. Fügen Sie den Archiver-Service als Datenquelle für die Reporting Engine hinzu, um einen Bericht für die Daten zu erzeugen, die im Archiver-Service wiederhergestellt wurden. Weitere Informationen erhalten Sie unter Hinzufügen von Archiver als Datenquelle zur Reporting Engine

Hinzufügen des Archiver-Services

Mit dem NetWitness Suite Archiver-Service können Sie Sammlungen mit wiederhergestellten Daten aus Archiver-Offlinespeicher (Cold-Speicher) erstellen. Dieses Verfahren ist nur erforderlich, wenn bei Ihnen der Archiver-Service nicht installiert ist.

Voraussetzungen

Vergewissern Sie sich, dass Sie einen Archiver-Host hinzugefügt und eine Lizenz darauf angewendet haben.

Verfahren

Hinweis: Dieses Verfahren ist nur erforderlich, wenn bei Ihnen der Archiver-Service nicht installiert ist.

Führen Sie die folgenden Schritte aus, um den Archiver-Service hinzuzufügen:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie im Bereich Services die Optionen >Archiver aus.
    Das Dialogfeld „Service hinzufügen“ wird angezeigt, wie unten dargestellt.
    Das Dialogfeld „Service hinzufügen“ wird angezeigt.

  3. Geben Sie die folgenden Details an.

                                        
    FeldBeschreibung
    HostWählen Sie einen Archiver-Host aus dem Drop-down-Menü aus.
    NameGeben Sie einen Namen für den Service ein.
    PortDer Standardport ist 50007.
    SSLWählen Sie SSL aus, wenn NetWitness Suite mithilfe von SSL mit dem Service kommunizieren soll. Die Sicherheit der Datenübertragung erfolgt durch Verschlüsselung von Informationen und die Bereitstellung von Verfahren zur Authentifizierung mit SSL-Zertifikaten.

    Hinweis: Wenn Sie SSL auswählen, stellen Sie sicher, dass SSL im Bereich Systemkonfiguration aktiviert ist.

    Benutzername(Optional) Geben Sie den Benutzernamen für den Service ein.
    Passwort(Optional) Geben Sie das Passwort für den Service ein.
  4. Klicken Sie auf Überprüfen der Verbindung, um festzustellen, ob NetWitness Suite sich mit dem Service verbindet.
  5. Wenn das Ergebnis erfolgreich ist, klicken Sie auf Speichern.
    Der hinzugefügte Service wird jetzt im Bereich „Services“ angezeigt.

Hinweis: Wenn der Test nicht erfolgreich ist, bearbeiten Sie die Serviceinformationen und versuchen Sie es erneut.

Erstellen einer Sammlung

Dieses Thema enthält Informationen über das Erstellen einer Sammlung auf einem Archiver-Service.

Sie können eine Sammlung mithilfe von Daten erstellen, die aus den gesicherten Daten oder einer bestehenden Teilmenge der Daten wiederhergestellt wurden. Wenn Sie die gesicherten Daten wiederherstellen, müssen Sie sie in dem Sammlungsordner ablegen, der auf dem Archiver-Service erstellt wurde, damit Sie die erforderlichen Berichte für die abgerufenen Daten erzeugen können. Zum Beispiel, wenn Sie die Daten mithilfe von EMC Networker unter <Speicherort> gesichert haben, können Sie die Wiederherstellungsoptionen in Networker verwenden, um die gesicherten Daten in dem Sammlungsordner wiederherzustellen, der auf dem Archiver-Service erstellt wurde. Informationen über das Wiederherstellungsverfahren mithilfe von EMC Networker finden Sie im Administrationsleitfaden für Networker.

Voraussetzungen

Stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Auf einem Archiver-Host installierter Archiver-Service
  • Stellen Sie sicher, dass der Archiver-Service ausreichend Speicherplatz für die Sammlung hat.
  • Die gesicherten Daten an einem bekannten Speicherort auf Ihrem lokalen Host, wenn Sie eine Sammlung mithilfe der Daten erstellen, die aus gesicherten Daten wiederhergestellt wurden

Verfahren

Auf der Registerkarte „Datenaufbewahrung“ können Administratoren Daten wiederherstellen und speichern, die von einem Backup oder einem vorhandenen Datensatz wiedergestellt wurden.

Hinweis: Als Quellpfad gibt der Administrator den Speicherort der Datenbankdateien an. Mit dem Befehl zum Wiederherstellen werden diese dann auf die Archiver kopiert. Bevor eine Wiederherstellungssammlung erstellt werden kann, muss der Administrator diese Verzeichnisse auf den Archiver mounten.

So erstellen Sie eine Sammlung mithilfe von Daten, die aus den gesicherten Daten oder einer bestehenden Teilmenge der Daten wiederhergestellt wurden:

  1. Navigieren Sie zu ADMIN > ServicesArchiver.
  2. Wählen Sie im Raster Services die OptionenAbgeschnittenes Menü „Aktionen“ > Ansicht > Konfiguration aus.
    Die Registerkarte Allgemein wird angezeigt.
  3. Klicken Sie auf der Registerkarte Datenaufbewahrung im Bereich Sammlungen auf Icon-Add.png, um eine Sammlung hinzufügen.
    Das Dialogfeld Sammlung wird angezeigt.
    Das Dialogfeld „Archiver-Sammlungen“ wird angezeigt.
  1. Stellen Sie folgende Informationen bereit:
  • Name der Sammlung: Der Name der Archiver-Sammlung, die Sie wiederherstellen möchten.
  • Hot-Speicher:Geben Sie die Anzahl der Archiver-Datenbankdateien und die Einheitengröße (Gigabyte oder Terabyte) an, die aus dem Cold-Speicher verschoben wurden.
  • Aufbewahrungszeitraum: Wählen Sie die Anzahl der Tage oder Stunden, für die Sie die Sammlung speichern möchten.
  • Komprimierung: Wählen Sie den Komprimierungstyp für die Sammlung.
  1. Klicken Sie auf Speichern, um die Sammlung wiederherzustellen.

    Hinweis: Ziel ist der Speicherort, an dem die Sammlung erstellt wird.

    Hinweis: Wenn der Quellpfad, der für die Erstellung der Wiederherstellungssammlung angegeben wurde, nicht vorhanden ist, wird die folgende Fehlermeldung angezeigt:
    „Der Quellpfad '/xxx/xxx/' ist nicht vorhanden.“
    Wenn nicht genügend Speicherplatz vorhanden ist, um Ihre Sammlung wiederherzustellen, wird die folgende Fehlermeldung angezeigt:
    „Fehler bei der Überprüfung des Speicherplatzes. An Speicherort '/xxx/xxx/' ist nicht ausreichend Speicherplatz vorhanden.“

    Das Dialogfeld „Job planen“ wird mit der folgenden Meldung angezeigt:
    „Die Daten werden in einer neuen Sammlung wiederhergestellt. Überprüfen Sie den Fortschritt auf der Seite „Jobs“.
  1. Klicken Sie auf das Symbol Jobs Das Symbol für Archiver-Jobs wird angezeigt. oben rechts in Hauptmenü, um die Liste der Jobs zur Wiederherstellungssammlung mit dem jeweiligen aktuellen Status anzuzeigen.

Hinweis: Bei der Wiederherstellung einer Sammlung dauert die Wiederherstellung umso länger, je größer das wiederherzustellende Dataset ist. Wenn Sie eine Sammlung mit Hunderten von Gigabyte oder mehr wiederherstellen, kann die Wiederherstellung mehrere Stunden dauern.

Hinzufügen eines Archiver-Service als Datenquelle zu Reporting Engine

In diesem Thema erfahren Sie, wie Sie den Archiver-Service als Datenquelle zur Reporting Engine hinzufügen, um Berichte zur Datenwiederherstellung auf dem Archiver zu erzeugen.

Voraussetzungen

Stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Auf dem Archiver-Host installierter Archiver-Service
  • Eine Sammlung wurde zum Archiver-Service hinzugefügt.

Verfahren

Führen Sie die folgenden Schritte aus, um den Archiver-Service als Datenquelle zur Reporting Engine hinzuzufügen:

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie im Bereich Services einen Reporting Engine-Service aus.
  3. Wählen Sie in der Spalte Aktionen die Optionen Ansicht > Konfiguration aus.
  4. Wählen Sie die Registerkarte Quellen aus.
  5. Klicken Sie auf add_icon.png und wählen Sie Verfügbare Services aus.
    Das Dialogfeld „Verfügbare Services“ wird angezeigt.
    Dialogfeld „Verfügbare Services“ wird angezeigt.
  6. Wählen Sie den Archiver-Service aus und klicken Sie auf OK.
    Wenn der Archiver-Service ein Vertrauensmodell verwendet, wird das Dialogfeld „Serviceinformationen“ für den ausgewählten Service angezeigt, welches den erforderlichen Benutzernamen und das Passwort enthält. Wenn der Service kein Vertrauensmodell verwendet, sind diese Felder optional.
    Serviceinformationen für das Dialogfeld „Archiver“ werden angezeigt.
  7. Geben Sie den Benutzernamen und das Passwort der Administratorzugangsdaten für den Service ein.
  8. Klicken Sie auf OK.
    Das Dialogfeld „Service hinzufügen“ wird angezeigt.
    Das Archiver-Dialogfeld „Service hinzufügen“ wird angezeigt.
  9. Wählen Sie in der Drop-down-Liste einen Host aus und klicken Sie dann auf Speichern.
    Der Archiver-Service wird nun als Datenquelle zur Reporting Engine hinzugefügt und in der Liste „NWDB-Datenquellen“ aufgeführt.

Hinweis: Dieses Verfahren muss für jede Sammlung durchgeführt werden.

 

Administratoren können Workbench-Sammlungen erstellen und löschen und Workbench-Statistiken und -Protokolle anzeigen. Dieses Thema enthält alle diese Verfahren und ein Beispiel für die Vorgehensweise zum Wiederherstellen einer Sammlung für Reporting und Investigation.

  • Mounten von Archiver-Verzeichnissen
  • Erstellen einer Sammlung
  • Löschen einer Sammlung
  • Untersuchen einer Sammlung
  • Anzeigen von Workbench-Sammlungsstatistiken
  • Anzeigen von Workbench-Protokollen
 

Mounten von Archiver-Verzeichnissen

Wenn sich Daten in einem Offlinespeicher oder Cold-Tier-Speicher befinden, müssen Sie die Archiver-Verzeichnisse mounten, um die Daten für Berichts- und Ermittlungszwecke wiederherzustellen:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie im Raster „Services“ einen Archiver aus und wählen Sie > Ansicht > Durchsuchen aus.
    Die Ansicht „Explorer“ für den Archiver wird angezeigt.
  3. Klicken Sie im linken Strukturbaum mit der rechten Maustaste auf den Node Datenbank und wählen Sie Datenbankeigenschaften aus, um diese im rechten Bereich zu öffnen.
  4. Führen Sie den Befehl manifest für einen Zeitraum aus, z. B. vom 1. April 2015 bis 10. April 2015.
    Die Suche gibt alle Dateien zurück, die für die ausgewählte Abfrage wiederhergestellt werden müssen.

Erstellen einer Sammlung

Administratoren können Sammlungen aus wiederhergestellten Daten aus einem Backup oder einem vorhandenen Datensatz erstellen.

Hinweis: Als Quellpfad können Sie den Speicherort der Datenbankdateien angeben. Mit dem Befehl zum Wiederherstellen werden diese dann auf die Archiver kopiert. Bevor eine Wiederherstellungssammlung erstellt werden kann, müssen Sie diese Verzeichnisse in dem Archiver mounten, in dem die Workbench installiert ist.

So erstellen Sie eine Sammlung mithilfe von Daten, die aus den gesicherten Daten oder einer bestehenden Teilmenge der Daten wiederhergestellt wurden:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie in der Ansicht „Services“ eine Workbench, und wählen Sie dann > Ansicht > Konfiguration aus.
    Die Ansicht „Services“ > „Konfiguration“ wird mit geöffneter Registerkarte Allgemein angezeigt.
  3. Klicken Sie auf die Registerkarte Sammlungen.
    Das Raster „Sammlungen“ wird angezeigt.
  4. Klicken Sie in der Symbolleiste auf .

    Das Dialogfeld „Wiederherstellungssammlung“ wird angezeigt.

    Beispiel für das Dialogfeld „Wiederherstellungssammlung“.

  5. Stellen Sie folgende Informationen bereit:

    • Name: Der Name der Workbench-Sammlung, die Sie wiederherstellen möchten.
    • Quelle: Der Speicherort, an den die Archiver-Datenbankdateien aus dem Cold-Speicher verschoben wurden.

    Hinweis: Ziel ist der Speicherort, an dem die Sammlung erstellt wird.

  6. Klicken Sie auf Speichern, um die Sammlung wiederherzustellen.

    Hinweis: Wenn der Quellpfad, der für die Erstellung der Wiederherstellungssammlung angegeben wurde, nicht vorhanden ist, wird die folgende Fehlermeldung angezeigt:
    The source path does not exist '/xxx/xxx/'.

    Wenn nicht genügend Speicherplatz vorhanden ist, um Ihre Sammlung wiederherzustellen, wird die folgende Fehlermeldung angezeigt:
    Error during disk space checking. Insufficient disk space in location '/xxx/xxx'.

    Das Dialogfeld „Job planen“ wird mit der folgenden Meldung angezeigt:
    Restoring data into a new collection. Check the jobs page for progress.

  7. Klicken Sie auf das Symbol Jobs Beispiel für das Jobs-Symbol in der NetWitness Suite-Symbolleiste, um die Liste der Jobs zur Wiederherstellungssammlung mit dem jeweiligen aktuellen Status anzuzeigen.

Hinweis: Das Wiederherstellen einer Sammlung, die größer als 550 GB ist, kann mehrere Stunden dauern.

Löschen einer Sammlung

Administratoren können Sammlungen aus dem Workbench-Service löschen.

Führen Sie die folgenden Schritte aus, um eine Sammlung zu löschen:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie in der Ansicht Services eine Workbench aus und klicken Sie auf > Ansicht > Konfiguration.

    Die Ansicht „Services“ > „Konfiguration“ wird mit geöffneter Registerkarte Allgemein angezeigt.

  3. Wählen Sie die Registerkarte Sammlungen aus.

    Das Raster „Sammlungen“ wird angezeigt.

    Beispiel für das Raster „Sammlungen“

  4. Wählen Sie im Raster „Sammlungen“ die Sammlung aus, die Sie löschen möchten.
  5. Klicken Sie in der Symbolleiste auf .

    In einem Warnmeldungsdialogfeld werden Sie zur Bestätigung aufgefordert.

  6. Wenn Sie die Sammlung löschen möchten, klicken Sie auf Ja.

    Die Sammlung wird aus dem Workbench-Service gelöscht.

Beispiel für die Vorgehensweise: Wiederherstellung einer Sammlung für Berichts- und Ermittlungszwecke

Die folgenden Schritte veranschaulichen, wie Daten, die sich in einem Offlinespeicher oder einem Cold-Tier-Speicher befinden, für Berichts- und Ermittlungszwecke wiederhergestellt werden können. Im folgenden Beispiel werden Daten für den Zeitraum zwischen dem 1. April 2015 und dem 10. April 2015 wiederhergestellt.

So stellen Sie Daten für Berichts- und Ermittlungszwecke wieder her:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie im Raster „Services“ den Archiver aus.
  3. Navigieren Sie zur Ansicht Explorer einer Archiver-Appliance, indem Sie  > Ansicht > Durchsuchen auswählen.

    Die Ansicht „Explorer“ für den Archiver wird angezeigt.

  4. Klicken Sie im linken Strukturbaum mit der rechten Maustaste auf den Node Datenbank und wählen Sie Datenbankeigenschaften aus, um diese im rechten Bereich zu öffnen.
  5. Führen Sie den Befehl manifest für den ausgewählten Zeitraum vom 1. April 2015 bis 10. April 2015 aus.

    Die Suche gibt alle Dateien zurück, die für die ausgewählte Abfrage wiederhergestellt werden müssen.

    Suchbeispiel:

    time1="2015-04-01 00:00:00" time2="2015-04-10 00:00:00" timeFormat=simple

    Wiederherstellen von Daten für Ermittlungszwecke.

  6. Navigieren Sie zu ADMIN > Services.
  7. Wählen Sie in der Ansicht „Services“ eine Archiver und wählen Sie dann 104NavSettingsIcon.png > Ansicht > Konfiguration aus.

    Die Ansicht „Services“ > „Konfiguration“ wird mit geöffneter Registerkarte Allgemein angezeigt.

  8. Wählen Sie die Registerkarte Sammlungenaus.
  9. Erstellen Sie eine Wiederherstellungssammlung mit dem Quellpfad, der auf die in der Ausgabe des Befehls „manifest“ aufgeführten Dateien verweist.
  10. Speichern Sie die Sammlung.
    Nach der erfolgreichen Erstellung einer Sammlung können Sie diese für Berichts- und Ermittlungszwecke verwenden.

Untersuchen einer Sammlung

So führen Sie eine Untersuchung an einer Archiver-Sammlung durch:

  1. Wählen Sie Untersuchen aus.
    Das Dialogfeld „Untersuchen“ wird angezeigt.

  2. Klicken Sie im Dialogfeld „Untersuchen“ auf die Registerkarte Sammlungen.
  3. Wählen Sie im linken Bereich einen Archiver-Service aus.
  4. Wählen Sie im rechten Bereich die Sammlung aus, die Sie untersuchen möchten.
  5. Klicken Sie auf Navigieren.

Die Ansicht „Navigieren“ wird mit Daten in Bezug auf die ausgewählte Archiver-Sammlung angezeigt.

Hinweis: Detaillierte Informationen zur Verwendung von Investigation finden Sie unter Investigation und Malware Analysis.

Anzeigen von Archiver-Sammlungsstatistiken

Für den Archiver-Service sind dieselben Statistiken verfügbar wie für andere Services. In der Ansicht „Services“ > „Statistik“ werden wichtige Statistiken und Systeminformationen im Zusammenhang mit dem ausgewählten Archiver-Service angezeigt. Die Informationen werden in mehreren verschiedenen Abschnitten innerhalb der Ansicht „Statistik“ angezeigt: Archiver, Messdiagramme, Zeitachsendiagramm und Diagrammstatistikbereich. Im Diagrammstatistikbereich werden alle verfügbaren Statistiken für die Archiver aufgelistet.  Jede Statistik im Diagrammstatistikbereich kann in einem Messdiagramm oder in einem Zeitplandiagramm angezeigt werden.

Führen Sie zum Anzeigen von Archiver-Statistiken folgende Schritte durch:

  1. Navigieren Sie zu ADMIN > Services.

  2. Wählen Sie in der Ansicht „Services“ eine Archiver und wählen Sie dann 104NavSettingsIcon.png > Ansicht > Statistiken aus.

  3. Die Ansicht „Services-Statistik“ wird angezeigt.
    Die Ansicht „Servicestatistik“ wird angezeigt.

Hinweis: Weitere Informationen über Archiver-Statistiken finden Sie im Leitfaden für die ersten Schritte mit Hosts und Services.

Anzeigen von Archiver-Protokollen

Führen Sie zum Anzeigen von Protokollen zu einem Archiver-Service folgende Schritte durch:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie in der Ansicht „Services“ eine Archiver und wählen Sie dann > Ansicht > Protokolle aus.
    Das Raster „Serviceprotokolle“ wird angezeigt.

Hinweis: Weitere Informationen zum Anzeigen und Konfigurieren von Auditprotokollen erhalten Sie in den Themen Konfigurieren der globalen Auditprotokollierung im Systemkonfigurationsleitfaden.

Hinzufügen von Archiver-Service als eine Datenquelle zu Broker

Das Hinzufügen des Archiver-Services als Datenquelle zu Broker ist hilfreich, wenn Sie mehr als eine Sammlung haben und einen Bericht über die archivierten Daten erstellen möchten. Hierzu können Sie einem Broker mehr als eine Sammlung als Downstreamservice hinzufügen und dann einen Bericht dazu erzeugen.

Voraussetzungen

Stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Auf dem Archiver-Host installierter Archiver-Service
  • Eine Sammlung wurde zum Archiver-Service hinzugefügt.

Verfahren

So fügen Sie einen Archiver-Service als Datenquelle auf dem Broker hinzu:

  1. Wählen Sie ADMIN > Services aus.
  2. Wählen Sie im Bereich Services einen Broker-Service aus.
  3. Wählen Sie in der Spalte Aktionen die Optionen Abgeschnittenes Menü „Aktionen“ > Ansicht > Konfiguration aus.
    Die Ansicht „Konfiguration“ wird mit geöffneter Registerkarte „Allgemein“ angezeigt.
  4. Klicken Sie im Abschnitt Aggregationsservices auf .
    Das Dialogfeld „Verfügbare Services“ wird angezeigt.
    Dialogfeld „Verfügbare Services“ wird angezeigt.
  1. Wählen Sie den Broker-Service aus und klicken Sie auf OK.
  2. Wenn der Archiver-Service ein Vertrauensmodell verwendet, wird ein Dialogfeld „Serviceinformationen“ für den ausgewählten Service angezeigt.

  3. Geben Sie den Benutzernamen und das Passwort der Administratorzugangsdaten für den Service ein.
  4. Klicken Sie auf OK.

    Das Dialogfeld „Sammlung hinzufügen“ wird angezeigt.

    Dialogfeld „Sammlung hinzufügen“ wird angezeigt.

  5. Wählen Sie eine Sammlung aus der Drop-down-Liste aus und klicken Sie auf OK.

    Der Archiver-Service wird nun als Datenquelle dem Broker hinzugefügt.

Hinweis: Dieses Verfahren muss für jede Sammlung durchgeführt werden.

You are here
Table of Contents > Zusätzliche Archiver-Konfiguration > Konfigurieren von Backup und Wiederherstellung der Daten

Attachments

    Outcomes