Automated backup tool for ESM
ESM实现本地备份的解决方案,允许备份所有必需的设置和内容。(只要归档的数据在恢复后可以重用,备份数据的能力就被认为是可行的)。
所需的备份工具应在以下前提条件下实现:
- 它是一个单一的备份/恢复脚本。
- 执行脚本时需要数据库用户/密码、备份目标和所有其他必要的细节来执行备份(恢复也是一样)。
- 进度条或至少完成的百分比应在整个过程中显示。
- 脚本可能需要停止某些或所有的ESM服务。
- 同一脚本应处理备份两者:紧凑模式和分布式模式的ESM。
目前最全面可靠的解决方案是:
停止所有ESM服务
Rsync/opt/ arcisight到远程位置
开始ESM服务
PS:
只要数据存储的大小小于3TB,这种方法就可以工作。
随着数据集大小的增加,备份过程会花费太多的时间,并且在维护窗口过期之前不会完成,导致该过程不再使用。
建议:
1.如果备份事件数据不是优先事项,因为归档文件已备份到其他地方,那么可以只备份系统表。这将使用ArcSight管理指南中定义的流程备份数据库(所有内容、系统配置等)。这将不会备份事件数据。2.在执行备份前停止manager服务。然而,由于mysql数据库需要在备份发生时运行,所以可以在所有服务仍在运行时测试运行备份。(我不建议在生产系统上测试,先在开发中测试)
3.当然,可以很容易地将其构建到一个bash脚本中,该脚本在cronjob上运行,以进行预定的自动备份,而不需要停机。
4.记录器的旧档案不应该仅仅通过使用旧版本的软件重新构建记录器并恢复配置备份来访问。有些客户需要将存档存储数年,但在多次更改版本或甚至停止使用ArcSight后,仍然希望根据请求访问历史数据。提供从任何版本的Logger导入归档的能力(不需要配置备份);和/或,提供支持的工具,如旧的LACAT,能够提取档案;和/或提供存档功能/选项,将编写存档以人类可读的文本文件(CEF ?)可摄入其他工具在未来——即ArcSight停止使用或批量数据移交给客户任何上述选项需要考虑事件/档案的完整性检查。