NFS へのバックアップの移動

スタンドアロン QRadar® アプライアンス、または HA デプロイメント環境でプライマリー・ホストにする QRadar アプライアンス用にネットワーク・ファイル・システム (NFS) を構成できます。

始める前に

QRadar アプライアンスが NFS サーバーと接続できることを確認する必要があります。

重要:

NFS マウントが失敗した場合でも、バックアップが利用できるように、バックアップのローカル・コピー (backup.nfs) をシステム上で保持しておきます。 ローカル・バックアップを保持するディレクトリーを慎重にモニタリングして、バックアップを保持するために使用するディレクトリーがディスク・ストレージの問題の原因にならないようにします。

このタスクについて

警告:

NFS または Windows 共有をオフボード・ストレージに使用すると、システムがロックされて障害が発生することがあります。 この方法は、 IBM® QRadarではサポートされていません。

Linux OSでリスクが低い場合でも、ransomware はマウントされたすべてのリモート・ドライブを暗号化することができます。 NFS マウントを使用する場合は、ローカル・ドライブから NFS マウント・ドライブにデータをコピーするときに NFS ドライブのみをマウントすることにより、リスクを軽減できます。 次に、日次操作用に NFS マウント・ドライブを削除します。

NFS の使用を選択した場合、/store/backup ディレクトリーなどの日次バックアップ・データにのみ NFS を使用できます。 PostgreSQL データベース、Ariel データベースなど、アクティブ・データを保管するために NFS は使用できません。 NFS を使用すると、それが原因でデータベースが破損する場合やパフォーマンスの問題が発生する場合があります。

手順

  1. 夜間のバックアップをローカル・ドライブ、/store/backup に対して実行します。
  2. SSH を使用して、root ユーザーとして QRadar ホストにログインします。
  3. 以下のコマンドを入力して、NFS サービスを開始します。
    systemctl enable rpcbind
systemctl start rpcbind
  4. 以下の行を /etc/fstab ファイルに追加します。
    nfsserver:/nfs/export/path /store/backup nfs rw,soft,intr,noac 0 0

    ご使用の構成に合わせて NFS マウント・ポイントの設定を調整することが必要な場合があります。

  5. 以下のコマンドを入力して、バックアップ・ファイルを既存のディレクトリーから一時的な場所に移動します。
    cd /store/
mv backup backup.local
  6. 以下のコマンドを入力して、新しいバックアップ・ディレクトリーを作成します。
    mkdir /store/backup
  7. 以下のコマンドを入力して、NFS ボリュームに対する権限を設定します。
    chown nobody:nobody /store/backup
  8. 以下のコマンドを入力して、NFS ボリュームをマウントします。
    mount /store/backup

    hostcontext プロセスは root ユーザーとして実行されるため、root ユーザーは、マウントされた NFS ボリュームに対する読み取り権限と書き込み権限を持っている必要があります。

    作成したバックアップのローカル・コピーを使用します。 重要な注意を参照してください。

  9. 以下のコマンドを入力して、 /store/backup がマウントされていることを確認します。
    df -h
  10. 以下のコマンドを入力して、バックアップ・ファイルを一時ロケーションから NFS ボリュームにコピーします。
    cp -f /store/backup.local/* /store/backup
  11. 以下のコマンドを入力して、ファイルを検証します。
    sha256sum /store/backup.local/* > backuplocal.sha256.txt
sha256sum /store/backup.nfs/* > backupnfs.sha256.txt
diff backuplocal.sha256.txt backupnfs.sha256.txt

    ファイル間の相違が表示された場合は、停止して理由を判別してください。 1 つの理由として、コピーに宛先パーティションが入力されたか、またはコピー・プロシージャー中にネットワーク障害が発生したことが考えられます。

  12. コピー手順が正常に完了したことを確認した後、以下のコマンドを入力して backup.local ディレクトリーを削除します。
    cd /store
rm -r backup.local

    backup.local ディレクトリーを削除すると、ローカル・パーティション容量の飽和を回避できます。

次に実行するタスク

新しい HA デプロイメント用に NFS をセットアップする場合は、セカンダリー HA アプライアンスの セカンダリー HA ホストのマウント・ポイントの構成 の手順に従ってください。