イベントデータを移行する前に、まず環境設定データをSentinelのターゲットサーバに移行する必要があります。一部の環境設定は、Solution Designerや、イベントソースの管理(ESM)にあるエクスポートとインポートのオプションを使用してバックアップすることができます。バックアップまたはエクスポートすることができない、環境設定データの残りの部分は、手動で再作成する必要があります。
Sentinelでさまざまなオプションを使用して、必要なデータをバックアップする必要があります。
ソースサーバ上の以下の環境設定は、Solution Designerを使用してバックアップします。
表 32-3 環境設定データ
|
データ |
備考 |
---|---|---|
|
相関ルール |
Correlation Engineごとに別個のコントロールを作成して、特定のCorrelation Engine instancesに個別にルールを移行できます。 |
|
アクション |
バックアップできるのはJavaScriptアクションのみで、ダイナミックリストやインシデント作成などのレガシアクションはバックアップできません。 |
|
イベント強化 |
Sentinelでは、イベントフィールドに関連付けられたマップもバックアップされます。したがって、イベント強化データを復元した後、関連付けられたマップを再作成する必要はありません。 |
|
フィルタ |
すべてのカスタムフィルタをバックアップします。 |
|
フィード |
ソリューションパックはフィードプラグインのみをバックアップし、プラグインの環境設定はバックアップしません。 |
Solution Designerでのデータのバックアップの詳細については、『 Sentinel Administration Guide
』の「Creating Solution Packs」を参照してください。
データ収集の環境設定をバックアップするには、ESMのエクスポート環境設定オプションを使用します。詳細については、『 Sentinel Administration Guide
』の「Exporting Configurations」を参照してください。
ソースサーバでバックアップした環境設定データは、Solution Designerを使用してインポートします。詳細については、『 Sentinel Administration Guide
』の「Installing Content from Solution Packs」を参照してください。
フィルタ、アクション、および相関ルールなどのオブジェクトで重複している名前はすべて名前変更してください。デフォルトでは、すべてのフィルタは、ターゲットサーバ上にインポートした時点でパブリックになります。フィルタごとに許可を手動で再割り当てしてください。
ソリューションパックからインポートした環境設定データ以外のすべて環境設定データは、手動で再作成する必要があります。手動で再作成する必要のある環境設定の詳細については、表 32-2, 移行できる環境設定と再作成する必要がある環境設定を参照してください。