App-Daten sichern und wiederherstellen

Verwenden Sie das Script app-volume-backup.py, um App-Daten zu sichern und wiederherzustellen.

Informationen zu diesem Vorgang

Bei einer Konfigurationssicherung, die Sie im Fenster Sicherung und Wiederherstellung durchführen, werden keine Daten Ihrer Apps gesichert. Das Script /opt/qradar/bin/app-volume-backup.py wird um 2:30 Uhr nachts ausgeführt und sichert die gemounteten /store-Datenträger jeder installierten Anwendung. Daten werden standardmäßig sieben Tage aufbewahrt.

Verwenden Sie das Script für folgende Aufgaben:

Daten manuell für installierte Apps sichern
Alle Datensicherungen installierter Apps auf dem System auflisten
Daten für installierte Apps wiederherstellen
Aufbewahrungsprozess ausführen und Aufbewahrungszeitraum für Sicherungen festlegen

Dieses Script ist sowohl auf der QRadar-Konsole als auch auf dem App-Host, falls installiert, verfügbar. Das Script sichert die App-Daten nur, wenn sich Apps auf dem aktuellen Host befinden.

Vorgehensweise

Melden Sie sich unter Verwendung von SSH als Rootbenutzer bei Ihrer Konsole oder Ihrem App-Host an.
Rufen Sie das /opt/qradar/bin/-Verzeichnis auf.
- Sichern Sie die App-Daten mit folgendem Befehl:
```
./app-volume-backup.py backup
```
  Das Script app-volume-backup.py wird nachts um 2:30 Uhr Ortszeit ausgeführt, um alle installierten Apps zu sichern. Sicherungsarchive werden im Ordner /store/apps/backup gespeichert. Sie können den Speicherort des Sicherungsarchivs ändern, indem Sie die Variable APP_VOLUME_BACKUP_DIR in /store/configservices/staging/globalconfig/nva.conf bearbeiten. Nach dem Bearbeiten dieser Variable müssen Sie die Änderungen implementieren.
- Geben Sie folgenden Befehl ein, um alle Datensicherungen für installierte Apps anzuzeigen:
  ./app-volume-backup.py ls
  
  Die Ausgabe dieses Befehls zeigt alle Sicherungsarchive an, die im Ordner mit den Sicherungsarchiven gespeichert sind.
- Geben Sie folgenden Befehl ein, um ein Sicherungsarchiv wiederherzustellen:
  ./app-volume-backup.py restore -i <backup_name>
  
  Mithilfe des Befehls ls können Sie den Namen eines Sicherungsarchivs ermitteln.
- Standardmäßig werden alle Sicherungsarchive eine Woche lang aufbewahrt. Der Aufbewahrungsprozess wird nachts um 2:30 Uhr Ortszeit zusammen mit der Sicherung ausgeführt.
  - Geben Sie folgenden Befehl ein, um die Aufbewahrung manuell durchzuführen und den Standardaufbewahrungszeitraum zu verwenden:
    ./app-volume-backup.py retention
  - Sie können den Aufbewahrungszeitraum auch manuell festlegen, indem Sie Schalter -t (time-defaults to 1) und -p (period-defaults to 0) hinzufügen.
    Der Schalter -p akzeptiert drei Werte: 0 für eine Woche, 1 für einen Tag und 2 für eine Stunde.
    
    Geben Sie beispielsweise folgenden Befehl ein, um für eine Sicherung einen Aufbewahrungszeitraum von drei Wochen festzulegen:
    
    ./app-volume-backup.py retention -t 3 -p 0
- Wenn Sie den vom nächtlichen Zeitgeber verwendeten Aufbewahrungszeitraum ändern möchten, fügen Sie Flags zum Aufbewahrungsbefehl in der folgenden Servicedatei des Systems hinzu.
  
  /usr/lib/systemd/system/app-data-backup.service
  
  Wenn Sie beispielsweise den vom nächtlichen Aufbewahrungsprozess verwendeten Aufbewahrungszeitraum in fünf Tage ändern möchten, suchen Sie nach folgender Zeile:
  
  ExecStart=/opt/qradar/bin/app-volume-backup.py retention
  
  Ersetzen Sie die Zeile durch folgende Zeile:
  
  ExecStart=/opt/qradar/bin/app-volume-backup.py retention -t 5 -p 1
  
  Speichern Sie die Änderungen und führen Sie den Befehl systemctl daemon-reload aus, damit das System die Änderungen anwendet.
Verwenden Sie folgenden Befehl, um jeden App-Container neu zu starten:
```
docker restart <container_id>
```
Wenn Sie die Container-ID nicht kennen, können Sie sie mit folgenden Befehlen ermitteln:
```
psql -U qradar -c 'select id, name from installed_application'
```
Der Befehl gibt die App-ID zurück. Fügen Sie die App-ID in den folgenden Befehl ein, um nach der Container-ID zu suchen:
```
docker ps -a --format "{{.ID}},{{.Image}}" | grep 'qapp/<app_id>:' | cut -d , -f1
```