Порядок обновления ПО UserGate LogAn

ID статьи: 1052

Последнее обновление: 25 дек, 2023

Product: UserGate LogAn, UserGate SIEM

Version: 7.0.1, 7.1.0, 7.x

После обновления ПО и запуска LogAn, в нем начинается обновление внутренней базы данных. Миграция данных может занимать до нескольких часов в зависимости от объема накопленных данных.

Во время миграции данные от сенсоров-источников (например, от узлов NGFW) продолжают поступать на LogAn. При этом данные не отправляются сразу в базу данных LogAn, а накапливаются в специальном файловом кеше. Это дополнительно увеличивает нагрузку на диск, увеличивает утилизацию CPU, уменьшает свободное место на диске, и в итоге может помешать процессу миграции данных.

В целях оптимизации процесса миграции данных рекомендуется придерживаться следующего порядка обновления ПО LogAn:

Выключить в консоли администратора LogAn/SIEM сенсоры NGFW. Для этого в разделе Настройки --> Сенсоры --> Сенсоры UserGate отметить необходимые узлы и нажать кнопку Отключить. NGFW в это время будут накапливать данные у себя.
Выполнить обновление ПО LogAn.
Дождаться окончания процесса миграции данных. Для контроля статуса обновления перейти в раздел Настройки --> Настройки в консоли администратора и проверить статус Состояние Log Analyzer --> Работает.

Процесс миграции может параллельно контролироваться по системным логам (utm-statistics/main.log и clickhouse/server.log).

Пример записей в логе utm-statistics/main.log, по которым можно отслеживать миграцию:

2023-12-05 16:38:41.416373<0.1107.0> [notice][{db,upgrade},db] : Set up database version 228
2023-12-05 16:44:41.234234<0.1107.0> [notice][{db,upgrade},db] : Set up database version 229
2023-12-06 00:58:41.546453<0.1107.0> [notice][{db,upgrade},db] : Set up database version 232
2023-12-06 00:58:41.989056<0.1081.0> [critical][db] : Database is ready to accept connections

Последняя запись означает успешное завершение миграции и переход состояния в Работает на странице Настройки.

После окончания миграции включить ранее выключенные сенсоры NGFW. Для этого в разделе Настройки --> Сенсоры --> Сенсоры UserGate отметить необходимые узлы и нажать кнопку Включить. NGFW подключатся к LogAn и начнут передавать накопленные данные.

ВажноЕсли в это время пропадает связь NGFW → LogAn, то все неотправленные данные останутся на NGFW. Второй попытки нет, возможно только запустить отправку вручную с дубликатами событий. При следующем перезапуске NGFW данные удалятся безвозвратно.

На NGFW может накопиться до нескольких GB данных, это нормально. Если не разрывать связь и не перезапускать сервисы utm-core, logan_core, utm_statistics, то все данные постепенно передадутся в LogAn.

Приём накопленных данных от NGFW хорошо видно на графике входящего трафика в дашборде LogAn.

Если на LogAn/SIEM есть активные правила аналитики, то после окончания приёма ранее накопленных данных из NGFW (спад входящего трафика до обычных значений), их нужно запустить вручную (ретроспективно) на интервале времени, когда сенсоры были выключены.

ПримечаниеВажно не перезапускать LogAn до завершения миграции, особенно если сенсоры не выключались в п. 1. Если перезапуск всё-таки случился, то миграция перезапустится с незавершённого шага, но при этом необходимо производить мониторинг ошибок в логах.

ПримечаниеОперации reset или shutdown, выполненные не из веб-консоли управления, с высокой вероятностью могуть привести к повреждению данных в базе данных, в том числе в процессе миграции.

ПримечаниеИмпорт конфигурации на LogAn/MC/NGFW выполняет Factory Reset и все данные, в том числе база данных статистики, очищаются.