ESM のアップグレードについて

1 Likes

ESMのアップグレードについてお問い合わせを受けることがあります。

次の資料は ESM 6.9.1 から ESM 7.5 へアップグレードするESMのアップグレードに関する資料になります。

 

ArcSight ESM Upgrading Guide

https://content.microfocus.com/upgrade-arcsight-today/arcsight-esm-upgrade-guide?lx=n6oR8Z#page=1

 

こちらの資料にありますように、ESMをアップグレードするにはアップグレードパスがあり、

例えば、次の様に順にアップグレードしていただく必要があります。また、途中でOSのアップグレードも必要になります。

ESM 6.9.1 -> ESM 6.9.1 Patch 3 -> ESM 6.11 -> ESM 6.11 Patch 3 -> ESM 7.0 Patch 1 -> ESM 7.2 -> ESM 7.4 -> ESM 7.5 

(ちなみにコネクタはアップグレードパスがなく、例えば 7.15 から 8.3へ直接アップグレードしていただくことが可能です)

 

ESMを最新版に移行するという観点では次の2つの方法が考えられますが、それぞれ次の様なメリットとデメリットが考えられます。

 

1.既存のESM(例えば 6.9.1)をアップグレードする方法

メリット:

 カスタマイズしたリソース(ルールやフィルターなど)を新規に構築する必要がない(動作確認は必要)

 イベントデータも同時に移行される

デメリット:

 アップグレードパスに従ってアップグレードが必要だが時間と手間がかかる

 カスタマイズしたリソースやイベントデータが多い場合にアップグレード時に問題が発生することがある

 サーバーのハードウエアの移行には別途考慮が必要になる

 アップグレード時にダウンタイムが発生する

 ESM 7.2 から導入されたデフォルトコンテンツがアップグレード時にはデフォルトでは有効にならないため別途考慮が必要

 

2.新規にESMをインストールする方法

メリット:

 インストールが比較的容易

 サーバーなどのスペックを更新できる

 新旧のサーバーの移行時のダウンタイムを最小化できる

デメリット:

 新規にサーバーを立てる必要がある(ホスト名やIPアドレスが変更になる)

 イベントデータが移行できない(データ保持期限によってコネクタから同じイベントを新旧2つのESMへ送るなど並行運用(3カ月など)が必要となる。その際のライセンスについては弊社営業にお問い合わせください。)

 カスタマイズしたリソースを新規で構築する必要がある(パッケージは同じバージョン同士での移行しかサポートされないため、パッケージでは移行できない)

 コネクタ側で新規に新ESMへの宛先を追加する必要がある(移行後は旧ESMへの宛先を削除する必要がある)

 ESM 7.3 からのTLSサポートがデフォルトでは 1.2 のみとなり、またサポートする Cipher Suites の違いによりコネクタの古いバージョンでは接続に問題が発生するため、ESM側の設定変更が必要になることがある

 

なお、ESM 7.0以降の Upgrade Guideは次のコミュニティサイトから入手可能ですが、

ESM 6.9.1やESM 6.11などの古いVersionのドキュメント、インストーラーや Patch は

サポートにお問い合わせいただければと考えます。

 

https://www.microfocus.com/documentation/arcsight/#gsc.tab=0

Labels:

Knowledge Docs
Comment List
  • コネクタのアップグレードパスに関して次の様にお伝えしましたが、

    >(ちなみにコネクタはアップグレードパスがなく、例えば 7.15 から 8.3へ直接アップグレードしていただくことが可能です)

    例えば 7.7 から 8.3 へは次のアップグレードパスを推奨していることが分かりました。

    7.7 >>7.15 >>8.0 >>8.3

    誠に申し訳ございません。お詫びして訂正させていただきます。

    (ご存知かとは思いますが 7.15 は 7.x 台の最終バージョンです)

Related
Recommended