« 8.16版新增功能 从7.17版升级到8.x版 »
Elastic文档 Elastic 安全解决方案 [8.16]

将Elastic Security升级到8.16.0

编辑

将Elastic Security升级到8.16.0

编辑

在升级Elastic Security之前,请采取必要的准备步骤,这些步骤会因您要升级到的版本而异。

Elastic Security运行在Kibana应用程序中,不支持滚动升级。要升级,必须关闭所有Kibana实例,安装新软件,然后重新启动Kibana。在旧的Kibana实例运行时进行升级可能会导致数据丢失或升级失败。

如有必要,Kibana会自动迁移已保存的对象。如果升级失败,您可以回滚到 Kibana 的早期版本。要回滚,您必须拥有包含kibana功能状态的备份快照。默认情况下,快照包含kibana功能状态。

升级多个Kibana实例

编辑

升级连接到同一Elasticsearch集群的多个Kibana实例时,请确保在开始升级之前关闭所有过时的实例。

Kibana不支持滚动升级。但是,当过时的实例关闭后,您可以并行启动所有升级后的实例,这允许所有实例并行参与升级迁移。

对于拥有超过10个Kibana实例和超过10,000个已保存对象的 大型部署,您可以通过启动单个Kibana实例并等待其完成升级迁移后再启动其余实例来缩短升级停机时间。

您可以升级到预发行版本进行测试,但从预发行版本升级到正式版本不受支持。您应仅在临时环境中使用预发行版本进行测试。

确保所有Kibana实例相同

编辑

当您执行不同Kibana版本的升级迁移时,迁移可能会失败。确保所有Kibana实例都运行相同的版本、配置和插件。

支持Elastic预构建检测规则自动更新

编辑

Elastic预构建检测规则的自动更新 支持当前Elastic Security版本和之前最新的三个次要版本。例如,如果您要升级到Elastic Security 8.10,您将能够使用规则UI更新您的预构建规则,直到Elastic Security 8.14发布。之后,您仍然可以手动下载和安装更新的预构建规则,但您必须升级到最新的Elastic Security版本才能接收自动更新。

从8.x版升级到8.x版

编辑

请按照本指南从早期8.x版本升级到较新的8.x版本。

规划您的升级

编辑

从早期8.x版本升级之前,请考虑以下建议:

  • 规划足够的时间来完成升级。根据您的配置和集群的大小,此过程可能需要长达一周的时间才能完成。
  • 向Elastic提交支持案例,以提醒我们的Elastic支持团队您的系统更改。如果您需要更多帮助,Elastic咨询服务提供升级Elastic部署的技术专业知识和分步方法。
  • 选择要升级到的版本。我们建议使用最新的次要版本和补丁版本。请确保将您的开发或非生产部署升级到与您的生产部署相同的版本。
  • 确保您已在Kibana中启用堆栈监控。记下您当前的索引和搜索速率。
  • 查看所选版本的特性、Elastic连接器、集成和检测规则,以确定是否可以用现成的功能替换任何自定义内容。这有助于减少您的工作量和升级的复杂性。
  • 查看Elastic SecurityElasticsearchKibana以及(如果适用)Fleet和Elastic AgentBeatsLogstash的发行说明、弃用和重大更改。确定可能影响您部署的任何问题。就您可能遇到的任何问题与您的Elastic团队合作。从解决方案和平台组件(如Elasticsearch和Kibana)的重大更改开始。
  • 在您的组织内安排系统维护窗口。

升级前步骤

编辑

要准备升级过程,请在开始之前按照以下步骤操作:

  1. 对整个Elastic部署(包括Elasticsearch、Kibana、Elastic Agent、Beats和Logstash)进行软件版本清单。
  2. 如果您没有使用快照生命周期管理 (SLM),则必须设置和配置策略,然后运行策略以创建至少一个快照——从运行中的集群中获取的索引备份。如果您需要在升级过程中回滚,请使用最近的快照以避免数据丢失。快照是增量的——根据集群大小和输入/输出速率,初始快照可能需要几个小时才能完成。如果您正在使用SLM,请检查SLM历史记录以确保快照正在成功完成。

在部署上执行8.x到8.x的升级

编辑

我们强烈建议首先在非生产部署上执行以下步骤,以解决升级生产部署之前可能出现的任何问题。如果您使用的是跨集群搜索环境,请首先升级远程部署。

  1. 如果您尚未执行此操作,请将集群数据备份到快照
  2. 我们建议您导出所有自定义检测规则,以防升级后检测引擎出现问题。

  3. 升级Elasticsearch。

    • 如果您使用的是Elastic Cloud,我们建议进行无停机时间升级。请参阅这些说明
    • 如果您使用的是Elastic Cloud Enterprise (ECE),请参阅这些说明
    • 如果您使用的是Elastic Cloud on Kubernetes (ECK),请参阅这些说明

    • 如果您正在升级自协调部署,请参阅这些说明并按照以下顺序逐层升级数据节点:

      1. 冻结层
      2. 冷层
      3. 暖层
      4. 热层
      5. 不在层中的任何其他节点
      6. 所有其余既不是主节点候选也不是数据节点的节点
      7. 主节点候选节点

  4. 升级Kibana。请参阅这些说明

    如果您使用的是Elastic Cloud托管或Elastic Cloud Enterprise,则此操作已包含在Elasticsearch升级中。

  5. 通过完成以下检查来验证Elasticsearch和Kibana是否按预期运行:

    1. 对于Elasticsearch:

      1. 检查集群的状态,并确保通过运行GET _cat/health API请求使其变为绿色。有关更多信息,请参阅cat health API文档

      2. 确保索引和搜索速率接近升级前的速率。转到堆栈监控Elasticsearch概述

        您还可以使用cat index API检查索引文档计数。

      3. 通过检查SLM历史记录来验证快照生命周期管理 (SLM) 是否正在获取快照。
      4. 如果您使用机器学习,请确保它正在运行。

    2. 对于Kibana:

      1. 确保您和您的用户可以成功登录Kibana并访问所需的页面。
      2. 检查Discover并验证您通常使用的索引模式是否可用。
      3. 验证您常用的仪表板是否可用并正常运行。
      4. 如果您使用任何基于Watcher的Kibana计划报表,请确保它正常运行。
  6. 升级您的摄取组件(例如Logstash、Fleet和Elastic Agent、Beats等)。有关详细信息,请参阅Elastic Stack升级文档

  7. 验证摄取是否正常运行。

    1. 打开Discover,查看每个预期摄取数据流的数据视图,并确保数据正在以预期的格式和数量被摄取。

  8. 验证Elastic Security是否正常运行。

    1. 规则页面上,重新启用您所需的SIEM检测规则(规则管理选项卡),并确保启用的规则在运行时没有错误或警告(规则监控选项卡)。
    2. 确保任何使用警报的SOAR工作流都能正常运行。
    3. 验证您的团队创建的任何自定义仪表板是否正常运行,尤其是在它们操作警报文档的情况下。
  9. 如果您在非生产部署上执行了这些步骤,请在您的生产环境中重复这些步骤。如果您使用的是跨集群搜索环境并在远程集群上执行了这些步骤,请在您的其他部署上重复这些步骤。
  10. 与您相关的利益相关者确认升级过程是否成功。

升级到8.8版或更高版本时的注意事项

编辑

升级到8.8或更高版本后,在8.7或更早版本中创建的规则操作的频率设置将自动从规则级别移动到操作级别。操作计划保持不变,并将继续按照先前指定的频率运行(每次规则执行每小时每天每周)。

从7.16或更早版本升级到8.x版本

编辑

要从7.16.0或更早版本升级到8.16.0,您必须首先将Elastic Stack和Elastic Agents升级到7.17(请参考升级Fleet管理的Elastic Agents)。这使您可以使用升级助手来准备升级。在升级之前,您必须解决升级助手标识的所有关键问题。之后,您可以升级到8.x

最初,Elastic Agents的版本将为7.17。这很好,因为Elastic Security 8.x支持7.x的最后一个次要版本(7.17)以及8.x中的任何后续Elastic Endpoint版本。Elastic Stack升级后,您可以决定是否将Elastic Agents升级到8.x,建议升级以确保获得最新功能。

您无需关闭Elastic Agents或端点即可升级Elastic Stack。

« 8.16版新增功能 从7.17版升级到8.x版 »