›

将 Elastic Security 升级到 8.17.0

在升级 Elastic Security 之前，请执行必要的准备步骤，这些步骤将根据您要升级到的版本而有所不同

Elastic Security 不支持滚动升级，它在 Kibana 应用程序中运行。要升级，您必须关闭所有 Kibana 实例，安装新软件，然后重新启动 Kibana。在较旧的 Kibana 实例运行时进行升级可能会导致数据丢失或升级失败。

在需要时，Kibana 会自动迁移保存的对象。如果升级失败，您可以回滚到较早版本的 Kibana。要回滚，您必须拥有一个包含 kibana 功能状态的备份快照。默认情况下，快照包含 kibana 功能状态。

升级多个 Kibana 实例

编辑

升级连接到同一 Elasticsearch 集群的多个 Kibana 实例时，请确保在开始升级之前关闭所有过时的实例。

Kibana 不支持滚动升级。但是，当过时的实例关闭后，您可以并行启动所有升级后的实例，这允许所有实例并行参与升级迁移。

对于超过 10 个 Kibana 实例和超过 10,000 个保存对象的大型部署，您可以通过启动单个 Kibana 实例并等待其完成升级迁移，然后再启动其余实例，来减少升级停机时间。

您可以升级到预发布版本进行测试，但不支持从预发布版本升级到正式版本。您应该仅在临时环境中使用预发布版本进行测试。

确保所有 Kibana 实例相同

编辑

当您执行不同 Kibana 版本的升级迁移时，迁移可能会失败。确保所有 Kibana 实例运行相同的版本、配置和插件。

支持 Elastic 预构建检测规则自动更新

编辑

Elastic 预构建检测规则的自动更新支持当前 Elastic Security 版本和最近三个次要版本。例如，如果您要升级到 Elastic Security 8.10，您可以使用规则 UI 来更新您的预构建规则，直到 Elastic Security 8.14 发布。在那之后，您仍然可以手动下载并安装更新的预构建规则，但您必须升级到最新的 Elastic Security 版本才能接收自动更新。

从 8.x 版本升级到 8.x 版本

编辑

请按照本指南从较早的 8.x 版本升级到较新的 8.x 版本。

规划您的升级

编辑

在从较早的 8.x 版本升级之前，请考虑以下建议

计划足够的时间来完成升级。根据您的配置和集群大小，此过程可能需要长达一周的时间才能完成。
打开一个支持案例，通知我们的 Elastic 支持团队您的系统更改。如果您需要其他帮助，Elastic 咨询服务可为您的 Elastic 部署升级提供技术专业知识和分步方法。
选择要升级到的版本。我们建议使用最新的次要版本和补丁版本。请确保将您的开发或非生产部署升级到与您的生产部署相同的版本。
确保您已在 Kibana 中启用堆栈监控。记下您当前的索引和搜索速率。
查看您所选版本的功能、Elastic 连接器、集成和检测规则，以确定是否可以使用开箱即用的功能替换任何自定义内容。这可以帮助减少您的工作量和升级的复杂性。
查看 Elastic Security、Elasticsearch、Kibana 的发行说明、弃用和重大更改，如果适用，还应查看 Fleet 和 Elastic Agent、Beats 和 Logstash 的发行说明。找出可能影响您的部署的任何问题。如有任何疑问，请与您的 Elastic 团队合作。从解决方案和平台组件（如 Elasticsearch 和 Kibana）的重大更改开始。
在您的组织内安排系统维护窗口。

升级前步骤

编辑

为了准备升级过程，请在开始之前执行以下步骤

对整个 Elastic 部署（包括 Elasticsearch、Kibana、Elastic Agent、Beats 和 Logstash）进行软件版本清点。
如果您没有使用快照生命周期管理 (SLM)，则必须设置和配置策略，然后运行策略以创建至少一个快照—从正在运行的集群中获取的索引备份。如果您需要在升级过程中回滚，请使用最近的快照来避免数据丢失。快照是增量的—根据集群大小和输入/输出速率，初始快照可能需要几个小时才能完成。如果您正在使用 SLM，请检查 SLM 历史记录以确保快照成功完成。

在部署上执行 8.x 到 8.x 的升级

编辑

我们强烈建议先在非生产部署上执行以下步骤，以解决在升级生产部署之前可能出现的任何问题。如果您正在使用跨集群搜索环境，请先升级远程部署。

如果您尚未执行此操作，请将您的集群数据备份到快照。
我们建议您导出所有自定义检测规则，以防升级后检测引擎出现问题。
升级 Elasticsearch。
- 如果您正在使用 Elastic Cloud，我们建议无停机升级。请参阅这些说明。
- 如果您正在使用 Elastic Cloud Enterprise (ECE)，请参阅这些说明。
- 如果您正在使用 Kubernetes 上的 Elastic Cloud (ECK)，请参阅这些说明。
- 如果您要升级自我编排的部署，请参阅这些说明，并按此顺序逐层升级数据节点层
  1. 冻结层
  2. 冷层
  3. 温层
  4. 热层
  5. 任何其他不在层中的节点
  6. 所有既不是主节点候选也不是数据节点的其余节点
  7. 主节点候选节点
升级 Kibana。请参阅这些说明。

如果您正在使用 Elastic Cloud Hosted 或 Elastic Cloud Enterprise，则此内容已包含在 Elasticsearch 升级中。
通过完成以下检查，验证 Elasticsearch 和 Kibana 是否按预期运行
1. 对于 Elasticsearch
  1. 检查您的集群状态，并通过运行 GET _cat/health API 请求确保它们为绿色。有关更多信息，请参阅 cat health API 文档。
  2. 确保索引和搜索速率接近升级之前的速率。转到 堆栈监控 → Elasticsearch → 概述。
    
    您还可以使用 cat index API 检查索引文档计数。
  3. 通过检查 SLM 历史记录，验证快照生命周期管理 (SLM) 是否正在拍摄快照。
  4. 如果您使用机器学习，请确保它已启动并正在运行。
2. 对于 Kibana
  1. 确保您和您的用户可以成功登录到 Kibana 并访问所需的页面。
  2. 检查 Discover 并验证您通常使用的索引模式是否可用。
  3. 验证您常用的仪表板是否可用且正常工作。
  4. 如果您使用任何基于 Watcher 的 Kibana 定时报告，请确保其正常工作。
升级您的摄取组件（例如 Logstash、Fleet 和 Elastic Agent、Beats 等）。有关详细信息，请参阅 Elastic Stack 升级文档。
验证摄取是否正常运行。
1. 打开 Discover，浏览每个预期摄取数据流的数据视图，并确保数据以预期的格式和量进行摄取。
验证 Elastic Security 是否正常运行。
1. 在规则页面上，重新启用您所需的 SIEM 检测规则（规则管理选项卡），并确保启用的规则在没有错误或警告的情况下运行（规则监控选项卡）。
2. 确保任何使用警报的 SOAR 工作流都在工作。
3. 验证您的团队创建的任何自定义仪表板是否正常工作，尤其是在它们对警报文档进行操作时。
如果您在非生产部署上执行了这些步骤，请在您的生产环境中重复相同的步骤。如果您正在使用跨集群搜索环境，并且在您的远程集群上执行了这些步骤，请在您的其他部署上重复相同的步骤。
与您的相关利益干系人确认升级过程已成功。

升级到 8.8 或更高版本时的注意事项

编辑

在您升级到 8.8 或更高版本后，在 8.7 或更早版本中创建的规则操作的频率设置将自动从规则级别移动到操作级别。操作计划保持不变，并将继续按其先前指定的频率运行（每次规则执行、每小时、每日或每周）。

从 7.16 或更早版本升级到 8.x 版本

编辑

要从 7.16.0 或更早版本升级到 8.17.0，您必须首先将您的 Elastic Stack 和 Elastic Agent 升级到 7.17（请参阅升级 Fleet 管理的 Elastic Agent）。这使您可以使用升级助手为升级做准备。在升级之前，您必须解决升级助手识别的所有关键问题。之后，您可以升级到 8.x。

最初，Elastic Agent 将是 7.17 版本。这没关系，因为 Elastic Security 8.x 支持 7.x 中的最后一个小版本（7.17）和 8.x 中的任何后续 Elastic Endpoint 版本。在 Elastic Stack 升级之后，您可以决定是否将 Elastic Agent 升级到 8.x，建议这样做以确保您获得最新的功能。

您无需关闭您的 Elastic Agent 或端点即可升级 Elastic Stack。

« 8.17 中的新增功能从 7.17 升级到 8.x 版本 »