更改设备类型
在版本 5.0.4 中,为所有设备类型(一体化、电子邮件收集器、流量收集器、核心/中央管理器)提供一个 ISO。如果不在安装过程中更改外形,则所有设备都会最初作为一体化设备启动。您可以保留此类型或更改类型,方法是在启动后,在 EULA 之后显示的向导屏幕中选择其他类型。有关详细信息,请参阅硬件安装指南。
除了在初始安装后更改设备类型外,您还可以使用版本 5.0.4 中为 JATP700 和 JATP400 引入的新 CLI 命令随时更改设备类型。
如果在初始安装后更改设备类型,则与当前类型相关的所有数据文件都会丢失。
更改设备类型后,您必须像任何新安装一样,为新类型配置设备。按照文档中与新设备类型对应的安装过程,包括设置密码和按照配置向导提示操作。您可以更改设备类型的次数没有限制。
要使用 CLI 更改设备类型,请在服务器模式下输入以下命令。(请注意,提示符时显示当前设备类型。在这种情况下,类型为“AIO”,即一体化。):
jatp:AIO#(server)# set appliance-type core-cm This will result in the deletion of all data and configurations not relevant to the new form factor. Proceed? (Yes/No)? Yes
下面列出了命令中可用的 set appliance-type 设备类型,并显示在以下 CLI 屏幕中:
all-in-onecore-cmemail-collectortraffic-collector
电子邮件收集器或流量收集器转换为一体化或核心/CM 时,您必须获取并应用为该设备创建且由其 UUID 识别的新许可证。这是因为,转换后,设备仍在使用现有许可证,从之前连接到的核心获取并验证该许可证。有关应用新许可证的说明,请参阅《操作指南》中的 设置瞻博网络 ATP 设备许可证密钥 。
如前所述,如果在初始安装后更改设备类型,则与当前类型相关的所有数据都会丢失。以下是更改设备类型时丢失的信息的示例。
核心/CM — 如果从当前设备类型中移除 Core/CM,则将导致以下数据被删除:所有用户配置,例如通知(警报和 SIEM 设置)、系统配置文件(角色、区域、用户、SAML、系统、GSS、收集器和其他设置)、环境设置(电子邮件和防火墙缓解设置、资产价值、身份、splunk 配置和其他环境设置)、 所有文件样本、分析结果、事件和事件。
流量收集器 — 如果从当前设备类型中移除流量收集器,则将导致以下数据被删除:数据路径代理、流量规则以及通过收集器 CLI 配置的所有其他项目。
电子邮件收集器 — 如果电子邮件收集器从当前设备类型中移除,则将导致删除收集器相关信息。另请注意,电子邮件收集器将停止接收电子邮件。
一体化 — 如果从当前设备类型中移除一体化,将会出现以下情况:
如果从一体化转换为流量收集器,则上述核心/CM 部分提到的所有项目都将被删除。
如果从一体化转换为核心/CM,则上述流量收集器部分提到的所有设置都将被删除。
如果从一体化转换为电子邮件收集器,则上述“核心/CM”部分和流量收集器部分提到的所有设置都将被删除。
如果您正在使用 MCM 或辅助核心,并希望将设备类型更改为“set 设备类型”CLI 命令提供的其中一个选项,则必须首先请执行以下操作:
通过从 cm 菜单运行
set mcm remove命令,将 MCM 系统转换为核心/ CM 系统。通过将 CM IP 地址重置为 127.0.0.1,并从服务器菜单中运行
set cm 127.0.0.1命令,将辅助核心系统转换为核心系统。