如标题中所述,我们目前在 6.2 版上有 2 个日志点 siem"搜索"和"存储"。
我们希望将"搜索"升级到 v6.5。我们想知道两个版本之间是否会有复古兼容性。"搜索"是否能够使用存储在先前版本的日志点"存储"上的日志?
我怀疑您已经将 Logpoint 服务器升级到 6.5 或更高版本,但为了将来参考,我可以提供一个答案:
由于搜索头使用 API 与存储数据本身的后端进行通信,因此通常不会有任何大的更改,并且可能会起作用。您需要在每次更新时阅读 Logpoint 提供的更改日志,以了解 API 中是否有任何重大更改。
另一方面,如果要将 logdata(索引 + 数据(从较新版本导入到旧版本,则如果导入的数据由较新版本的 Lucene 索引器写入,则可能会失败。(Logpoint 6.7.x 在索引器中进行了一些更改,并对所有内部代码进行了从 Python 2.7 到 3.7 的一般重写(