Introduzione
In questo documento vengono descritti i passaggi generali per ridurre l'utilizzo elevato del disco nei dispositivi Secure Network Analytics Manager e Flow Collector.
Prerequisiti
Requisiti
Questo documento è relativo alle distribuzioni di analisi di rete sicure senza archivio dati.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Secure Network Analytics Manager - v7.1+
- Secure Network Analytics Flow Collector - v7.1+
- Secure Network Analytics Flow Sensor - v7.1+
- Secure Network Analytics UDP Director - v7.1+
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Esistono due partizioni da monitorare per l'utilizzo del disco: la partizione radice (/) e la partizione /lancope/var.
La partizione radice (/) è la posizione di archiviazione per l'immagine del kernel e alcuni log di sistema. Si tratta in genere di una partizione più piccola di 20G o meno. /lancope/var è un gruppo di volumi e rappresenta la posizione di memorizzazione per la maggior parte dei dati di sistema, quindi occupa la maggior parte dello spazio su disco per l'accessorio.
Raccogli dati
È possibile ottenere informazioni sull'utilizzo del disco in due posizioni, ovvero l'interfaccia utente Web di amministrazione e l'interfaccia della riga di comando (CLI).
Riga di comando
Dalla riga di comando eseguire df -ah / /lancope/var il comando e notare gli spazi tra (/) e /lancope/var.
732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var 732smc:/#
L'output mostra che la partizione radice (/) è 20G e che 8.3G è in uso, ovvero il 46%. L'output mostra anche che la partizione /lancope/var è 108G, e 23G è in uso che è il 22%.
Interfaccia utente Web
Accedere all'interfaccia utente di amministrazione dei dispositivi basata sul modello in questione e scorrere fino alla fine della pagina.
Elenco di indirizzi Web dell'interfaccia utente di amministrazione:
- Secure Network Analytics Manager - https://<SMC-IP-OR-FQDN>/smc/index.html (è necessario accedere a SMC prima di poter accedere a questo URL)
- Secure Network Analytics Flow Collector - https://<FC-IP-OR-FQDN>/swa/index.html
- Secure Network Analytics Flow Sensor - https://<FS-IP-OR-FQDN>/fs/index.html
- Secure Network Analytics UDP Director (Flow Replicator) - https://<UDPD-IP-OR-FQDN>/fr/index.html
Se l'utilizzo della partizione è maggiore o uguale al 75%, la partizione viene evidenziata.
Cancella spazio su disco
Se non si è certi dei file da eliminare, aprire una richiesta TAC o contattare il supporto Cisco tramite la pagina dei contatti del supporto Cisco internazionali nella sezione Informazioni correlate alla fine del presente documento.
Log di sistema
Uno dei metodi più veloci per recuperare spazio su disco di dimensioni maggiori consiste nel cancellare i registri di registro con il journalctl --vacuum-time 1d comando. Notate il doppio trattino — prima della parola "vuoto".
732smc:/# journalctl --vacuum-time 1d Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa /user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M). <the above line repeats for each file deleted> Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa. 732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var 732smc:/#
Circa 4 G di spazio su disco sono stati recuperati da questi passaggi e ha comportato una riduzione dell'utilizzo del disco dal 22% al 18% sulla partizione /lancope/var.
Un altro percorso per le voci del registro è la /lancope/var/logs/journal directory che può essere cancellata anche con il journalctl --vacuum-time 1d -D /lancope/var/logs/journal/ comando.
732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/ Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M). <the above line repeats for each file deleted> Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa. 732smc:~#
I file nelle directory elencate sono generalmente sicuri da eliminare:
/lancope/var/tcpdump /lancope/var/tomcat/logs /lancope/var/tmp /lancope/var/admin/tmp/
Si consiglia di iniziare dalla directory radice (/) o dalla directory /lancope/var, a seconda della partizione identificata nell'interfaccia utente Web che utilizza un disco elevato. Cambiare la directory corrente con il comandocd / .
Eseguire il comandodu -xah --max-depth=1 | sort -hr per determinare i maggiori consumer di spazio su disco della directory corrente. Notate il doppio trattino — prima di max-depth.
L'output mostra che la partizione radice (/) ha uno spazio su disco di 8,3G in uso, con 5,5G di spazio su disco utilizzato nella directory /lancope, seguito dalla directory /usr con 1,5G di utilizzo.
L'utilizzo del comando | head -n4 nel comando non è richiesto e viene utilizzato nell'esempio per limitare i risultati restituiti.
732smc:~# cd / 732smc:/# du -xah --max-depth=1 | sort -hr | head -n4 8.3G . 5.5G ./lancope 1.5G ./usr 1.3G ./opt 732smc:/#
Cambiare la directory in /lancope con il cd lancope/ comando ed eseguire nuovamente il comando du con il !ducomando. In questo modo viene visualizzato che della versione 5.5G in uso nella directory /lancope/, la versione 5.1G si trova nella directory admin. Cambiare le directory correnti nella directory in questione con il cd comando.
732smc:/# cd lancope/ 732smc:/lancope# !du du -xah --max-depth=1 | sort -hr | head -n4 5.5G . 5.1G ./admin 212M ./services 59M ./mongodb 732smc:/lancope#
Una volta identificati i file che possono essere eliminati, è possibile procedere con l'utilizzo del rm -i <filename> comando. Se non si è certi dei file da eliminare, aprire una richiesta TAC o contattare il supporto Cisco tramite la pagina dei contatti del supporto Cisco internazionali nella sezione Informazioni correlate alla fine del presente documento.
732smc:/lancope/admin# rm -i file rm: remove regular empty file 'file'? yes 732smc:/lancope/admin#
Ripetere questi passaggi, se necessario.
Tagliare il database distribuito (DDS) - Statistiche flusso
Per impostazione predefinita, nell'ambiente DDS gli accessori FlowCollector e SMC tentano di memorizzare il maggior numero possibile di dati di flusso ruotati ogni giorno. Quando vengono raggiunti i limiti di utilizzo del disco, il sistema inizia a eliminare i dati meno recenti per creare spazio per il salvataggio di nuovi dati.
Per visualizzare le statistiche del database di Flow Collector, accedere all'interfaccia utente di amministrazione di FlowCollector e selezionare Support > Database Storage Statistics .
Statistiche archiviazione database
- L'immagine mostra che i dettagli del flusso acquisiti (dati netflow) sono in media di circa 204,65 MB al giorno e questo Flow Collector ha circa 58,5 GB di dati archiviati.
- Nell'immagine viene mostrato che i dettagli dell'interfaccia di flusso acquisiti (statistiche specifiche dell'interfaccia) misurano circa 137 MB al giorno e questo Flow Collector contiene circa 1,1 GB di dati archiviati.
- L'immagine mostra che il totale dei dati di flusso è in media di 342,53 MB al giorno e questo Flow Collector ha circa 60 GB di dati totali memorizzati.
- Se si desidera ridurre il database in modo da memorizzare circa 20 GB di dati totali, dividerli per la media giornaliera di 0,35 GB, che equivale a 57.
Per ridurre le dimensioni totali del database a circa 20 Gb, impostare il valore summary_retention_days su 57. Passare quindi a Support > Advanced Settings . Trova summary_retention_days e modificare il valore nel modo desiderato.
giorni_conservazione_riepilogo
Aggiungere quindi una nuova opzione in fondo all'elenco. Il valoreAdd New Option è strict_retention_days e il valore è impostato su 1,Option Value come mostrato nell'immagine. Fare clic su Add. Questo strict_retention_days indica al motore di mantenere solo il numero di giorni dichiarato in summary_retention_days .
giorni_conservazione_rigorosa
Dopo aver modificato il valore summary_retention_days in 4 e aver aggiunto il nuovo valore dell'opzione, premere Apply in fondo alla pagina.
Se si esegue questa procedura per un aggiornamento, eliminare il strict_retention_days valore una volta completato l'aggiornamento per tornare a conservare i dati il più a lungo possibile.
Tagliare il database distribuito (DDS) - Dettagli interfaccia flusso
1. Accedere a Stealthwatch Desktop Client come amministratoreutente.
2. Individuare il FlowCollector nell'albero aziendale. Fare clic sul segno più (+) per espandere il contenitore.
3. Fare clic con il pulsante destro del mouse sul FlowCollector desiderato. Selezionare Configuration > Properties.
4. Nella finestra di dialogo FlowCollector Properties, fare clic su Advanced.
5. Selezionare il Store flow interface datacampo. Impostare il limite su Fino a 15 giorni o 30 giorni.
6. Fare clic su OK .
Aumento dello spazio su disco (solo appliance virtuali)
Spegnere la macchina virtuale e aumentare le dimensioni del disco allocato alla macchina virtuale dall'hypervisor. Lo spazio su disco aggiuntivo viene allocato alla partizione /lancope/var/.
Per consentire a Stealthwatch di utilizzare lo spazio su disco non allocato dopo un riavvio, potrebbe essere necessario eseguire ulteriori passaggi. Per informazioni sulle dimensioni del disco richieste, vedere Archiviazione dati della guida all'installazione della versione della macchina virtuale in uso.
Le dimensioni della partizione radice (/) sono statiche e non possono essere regolate. È necessaria una nuova installazione per una versione con una partizione radice più grande creata durante l'installazione.
Informazioni correlate