Secure Network Analyticsでのローカルファイルシステム/ディスクの使用状況の管理
はじめに
このドキュメントでは、Secure Network Analytics ManagerおよびFlow Collectorデバイスでのディスク高使用率を減らす一般的な手順について説明します。
前提条件
要件
このドキュメントは、Data Storeを使用しないSecure Network Analytic(NAM)の導入に適用されます。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Secure Network Analytics Manager - v7.1以降
- Secure Network Analyticsフローコレクタ – v7.1+
- Secure Network Analyticsフローセンサー – v7.1+
- Secure Network Analytics UDP Director - v7.1+
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
ディスクの使用状況を監視するパーティションには、ルート(/)パーティションと/lancope/varパーティションの2つがあります。
ルート(/)パーティションは、カーネルイメージと一部のシステムログの保存場所です。これは通常、20G以下の小さなパーティションです。 /lancope/varはボリューム・グループであり、システム・データの大半を格納する場所であるため、アプライアンスのディスク容量の大半を消費します。
データの収集
ディスクの使用状況に関する情報は、admin Web UIとコマンドラインインターフェイス(CLI)の2つの場所から入手できます。
コマンドライン
コマンドラインからコマ df -ah / /lancope/var ンドを実行し、(/)と/lancope/varの間のスペースを確認します。
732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var 732smc:/# 出力には、ルート(/)パーティションが20Gであり、8.3G(46 %)が使用中であることが示されています。 出力には、/lancope/varパーティションが108Gであり、23Gが使用中(22 %)であることも示されています。
Web UI
問題のモデルに基づいてデバイスのAdmin UIにログインし、ページの一番下までスクロールします。
管理UI Webアドレスの一覧:
- Secure Network Analytics Manager:https://<SMC-IP-OR-FQDN>/smc/index.html(このURLにアクセスするには、SMCにログインする必要があります)
- Secure Network Analyticsフローコレクタ:https://<FC-IP-OR-FQDN>/swa/index.html
- Secure Network Analyticsフローセンサー:https://<FS-IP-OR-FQDN>/fs/index.html
- Secure Network Analytics UDP Director(フローレプリケータ):https://<UDPD-IP-OR-FQDN>/fr/index.html
パーティションの使用率が高く、75 %以上の場合、パーティションが強調表示されます。
空きディスク領域
どのファイルを安全に削除できるかが不明な場合は、TACケースをオープンするか、このドキュメントの最後にある「関連情報」のセクションのCisco Worldwide Support Contactページを使用してシスコのサポートにお問い合せください。
システム ログ
大容量のディスク領域を回復する最も迅速な方法の1つは、journalctl --vacuum-time 1d コマンドを使用してジャーナルログをクリアする方法です。「vacuum」という単語の前にダブルハイフンがあることに注意してください。
732smc:/# journalctl --vacuum-time 1d Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa /user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M). <the above line repeats for each file deleted> Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa. 732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var 732smc:/# これらの手順によって約4 Gのディスク領域が解放され、/lancope/varパーティションのディスク使用率が22 %から18 %に減少しました。
ジャーナルログエントリのもう1つの場所はディ /lancope/var/logs/journal レクトリです。このディレクトリは、journalctl --vacuum-time 1d -D /lancope/var/logs/journal/ コマンドでもクリアできます。
732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/ Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M). <the above line repeats for each file deleted> Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa. 732smc:~# リストされたディレクトリ内のファイルは、一般に安全に削除できます。
/lancope/var/tcpdump /lancope/var/tomcat/logs /lancope/var/tmp /lancope/var/admin/tmp/ディスク使用率が高いWeb uiで識別したパーティションのルート(/)または/lancope/varディレクトリから開始することをお勧めします。cd / コマンドを使用して、現在のディレクトリを変更します。
du -xah --max-depth=1 | sort -hr コマンドを実行して、現在のディレクトリのディスク領域の最大コンシューマを判別します。max-depthの前の二重ハイフンに注意してください。
出力には、ルート(/)パーティションに8.3Gのディスク領域が使用され、/lancopeディレクトリに5.5Gのディスク領域が使用され、その後に/usrディレクトリが使用されて1.5Gであることが示されています。
コマンドで | head -n4 を使用する必要はなく、返される結果を制限するために例でも使用されています。
732smc:~# cd / 732smc:/# du -xah --max-depth=1 | sort -hr | head -n4 8.3G . 5.5G ./lancope 1.5G ./usr 1.3G ./opt 732smc:/# cd lancope/ コマンドを使用してディレクトリを/lancopeに変更し、!duコマンドを使用してduコマンドを再度実行します。 これで、/lancope/ディレクトリで使用中の5.5Gのうち、adminディレクトリに5.1Gがあることが表示されます。cdコマンドを使用して、現在のディレクトリを問題のディレクトリに変更します。
732smc:/# cd lancope/ 732smc:/lancope# !du du -xah --max-depth=1 | sort -hr | head -n4 5.5G . 5.1G ./admin 212M ./services 59M ./mongodb 732smc:/lancope# 削除可能なファイルを特定したら、rm -i <filename>コマンドを使用して削除できます。どのファイルを安全に削除できるかが不明な場合は、TACケースをオープンするか、このドキュメントの最後にある「関連情報」のセクションのCisco Worldwide Support Contactページを使用してシスコのサポートにお問い合せください。
732smc:/lancope/admin# rm -i file rm: remove regular empty file 'file'? yes 732smc:/lancope/admin# 必要に応じてこれらの手順を繰り返します。
分散データベース(DDS)のトリム – フロー統計
分散データベース(DDS)のトリム – フロー統計デフォルトでは、DDS環境では、FlowCollectorおよびSMCアプライアンスは、毎日回転される可能な限り多くのフローデータを保存しようとします。ディスク使用量の上限に達すると、システムは最も古いデータを最初に削除し、新しいデータを保存するための領域を作成します。
Flow Collectorデータベースの統計情報を表示するには、FlowCollector Admin UIにログインし、Support > Database Storage Statisticsを選択します。
- この図は、取り込まれたフローの詳細(netflowデータ)が平均で1日あたり約204.65 MBであり、このフローコレクタには約58.5 GBのデータが保存されていることを示しています。
- この図は、取り込まれたフローインターフェイスの詳細(インターフェイス固有の統計情報)が1日あたり平均137 MBで、このフローコレクタには約1.1 GBのデータが保存されていることを示しています。
- この図は、フローデータの合計が平均1日約342.53 MBで、このフローコレクタに保存されているデータの合計は約60 GBであることを示しています。
- 合計で約20Gのデータが格納されるようにデータベースを削減する場合は、日平均の。35G(57に相当)で割ります。
データベースの合計サイズを約20 Gbに縮小するには、sの値をummary_retention_days57に変更します。 次に、Support > Advanced Settings . Findに移動し、これを目的の値に変更しますsummary_retention_days。
次に、リストの下部に新しいオプションを追加します。Add New Optionの値はstrict_retention_days でOption Valueの値は1に設定されています(次の図を参照)。[Add] をクリックします。 このstrict_retention_daysは、summary_retention_daysで宣言された日数のみをエンジンが保持するように指示します。
strict_retention_days(厳格な保存期間)
summary_retention_days を4に変更し、新しいオプション値を追加したら、ページの下部にあるApply を押します。
アップグレードのためにこれらの手順を実行する場合は、アップグレードが完了した後に strict_retention_days の値を削除して戻り、できるだけ長い間データを保持します。
分散データベース(DDS)のトリム – フロー・インタフェースの詳細
分散データベース(DDS)のトリム – フロー・インタフェースの詳細1. admin ユーザとしてStealthwatch Desktop Clientにログインします。
2. Enterprise ツリーでFlowCollector を見つけます。プラス(+)記号をクリックしてコンテナを展開します。
3.目的のFlowCollectorを右クリックします。Configuration > Propertiesを選択します。
4. FlowCollectorのプロパティダイアログボックスで、Advancedをクリックします。
5. フ Store flow interface dataィールドを選択します。制限を最大15日または30日に設定します。
6. OKをクリックします。
ディスク容量の増加(仮想アプライアンス
ディスク容量の増加(仮想アプライアンス
関連情報
関連情報 更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
20-Oct-2022 |
初版 |
フィードバック