Lokaal bestandssysteem/schijfgebruik beheren in beveiligde netwerkanalyses

Downloadopties

  • PDF     (651.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (515.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (265.3 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:20 oktober 2022
Document-id:218337

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft algemene stappen om het hoge schijfgebruik op Secure Network Analytics Manager- en Flow Collector-apparaten te verminderen.

    Voorwaarden

    Vereisten

    Dit document is van toepassing op Secure Network Analysis implementaties zonder Data Store.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Secure Network Analytics Manager - v7.1+
    • Secure Network Analysis Flow Collector - v7.1+
    • Secure Network Analysis Flow Sensor - v7.1+
    • Secure Network Analytics UDP Director - v7.1+

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Er zijn twee partities om te controleren op schijfgebruik, de wortel (/) en /lancope/var partities.

    De root (/) partitie is de opslaglocatie voor de kernel afbeelding en sommige systeemlogbestanden, dit is meestal een kleinere parition van 20G of minder.  De /lancope/var is een volumegroep en is de opslaglocatie voor het merendeel van de systeemgegevens, zodat het de meeste schijfruimte voor het apparaat in beslag neemt.

    Verzamel gegevens

    Er zijn twee plaatsen waar u informatie over schijfgebruik kunt verkrijgen, de admin web UI, en de opdrachtregel interface (CLI.)

    Opdrachtregel

    Vanuit de opdrachtregel voert u df -ah / /lancope/var de opdracht uit en noteert u de spaties tussen (/) en /lancope/var.

    732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var 732smc:/#

    De output toont aan dat de wortel (/) scheiding 20G is, en 8.3G in gebruik is die 46% is. De output toont ook aan dat de /lancope/var verdeling 108G is, en 23G in gebruik is die 22% is.

    Web UI

    Log in op de apparaten Admin UI op basis van het model in kwestie, en schuif naar de onderkant van de pagina.

    Lijst van Admin UI-webadressen:

    • Secure Network Analysis Manager - https://<SMC-IP-OR-FQDN>/smc/index.html (u moet zich bij de SCM aanmelden voordat u deze URL kunt openen)
    • Secure Network Analysis Flow Collector - https://<FC-IP-OR-FQDN>/swa/index.html 
    • Secure Network Analysis Flow Sensor - https://<FS-IP-OR-FQDN>/fs/index.html 
    • Secure Network Analysis UDP Director (Flow Replicator) - https://<UDPD-IP-OR-FQDN>/fr/index.html  
      •

    Schijfgebruik

    Als de verdeling hoog gebruik van groter dan of gelijk aan 75% heeft wordt de verdeling benadrukt.

    Schijfruimte wissen

    Als u niet zeker weet welke bestanden verwijderd kunnen worden, opent u een TAC-case of neemt u contact op met Cisco’s ondersteuning via de pagina Cisco’s wereldwijde contactgegevens voor ondersteuning in het gedeelte Verwante informatie aan het einde van dit document.

    Systeemlogbestanden

    Een van de snelste methoden om grote schijfruimte te herstellen is het wissen van dagboeklogboeken met de opdrachtjournalctl --vacuum-time 1d . Let op het dubbele koppelteken — voor het woord "vacuüm".

    732smc:/# journalctl --vacuum-time 1d Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa /user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M). <the above line repeats for each file deleted> Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa. 732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var 732smc:/#

    Ongeveer 4G van schijfruimte werd teruggewonnen van deze stappen en resulteerde in een vermindering van schijfgebruik van 22% tot 18% op de /lancope/var verdeling.

    Een andere locatie voor logboekvermeldingen in het tijdschrift is een /lancope/var/logs/journal directory die ook kan worden gewist met de journalctl --vacuum-time 1d -D /lancope/var/logs/journal/  opdracht.

    732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/ Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M). <the above line repeats for each file deleted> Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa. 732smc:~#

    Bestanden in de genoemde mappen zijn over het algemeen veilig te verwijderen:

    /lancope/var/tcpdump /lancope/var/tomcat/logs /lancope/var/tmp /lancope/var/admin/tmp/

    Het wordt aanbevolen om te beginnen bij de root (/) of /lancope/var directory, welke partitie u ook hebt geïdentificeerd in de web ui die veel schijfgebruik heeft. Verander de huidige map met de opdrachtcd / .

    du -xah --max-depth=1 | sort -hr Voer de opdracht uit om de grootste gebruikers van schijfruimte in de huidige map te bepalen. Noteer het dubbele koppelteken — vóór de maximale diepte.

    De output toont aan dat de wortel (/) verdeling 8.3G schijfruimte in gebruik heeft, met 5.5G van schijfruimte die in de /lancope folder wordt gebruikt, die door de /usr folder met 1.5G van gebruik wordt gevolgd.

    Het gebruik van de gegevens | head -n4 in de opdracht is niet vereist en wordt in het voorbeeld gebruikt om de teruggestuurde resultaten te beperken.

    732smc:~# cd / 732smc:/# du -xah --max-depth=1 | sort -hr | head -n4 8.3G . 5.5G ./lancope 1.5G ./usr 1.3G ./opt 732smc:/#

    Wijzig de map naar /lancope met de cd lancope/  opdracht en geef de opdracht du opnieuw uit met de !du opdracht. Dit toont nu dat van de 5.5G in gebruik in de /lancope/ folder, 5.1G in de admin folder is. Verander de huidige directory's naar de directory in kwestie met de opdrachtcd. 

    732smc:/# cd lancope/ 732smc:/lancope# !du du -xah --max-depth=1 | sort -hr | head -n4 5.5G . 5.1G ./admin 212M ./services 59M ./mongodb 732smc:/lancope#

    Zodra u bestanden identificeert die kunnen worden verwijderd, kunt u dit doen met de opdrachtrm -i <filename>. Als u niet zeker weet welke bestanden verwijderd kunnen worden, opent u een TAC-case of neemt u contact op met Cisco’s ondersteuning via de pagina Cisco’s wereldwijde contactgegevens voor ondersteuning in het gedeelte Verwante informatie aan het einde van dit document. 

    732smc:/lancope/admin# rm -i file rm: remove regular empty file 'file'? yes 732smc:/lancope/admin#

    Herhaal deze stappen indien nodig.

    Trim de gedistribueerde database (DDS) - Flow Stats

    In de DDS-omgeving proberen de FlowCollector- en SMC-apparaten standaard elke dag zo veel mogelijk stroomgegevens op te slaan. Wanneer de beperkingen van het schijfgebruik worden geraakt, begint het systeem de oudste gegevens eerst te wissen om ruimte voor nieuwe gegevens te creëren die moeten worden opgeslagen.

    Om de Flow Collector-databasestatistieken te zien, logt u in op de FlowCollector Admin UI en selecteert u vervolgens Support > Database Storage Statistics .

    Statistieken voor gegevensopslagStatistieken voor gegevensopslag

    • De afbeelding toont dat de geconsumeerde Flow Details (netflow data) gemiddeld 204,65MB per dag en deze Flow Collector heeft ongeveer 58,5GB aan opgeslagen gegevens.
    • De afbeelding toont dat de geconsumeerde Flow Interface Details (interface-specifieke statistieken) gemiddeld 137MB per dag en deze Flow Collector heeft ongeveer 1.1GB aan opgeslagen gegevens.
    • De afbeelding laat zien dat de totale Flow Data gemiddeld ongeveer 342.53MB per dag en deze Flow Collector heeft ongeveer 60GB van de totale opgeslagen gegevens.
    • Als je de database wilt bijsnijden om ongeveer 20G van de totale opgeslagen gegevens te hebben, verdeel dat door het dagelijkse gemiddelde van .35G dat gelijk is aan 57.
      •

    Om de database te reduceren tot een totale grootte van ongeveer 20 Gb, verander de summary_retention_days waarde naar 57. Navigeer vervolgens naar Support > Advanced Settings .  Zoeken summary_retention_days en wijzig dit naar de gewenste waarde. 

    overzicht_retentie_dagenoverzicht_retentie_dagen

    Voeg vervolgens een nieuwe optie toe onder in de lijst. Add New Option De waarde is strict_retention_days  en de waardeOption Value is ingesteld op 1 zoals in de afbeelding. Klik op Add (Toevoegen). Dit strict_retention_days vertelt de motor om slechts het aantal dagen te bewaren dat in summary_retention_days is opgegeven.

    strikte_retentie_dagenstrikte_retentie_dagen

    Nadat ik de summary_retention_days naar 4 heb gewijzigd en de nieuwe waarde voor de optie heb toegevoegd, drukt u Apply onderaan de pagina. 

    Als deze stappen voor een upgrade, verwijder de strict_retention_days waarde zodra de upgrade is voltooid om terug te keren om gegevens zo lang mogelijk te behouden.

    Trim de gedistribueerde database (DDS) - Flow Interface Details

    1. Log in op uw Stealthwatch Desktop Client als de beheerder gebruiker.

    2. Zoek de Flow Collector in de Enterprise Tree. Klik op het plus (+)-teken om de container uit te vouwen.

    3. Klik met de rechtermuisknop op de gewenste Flow Collector. Selecteer Configuration > Properties.

    4. Klik in het dialoogvenster FlowCollector Properties Advanced op .

    5. Selecteer het Store flow interface dataveld. Stel de limiet in op Up tot 15 dagen of 30 dagen.

    6. Klik op OK .

    Vergroot de schijfruimte (alleen virtuele applicaties)

    Schakel de virtuele machine uit en verhoog de schijfgrootte die via de hypervisor aan de VM is toegewezen. De extra schijfruimte wordt toegewezen aan de /lancope/var/ partitie.

    Er kunnen extra stappen nodig zijn om Stealthwatch in staat te stellen deze niet-toegewezen schijfruimte te gebruiken na het opnieuw opstarten van het programma. Raadpleeg voor de vereiste schijfgrootte de handleiding voor gegevensopslag van de installatiegids voor uw virtuele machine.

    De root (/) partitiegrootte is statisch en kan niet worden aangepast. Een frisse installatie aan een versie die een grotere wortelverdeling heeft die tijdens installatie wordt gemaakt wordt vereist.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    20-Oct-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Joshua Martin
      Cisco Technical Consulting Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten