简介
本文档介绍降低安全网络分析管理器和流量收集器设备上的高磁盘使用率的一般步骤。
先决条件
要求
本文档适用于没有Data Store的安全网络分析部署。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 安全网络分析管理器- v7.1+
- 安全网络分析流量收集器- v7.1+
- 安全网络分析流量传感器- v7.1+
- 安全网络分析UDP导向器- v7.1+
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
有两个分区要监控磁盘使用情况,即根(/)和/lancope/var分区。
根(/)分区是内核映像和某些系统日志的存储位置,这通常是20G或更小的部分。 /lancope/var是一个卷组,它是大多数系统数据的存储位置,因此它占用了设备的大部分磁盘空间。
收集数据
有两个位置可以获取磁盘使用情况信息:管理Web UI和命令行界面(CLI)。
命令行
从命令行运行 df -ah / /lancope/var 命令,并注意(/)和/lancope/var之间的空格。
732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var 732smc:/#
输出显示根(/)部分为20G,正在使用的8.3G为46%。 输出还显示/lancope/var分区为108G,并且正在使用23G,即22%。
Web UI
根据相关型号登录设备管理UI,滚动到页面底部。
管理员UI Web地址列表:
- 安全网络分析管理器- https://<SMC-IP-OR-FQDN>/smc/index.html(您必须登录SMC才能访问此URL)
- 安全网络分析流量收集器- https://<FC-IP-OR-FQDN>/swa/index.html
- 安全网络分析流量传感器- https://<FS-IP-OR-FQDN>/fs/index.html
- 安全网络分析UDP导向器(流量复制器)- https://<UDPD-IP-OR-FQDN>/fr/index.html
如果分区的高使用率大于或等于75%,则会突出显示分区。
清除磁盘空间
如果您不确定哪些文件可以安全删除,请通过本文档末尾的“相关信息”部分中的“思科全球支持联系人”页面打开TAC案例或联系Cisco支持。
系统日志
要恢复大量磁盘空间,最快捷的方法之一是使用journalctl --vacuum-time 1d 命令清除日志日志。请注意双连字符—在单词“vacuum”之前。
732smc:/# journalctl --vacuum-time 1d Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa /user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M). <the above line repeats for each file deleted> Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa. 732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var 732smc:/#
通过这些步骤回收了约4G的磁盘空间,导致/lancope/var分区上的磁盘使用量从22%降至18%。
日记日志条目的另一个位置是 /lancope/var/logs/journal 目录,也可以使用journalctl --vacuum-time 1d -D /lancope/var/logs/journal/ 命令清除它。
732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/ Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M). <the above line repeats for each file deleted> Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa. 732smc:~#
通常可以安全删除所列目录中的文件:
/lancope/var/tcpdump /lancope/var/tomcat/logs /lancope/var/tmp /lancope/var/admin/tmp/
建议从根(/)或/lancope/var目录(在Web ui中标识的磁盘使用率较高的分区)开始。使用cd / 命令更改当前目录。
运行du -xah --max-depth=1 | sort -hr 命令以确定当前目录的最大磁盘空间使用方。请注意双连字符—在max-depth之前。
输出显示,根(/)分区正在使用8.3G磁盘空间,在/lancope目录中已使用5.5G磁盘空间,其次是/usr目录,已使用1.5G。
不需要在命令中使用 | head -n4 ,本示例中将使用该命令来限制返回的结果。
732smc:~# cd / 732smc:/# du -xah --max-depth=1 | sort -hr | head -n4 8.3G . 5.5G ./lancope 1.5G ./usr 1.3G ./opt 732smc:/#
使用 cd lancope/ 命令将目录更改为/lancope,并使用!du命令重新发出du命令。 这现在显示/lancope/目录中正在使用的5.5G,5.1G在admin目录中。使用cd命令将当前目录更改为有问题的目录。
732smc:/# cd lancope/ 732smc:/lancope# !du du -xah --max-depth=1 | sort -hr | head -n4 5.5G . 5.1G ./admin 212M ./services 59M ./mongodb 732smc:/lancope#
一旦您确定了可以删除的文件,就可以使用rm -i <filename>命令了。如果您不确定哪些文件可以安全删除,请通过本文档末尾的“相关信息”部分中的“思科全球支持联系人”页面打开TAC案例或联系Cisco支持。
732smc:/lancope/admin# rm -i file rm: remove regular empty file 'file'? yes 732smc:/lancope/admin#
根据需要重复这些步骤。
调整分布式数据库(DDS) -流量统计信息
默认情况下,在DDS环境中,FlowCollector和SMC设备会尝试存储尽可能多的每日轮换的流数据。当达到磁盘使用率限制时,系统首先开始删除最早的数据,为要保存的新数据创建空间。
要查看流量收集器数据库统计信息,请登录到FlowCollector Admin UI,然后选择Support > Database Storage Statistics。
数据库存储统计信息
- 该图显示,摄入的流量详细信息(netflow数据)平均每天约204.65MB,此流量收集器存储约58.5GB的数据。
- 该图显示,摄入的流接口详细信息(接口特定统计信息)平均每天约为137MB,此流量收集器存储的数据约为1.1GB。
- 该图显示,总流量数据平均每天约为342.53 MB,此流量收集器存储的总数据量约为60 GB。
- 如果要将数据库缩减为存储大约20G的总数据,请将其除以日均值。35G(等于57)。
要将数据库缩小为总大小约20Gb,请将summary_retention_days值更改为57。 然后,导航到Support > Advanced Settings . Findsummary_retention_days,并将此值更改为所需的值。
summary_retention_days
接下来,在列表底部添加新选项。Add New Option(默认值)是strict_retention_days ,而Option Value(默认值)设置为1,如图所示。单击 Add。 此strict_retention_days告知引擎仅保留在summary_retention_days中声明的天数。
strict_retention_days
将 summary_retention_days 更改为4并添加新选项值后,请按页面底部的Apply 。
如果升级的这些步骤,请在升级完成后删除该 strict_retention_days 值,以返回以尽可能长时间地保留数据。
调整分布式数据库(DDS) -流接口详细信息
1. 以admin用户身份登录到您的Stealthwatch桌面客户端。
2. 在企业树中找到FlowCollector。点击加号(+)以展开容器。
3.右键单击所需的FlowCollector。选择.Configuration > Properties
4.在FlowCollector Properties对话框中,单击Advanced。
5.选择该字 Store flow interface data段。将limit设置为最多15天或30天。
6.单击OK。
增加磁盘空间(仅限虚拟设备)
关闭虚拟机电源,并增大从虚拟机监控程序分配给VM的磁盘大小。 额外的磁盘空间分配给/lancope/var/分区。
要使Stealthwatch在重新启动后占用此未分配的磁盘空间,可能需要执行其他步骤。有关所需的磁盘大小,请查看虚拟机版本的《安装数据存储指南》。
根(/)分区大小是静态的,无法调整。需要在安装过程中对具有更大根分区的版本进行全新安装。
相关信息