在Secure Network Analytics中管理本地文件系统/磁盘使用情况

简介

先决条件

要求

本文档适用于没有Data Store的安全网络分析部署。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 安全网络分析管理器- v7.1+
• 安全网络分析流量收集器- v7.1+
• 安全网络分析流量传感器- v7.1+
• 安全网络分析UDP导向器- v7.1+

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

有两个分区要监控磁盘使用情况，即根(/)和/lancope/var分区。

根(/)分区是内核映像和某些系统日志的存储位置，这通常是20G或更小的部分。  /lancope/var是一个卷组，它是大多数系统数据的存储位置，因此它占用了设备的大部分磁盘空间。

收集数据

有两个位置可以获取磁盘使用情况信息：管理Web UI和命令行界面(CLI)。

命令行

从命令行运行 df -ah / /lancope/var 命令，并注意(/)和/lancope/var之间的空格。

732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var 732smc:/# 

输出显示根(/)部分为20G，正在使用的8.3G为46%。 输出还显示/lancope/var分区为108G，并且正在使用23G，即22%。

Web UI

根据相关型号登录设备管理UI，滚动到页面底部。

管理员UI Web地址列表：

• 安全网络分析管理器- https://<SMC-IP-OR-FQDN>/smc/index.html（您必须登录SMC才能访问此URL）
• 安全网络分析流量收集器- https://<FC-IP-OR-FQDN>/swa/index.html 
• 安全网络分析流量传感器- https://<FS-IP-OR-FQDN>/fs/index.html 
• 安全网络分析UDP导向器（流量复制器）- https://<UDPD-IP-OR-FQDN>/fr/index.html  

如果分区的高使用率大于或等于75%，则会突出显示分区。

清除磁盘空间

如果您不确定哪些文件可以安全删除，请通过本文档末尾的“相关信息”部分中的“思科全球支持联系人”页面打开TAC案例或联系Cisco支持。

系统日志

要恢复大量磁盘空间，最快捷的方法之一是使用journalctl --vacuum-time 1d 命令清除日志日志。请注意双连字符—在单词“vacuum”之前。

732smc:/# journalctl --vacuum-time 1d Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa /user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M). <the above line repeats for each file deleted> Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa. 732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var 732smc:/# 

通过这些步骤回收了约4G的磁盘空间，导致/lancope/var分区上的磁盘使用量从22%降至18%。

日记日志条目的另一个位置是 /lancope/var/logs/journal 目录，也可以使用journalctl --vacuum-time 1d -D /lancope/var/logs/journal/  命令清除它。

732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/ Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M). <the above line repeats for each file deleted> Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa. 732smc:~# 

通常可以安全删除所列目录中的文件：

/lancope/var/tcpdump /lancope/var/tomcat/logs /lancope/var/tmp /lancope/var/admin/tmp/

建议从根(/)或/lancope/var目录（在Web ui中标识的磁盘使用率较高的分区）开始。使用cd / 命令更改当前目录。

运行du -xah --max-depth=1 | sort -hr 命令以确定当前目录的最大磁盘空间使用方。请注意双连字符—在max-depth之前。

输出显示，根(/)分区正在使用8.3G磁盘空间，在/lancope目录中已使用5.5G磁盘空间，其次是/usr目录，已使用1.5G。

不需要在命令中使用 | head -n4 ，本示例中将使用该命令来限制返回的结果。

732smc:~# cd / 732smc:/# du -xah --max-depth=1 | sort -hr | head -n4 8.3G . 5.5G ./lancope 1.5G ./usr 1.3G ./opt 732smc:/# 

使用 cd lancope/  命令将目录更改为/lancope，并使用!du命令重新发出du命令。 这现在显示/lancope/目录中正在使用的5.5G，5.1G在admin目录中。使用cd命令将当前目录更改为有问题的目录。 

732smc:/# cd lancope/ 732smc:/lancope# !du du -xah --max-depth=1 | sort -hr | head -n4 5.5G . 5.1G ./admin 212M ./services 59M ./mongodb 732smc:/lancope# 

一旦您确定了可以删除的文件，就可以使用rm -i <filename>命令了。如果您不确定哪些文件可以安全删除，请通过本文档末尾的“相关信息”部分中的“思科全球支持联系人”页面打开TAC案例或联系Cisco支持。 

732smc:/lancope/admin# rm -i file rm: remove regular empty file 'file'? yes 732smc:/lancope/admin# 

根据需要重复这些步骤。

调整分布式数据库(DDS) -流量统计信息

默认情况下，在DDS环境中，FlowCollector和SMC设备会尝试存储尽可能多的每日轮换的流数据。当达到磁盘使用率限制时，系统首先开始删除最早的数据，为要保存的新数据创建空间。

要查看流量收集器数据库统计信息，请登录到FlowCollector Admin UI，然后选择Support > Database Storage Statistics。

数据库存储统计信息

• 该图显示，摄入的流量详细信息（netflow数据）平均每天约204.65MB，此流量收集器存储约58.5GB的数据。
• 该图显示，摄入的流接口详细信息（接口特定统计信息）平均每天约为137MB，此流量收集器存储的数据约为1.1GB。
• 该图显示，总流量数据平均每天约为342.53 MB，此流量收集器存储的总数据量约为60 GB。
• 如果要将数据库缩减为存储大约20G的总数据，请将其除以日均值。35G（等于57）。

要将数据库缩小为总大小约20Gb，请将summary_retention_days值更改为57。 然后，导航到Support > Advanced Settings .  Findsummary_retention_days，并将此值更改为所需的值。 

summary_retention_days


接下来，在列表底部添加新选项。Add New Option（默认值）是strict_retention_days ，而Option Value（默认值）设置为1，如图所示。单击 Add。 此strict_retention_days告知引擎仅保留在summary_retention_days中声明的天数。

strict_retention_days

将 summary_retention_days 更改为4并添加新选项值后，请按页面底部的Apply 。 

如果升级的这些步骤，请在升级完成后删除该 strict_retention_days 值，以返回以尽可能长时间地保留数据。

调整分布式数据库(DDS) -流接口详细信息

1. 以admin用户身份登录到您的Stealthwatch桌面客户端。

2. 在企业树中找到FlowCollector。点击加号(+)以展开容器。

3.右键单击所需的FlowCollector。选择.Configuration > Properties

4.在FlowCollector Properties对话框中，单击Advanced。

5.选择该字 Store flow interface data段。将limit设置为最多15天或30天。

6.单击OK。

增加磁盘空间(仅限虚拟设备)

关闭虚拟机电源，并增大从虚拟机监控程序分配给VM的磁盘大小。 额外的磁盘空间分配给/lancope/var/分区。

要使Stealthwatch在重新启动后占用此未分配的磁盘空间，可能需要执行其他步骤。有关所需的磁盘大小，请查看虚拟机版本的《安装数据存储指南》。


根(/)分区大小是静态的，无法调整。需要在安装过程中对具有更大根分区的版本进行全新安装。

相关信息

• 安装指南
• 安全网络分析技术支持和文档- Cisco Systems
• 思科全球支持联系方式