セキュリティ : Cisco Firepower Management Center

Sourcefire アプライアンスの余分なディスク 利用を解決して下さい

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

FireSIGHT Management Center か FirePOWER アプライアンスはディスクスペースをさまざまな理由で使い果たすことができます。 起こる時、高いディスク 利用は健全性アラートを引き起こすか、または失敗するかもしれませんソフトウェア アップデート試み。 この技術情報は余分なディスク 利用およびいくつかのトラブルシューティング の 手順の根本的な原因を記述します。

著者:Cisco TAC エンジニア、ナズムル・ラジブ。

確認手順

非常に使用するパーティションを判別して下さい。 次のコマンドはディスク 利用を示したものです:

FireSIGHT Management Center、

admin@3DSystem:~# df -TH

の 7000 および 8000 シリーズ アプライアンスと NGIPS 仮想デバイス、

> show disk

コマンドは両方とも下記にのような出力を示します:

Filesystem            Size  Used Avail Use% Mounted on
/dev/sda5 2.9G 566M 2.2G 21% /
/dev/sda1 99M 16M 79M 17% /boot
/dev/sda7 52G 8.5G 41G 18% /Volume
none 11G 20K 11G 1% /dev/shm
/dev/sdb1 418G 210M 395G 1% /var/storage

 : ディスク サイズおよび利用はさまざまなアプライアンス モデルで異なることができます。 これが NGIPS 仮想デバイスである場合、パーティションのサイズが最小ディスクスペース要件に適合していることを確認して下さい。

注意: 上に示されていないどの追加パーティションでもサポートされていないです。

の 7000 および 8000 シリーズ アプライアンスと NGIPS 仮想デバイス、詳しいディスク 使用統計を表示するために次のコマンドを実行できます:

> show disk-manager

出力例:

> show disk-manager
Silo Used Minimum Maximum
Temporary Files 143.702 MB 402.541 MB 1.572 GB
Action Queue Results 0 KB 402.541 MB 1.572 GB
Connection Events 17.225 GB 3.931 GB 23.586 GB
User Identity Events 0 KB 402.541 MB 1.572 GB
UI Caches 587 KB 1.179 GB 2.359 GB
Backups 0 KB 3.145 GB 7.862 GB
Updates 13 KB 4.717 GB 11.793 GB
Other Detection Engine 0 KB 2.359 GB 4.717 GB
Performance Statistics 72.442 MB 805.082 MB 9.435 GB
Other Events 669.819 MB 1.572 GB 3.145 GB
IP Reputation & URL Filtering 0 KB 1.966 GB 3.931 GB
Archives & Cores & File Logs 1.381 GB 3.145 GB 15.724 GB
RNA Events 0 KB 3.145 GB 12.579 GB
File Capture 12.089 MB 4.717 GB 14.152 GB
IPS Events 3.389 GB 7.076 GB 15.724 GB

/Volume パーティションが完全なら

古いバックアップ ファイル

  • システムで大量の古いバックアップ ファイルを保存する場合、ディスクの余分な領域を奪取できます。

トラブルシューティングの手順

  • Web ユーザ ユーザー・インターフェースを使用して古いバックアップ ファイルを削除して下さい。 バックアップ ファイルを取除くために、システム > ツール > バックアップ/復元にナビゲート して下さい。

ヒント: FireSIGHT システムで、大きいバックアップ ファイルを保存するためにリモート記憶域を設定できます。

より古いソフトウェア アップデートおよびパッチ ファイル

  • 前のソフトウェア アップデート、アップグレードおよびパッチ ファイルを常に保存すれば(のような、5.0 または 5.1)、システムはディスクスペースをなくなることができます。

トラブルシューティングの手順

  • もはや必要ではないパッチ ファイルおよびより古いアップデートを削除して下さい。 それらを削除するために、システム > 更新にナビゲート して下さい。

余分なイベント ファイルは保存されます

  • 管理対象装置かセンサーは FireSIGHT Management Center にイベントを送信 することを止めるかもしれません。
  • デバイスは管理センターが受け取るように設計されているよりより多くのイベントを生成するかもしれません(毎秒)。
  • 管理対象装置と管理センター間にコミュニケーション問題があるかもしれません。

トラブルシューティングの手順

  • ポリシーを再適用して下さいイベントと関連している。 たとえば接続イベントを参照しなかったら、アクセス Controil ポリシーを再適用し、どの新しいイベントでも管理センターによって今受け取られているかどうか参照して下さい。
  • FireSIGHT Management Center が新しい IPS イベントを受け取ることができない場合管理対象装置と管理センター間にコミュニケーション問題があるかどうか確認して下さい。

余分な未知ファイル

  • FireSIGHT システム ストア未知のネットワーク ディスカバリ データ(OS、ホストおよびサービス 案内)。

トラブルシューティングの手順

  • システムがネットワークのホストのオペレーティング システムを判別できない場合アクティブに ホストをスキャンするのに Nmap を使用できます。 Nmap は可能性のある オペレーティング システムを評価するためにスキャンから得る情報を使用します。 それはそれからホスト オペレーティング システム 識別として高い定格があるオペレーティング システムを使用します。
  • システムが未知オペレーティング システムとのホストを検出すると引き起こす 相関 ルールを作成して下さい。
    ルールはホストのための OS 情報が発生し、次の状態を変わり、ディスカバリ イベントが満たすとき引き起こす必要があります: OS 名前は不明です

イベントを保存する大きいデータベース

  • ガイドラインまたは最良 の 方法を越えるデータベース イベント制限を高める場合、FireSIGHT Management Center はディスクスペースを使い果たすことができます。

トラブルシューティングの手順

  • データベース制限の値をチェックして下さい。 ディスク 利用およびパフォーマンスを改善するために、規則的にとはたらかせるイベントの数へのイベント制限を合わせる必要があります。 いくつかのイベントタイプの場合、ストレージをディセーブルにすることができます。
  • データベース制限を変更するために、システム ポリシー ページにナビゲート し、システム ポリシーの名前の隣で『Edit』 をクリック し、左セクションでそれから『Database』 をクリック して下さい。 システム ポリシー ページにアクセスするために、システム > ローカル > システム ポリシーにナビゲート して下さい。

85% ディスク 利用でのための健全性アラートを受け取って下さい

考えられる原因

  • イベント 比率は非常に高いかもしれません。 従ってデバイスはで多くのイベントを生成し、保存します。
  • 管理対象装置と FireSIGHT Management Center 間の通信上の問題。

トラブルシューティングの手順

  • 87% (警告)および 92% (重要)へアラート スレッシュホールド レベルを変更することは健全性アラートに度々行く単純な解決方法である場合もあります。
  • プルーニング システムにおいての既知の問題があったかどうか見るためにリリース ノートを読んで下さい。 ソリューションが利用できるとき、この問題に対処するために最新リリースにソフトウェア バージョンをアップデートして下さい。

25MB より /var/log/messages ファイル データ古いより 24 時間が、か大きいの含まれています

考えられる原因

  • Logrotate デーモンはきちんとはたらかないかもしれません。

トラブルシューティングの手順

  • この問題に出会う場合、最新リリースに FireSIGHT システムのソフトウェア バージョンをアップデートして下さい。 最新バージョンを実行するが、まだこの問題に直面したら、Cisco Technical Assistance Center (TAC)に連絡して下さい。

ルート(/)パーティションが完全なら

ユーザファイルはルート(/)パーティションで保存されます

考えられる原因

  • ルート(/)パーティションは固定サイズで、個人的なストレージのために意図されていません。
  • drectory /var/tmp は /var/common ディレクトリの代りに一時記憶域のために、手動で使用されます。

トラブルシューティングの手順

  • /root/home および /tmp フォルダの不必要なファイルがあるように確認して下さい。 これらのフォルダが個人的なストレージのために作成されないので、RM コマンドで個人的なファイルを削除できます。

サポートされていないプロセスは(/)パーティションを定着させるために書き込まれています

考えられる原因

  • ルート(/)パーティションのファイルを作成するサードパーティ ソフトウェアをインストールすれば、高いディスク 使用方法のための健全性アラートを経験できます。

トラブルシューティングの手順

  • どのサポートされていないパッケージでもインストールされているかどうか確認して下さい。 インストール済み パッケージを見つけるために次のコマンドを実行して下さい:

    admin@3DSystem:~$ rpm -qa --last
  • pstree をチェックし、サポートされていないプロセスが動作しているかどうか見るために越えて下さい。 次のコマンドを実行して下さい:

    admin@3DSystem:~$ pstree -ap 
    admin@3DSystem:~$ top

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118719