المقدمة
يصف هذا المستند الخطوات العامة لتقليل إستخدام القرص المرتفع على أجهزة مدير تحليلات الشبكة الآمنة وجامع التدفق.
المتطلبات الأساسية
المتطلبات
ينطبق هذا المستند على عمليات نشر تحليلات الشبكة الآمنة بدون مخزن بيانات.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Secure Network Analytics Manager - v7.1+
- مجمع تدفق تحليلات الشبكة الآمنة - v7.1+
- مستشعر تدفق تحليلات الشبكة الآمنة - v7.1+
- مدير Secure Network Analytics UDP - v7.1+
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
هناك قسمان للمراقبة لاستخدام القرص، قسم الجذر (/) و /lancope/var.
قسم الجذر (/) هو موقع تخزين صورة kernel وبعض سجلات النظام، وعادة ما يكون هذا جزءا أصغر من 20 جيجا أو أقل. ال /lancope/var هي مجموعة تخزين وهي موقع التخزين لغالبية بيانات النظام لذلك فإنها تستهلك معظم مساحة القرص للجهاز.
تجميع البيانات
هناك مكانان يمكنك الحصول على معلومات إستخدام القرص، واجهة مستخدم ويب للمسؤول، وواجهة سطر الأوامر (CLI)
سطر الأوامر
من سطر الأوامر قم بتشغيل الأمر df -ah / /lancope/var
ولاحظ المسافات بين (/) و /lancope/var.
732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var
732smc:/#
يوضح الإخراج أن تقسيم الجذر (/) هو 20G، و 8.3G قيد الاستخدام وهو 46٪. كما يوضح الإخراج أن تقسيم /lancope/var هو 108G، و 23G قيد الاستخدام وهو 22٪.
واجهة مستخدم ويب
قم بتسجيل الدخول إلى واجهة مستخدم Admin المستندة إلى النموذج قيد البحث، والتمرير إلى أسفل الصفحة.
قائمة عناوين ويب UI للمسؤول:
- مدير تحليلات الشبكة الآمنة - https://<SMC-IP-أو-FQDN>/smc/index.html (يجب تسجيل الدخول إلى SMC قبل الوصول إلى عنوان URL هذا)
- مجمع تدفق تحليلات الشبكة الآمنة - https://<FC-IP-or-FQDN>/swa/index.html
- مستشعر تدفق تحليلات الشبكة الآمنة - https://<FS-IP-أو-FQDN>/fs/index.html
- مدير تحليلات الشبكة الآمنة UDP (وحدة إضافة التدفق) - https://<UDPD-IP-أو-FQDN>/fr/index.html

إذا كان القسم لديه إستخدام عال أكبر من أو يساوي 75٪ يتم تمييز القسم.
مسح مساحة القرص
إذا لم تكن متأكدا من الملفات الآمنة التي يمكن حذفها، فافتح حالة TAC أو اتصل بدعم CIsco من خلال صفحة جهات اتصال الدعم العالمية من Cisco في قسم المعلومات ذات الصلة في نهاية هذا المستند.
سجلات النظام
أحد أسرع الطرق لاسترداد مساحة كبيرة على القرص هي مسح سجلات اليومية باستخدامjournalctl --vacuum-time 1d
الأمر. لاحظ الواصلة المزدوجة — قبل كلمة "فراغ".
732smc:/# journalctl --vacuum-time 1d
Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa
/user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M).
Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa.
732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var
732smc:/#
تم إسترداد حوالي 4G من مساحة القرص من هذه الخطوات مما أدى إلى انخفاض في إستخدام القرص من 22٪ إلى 18٪ على قسم /lancope/var.
هناك موقع آخر لإدخالات سجل دفتر اليومية وهو /lancope/var/logs/journal
الدليل الذي يمكن أيضا مسحه باستخدام journalctl --vacuum-time 1d -D /lancope/var/logs/journal/
الأمر.
732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/
Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M).
Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa.
732smc:~#
الملفات الموجودة في الأدلة المدرجة تكون آمنة بشكل عام للحذف:
/lancope/var/tcpdump
/lancope/var/tomcat/logs
/lancope/var/tmp
/lancope/var/admin/tmp/
يوصى بالبدء إما في دليل الجذر (/) أو دليل /lancope/var، أي قسم قمت بتحديده في واجهة مستخدم ويب التي تحتوي على إستخدام كبير للقرص. قم بتغيير الدليل الحالي باستخدامcd /
الأمر.
قم بتشغيلdu -xah --max-depth=1 | sort -hr
الأمر لتحديد أكبر مستهلكي مساحة القرص للدليل الحالي. لاحظ الواصلة المزدوجة — قبل أقصى عمق.
يوضح الإخراج أن قسم الجذر (/) به مساحة قرص تبلغ 8.3 جيجا قيد الاستخدام، مع 5.5 جرام من مساحة القرص المستخدمة في دليل /lancope، متبوعا بدليل /usr مع 1.5G من الاستخدام.
لا يتطلب إستخدام الأمر | head -n4
in ويتم إستخدامه في المثال لتحديد النتائج التي تم إرجاعها.
732smc:~# cd /
732smc:/# du -xah --max-depth=1 | sort -hr | head -n4
8.3G .
5.5G ./lancope
1.5G ./usr
1.3G ./opt
732smc:/#
قم بتغيير الدليل إلى /lancope مع الأمر cd lancope/
وأعد إصدار الأمر du باستخدام الأمر!du
. يعرض هذا الآن ما هو من الجيل 5.5G قيد الاستخدام في الدليل /lancope/، 5.1G في دليل المسؤول. قم بتغيير الأدلة الحالية إلى الدليل محل السؤال باستخدامcd
الأمر.
732smc:/# cd lancope/
732smc:/lancope# !du
du -xah --max-depth=1 | sort -hr | head -n4
5.5G .
5.1G ./admin
212M ./services
59M ./mongodb
732smc:/lancope#
بمجرد أن تقوم بتعريف الملفات التي يمكن حذفها، يمكنك القيام بذلك باستخدامrm -i
الأمر. إذا لم تكن متأكدا من الملفات الآمنة التي يمكن حذفها، فافتح حالة TAC أو اتصل بدعم CIsco من خلال صفحة جهات اتصال الدعم العالمية من Cisco في قسم المعلومات ذات الصلة في نهاية هذا المستند.
732smc:/lancope/admin# rm -i file
rm: remove regular empty file 'file'? yes
732smc:/lancope/admin#
قم بتكرار هذه الخطوات حسب الحاجة.
اقتطاع قاعدة البيانات الموزعة (DDS) - حالات التدفق
بشكل افتراضي، في بيئة DDS، تحاول أجهزة FlowCollector و SMC تخزين أكبر قدر ممكن من بيانات التدفق التي يتم تدويرها بشكل يومي. عند الوصول إلى حدود إستخدام القرص، يبدأ النظام في حذف البيانات الأقدم أولا لإنشاء مساحة لحفظ البيانات الجديدة.
لعرض إحصائيات قاعدة بيانات مجمع التدفق، قم بتسجيل الدخول إلى واجهة مستخدم FlowCollector Admin ثم حددSupport > Database Storage Statistics
.
إحصائيات تخزين قاعدة البيانات
- توضح الصورة أن متوسط تفاصيل التدفق المهتزة (بيانات NetFlow) يبلغ 204.65 ميجابايت تقريبا في اليوم وأن مجمع التدفق هذا يحتوي على نحو 58.5 جيجابايت من البيانات المخزنة.
- توضح الصورة أن متوسط تفاصيل واجهة التدفق المهتزة (إحصائيات محددة للواجهة) يبلغ 137 ميجابايت في اليوم ويحتوي مجمع التدفق هذا على نحو 1.1 جيجابايت من البيانات المخزنة.
- توضح الصورة أن إجمالي بيانات التدفق يبلغ متوسط سعة 342.53 ميجابايت تقريبا يوميا ويضم مجمع التدفق هذا نحو 60 جيجابايت من إجمالي البيانات المخزنة.
- إذا كنت ترغب في تقسيم قاعدة البيانات إلى أسفل بحيث يكون لديك حوالي 20 جيجا من إجمالي البيانات المخزنة، فقم بقسمة هذا على المتوسط اليومي ل 35 جيجا الذي يساوي 57.
لتقليل قاعدة البيانات بحيث يكون حجمها الإجمالي حوالي 20 جيجابايت، قم بتغيير قيمة summary_retention_days
إلى 57. بعد ذلك، انتقل إلىSupport > Advanced Settings
.
البحث وقم بتغيير هذا إلى القيمة التي تريدهاsummary_retention_days
.
summary_retention_days
بعد ذلك، قم بإضافة خيار جديد في أسفل القائمة. يتمAdd New Option
تعيين القيمةstrict_retention_days
وOption Value
القيمة على 1 كما هو موضح في الصورة. طقطقة يضيف. هذاstrict_retention_days
يقول للمحرك أن يبقي فقط # الأيام المعلن في summary_retention_days
.
STRICT_RETENTION_DAYS
بمجرد أن أقوم بتغيير قيمة الخيار summary_retention_days
إلى 4 وأضفها إلى قيمة الخيار الجديد، اضغطApply
في أسفل الصفحة.
إذا كانت هذه الخطوات للترقية، فقم بحذف strict_retention_days
القيمة بمجرد اكتمال الترقية للعودة إلى الاحتفاظ بالبيانات لأطول فترة ممكنة.
اقتطاع قاعدة البيانات الموزعة (DDS) - تفاصيل واجهة التدفق
1. سجل الدخول إلى عميل Stealthwatch لسطح المكتب كمستخدم admin.
2. حدد موقع FlowCollector في Enterprise Tree. انقر فوق علامة (+
) الإضافة لتوسيع الحاوية.
3. انقر بزر الماوس الأيمن على FlowCollector المطلوب. تحديدConfiguration > Properties
.
4. في مربع الحوار خصائص FlowCollector ، انقرAdvanced
.
5. حدد Store flow interface data
الحقل. قم بتعيين الحد على ما يصل إلى 15 يوما أو 30 يوما.
6. انقرOK
.
زيادة مساحة القرص (الأجهزة الظاهرية فقط)
قم بإيقاف تشغيل الجهاز الظاهري، وقم بزيادة حجم القرص المخصص ل VM من برنامج hypervisor. ويتم تخصيص مساحة القرص الإضافية للقسم /lancope/var/.
قد تكون هناك خطوات إضافية مطلوبة لاستخدام Stealthwatch لمساحة القرص غير المخصصة هذه بعد إعادة التشغيل، ومراجعة تخزين البيانات الخاص بدليل التثبيت لإصدار الجهاز الظاهري الخاص بك لمعرفة حجم القرص المطلوب.
حجم قسم الجذر (/) ثابت ولا يمكن تعديله. يلزم تثبيت جديد لإصدار يحتوي على قسم جذر أكبر تم إنشاؤه أثناء التثبيت.
معلومات ذات صلة