Verwalten der lokalen Dateisystem-/Festplattennutzung in sicheren Netzwerkanalysen

Download-Optionen

  • PDF     (659.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (516.2 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (266.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:20. Oktober 2022
Dokument-ID:218337

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden allgemeine Schritte zur Reduzierung der Festplattennutzung auf Secure Network Analytics Manager- und Flow Collector-Geräten beschrieben.

    Voraussetzungen

    Anforderungen

    Dieses Dokument gilt für Bereitstellungen von Secure Network Analytic ohne Datenspeicher.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Secure Network Analytics Manager - v7.1+
    • Secure Network Analytics FlowCollector - v7.1+
    • Secure Network Analytics Flow Sensor - v7.1+
    • Sichere Netzwerkanalysen UDP Director - v7.1+

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Es gibt zwei Partitionen, die auf die Festplattennutzung überwacht werden müssen: die Root-Partition (/) und die /lancope/var-Partition.

    Die Root-Partition (/) ist der Speicherort für das Kernel-Image und einige Systemprotokolle. Dies ist normalerweise eine kleinere Partition von 20G oder weniger. /lancope/var ist eine Volume-Gruppe und ist der Speicherort für die meisten Systemdaten, sodass sie den größten Teil des Festplattenspeichers für die Appliance verbraucht.

    Daten sammeln

    Es gibt zwei Stellen, an denen Sie Informationen zur Datenträgerverwendung abrufen können: die Admin-Webbenutzeroberfläche und die Befehlszeilenschnittstelle (Command Line Interface, CLI).

    Befehlszeile

    Führen Sie in der Befehlszeile df -ah / /lancope/var den Befehl aus, und notieren Sie die Leerzeichen zwischen (/) und /lancope/var.

    732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var
732smc:/#

    Die Ausgabe zeigt, dass die Root-Partition (/) 20G ist und 8.3G verwendet wird, was 46% ist. Die Ausgabe zeigt auch, dass die /lancope/var-Partition 108G ist und 23G verwendet wird, was 22% ist.

    Webbasierte Benutzeroberfläche

    Melden Sie sich je nach Modell bei der Admin-Benutzeroberfläche des Geräts an, und führen Sie einen Bildlauf nach unten durch.

    Liste der Webadressen der Admin-Benutzeroberfläche:

    • Secure Network Analytics Manager - https://<SMC-IP-OR-FQDN>/smc/index.html (Sie müssen sich beim SMC anmelden, bevor Sie auf diese URL zugreifen können)
    • Flow Collector für sichere Netzwerkanalysen: https://<FC-IP-OR-FQDN>/swa/index.html 
    • Secure Network Analytics Flow Sensor - https://<FS-IP-OR-FQDN>/fs/index.html 
    • Sichere Netzwerkanalysen - UDP Director (Flow Replicator) - https://<UDPD-IP-OR-FQDN>/fr/index.html  

    Disk Usage

    Wenn die Partition eine hohe Auslastung von mindestens 75 % aufweist, wird die Partition hervorgehoben.

    Festplattenspeicher leeren

    Wenn Sie sich nicht sicher sind, welche Dateien sicher gelöscht werden können, öffnen Sie ein TAC-Ticket, oder wenden Sie sich an den Cisco Support über die Kontaktseite für den weltweiten Cisco Support im Abschnitt "Verwandte Informationen" am Ende dieses Dokuments.

    Systemprotokolle

    Eine der schnellsten Methoden zur Wiederherstellung eines beträchtlichen Speicherplatzes ist das Löschen von Journalprotokollen mit demjournalctl --vacuum-time 1d Befehl. Beachten Sie den doppelten Bindestrich vor dem Wort "Vakuum".

    732smc:/# journalctl --vacuum-time 1d 
Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa
                 /user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M).
 
Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa.
732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var
732smc:/#

    Etwa 4G Speicherplatz wurde aus diesen Schritten zurückgewonnen und führte zu einer Verringerung der Festplattennutzung von 22 % auf 18 % auf der /lancope/var-Partition.

    Ein weiterer Speicherort für Journalprotokolleinträge ist /lancope/var/logs/journal ein Verzeichnis, das ebenfalls mit dem journalctl --vacuum-time 1d -D /lancope/var/logs/journal/  Befehl gelöscht werden kann.

    732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/
Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M).
 
Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa.
732smc:~#

    Dateien in den aufgelisteten Verzeichnissen können im Allgemeinen sicher gelöscht werden:

    /lancope/var/tcpdump
/lancope/var/tomcat/logs
/lancope/var/tmp
/lancope/var/admin/tmp/

    Es wird empfohlen, entweder im Stammverzeichnis (/) oder im Verzeichnis /lancope/var zu starten, je nachdem, welche Partition Sie in der Web-UI identifiziert haben, die eine hohe Datenträgerauslastung aufweist. Ändern Sie das aktuelle Verzeichnis mit demcd / Befehl.

    Führen Sie dendu -xah --max-depth=1 | sort -hr Befehl aus, um den größten Speicherplatzbedarf des aktuellen Verzeichnisses zu ermitteln. Beachten Sie den doppelten Bindestrich — vor der maximalen Tiefe.

    Die Ausgabe zeigt, dass die Root-Partition (/) 8,3 G Speicherplatz belegt, wobei 5,5 G Speicherplatz im Verzeichnis /lancope verwendet wird, gefolgt vom Verzeichnis /usr mit 1,5 G Nutzung.

    Die Verwendung von | head -n4 im Befehl ist nicht erforderlich und wird im Beispiel verwendet, um die zurückgegebenen Ergebnisse zu begrenzen.

    732smc:~# cd / 
732smc:/# du -xah --max-depth=1 | sort -hr | head -n4
8.3G .
5.5G ./lancope
1.5G ./usr
1.3G ./opt
732smc:/#

    Ändern Sie das Verzeichnis mit dem cd lancope/  Befehl in /lancope, und geben Sie den Befehl du erneut mit dem!duBefehl aus. Dadurch wird angezeigt, dass sich 5.1G des 5.5G, das im Verzeichnis /lancope/ verwendet wird, im Admin-Verzeichnis befindet. Wechseln Sie mit dem Befehl die aktuellen Verzeichnisse in das entsprechende Verzeichniscd

    732smc:/# cd lancope/
732smc:/lancope# !du
du -xah --max-depth=1 | sort -hr | head -n4
5.5G .
5.1G ./admin
212M ./services
59M ./mongodb
732smc:/lancope#

    Sobald Sie Dateien identifizieren, die gelöscht werden können, können Sie dies mit demrm -i Befehl tun. Wenn Sie sich nicht sicher sind, welche Dateien sicher gelöscht werden können, öffnen Sie ein TAC-Ticket, oder wenden Sie sich an den Cisco Support über die Kontaktseite für den weltweiten Cisco Support im Abschnitt "Verwandte Informationen" am Ende dieses Dokuments. 

    732smc:/lancope/admin# rm -i file 
rm: remove regular empty file 'file'? yes
732smc:/lancope/admin#

    Wiederholen Sie diese Schritte bei Bedarf.

    Zuschneiden der verteilten Datenbank (DDS) - Flow-Statistiken

    Standardmäßig versuchen die FlowCollector- und SMC-Appliances in der DDS-Umgebung, täglich so viele Flow-Daten wie möglich rotiert zu speichern. Wenn die Grenzwerte für die Festplattennutzung erreicht werden, beginnt das System, die ältesten Daten zuerst zu löschen, um Platz für neue zu speichernde Daten zu schaffen.

    Um die FlowCollector-Datenbankstatistiken anzuzeigen, melden Sie sich in der FlowCollector-Admin-Benutzeroberfläche an, und wählen Sie dannSupport > Database Storage Statisticsaus.

    Database Storage StatisticsStatistiken zum Datenbankspeicher

    • Das Bild zeigt, dass die aufgenommenen Flow-Details (Netflow-Daten) durchschnittlich etwa 204,65 MB pro Tag betragen und dieser Flow Collector etwa 58,5 GB Daten gespeichert hat.
    • Das Bild zeigt, dass die aufgenommenen Flow-Schnittstellendetails (schnittstellenspezifische Statistiken) durchschnittlich 137 MB pro Tag betragen und dieser Flow Collector etwa 1,1 GB Daten gespeichert hat.
    • Das Bild zeigt, dass die gesamten Flow-Daten durchschnittlich ca. 342,53 MB pro Tag betragen und dieser Flow Collector ca. 60 GB an gesamten Daten gespeichert hat.
    • Wenn Sie die Datenbank auf ca. 20G der gesamten gespeicherten Daten reduzieren möchten, teilen Sie diese durch den Tagesdurchschnitt von 0,35G auf, der 57 entspricht.

    Um die Datenbank auf eine Gesamtgröße von ca. 20 GB zu reduzieren, ändern Sie den summary_retention_days-Wert auf 57. Navigieren Sie anschließend zuSupport > Advanced Settings .  summary_retention_daysSuchen, und ändern Sie diesen auf den gewünschten Wert. 

    summary_retention_daysZusammenfassung_Aufbewahrungstage

    Fügen Sie anschließend am Ende der Liste eine neue Option hinzu. DerAdd New OptionWert iststrict_retention_days , und derOption ValueWert ist wie im Bild dargestellt auf 1 festgelegt. Klicken Sie auf Hinzufügen. Diesstrict_retention_daysweist das Modul an, nur die Anzahl der in summary_retention_daysdeklarierten Tage beizubehalten.

    strict_retention_daysstrict_retention_days

    Wenn Sie die Option in 4 geändert summary_retention_days und den neuen Optionswert hinzugefügt haben, drücken SieApply unten auf der Seite. 

    Wenn Sie diese Schritte für ein Upgrade ausführen, löschen Sie den strict_retention_days Wert nach Abschluss des Upgrades, um die Daten so lange wie möglich aufzubewahren.

    Zuschneiden der verteilten Datenbank (DDS) - Details der Datenflussschnittstelle

    1. Melden Sie sich bei Ihrem StealthWatch Desktop Client als der Administrator-Benutzer an.

    2. Suchen Sie den FlowCollector in der Enterprise-Struktur. Klicken Sie auf das Pluszeichen (+), um den Container zu erweitern.

    3. Klicken Sie mit der rechten Maustaste auf den gewünschten FlowCollector. AuswählenConfiguration > Properties.

    4. Klicken Sie im Dialogfeld Eigenschaften von FlowCollector aufAdvanced.

    5. Wählen Sie das Store flow interface dataFeld aus. Legen Sie den Grenzwert auf Bis zu 15 Tage oder 30 Tage fest.

    6. Klicken Sie aufOK.

    Mehr Speicherplatz (nur virtuelle Appliances)

    Schalten Sie das virtuelle System aus, und erhöhen Sie die dem virtuellen System vom Hypervisor zugewiesene Festplattengröße. Der zusätzliche Festplattenspeicher wird der Partition /lancope/var/ zugewiesen.

    Möglicherweise sind zusätzliche Schritte erforderlich, damit StealthWatch diesen nicht zugewiesenen Speicherplatz nach einem Neustart belegt. Lesen Sie die Datenspeicherung des Installationsleitfadens für Ihre Virtual Machine Edition nach, um die erforderliche Festplattengröße zu ermitteln.

    Die Größe der Stamm-Partition (/) ist statisch und kann nicht angepasst werden. Eine Neuinstallation auf eine Version mit einer größeren Root-Partition, die während der Installation erstellt wurde, ist erforderlich.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    20-Oct-2022
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Joshua Martin
      Cisco Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.