Einleitung
In diesem Dokument werden allgemeine Schritte zur Reduzierung der Festplattennutzung auf Secure Network Analytics Manager- und Flow Collector-Geräten beschrieben.
Voraussetzungen
Anforderungen
Dieses Dokument gilt für Bereitstellungen von Secure Network Analytic ohne Datenspeicher.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Secure Network Analytics Manager - v7.1+
- Secure Network Analytics FlowCollector - v7.1+
- Secure Network Analytics Flow Sensor - v7.1+
- Sichere Netzwerkanalysen UDP Director - v7.1+
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Es gibt zwei Partitionen, die auf die Festplattennutzung überwacht werden müssen: die Root-Partition (/) und die /lancope/var-Partition.
Die Root-Partition (/) ist der Speicherort für das Kernel-Image und einige Systemprotokolle. Dies ist normalerweise eine kleinere Partition von 20G oder weniger. /lancope/var ist eine Volume-Gruppe und ist der Speicherort für die meisten Systemdaten, sodass sie den größten Teil des Festplattenspeichers für die Appliance verbraucht.
Daten sammeln
Es gibt zwei Stellen, an denen Sie Informationen zur Datenträgerverwendung abrufen können: die Admin-Webbenutzeroberfläche und die Befehlszeilenschnittstelle (Command Line Interface, CLI).
Befehlszeile
Führen Sie in der Befehlszeile df -ah / /lancope/var
den Befehl aus, und notieren Sie die Leerzeichen zwischen (/) und /lancope/var.
732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var
732smc:/#
Die Ausgabe zeigt, dass die Root-Partition (/) 20G ist und 8.3G verwendet wird, was 46% ist. Die Ausgabe zeigt auch, dass die /lancope/var-Partition 108G ist und 23G verwendet wird, was 22% ist.
Webbasierte Benutzeroberfläche
Melden Sie sich je nach Modell bei der Admin-Benutzeroberfläche des Geräts an, und führen Sie einen Bildlauf nach unten durch.
Liste der Webadressen der Admin-Benutzeroberfläche:
- Secure Network Analytics Manager - https://<SMC-IP-OR-FQDN>/smc/index.html (Sie müssen sich beim SMC anmelden, bevor Sie auf diese URL zugreifen können)
- Flow Collector für sichere Netzwerkanalysen: https://<FC-IP-OR-FQDN>/swa/index.html
- Secure Network Analytics Flow Sensor - https://<FS-IP-OR-FQDN>/fs/index.html
- Sichere Netzwerkanalysen - UDP Director (Flow Replicator) - https://<UDPD-IP-OR-FQDN>/fr/index.html

Wenn die Partition eine hohe Auslastung von mindestens 75 % aufweist, wird die Partition hervorgehoben.
Festplattenspeicher leeren
Wenn Sie sich nicht sicher sind, welche Dateien sicher gelöscht werden können, öffnen Sie ein TAC-Ticket, oder wenden Sie sich an den Cisco Support über die Kontaktseite für den weltweiten Cisco Support im Abschnitt "Verwandte Informationen" am Ende dieses Dokuments.
Systemprotokolle
Eine der schnellsten Methoden zur Wiederherstellung eines beträchtlichen Speicherplatzes ist das Löschen von Journalprotokollen mit demjournalctl --vacuum-time 1d
Befehl. Beachten Sie den doppelten Bindestrich vor dem Wort "Vakuum".
732smc:/# journalctl --vacuum-time 1d
Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa
/user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M).
Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa.
732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var
732smc:/#
Etwa 4G Speicherplatz wurde aus diesen Schritten zurückgewonnen und führte zu einer Verringerung der Festplattennutzung von 22 % auf 18 % auf der /lancope/var-Partition.
Ein weiterer Speicherort für Journalprotokolleinträge ist /lancope/var/logs/journal
ein Verzeichnis, das ebenfalls mit dem journalctl --vacuum-time 1d -D /lancope/var/logs/journal/
Befehl gelöscht werden kann.
732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/
Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M).
Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa.
732smc:~#
Dateien in den aufgelisteten Verzeichnissen können im Allgemeinen sicher gelöscht werden:
/lancope/var/tcpdump
/lancope/var/tomcat/logs
/lancope/var/tmp
/lancope/var/admin/tmp/
Es wird empfohlen, entweder im Stammverzeichnis (/) oder im Verzeichnis /lancope/var zu starten, je nachdem, welche Partition Sie in der Web-UI identifiziert haben, die eine hohe Datenträgerauslastung aufweist. Ändern Sie das aktuelle Verzeichnis mit demcd /
Befehl.
Führen Sie dendu -xah --max-depth=1 | sort -hr
Befehl aus, um den größten Speicherplatzbedarf des aktuellen Verzeichnisses zu ermitteln. Beachten Sie den doppelten Bindestrich — vor der maximalen Tiefe.
Die Ausgabe zeigt, dass die Root-Partition (/) 8,3 G Speicherplatz belegt, wobei 5,5 G Speicherplatz im Verzeichnis /lancope verwendet wird, gefolgt vom Verzeichnis /usr mit 1,5 G Nutzung.
Die Verwendung von | head -n4
im Befehl ist nicht erforderlich und wird im Beispiel verwendet, um die zurückgegebenen Ergebnisse zu begrenzen.
732smc:~# cd /
732smc:/# du -xah --max-depth=1 | sort -hr | head -n4
8.3G .
5.5G ./lancope
1.5G ./usr
1.3G ./opt
732smc:/#
Ändern Sie das Verzeichnis mit dem cd lancope/
Befehl in /lancope, und geben Sie den Befehl du erneut mit dem!du
Befehl aus. Dadurch wird angezeigt, dass sich 5.1G des 5.5G, das im Verzeichnis /lancope/ verwendet wird, im Admin-Verzeichnis befindet. Wechseln Sie mit dem Befehl die aktuellen Verzeichnisse in das entsprechende Verzeichniscd
.
732smc:/# cd lancope/
732smc:/lancope# !du
du -xah --max-depth=1 | sort -hr | head -n4
5.5G .
5.1G ./admin
212M ./services
59M ./mongodb
732smc:/lancope#
Sobald Sie Dateien identifizieren, die gelöscht werden können, können Sie dies mit demrm -i
Befehl tun. Wenn Sie sich nicht sicher sind, welche Dateien sicher gelöscht werden können, öffnen Sie ein TAC-Ticket, oder wenden Sie sich an den Cisco Support über die Kontaktseite für den weltweiten Cisco Support im Abschnitt "Verwandte Informationen" am Ende dieses Dokuments.
732smc:/lancope/admin# rm -i file
rm: remove regular empty file 'file'? yes
732smc:/lancope/admin#
Wiederholen Sie diese Schritte bei Bedarf.
Zuschneiden der verteilten Datenbank (DDS) - Flow-Statistiken
Standardmäßig versuchen die FlowCollector- und SMC-Appliances in der DDS-Umgebung, täglich so viele Flow-Daten wie möglich rotiert zu speichern. Wenn die Grenzwerte für die Festplattennutzung erreicht werden, beginnt das System, die ältesten Daten zuerst zu löschen, um Platz für neue zu speichernde Daten zu schaffen.
Um die FlowCollector-Datenbankstatistiken anzuzeigen, melden Sie sich in der FlowCollector-Admin-Benutzeroberfläche an, und wählen Sie dannSupport > Database Storage Statistics
aus.
Statistiken zum Datenbankspeicher
- Das Bild zeigt, dass die aufgenommenen Flow-Details (Netflow-Daten) durchschnittlich etwa 204,65 MB pro Tag betragen und dieser Flow Collector etwa 58,5 GB Daten gespeichert hat.
- Das Bild zeigt, dass die aufgenommenen Flow-Schnittstellendetails (schnittstellenspezifische Statistiken) durchschnittlich 137 MB pro Tag betragen und dieser Flow Collector etwa 1,1 GB Daten gespeichert hat.
- Das Bild zeigt, dass die gesamten Flow-Daten durchschnittlich ca. 342,53 MB pro Tag betragen und dieser Flow Collector ca. 60 GB an gesamten Daten gespeichert hat.
- Wenn Sie die Datenbank auf ca. 20G der gesamten gespeicherten Daten reduzieren möchten, teilen Sie diese durch den Tagesdurchschnitt von 0,35G auf, der 57 entspricht.
Um die Datenbank auf eine Gesamtgröße von ca. 20 GB zu reduzieren, ändern Sie den summary_retention_days
-Wert auf 57. Navigieren Sie anschließend zuSupport > Advanced Settings
.
summary_retention_days
Suchen, und ändern Sie diesen auf den gewünschten Wert.
Zusammenfassung_Aufbewahrungstage
Fügen Sie anschließend am Ende der Liste eine neue Option hinzu. DerAdd New Option
Wert iststrict_retention_days
, und derOption Value
Wert ist wie im Bild dargestellt auf 1 festgelegt. Klicken Sie auf Hinzufügen. Diesstrict_retention_days
weist das Modul an, nur die Anzahl der in summary_retention_days
deklarierten Tage beizubehalten.
strict_retention_days
Wenn Sie die Option in 4 geändert summary_retention_days
und den neuen Optionswert hinzugefügt haben, drücken SieApply
unten auf der Seite.
Wenn Sie diese Schritte für ein Upgrade ausführen, löschen Sie den strict_retention_days
Wert nach Abschluss des Upgrades, um die Daten so lange wie möglich aufzubewahren.
Zuschneiden der verteilten Datenbank (DDS) - Details der Datenflussschnittstelle
1. Melden Sie sich bei Ihrem StealthWatch Desktop Client als der Administrator-Benutzer an.
2. Suchen Sie den FlowCollector in der Enterprise-Struktur. Klicken Sie auf das Pluszeichen (+
), um den Container zu erweitern.
3. Klicken Sie mit der rechten Maustaste auf den gewünschten FlowCollector. AuswählenConfiguration > Properties
.
4. Klicken Sie im Dialogfeld Eigenschaften von FlowCollector aufAdvanced
.
5. Wählen Sie das Store flow interface data
Feld aus. Legen Sie den Grenzwert auf Bis zu 15 Tage oder 30 Tage fest.
6. Klicken Sie aufOK
.
Mehr Speicherplatz (nur virtuelle Appliances)
Schalten Sie das virtuelle System aus, und erhöhen Sie die dem virtuellen System vom Hypervisor zugewiesene Festplattengröße. Der zusätzliche Festplattenspeicher wird der Partition /lancope/var/ zugewiesen.
Möglicherweise sind zusätzliche Schritte erforderlich, damit StealthWatch diesen nicht zugewiesenen Speicherplatz nach einem Neustart belegt. Lesen Sie die Datenspeicherung des Installationsleitfadens für Ihre Virtual Machine Edition nach, um die erforderliche Festplattengröße zu ermitteln.
Die Größe der Stamm-Partition (/) ist statisch und kann nicht angepasst werden. Eine Neuinstallation auf eine Version mit einer größeren Root-Partition, die während der Installation erstellt wurde, ist erforderlich.
Zugehörige Informationen