Secure Network Analyticsでのローカルファイルシステム/ディスク使用量の管理
はじめに
このドキュメントでは、Secure Network Analytics Manager(SNRM)およびフローコレクタのデバイスで高いディスク使用率を減らす一般的な手順について説明します。
前提条件
要件
このドキュメントは、Data Storeを使用しないSecure Network Analyticの導入に適用されます。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Secure Network Analytics Manager - v7.1+
- Secure Network Analyticsフローコレクタ – v7.1+
- Secure Network Analyticsフローセンサー – v7.1+
- Secure Network Analytics UDP Director - v7.1+
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
ディスクの使用状況を監視するパーティションには、ルート(/)パーティションと/lancope/varパーティションの2つがあります。
ルート(/)パーティションは、カーネルイメージと一部のシステムログの保存場所です。これは通常、20G以下の小さいパーティションです。 /lancope/varはボリューム・グループであり、システム・データの大半が格納される場所であるため、アプライアンスのディスク容量の大半を消費します。
データの収集
ディスクの使用状況に関する情報を取得するには、admin Web UIとコマンドラインインターフェイス(CLI)の2つの場所があります。
コマンドライン
コマンドラインからコマ df -ah / /lancope/var ンドを実行し、(/)と/lancope/varの間のスペースを確認します。
732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var
732smc:/# 出力は、ルート(/)パーティションが20Gであり、8.3G(46 %)が使用中であることを示しています。 また、出力には/lancope/varパーティションが108Gであり、23Gが使用中(22 %)であることも示されています。
Web UI
対象のモデルに基づいてデバイスのAdmin UIにログインし、ページの一番下までスクロールします。
管理UI Webアドレスの一覧:
- Secure Network Analytics Manager:https://<SMC-IP-OR-FQDN>/smc/index.html(このURLにアクセスするには、SMCにログインする必要があります)
- Secure Network Analyticsフローコレクタ:https://<FC-IP-OR-FQDN>/swa/index.html
- Secure Network Analyticsフローセンサー:https://<FS-IP-OR-FQDN>/fs/index.html
- Secure Network Analytics UDP Director(フローレプリケータ):https://<UDPD-IP-OR-FQDN>/fr/index.html
パーティションの使用率が75%以上の高い場合、そのパーティションは強調表示されます。
空きディスク領域
安全に削除できるファイルがわからない場合は、TACケースをオープンするか、このドキュメントの最後にある「関連情報」のセクションの「シスコワールドワイドサポートへのお問い合わせ」ページを使用してシスコサポートにお問い合わせください。
システム ログ
サイズの大きいディスク領域を回復する最も迅速な方法の1つは、journalctl --vacuum-time 1d コマンドを使用してジャーナルログをクリアすることです。「vacuum」という単語の前にダブルハイフンがあることに注意してください。
732smc:/# journalctl --vacuum-time 1d
Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa
/user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M).
Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa.
732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var
732smc:/# これらの手順で約4Gのディスク領域が再利用され、/lancope/varパーティションのディスク使用率が22 %から18 %に減少しました。
ジャーナルログエントリのもう1つの場所は/lancope/var/logs/journalディレクトリです。このディレクトリは、journalctl --vacuum-time 1d -D /lancope/var/logs/journal/コマンドでもクリアできます。
732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/
Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M).
Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa.
732smc:~# リストされたディレクトリ内のファイルは、一般に安全に削除できます。
/lancope/var/tcpdump
/lancope/var/tomcat/logs
/lancope/var/tmp
/lancope/var/admin/tmp/ディスク使用率が高いWeb uiで識別したパーティションのルート(/)または/lancope/varディレクトリから開始することをお勧めします。cd / コマンドを使用して、現在のディレクトリを変更します。
du -xah --max-depth=1 | sort -hr コマンドを実行して、現在のディレクトリのディスク領域の最大のコンシューマを判別します。max-depthの前の二重ハイフンに注意してください。
この出力は、ルート(/)パーティションに8.3Gのディスク領域が使用され、/lancopeディレクトリに5.5Gのディスク領域が使用され、その後に/usrディレクトリが使用されていることを示しています。
コマンド内で| head -n4を使用する必要はなく、返される結果を制限するために例でも使用されています。
732smc:~# cd /
732smc:/# du -xah --max-depth=1 | sort -hr | head -n4
8.3G .
5.5G ./lancope
1.5G ./usr
1.3G ./opt
732smc:/# cd lancope/コマンドを使用してディレクトリを/lancopeに変更し、!duコマンドを使用してduコマンドを再発行します。 これで、/lancope/ディレクトリで使用中の5.5Gのうち、5.1Gが管理ディレクトリにあることが表示されます。cdコマンドを使用して、現在のディレクトリを問題のディレクトリに変更します。
732smc:/# cd lancope/
732smc:/lancope# !du
du -xah --max-depth=1 | sort -hr | head -n4
5.5G .
5.1G ./admin
212M ./services
59M ./mongodb
732smc:/lancope# 削除可能なファイルを特定したら、rm -i コマンドを使用してこれを実行できます。安全に削除できるファイルがわからない場合は、TACケースをオープンするか、このドキュメントの最後にある「関連情報」のセクションの「シスコワールドワイドサポートへのお問い合わせ」ページを使用してシスコサポートにお問い合わせください。
732smc:/lancope/admin# rm -i file
rm: remove regular empty file 'file'? yes
732smc:/lancope/admin# 必要に応じて、これらの手順を繰り返します。
分散データベース(DDS)のトリム – フロー統計
デフォルトでは、DDS環境では、FlowCollectorおよびSMCアプライアンスは、毎日回転されるフロー・データを可能な限り多く保存しようとします。ディスク使用量の制限に達すると、システムは最初に最も古いデータの削除を開始し、新しいデータを保存するための領域を作成します。
Flow Collectorのデータベース統計情報を表示するには、FlowCollector Admin UIにログインし、Support > Database Storage Statisticsを選択します。
データベース記憶域の統計
- 次の図は、取り込まれたフローの詳細(netflowデータ)が1日平均で約204.65 MB、このフローコレクタには約58.5 GBのデータが保存されていることを示しています。
- 次の図は、取り込まれたフローインターフェイスの詳細(インターフェイス固有の統計情報)が1日平均137 MBで、このフローコレクタには約1.1 GBのデータが保存されていることを示しています。
- この図は、フローデータの合計が1日平均で約342.53 MBであり、このフローコレクタには合計で約60 GBのデータが保存されていることを示しています。
- 合計で約20Gのデータが保存されるようにデータベースを縮小する場合は、日平均の。35G(57に相当)で割ります。
データベースの合計サイズを約20 Gbに減らすには、sの値をummary_retention_days57に変更します。 次に、Support > Advanced Settings .summary_retention_days Findに移動し、これを目的の値に変更します。
summary_retention_days(サマリー保存日数)
次に、リストの下部に新しいオプションを追加します。次の図に示すように、Add New Optionの値はstrict_retention_days Option Value、の値は1に設定されています。[Add] をクリックします。 このstrict_retention_daysは、summary_retention_daysで宣言された日数のみをエンジンが保持するように指示します。
strict_retention_days
「summary_retention_days」を4に変更し、新しいオプション値を追加したら、ページの下部にある「Apply 」を押します。
アップグレードのためにこれらの手順を実行する場合は、アップグレードが完了した後でstrict_retention_daysの値を削除し、できるだけ長い間データを保持するために戻ってください。
分散データベース(DDS)のトリム – フロー・インタフェースの詳細
1. Stealthwatch Desktop Clientにadmin ユーザでログインします。
2. エンタープライズツリーでFlowCollectorを見つけます。プラス(+)記号をクリックしてコンテナを展開します。
3.目的のFlowCollectorを右クリックします。Configuration > Propertiesを選択します。
4. FlowCollectorのプロパティダイアログボックスで、Advancedをクリックします。
5. フStore flow interface dataィールドを選択します。制限を最大15日または30日に設定します。
6. OKをクリックします。
ディスク容量の増加(仮想アプライアンス
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
20-Oct-2022 |
初版 |
フィードバック