はじめに
このドキュメントでは、Secure Network Analytics Manager(SNRM)およびフローコレクタのデバイスで高いディスク使用率を減らす一般的な手順について説明します。
前提条件
要件
このドキュメントは、Data Storeを使用しないSecure Network Analyticの導入に適用されます。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Secure Network Analytics Manager - v7.1+
- Secure Network Analyticsフローコレクタ – v7.1+
- Secure Network Analyticsフローセンサー – v7.1+
- Secure Network Analytics UDP Director - v7.1+
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
ディスクの使用状況を監視するパーティションには、ルート(/)パーティションと/lancope/varパーティションの2つがあります。
ルート(/)パーティションは、カーネルイメージと一部のシステムログの保存場所です。これは通常、20G以下の小さいパーティションです。 /lancope/varはボリューム・グループであり、システム・データの大半が格納される場所であるため、アプライアンスのディスク容量の大半を消費します。
データの収集
ディスクの使用状況に関する情報を取得するには、admin Web UIとコマンドラインインターフェイス(CLI)の2つの場所があります。
コマンドライン
コマンドラインからコマ df -ah / /lancope/var
ンドを実行し、(/)と/lancope/varの間のスペースを確認します。
732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var
732smc:/#
出力は、ルート(/)パーティションが20Gであり、8.3G(46 %)が使用中であることを示しています。 また、出力には/lancope/varパーティションが108Gであり、23Gが使用中(22 %)であることも示されています。
Web UI
対象のモデルに基づいてデバイスのAdmin UIにログインし、ページの一番下までスクロールします。
管理UI Webアドレスの一覧:
- Secure Network Analytics Manager:https://<SMC-IP-OR-FQDN>/smc/index.html(このURLにアクセスするには、SMCにログインする必要があります)
- Secure Network Analyticsフローコレクタ:https://<FC-IP-OR-FQDN>/swa/index.html
- Secure Network Analyticsフローセンサー:https://<FS-IP-OR-FQDN>/fs/index.html
- Secure Network Analytics UDP Director(フローレプリケータ):https://<UDPD-IP-OR-FQDN>/fr/index.html

パーティションの使用率が75%以上の高い場合、そのパーティションは強調表示されます。
空きディスク領域
安全に削除できるファイルがわからない場合は、TACケースをオープンするか、このドキュメントの最後にある「関連情報」のセクションの「シスコワールドワイドサポートへのお問い合わせ」ページを使用してシスコサポートにお問い合わせください。
システム ログ
サイズの大きいディスク領域を回復する最も迅速な方法の1つは、journalctl --vacuum-time 1d
コマンドを使用してジャーナルログをクリアすることです。「vacuum」という単語の前にダブルハイフンがあることに注意してください。
732smc:/# journalctl --vacuum-time 1d
Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa
/user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M).
Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa.
732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var
732smc:/#
これらの手順で約4Gのディスク領域が再利用され、/lancope/varパーティションのディスク使用率が22 %から18 %に減少しました。
ジャーナルログエントリのもう1つの場所は/lancope/var/logs/journal
ディレクトリです。このディレクトリは、journalctl --vacuum-time 1d -D /lancope/var/logs/journal/
コマンドでもクリアできます。
732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/
Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M).
Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa.
732smc:~#
リストされたディレクトリ内のファイルは、一般に安全に削除できます。
/lancope/var/tcpdump
/lancope/var/tomcat/logs
/lancope/var/tmp
/lancope/var/admin/tmp/
ディスク使用率が高いWeb uiで識別したパーティションのルート(/)または/lancope/varディレクトリから開始することをお勧めします。cd /
コマンドを使用して、現在のディレクトリを変更します。
du -xah --max-depth=1 | sort -hr
コマンドを実行して、現在のディレクトリのディスク領域の最大のコンシューマを判別します。max-depthの前の二重ハイフンに注意してください。
この出力は、ルート(/)パーティションに8.3Gのディスク領域が使用され、/lancopeディレクトリに5.5Gのディスク領域が使用され、その後に/usrディレクトリが使用されていることを示しています。
コマンド内で| head -n4
を使用する必要はなく、返される結果を制限するために例でも使用されています。
732smc:~# cd /
732smc:/# du -xah --max-depth=1 | sort -hr | head -n4
8.3G .
5.5G ./lancope
1.5G ./usr
1.3G ./opt
732smc:/#
cd lancope/
コマンドを使用してディレクトリを/lancopeに変更し、!du
コマンドを使用してduコマンドを再発行します。 これで、/lancope/ディレクトリで使用中の5.5Gのうち、5.1Gが管理ディレクトリにあることが表示されます。cd
コマンドを使用して、現在のディレクトリを問題のディレクトリに変更します。
732smc:/# cd lancope/
732smc:/lancope# !du
du -xah --max-depth=1 | sort -hr | head -n4
5.5G .
5.1G ./admin
212M ./services
59M ./mongodb
732smc:/lancope#
削除可能なファイルを特定したら、rm -i
コマンドを使用してこれを実行できます。安全に削除できるファイルがわからない場合は、TACケースをオープンするか、このドキュメントの最後にある「関連情報」のセクションの「シスコワールドワイドサポートへのお問い合わせ」ページを使用してシスコサポートにお問い合わせください。
732smc:/lancope/admin# rm -i file
rm: remove regular empty file 'file'? yes
732smc:/lancope/admin#
必要に応じて、これらの手順を繰り返します。
分散データベース(DDS)のトリム – フロー統計
デフォルトでは、DDS環境では、FlowCollectorおよびSMCアプライアンスは、毎日回転されるフロー・データを可能な限り多く保存しようとします。ディスク使用量の制限に達すると、システムは最初に最も古いデータの削除を開始し、新しいデータを保存するための領域を作成します。
Flow Collectorのデータベース統計情報を表示するには、FlowCollector Admin UIにログインし、Support > Database Storage Statistics
を選択します。
データベース記憶域の統計
- 次の図は、取り込まれたフローの詳細(netflowデータ)が1日平均で約204.65 MB、このフローコレクタには約58.5 GBのデータが保存されていることを示しています。
- 次の図は、取り込まれたフローインターフェイスの詳細(インターフェイス固有の統計情報)が1日平均137 MBで、このフローコレクタには約1.1 GBのデータが保存されていることを示しています。
- この図は、フローデータの合計が1日平均で約342.53 MBであり、このフローコレクタには合計で約60 GBのデータが保存されていることを示しています。
- 合計で約20Gのデータが保存されるようにデータベースを縮小する場合は、日平均の。35G(57に相当)で割ります。
データベースの合計サイズを約20 Gbに減らすには、sの値をummary_retention_days
57に変更します。 次に、Support > Advanced Settings
.
summary_retention_days
Findに移動し、これを目的の値に変更します。
summary_retention_days(サマリー保存日数)
次に、リストの下部に新しいオプションを追加します。次の図に示すように、Add New Option
の値はstrict_retention_days
Option Value
、の値は1に設定されています。[Add] をクリックします。 このstrict_retention_days
は、summary_retention_days
で宣言された日数のみをエンジンが保持するように指示します。
strict_retention_days
「summary_retention_days
」を4に変更し、新しいオプション値を追加したら、ページの下部にある「Apply
」を押します。
アップグレードのためにこれらの手順を実行する場合は、アップグレードが完了した後でstrict_retention_days
の値を削除し、できるだけ長い間データを保持するために戻ってください。
分散データベース(DDS)のトリム – フロー・インタフェースの詳細
1. Stealthwatch Desktop Clientにadmin ユーザでログインします。
2. エンタープライズツリーでFlowCollectorを見つけます。プラス(+
)記号をクリックしてコンテナを展開します。
3.目的のFlowCollectorを右クリックします。Configuration > Properties
を選択します。
4. FlowCollectorのプロパティダイアログボックスで、Advanced
をクリックします。
5. フStore flow interface data
ィールドを選択します。制限を最大15日または30日に設定します。
6. OK
をクリックします。
ディスク容量の増加(仮想アプライアンスのみ)
仮想マシンの電源をオフにし、ハイパーバイザからVMに割り当てるディスクサイズを増やします。 追加のディスク領域は/lancope/var/パーティションに割り当てられます。
再起動後にStealthwatchでこの未割り当てディスク領域を消費するには、追加の手順が必要になる場合があります。必要なディスクサイズについては、ご使用の仮想マシンエディションのインストールガイドの「データストレージ」を参照してください。
ルート(/)パーティションのサイズは固定されているため、調整できません。インストール中に作成された、より大きなルートパーティションを持つバージョンへの新規インストールが必要です。
関連情報