Gebruik van lokaal bestandssysteem/schijf beheren in Secure Network Analytics

Inleiding

Voorwaarden

Vereisten

Dit document is van toepassing op Secure Network Analytic-implementaties zonder gegevensopslag.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Secure Network Analytics Manager - v7.1+
• Secure Network Analytics Flow Collector - v7.1+
• Secure Network Analytics Flow Sensor - v7.1+
• Secure Network Analytics UDP Director - v7.1+

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Er zijn twee partities om te controleren op schijfgebruik, de hoofdpartities (/) en /lancope/var.

De rootpartitie (/) is de opslaglocatie voor het kernel-image en sommige systeemlogboeken, dit is meestal een kleinere partitie van 20G of minder.  De /lancope/var is een volumegroep en het is de opslaglocatie voor de meeste systeemgegevens, dus het verbruikt het grootste deel van de schijfruimte voor het toestel.

Gegevens verzamelen

Er zijn twee plaatsen waar u informatie over schijfgebruik kunt verkrijgen, de gebruikersinterface voor beheerders en de opdrachtregelinterface (CLI).

opdrachtregel

Voer vanaf de opdrachtregel df -ah / /lancope/var de opdracht uit en noteer de spaties tussen (/) en /lancope/var.

732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var
732smc:/# 

De output laat zien dat de root (/) partitie 20G is, en 8.3G is in gebruik, wat 46% is. De uitvoer laat ook zien dat de /lancope/var-partitie 108G is en dat 23G in gebruik is, wat 22% is.

Web UI

Meld u aan bij de gebruikersinterface voor beheer van apparaten op basis van het betreffende model en blader naar de onderkant van de pagina.

Lijst met Admin UI-webadressen:

• Secure Network Analytics Manager - https://<SMC-IP-OR-FQDN>/smc/index.html (U moet zich aanmelden bij de SMC voordat u deze URL kunt openen)
• Secure Network Analytics Flow Collector - https://<FC-IP-OR-FQDN>/swa/index.html 
• Secure Network Analytics Flow Sensor - https://<FS-IP-OR-FQDN>/fs/index.html 
• Secure Network Analytics UDP Director (Flow Replicator) - https://<UDPD-IP-OR-FQDN>/fr/index.html  

Als de partitie een hoog gebruik van meer dan of gelijk aan 75% heeft, wordt de partitie gemarkeerd.

Schijfruimte vrijmaken

Als u niet zeker weet welke bestanden veilig kunnen worden verwijderd, opent u een TAC-kwestie of neemt u contact op met CIsco Support via de contactpagina voor Cisco Worldwide Support in het gedeelte Gerelateerde informatie aan het einde van dit document.

Systeemlogboeken

Een van de snelste methoden om grote schijfruimte te herstellen, is het wissen van journaallogs met hetjournalctl --vacuum-time 1d commando. Let op het dubbele koppelteken - vóór het woord "vacuüm".

732smc:/# journalctl --vacuum-time 1d 
Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa
                 /user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M).
 
Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa.
732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var
732smc:/# 

Ongeveer 4G schijfruimte werd teruggewonnen uit deze stappen en resulteerde in een daling van het schijfgebruik van 22% tot 18% op de /lancope/var-partitie.

Een andere locatie voor logboekvermeldingen is een /lancope/var/logs/journal directory die ook kan worden gewist met de journalctl --vacuum-time 1d -D /lancope/var/logs/journal/  opdracht.

732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/
Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M).
 
Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa.
732smc:~# 

Bestanden in de genoemde mappen zijn over het algemeen veilig te verwijderen:

/lancope/var/tcpdump
/lancope/var/tomcat/logs
/lancope/var/tmp
/lancope/var/admin/tmp/

Het wordt aanbevolen om te beginnen bij de hoofdmap (/) of de map /lancope/var, welke partitie u ook hebt geïdentificeerd in de web-gebruikersinterface die veel schijfgebruik heeft. Wijzig de huidige directory met de opdrachtcd / .

Voer de opdrachtdu -xah --max-depth=1 | sort -hr uit om de grootste verbruikers van schijfruimte van de huidige directory te bepalen. Let op het dubbele koppelteken - vóór max-diepte.

De output laat zien dat de root (/) partitie 8.3G schijfruimte in gebruik heeft, met 5.5G schijfruimte gebruikt in de /lancope directory, gevolgd door de /usr directory met 1.5G gebruik.

Het gebruik van de | head -n4 in de opdracht is niet vereist en wordt in het voorbeeld gebruikt om de geretourneerde resultaten te beperken.

732smc:~# cd / 
732smc:/# du -xah --max-depth=1 | sort -hr | head -n4
8.3G .
5.5G ./lancope
1.5G ./usr
1.3G ./opt
732smc:/# 

Wijzig de directory in /lancope met de cd lancope/  opdracht en geef de opdracht du opnieuw uit met de!duopdracht. Dit geeft nu aan dat van de 5.5G in gebruik is in de /lancope/ directory, 5.1G is in de admin directory. Wijzig de huidige directory's met de opdracht in de betreffendecddirectory. 

732smc:/# cd lancope/
732smc:/lancope# !du
du -xah --max-depth=1 | sort -hr | head -n4
5.5G .
5.1G ./admin
212M ./services
59M ./mongodb
732smc:/lancope# 

Zodra u bestanden identificeert die kunnen worden verwijderd, kunt u dit doen met de opdrachtrm -i . Als u niet zeker weet welke bestanden veilig kunnen worden verwijderd, opent u een TAC-kwestie of neemt u contact op met CIsco Support via de contactpagina voor Cisco Worldwide Support in het gedeelte Gerelateerde informatie aan het einde van dit document. 

732smc:/lancope/admin# rm -i file 
rm: remove regular empty file 'file'? yes
732smc:/lancope/admin# 

Herhaal deze stappen indien nodig.

De gedistribueerde database (DDS) bijsnijden - stroomstatistieken

Standaard proberen de FlowCollector- en SMC-apparaten in de DDS-omgeving dagelijks zoveel mogelijk geroteerde stroomgegevens op te slaan. Wanneer de limieten voor schijfgebruik worden bereikt, begint het systeem de oudste gegevens eerst te verwijderen om ruimte te creëren voor nieuwe gegevens die moeten worden opgeslagen.

Als u de databasestatistieken van Flow Collector wilt bekijken, meldt u zich aan bij de gebruikersinterface van FlowCollector Admin en selecteert uSupport > Database Storage Statistics.

Statistieken voor databaseopslag

• De afbeelding laat zien dat de ingenomen Flow Details (netflow data) gemiddeld ongeveer 204,65 MB per dag en deze Flow Collector heeft ongeveer 58,5 GB aan opgeslagen gegevens.
• De afbeelding laat zien dat de ingenomen Flow Interface Details (interfacespecifieke statistieken) gemiddeld ongeveer 137MB per dag zijn en deze Flow Collector heeft ongeveer 1,1 GB aan opgeslagen gegevens.
• De afbeelding laat zien dat de totale Flow Data gemiddeld ongeveer 342.53MB per dag en deze Flow Collector heeft ongeveer 60GB van de totale gegevens opgeslagen.
• Als u de database wilt inkorten om ongeveer 20G aan totale gegevens te hebben opgeslagen, deelt u dat door het dagelijkse gemiddelde van .35G, dat gelijk is aan 57.

Als u de database wilt verkleinen tot een totale grootte van ongeveer 20 Gb, wijzigt u de waarde summary_retention_daysin 57. Navigeer vervolgens naarSupport > Advanced Settings .  Zoekensummary_retention_daysen verander dit naar de gewenste waarde. 

samenvatting_retentie_dagen

Voeg vervolgens een nieuwe optie toe aan de onderkant van de lijst. De waardeAdd New Optionis gelijkstrict_retention_days en de waardeOption Valueis ingesteld op 1, zoals weergegeven in de afbeelding. Klik op Add (Toevoegen). Ditstrict_retention_daysvertelt de motor om alleen het aantal dagen opgegeven in summary_retention_dayste houden.

strict_retention_days

Zodra ik de optie heb gewijzigd summary_retention_days in 4 en ik de nieuwe optiewaarde heb toegevoegd, drukt uApply onderaan de pagina. 

Als u deze stappen voor een upgrade uitvoert, verwijdert u de strict_retention_days waarde zodra de upgrade is voltooid om de gegevens zo lang mogelijk te bewaren.

De gedistribueerde database (DDS) bijsnijden - Details stroominterface

1. Log in op uw Stealthwatch Desktop Client als de admin gebruiker.

2. Zoek de FlowCollector in de Enterprise Tree. Klik op het plus (+) teken om de container uit te vouwen.

3. Klik met de rechtermuisknop op de gewenste FlowCollector. SelecterenConfiguration > Properties.

4. Klik in het dialoogvenster Eigenschappen van FlowCollector opAdvanced.

5. Selecteer het Store flow interface dataveld. Stel de limiet in op Tot maximaal 15 dagen of 30 dagen.

6. KlikOK.

Schijfruimte vergroten (alleen virtuele apparaten)

Schakel de virtuele machine uit en verhoog de schijfgrootte die via de hypervisor aan de VM is toegewezen. De extra schijfruimte wordt toegewezen aan de partitie /lancope/var/.

Als Stealthwatch deze niet-toegewezen schijfruimte na het opnieuw opstarten wil gebruiken, zijn mogelijk aanvullende stappen vereist. Raadpleeg de handleiding voor gegevensopslag van de installatiehandleiding voor de editie van uw virtuele machine voor de vereiste schijfgrootte.

De grootte van de hoofdpartitie (/) is statisch en kan niet worden aangepast. Een nieuwe installatie naar een versie met een grotere rootpartitie die tijdens de installatie is gemaakt, is vereist.

Gerelateerde informatie

• Installatiehandleidingen
• Veilige netwerkanalyse - Technische ondersteuning en documentatie - Cisco-systemen
• Cisco’s wereldwijde contactgegevens voor ondersteuning