在安全网络分析中管理本地文件系统/磁盘使用情况

下载选项

PDF (774.8 KB)
在各种设备上使用 Adobe Reader 查看
ePub (507.2 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (256.0 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2022 年 10 月 20 日

文档 ID:218337

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍减少安全网络分析管理器和流量收集器设备上的高磁盘使用率的一般步骤。

先决条件

要求

本文档适用于没有Data Store的安全网络分析部署。

使用的组件

本文档中的信息基于以下软件和硬件版本：

安全网络分析管理器 — v7.1+
安全网络分析流量收集器 — v7.1+
安全网络分析流量传感器 — v7.1+
安全网络分析UDP导向器 — v7.1+

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

有两个分区要监控磁盘使用情况，即根(/)和/lancope/var分区。

根(/)分区是内核映像和某些系统日志的存储位置，这通常是20G或更小的部分。/lancope/var是一个卷组，它是大多数系统数据的存储位置，因此它消耗设备的大部分磁盘空间。

收集数据

有两个位置可以获取磁盘使用情况信息：管理Web UI和命令行界面(CLI)。

命令行

从命令行运行 df -ah / /lancope/var 命令，并记下(/)和/lancope/var之间的空格。

732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var
732smc:/#

输出显示根(/)分区为20G，正在使用8.3G，占46%；输出还显示/lancope/var分区为108G，正在使用23G，占22%。

Web UI

根据相关型号登录设备管理UI，然后滚动到页面底部。

管理员UI网址列表：

安全网络分析管理器 — https://<SMC-IP-OR-FQDN>/smc/index.html（您必须登录SMC，然后才能访问此URL）
安全网络分析流量收集器 — https://<FC-IP-OR-FQDN>/swa/index.html
安全网络分析流量传感器 — https://<FS-IP-OR-FQDN>/fs/index.html
安全网络分析UDP Director（流量复制器） — https://<UDPD-IP-OR-FQDN>/fr/index.html

Disk Usage

如果分区的使用率高于或等于75%，则会突出显示该分区。

清除磁盘空间

如果您不确定哪些文件可以安全删除，请打开TAC案例或通过本文档末尾相关信息部分中的思科全球支持联系人页面联系CIsco支持。

系统日志

恢复大磁盘空间的最快方法之一是使用命令清除日志journalctl --vacuum-time 1d 日志。注意双连字符 — 在“vacuum”一词之前。

732smc:/# journalctl --vacuum-time 1d 
Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa
                 /user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M).
 
Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa.
732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var
732smc:/#

通过上述步骤回收了约4G磁盘空间，使/lancope/var分区的磁盘使用率从22%降至18%。

日志条目的另一个位置是/lancope/var/logs/journal目录，也可使用命令将其清journalctl --vacuum-time 1d -D /lancope/var/logs/journal/除。

732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/
Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M).
 
Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa.
732smc:~#

列出的目录中的文件通常可以安全删除：

/lancope/var/tcpdump
/lancope/var/tomcat/logs
/lancope/var/tmp
/lancope/var/admin/tmp/

建议从根(/)或/lancope/var目录（在Web ui中标识的磁盘使用率较高的分区）开始。使用命令更改当前目录cd / 。

运行du -xah --max-depth=1 | sort -hr 命令以确定当前目录磁盘空间的最大使用者。请注意双连字符 — 在max-depth之前。

输出显示，根(/)分区正在使用8.3G磁盘空间，/lancope目录中使用了5.5G磁盘空间，其次是/usr目录，使用量为1.5G。

命令中不| head -n4需要使用，示例中使用该命令来限制返回的结果。

732smc:~# cd / 
732smc:/# du -xah --max-depth=1 | sort -hr | head -n4
8.3G .
5.5G ./lancope
1.5G ./usr
1.3G ./opt
732smc:/#

使用命令将目录更改为/lancope，然后使用命令重新发出du命cd lancope/令。现在显示!du/lancope/目录中正在使用的5.5G的目录，5.1G在管理目录中。使用命令将当前目录更改为有问题的目cd录。

732smc:/# cd lancope/
732smc:/lancope# !du
du -xah --max-depth=1 | sort -hr | head -n4
5.5G .
5.1G ./admin
212M ./services
59M ./mongodb
732smc:/lancope#

确定可删除的文件后，可以使用命令执行此rm -i 操作。如果您不确定哪些文件可以安全删除，请打开TAC案例或通过本文档末尾相关信息部分中的思科全球支持联系人页面联系CIsco支持。

732smc:/lancope/admin# rm -i file 
rm: remove regular empty file 'file'? yes
732smc:/lancope/admin#

根据需要重复这些步骤。

调整分布式数据库(DDS) — 流统计信息

默认情况下，在DDS环境中，FlowCollector和SMC设备会尝试存储尽可能多的每日轮换的流数据。当达到磁盘使用率限制时，系统首先开始删除最旧的数据，为要保存的新数据创造空间。

要查看流量收集器数据库统计信息，请登录到FlowCollector Admin UI，然后选择Support > Database Storage Statistics。

Database Storage Statistics 数据库存储统计信息

该图显示捕获的流详细信息（netflow数据）平均每天约204.65MB，此流量收集器存储的数据约为58.5GB。
该图显示捕获的流接口详细信息（接口特定统计信息）平均每天约137MB，并且此流量收集器存储了约1.1GB的数据。
该图显示，总流量数据平均每天约为342.53 MB，此流量收集器存储的总数据量约为60 GB。
如果要将数据库缩小到存储大约20G的总数据，将其除以等于57的日均值。35G。

要将数据库缩小为总大小约20Gb，请将summary_retention_days值更改为57。然后，导航到Support > Advanced Settings . Findsummary_retention_days，将其更改为所需的值。

summary_retention_days

接下来，在列表底部添加一个新选项。如Add New Option图strict_retention_days 所示Option Value，该值设置为1。单击“添加strict_retention_days”。这将告知引擎仅保留在中声明的天数ummary_retention_days。

strict_retention_days

将更改为4summary_retention_days并添加新的选项值后，按Apply 页面底部的。

如果升级的步骤如下，请在升级完成后立即删除该值，以便返回以尽可能长时间地保留数据strict_retention_days。

调整分布式数据库(DDS) — 流接口详细信息

1.以admin用户身份登录Stealthwatch Desktop Client。

2.在企业树中找到FlowCollector。单击加号(+)展开容器。

3.右键单击所需的FlowCollector。选择.Configuration > Properties

4.在FlowCollector属性对话框中，单击Advanced。

5.选择字Store flow interface data段。将限制设置为最多15 天或30 天。

6.单击OK。

增加磁盘空间(仅虚拟设备)

关闭虚拟机电源，并增大从虚拟机监控程序分配给VM的磁盘大小。额外的磁盘空间将分配给/lancope/var/分区。

要使Stealthwatch在重新启动后占用此未分配的磁盘空间，可能需要执行其他步骤，请查看适用于您的虚拟机版本的《安装数据存储指南》以了解所需的磁盘大小。

根(/)分区大小是静态的，无法调整。对于安装期间创建的根分区较大的版本，需要全新安装。