在Secure Network Analytics中管理本地檔案系統/磁碟使用情況

簡介

必要條件

需求

本文檔適用於沒有資料儲存的安全網路分析部署。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 安全網路分析管理員- v7.1+
• 安全網路分析流量收集器- v7.1+
• 安全網路分析流量感應器- v7.1+
• 安全網路分析UDP導向器- v7.1+

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

有兩個分割槽要監視磁碟使用情況，即根(/)和/lancope/var分割槽。

根(/)分割槽是核心映像和某些系統日誌的儲存位置，這通常是20G或更小的部分。  /lancope/var是一個卷組，它是大多數系統資料的儲存位置，因此它佔用了裝置的大部分磁碟空間。

收集資料

有兩個位置可以獲取磁碟使用情況資訊：admin web UI和命令列介面(CLI)。

命令列

從命令列運行 df -ah / /lancope/var 命令並注意(/)和/lancope/var之間的空格。

732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var 732smc:/# 

輸出結果顯示根(/)部分為20G，正在使用的8.3G為46%。 輸出還顯示/lancope/var分割槽為108G，正在使用的23G為22%。

Web UI

根據相關型號登入裝置管理UI，然後滾動到頁面底部。

管理員UI Web地址清單：

• 安全網路分析管理器- https://<SMC-IP-OR-FQDN>/smc/index.html（在訪問此URL之前，您必須登入到SMC）
• 安全網路分析流量收集器- https://<FC-IP-OR-FQDN>/swa/index.html 
• 安全網路分析流量感測器- https://<FS-IP-OR-FQDN>/fs/index.html 
• 安全網路分析UDP導向器（流量複製器） - https://<UDPD-IP-OR-FQDN>/fr/index.html  

如果分割槽的使用率很高，大於或等於75%，則突出顯示分割槽。

清除磁碟空間

如果您不確定哪些檔案可以安全刪除，請打開一個TAC支援案例，或者透過本文檔末尾的「相關資訊」部分中的「思科全球支援聯絡人」頁面與CIsco支援聯絡。

系統記錄

恢復大量磁碟空間的最快方法之一是使用journalctl --vacuum-time 1d 命令清除日誌日誌。請注意雙連字元—在「vacuum」一詞之前。

732smc:/# journalctl --vacuum-time 1d Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa /user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M). <the above line repeats for each file deleted> Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa. 732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var 732smc:/# 

透過這些步驟回收了大約4G的磁碟空間，導致/lancope/var分割槽上的磁碟使用率從22%降至18%。

日誌條目的另一個位置是目 /lancope/var/logs/journal 錄，也可使用journalctl --vacuum-time 1d -D /lancope/var/logs/journal/  命令將其清除。

732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/ Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M). <the above line repeats for each file deleted> Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa. 732smc:~# 

通常可以安全刪除列出目錄中的檔案：

/lancope/var/tcpdump /lancope/var/tomcat/logs /lancope/var/tmp /lancope/var/admin/tmp/

建議從根(/)或/lancope/var目錄（在Web ui中標識的磁碟使用率較高的分割槽）開始。使用cd / 命令更改當前目錄。

運行du -xah --max-depth=1 | sort -hr 命令以確定當前目錄的最大磁碟空間佔用者。請注意雙連字型大小-在max-depth之前。

輸出顯示根(/)分割區有8.3G的磁碟空間在使用中，其中5.5G的磁碟空間使用於/lancope目錄，其次是/usr目錄，其使用量為1.5G。

不需要在命令中使用 | head -n4 ，可在示例中使用，以限制返回的結果。

732smc:~# cd / 732smc:/# du -xah --max-depth=1 | sort -hr | head -n4 8.3G . 5.5G ./lancope 1.5G ./usr 1.3G ./opt 732smc:/# 

使用 cd lancope/  命令將目錄更改為/lancope，並使用!du命令重新發出du命令。 現在這會顯示/lancope/目錄中正在使用的5.5G，5.1G位於admin目錄中。使用cd命令將當前目錄更改為有問題的目錄。 

732smc:/# cd lancope/ 732smc:/lancope# !du du -xah --max-depth=1 | sort -hr | head -n4 5.5G . 5.1G ./admin 212M ./services 59M ./mongodb 732smc:/lancope# 

一旦您確定了可以刪除的檔案，就可以使用rm -i <filename>命令進行指定。如果您不確定哪些檔案可以安全刪除，請打開一個TAC支援案例，或者透過本文檔末尾的「相關資訊」部分中的「思科全球支援聯絡人」頁面與CIsco支援聯絡。 

732smc:/lancope/admin# rm -i file rm: remove regular empty file 'file'? yes 732smc:/lancope/admin# 

視需要重複這些步驟。

修剪分散式資料庫(DDS) -流量統計資訊

預設情況下，在DDS環境中，FlowCollector和SMC裝置會嘗試儲存儘可能多的每日旋轉流資料。達到磁碟使用限制時，系統會先刪除最舊的資料，為儲存新資料創造空間。

要檢視流量收集器資料庫統計資訊，請登入到FlowCollector管理UI，然後選擇Support > Database Storage Statistics。

資料庫儲存體統計資料

• 該圖顯示，接收流量詳細資訊（netflow資料）平均每天約204.65MB，此流量收集器儲存約58.5GB資料。
• 該圖顯示，接收流量介面詳細資訊（特定於介面的統計資訊）平均每天約為137MB，並且此流量收集器儲存了大約1.1GB的資料。
• 該圖顯示「流資料」總平均每天約為342.53MB，此流量收集器儲存的資料總量約為60GB。
• 如果希望將資料庫縮小為儲存大約20G的總資料，請將其除以每天平均。35G（等於57）。

要將資料庫縮小為總大小約20Gb，請將summary_retention_days值更改為57。 然後，導航到Support > Advanced Settings .  查詢summary_retention_days，並將其更改為您所需的值。 

summary_retention_days


接著，在清單底部新增一個選項。Add New Option值為strict_retention_days ，Option Value值設定為1，如下圖所示。按一下新增。 此strict_retention_days告知引擎僅保留在summary_retention_days中宣告的天數。

strict_retention_days

當我將 summary_retention_days 更改為4並增加新的選項值後，請按頁面底部的Apply 。 

如果升級的這些步驟，請在升級完成後刪除該 strict_retention_days 值，以返回並儘可能長時間保留資料。

修剪分散式資料庫(DDS) -流介面詳細資訊

1. 以admin使用者身份登入到您的Stealthwatch案頭客戶端。

2. 在企業樹中找到FlowCollector。按一下加號(+)以展開容器。

3.右鍵按一下所需的FlowCollector。選擇Configuration > Properties。

4.在FlowCollector Properties 對話方塊中，按一下Advanced。

5.選取該 Store flow interface data欄位。將限制設定為最多15 天或最多30 天。

6.按一下OK。

增加磁碟空間(僅限虛擬裝置)

關閉虛擬機器器電源，並增加Hypervisor配置給VM的磁碟大小。 額外的磁碟空間將分配給/lancope/var/分割槽。

可能需要執行其他步驟，Stealthwatch才能在重新引導後使用此未分配的磁碟空間。有關所需的磁碟大小，請參閱適用於您的虛擬機器版本的《安裝指南的資料儲存》。


根(/)分割槽大小是靜態的，無法調整。需要全新安裝至安裝期間已建立較大根分割區的版本。

相關資訊

• 維護和運作技術筆記
• 安全網路分析技術支援與檔案- Cisco Systems
• 思科全球支援聯絡人