在Secure Network Analytics中管理本地檔案系統/磁碟使用情況

下載選項

PDF (792.7 KB)
在多種裝置上使用 Adobe Reader 檢視
ePub (510.6 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (259.4 KB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2022 年 10 月 20 日

文件 ID:218337

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹減少安全網路分析管理器和流量收集器裝置上的高磁碟使用率的一般步驟。

必要條件

需求

本文檔適用於沒有Data Store的安全網路分析部署。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

安全網路分析管理員 — v7.1+
安全網路分析流量收集器 — v7.1+
安全網路分析流量感應器 — v7.1+
安全網路分析UDP導向器 — v7.1+

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

有兩個分割槽要監視磁碟使用情況，即根(/)和/lancope/var分割槽。

根(/)分割槽是核心映像和某些系統日誌的儲存位置，這通常是20G或更小的部分。 /lancope/var是一個卷組，它是大多數系統資料的儲存位置，因此它消耗了裝置的大部分磁碟空間。

收集資料

有兩個位置可以獲取磁碟使用情況資訊：管理Web UI和命令列介面(CLI)。

命令列

從命令列運行 df -ah / /lancope/var 命令，並記下(/)和/lancope/var之間的空格。

732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var
732smc:/#

輸出顯示，根(/)分割槽為20G，正在使用8.3G，佔46%；輸出還顯示/lancope/var分割槽為108G，正在使用23G，佔22%。

Web UI

根據相關型號登入裝置管理使用者介面，然後滾動到頁面底部。

管理員UI Web地址清單：

安全網路分析管理器 — https://<SMC-IP-OR-FQDN>/smc/index.html（必須先登入SMC，然後才能訪問此URL）
安全網路分析流量收集器 — https://<FC-IP-OR-FQDN>/swa/index.html
安全網路分析流量感測器 — https://<FS-IP-OR-FQDN>/fs/index.html
安全網路分析UDP導向器（流量複製器） — https://<UDPD-IP-OR-FQDN>/fr/index.html

Disk Usage

如果分割槽的高使用率大於或等於75%，則突出顯示該分割槽。

清除磁碟空間

如果您不確定哪些檔案可以安全刪除，請開啟一個TAC案例，或者通過本文檔末尾「相關資訊」部分中的「思科全球支援聯絡人」頁面聯絡CIsco支援。

系統記錄

恢復大磁碟空間的最快方法之一是使用命令清除日誌日誌journalctl --vacuum-time 1d 。注意兩個連字元 — 在「vacuum」字之前。

732smc:/# journalctl --vacuum-time 1d 
Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa
                 /user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M).
 
Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa.
732smc:/# df -ah / /lancope/var/
Filesystem Size Used Avail Use% Mounted on
/dev/sda2 20G 8.3G 9.9G 46% /
/dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var
732smc:/#

通過這些步驟回收了大約4G的磁碟空間，導致/lancope/var分割槽上的磁碟使用率從22%降低到18%。

日誌條目的另一個位置是/lancope/var/logs/journal目錄，也可使用命令清除該journalctl --vacuum-time 1d -D /lancope/var/logs/journal/目錄。

732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/
Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M).
 
Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa.
732smc:~#

列出的目錄中的檔案通常可以安全刪除：

/lancope/var/tcpdump
/lancope/var/tomcat/logs
/lancope/var/tmp
/lancope/var/admin/tmp/

建議從根(/)或/lancope/var目錄（在Web ui中標識的磁碟使用率較高的分割槽）開始。使用命令更改當前目錄cd / 。

運行du -xah --max-depth=1 | sort -hr 命令以確定當前目錄磁碟空間的最大使用者。請注意雙連字元 — 在max-depth之前。

輸出顯示，根(/)分割槽正在使用8.3G磁碟空間，其中/lancope目錄使用了5.5G磁碟空間，其次是/usr目錄，使用了1.5G。

不需要在命| head -n4令中使用的，可在示例中使用以限制返回的結果。

732smc:~# cd / 
732smc:/# du -xah --max-depth=1 | sort -hr | head -n4
8.3G .
5.5G ./lancope
1.5G ./usr
1.3G ./opt
732smc:/#

cd lancope/ 使用命令將目錄更改為/lancope，然後使用!du/lancope命令重新發出du命令。這現在顯示/lancope/目錄中正在使用的5.5G目錄和admin目錄中的5.1G目錄。使用命令將當前目錄更改為有問題的目錄cd。

732smc:/# cd lancope/
732smc:/lancope# !du
du -xah --max-depth=1 | sort -hr | head -n4
5.5G .
5.1G ./admin
212M ./services
59M ./mongodb
732smc:/lancope#

一旦識別出可以刪除的檔案，就可以使用命令rm -i 執行此操作。如果您不確定哪些檔案可以安全刪除，請開啟一個TAC案例，或者通過本文檔末尾「相關資訊」部分中的「思科全球支援聯絡人」頁面聯絡CIsco支援。

732smc:/lancope/admin# rm -i file 
rm: remove regular empty file 'file'? yes
732smc:/lancope/admin#

根據需要重複這些步驟。

裁切分散式資料庫(DDS) — 流量統計資訊

預設情況下，在DDS環境中，FlowCollector和SMC裝置會嘗試儲存儘可能多的每日旋轉流量資料。當達到磁碟使用限制時，系統首先開始刪除最舊的資料，以便為要儲存的新資料創造空間。

要檢視流量收集器資料庫統計資訊，請登入到FlowCollector Admin UI，然後選擇Support > Database Storage Statistics。

Database Storage Statistics 資料庫儲存統計資訊

該圖顯示，攝入的流詳細資訊（netflow資料）平均每天約204.65MB，此流量收集器儲存的資料約為58.5GB。
該圖顯示，接收流介面詳細資訊（介面特定統計資訊）平均每天約為137MB，並且此流量收集器儲存了大約1.1GB的資料。
該圖顯示，總流量資料平均每天約為342.53 MB，此流量收集器儲存的總資料量約為60 GB。
如果希望將資料庫縮小到總儲存資料的大約20G，將其除以每天平均0.35G（等於57）。

ummary_retention_days 要將資料庫總大小減小為約20Gb，請將s值更改為57。接下來，導航到Support > Advanced Settings . Findsummary_retention_days，然後將其更改為所需的值。

summary_retention_days

接下來，在清單底部新增一個新選項。Add New Option值為strict_retention_days ，且Option Value值設為1，如下圖所示。按一下新增strict_retention_days。這將通知引擎僅保留在中宣告的天數ummary_retention_days。

strict_retention_days

將更改為4summary_retention_days並新增新的選項值後，按Apply 頁面底部的。

如果升級的這些步驟，請在升級完成後刪除該值，以返回以儘可能長時間地保留資料strict_retention_days。

裁切分散式資料庫(DDS) — 流介面詳細資訊

1.以adminuser身份登入Stealthwatch案頭客戶端。

2.在企業樹中找到FlowCollector。按一下加號(+)以展開容器。

3.右鍵單擊所需的FlowCollector。選擇Configuration > Properties。

4.在FlowCollector屬性對話方塊中，按一下Advanced。

5.選擇該Store flow interface data欄位。將限制設為最多15 天或30 天。

6.單擊OK。

增加磁碟空間(僅限虛擬裝置)

關閉虛擬機器電源，並增大從虛擬機器監控程式分配給VM的磁碟大小。額外的磁碟空間分配給/lancope/var/分割槽。

要使Stealthwatch在重新啟動後佔用此未分配的磁碟空間，可能需要執行其他步驟，請檢視虛擬機器版的「Data Storage（資料儲存）」指南，瞭解所需的磁碟大小。

根(/)分割槽大小是靜態的，無法調整。需要在安裝期間對根分割槽較大的版本進行全新安裝。