إدارة إستخدام نظام الملفات/الأقراص المحلية في تحليلات الشبكة الآمنة
المحتويات
المقدمة
يصف هذا المستند الخطوات العامة لتقليل إستخدام القرص المرتفع على أجهزة مدير تحليلات الشبكة الآمنة وجامع التدفق.
المتطلبات الأساسية
المتطلبات
ينطبق هذا المستند على عمليات نشر تحليلات الشبكة الآمنة بدون مخزن بيانات.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Secure Network Analytics Manager - v7.1+
- مجمع تدفق تحليلات الشبكة الآمنة - v7.1+
- مستشعر تدفق تحليلات الشبكة الآمنة - v7.1+
- مدير Secure Network Analytics UDP - v7.1+
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
هناك قسمان للمراقبة لاستخدام القرص، قسم الجذر (/) و /lancope/var.
يمثل قسم الجذر (/) موقع تخزين صورة kernel وبعض سجلات النظام، ويكون هذا عادة عبارة عن جزء أصغر حجما يبلغ 20 جيجا أو أقل. إن /lancope/var عبارة عن مجموعة وحدات تخزين وإنها موقع التخزين لمعظم بيانات النظام، لذلك فإنها تستهلك معظم مساحة القرص للجهاز.
تجميع البيانات
هناك مكانان يمكنك الحصول على معلومات إستخدام القرص، واجهة مستخدم ويب للمسؤول، وواجهة سطر الأوامر (CLI)
سطر الأوامر
من سطر الأوامر قم بتشغيل الأمر df -ah / /lancope/var ولاحظ المسافات بين (/) و /lancope/var.
732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var 732smc:/# يوضح الإخراج أن تحليل الجذر (/) هو 20 وحدة تسارع جاذبية، و 8.3g قيد الاستخدام وهو 46٪. كما يوضح الإخراج أن قسم /lancope/var هو 108G، وأن 23G قيد الاستخدام وهو 22٪.
واجهة مستخدم ويب
قم بتسجيل الدخول إلى واجهة مستخدم Admin المستندة إلى النموذج قيد البحث، والتمرير إلى أسفل الصفحة.
قائمة عناوين ويب UI للمسؤول:
- مدير تحليلات الشبكة الآمنة - https://<SMC-IP-أو-FQDN>/smc/index.html (يجب تسجيل الدخول إلى SMC قبل الوصول إلى عنوان URL هذا)
- مجمع تدفق تحليلات الشبكة الآمنة - https://<FC-IP-or-FQDN>/swa/index.html
- مستشعر تدفق تحليلات الشبكة الآمنة - https://<FS-IP-أو-FQDN>/fs/index.html
- مدير تحليلات الشبكة الآمنة UDP (وحدة إضافة التدفق) - https://<UDPD-IP-أو-FQDN>/fr/index.html
إذا كان القسم لديه إستخدام عال أكبر من أو يساوي 75٪ يتم تمييز القسم.
مسح مساحة القرص
إذا لم تكن متأكدا من الملفات الآمنة التي يمكن حذفها، فافتح حالة TAC أو اتصل بدعم CIsco من خلال صفحة جهات اتصال الدعم العالمية من Cisco في قسم المعلومات ذات الصلة في نهاية هذا المستند.
سجلات النظام
أحد أسرع الطرق لاسترداد مساحة كبيرة على القرص هي مسح سجلات اليومية باستخدام journalctl --vacuum-time 1d الأمر. لاحظ الواصلة المزدوجة — قبل كلمة "فراغ".
732smc:/# journalctl --vacuum-time 1d Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa /user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M). <the above line repeats for each file deleted> Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa. 732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var 732smc:/# تم إسترداد حوالي 4G من مساحة القرص من هذه الخطوات مما أدى إلى انخفاض في إستخدام القرص من 22٪ إلى 18٪ على قسم /lancope/var.
هناك موقع آخر لإدخالات سجل دفتر اليومية وهو /lancope/var/logs/journal الدليل الذي يمكن أيضا مسحه باستخدام journalctl --vacuum-time 1d -D /lancope/var/logs/journal/ الأمر.
732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/ Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M). <the above line repeats for each file deleted> Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa. 732smc:~# الملفات الموجودة في الأدلة المدرجة تكون آمنة بشكل عام للحذف:
/lancope/var/tcpdump /lancope/var/tomcat/logs /lancope/var/tmp /lancope/var/admin/tmp/يوصى بالبدء إما في دليل الجذر (/) أو دليل /lancope/var، أي قسم قمت بتحديده في واجهة مستخدم ويب التي تحتوي على إستخدام كبير للقرص. قم بتغيير الدليل الحالي باستخدام cd / الأمر.
قم بتشغيل du -xah --max-depth=1 | sort -hr الأمر لتحديد أكبر مستهلكي مساحة القرص للدليل الحالي. لاحظ الواصلة المزدوجة — قبل أقصى عمق.
يوضح الإخراج أن قسم الجذر (/) به مساحة قرص تبلغ 8.3 جيجا قيد الاستخدام، مع 5.5 جرام من مساحة القرص المستخدمة في دليل /lancope، متبوعا بدليل /usr مع 1.5G من الاستخدام.
لا يتطلب إستخدام الأمر | head -n4 in ويتم إستخدامه في المثال لتحديد النتائج التي تم إرجاعها.
732smc:~# cd / 732smc:/# du -xah --max-depth=1 | sort -hr | head -n4 8.3G . 5.5G ./lancope 1.5G ./usr 1.3G ./opt 732smc:/# قم بتغيير الدليل إلى /lancope باستخدام cd lancope/ الأمر وأعد إصدار الأمر du باستخدام !du الأمر. يعرض هذا الآن خصائص 5.5G المستخدمة في الدليل /lancope/، و 5.1G في دليل المسؤول. قم بتغيير الأدلة الحالية إلى الدليل محل السؤال باستخدام cd الأمر.
732smc:/# cd lancope/ 732smc:/lancope# !du du -xah --max-depth=1 | sort -hr | head -n4 5.5G . 5.1G ./admin 212M ./services 59M ./mongodb 732smc:/lancope# بمجرد أن تقوم بتعريف الملفات التي يمكن حذفها، يمكنك القيام بذلك باستخدام rm -i <filename> الأمر. إذا لم تكن متأكدا من الملفات الآمنة التي يمكن حذفها، فافتح حالة TAC أو اتصل بدعم CIsco من خلال صفحة جهات اتصال الدعم العالمية من Cisco في قسم المعلومات ذات الصلة في نهاية هذا المستند.
732smc:/lancope/admin# rm -i file rm: remove regular empty file 'file'? yes 732smc:/lancope/admin# قم بتكرار هذه الخطوات حسب الحاجة.
اقتطاع قاعدة البيانات الموزعة (DDS) - حالات التدفق
اقتطاع قاعدة البيانات الموزعة (DDS) - حالات التدفقبشكل افتراضي، في بيئة DDS، تحاول أجهزة FlowCollector و SMC تخزين أكبر قدر ممكن من بيانات التدفق التي يتم تدويرها بشكل يومي. عند الوصول إلى حدود إستخدام القرص، يبدأ النظام في حذف البيانات الأقدم أولا لإنشاء مساحة لحفظ البيانات الجديدة.
لعرض إحصائيات قاعدة بيانات مجمع التدفق، قم بتسجيل الدخول إلى واجهة مستخدم FlowCollector Admin ثم حدد Support > Database Storage Statistics .
- توضح الصورة أن متوسط تفاصيل التدفق المهتزة (بيانات NetFlow) يبلغ 204.65 ميجابايت تقريبا في اليوم وأن مجمع التدفق هذا يحتوي على نحو 58.5 جيجابايت من البيانات المخزنة.
- توضح الصورة أن متوسط تفاصيل واجهة التدفق المهتزة (إحصائيات محددة للواجهة) يبلغ 137 ميجابايت في اليوم ويحتوي مجمع التدفق هذا على نحو 1.1 جيجابايت من البيانات المخزنة.
- توضح الصورة أن إجمالي بيانات التدفق يبلغ متوسط سعة 342.53 ميجابايت تقريبا يوميا ويضم مجمع التدفق هذا نحو 60 جيجابايت من إجمالي البيانات المخزنة.
- إذا كنت ترغب في تقسيم قاعدة البيانات إلى أسفل بحيث يكون لديك حوالي 20 جيجا من إجمالي البيانات المخزنة، فقم بقسمة هذا على المتوسط اليومي ل 35 جيجا الذي يساوي 57.
لتقليل قاعدة البيانات بحيث يبلغ الحجم الإجمالي حوالي 20 جيجابايت، قم بتغيير قيمة summary_retention_days إلى 57. بعد ذلك، انتقل إلى Support > Advanced Settings . بحث وتغيير هذاsummary_retention_days إلى القيمة المطلوبة.
بعد ذلك، قم بإضافة خيار جديد في أسفل القائمة. يتمAdd New Option تعيين القيمة strict_retention_days وOption Valueالقيمة على 1 كما هو موضح في الصورة. انقر فوق إضافة (Add). هذا strict_retention_days يقول للمحرك أن يحتفظ فقط بعدد الأيام المعلن عنها في summary_retention_days .
STRICT_RETENTION_DAYS
بمجرد أن أقوم بتغيير summary_retention_days قيمة الخيار إلى 4 وأضفها، اضغط Apply أسفل الصفحة.
إذا كانت هذه الخطوات للترقية، فقم بحذف strict_retention_days القيمة بمجرد اكتمال الترقية للعودة إلى الاحتفاظ بالبيانات لأطول فترة ممكنة.
اقتطاع قاعدة البيانات الموزعة (DDS) - تفاصيل واجهة التدفق
اقتطاع قاعدة البيانات الموزعة (DDS) - تفاصيل واجهة التدفق1. سجل الدخول إلى عميل Stealthwatch لسطح المكتب كمستخدم admin.
2. حدد موقع FlowCollector في Enterprise Tree. انقر فوق علامة (+) الإضافة لتوسيع الحاوية.
3. انقر بزر الماوس الأيمن على FlowCollector المطلوب. تحديد Configuration > Properties.
4. في مربع الحوار خصائص FlowCollector ، انقر Advanced.
5. حدد Store flow interface dataالحقل. قم بتعيين الحد على ما يصل إلى 15 يوما أو 30 يوما.
6. انقر OK .
زيادة مساحة القرص (الأجهزة الظاهرية
زيادة مساحة القرص (الأجهزة الظاهرية
معلومات ذات صلة
معلومات ذات صلة محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
20-Oct-2022 |
الإصدار الأولي |
التعليقات