Verwalten der lokalen Dateisystem-/Festplattennutzung in sicheren Netzwerkanalysen

Download-Optionen

  • PDF     (653.6 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (516.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (267.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:20. Oktober 2022
Dokument-ID:218337

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden allgemeine Schritte zur Reduzierung der Festplattennutzung auf Secure Network Analytics Manager- und Flow Collector-Geräten beschrieben.

    Voraussetzungen

    Anforderungen

    Dieses Dokument gilt für Bereitstellungen von Secure Network Analytic ohne Datenspeicher.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Secure Network Analytics Manager - v7.1+
    • Secure Network Analytics FlowCollector - v7.1+
    • Secure Network Analytics Flow Sensor - v7.1+
    • Sichere Netzwerkanalysen UDP Director - v7.1+

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Es gibt zwei Partitionen, die auf die Festplattennutzung überwacht werden müssen: die Root-Partition (/) und die /lancope/var-Partition.

    Die Root-Partition (/) ist der Speicherort für das Kernel-Image und einige Systemprotokolle. Dies ist normalerweise eine kleinere Partition mit 20G oder weniger.  /lancope/var ist eine Volume-Gruppe und ist der Speicherort für die meisten Systemdaten, sodass der größte Teil des Festplattenspeichers für die Appliance belegt wird.

    Daten sammeln

    Es gibt zwei Stellen, an denen Sie Informationen zur Datenträgerverwendung abrufen können: die Admin-Webbenutzeroberfläche und die Befehlszeilenschnittstelle (Command Line Interface, CLI).

    Befehlszeile

    Führen Sie in der Befehlszeile df -ah / /lancope/var den Befehl aus, und beachten Sie die Leerzeichen zwischen (/) und /lancope/var.

    732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 23G 83G 22% /lancope/var 732smc:/#

    Die Ausgabe zeigt, dass die Root-Partition (/) 20 G beträgt und 8.3G verwendet wird, was 46 % beträgt. Die Ausgabe zeigt auch, dass die /lancope/var-Partition 108G ist und 23G verwendet wird, was 22% ist.

    Webbasierte Benutzeroberfläche

    Melden Sie sich je nach Modell bei der Admin-Benutzeroberfläche des Geräts an, und führen Sie einen Bildlauf nach unten durch.

    Liste der Webadressen der Admin-Benutzeroberfläche:

    • Secure Network Analytics Manager - https://<SMC-IP-OR-FQDN>/smc/index.html (Sie müssen sich beim SMC anmelden, bevor Sie auf diese URL zugreifen können)
    • Flow Collector für sichere Netzwerkanalysen: https://<FC-IP-OR-FQDN>/swa/index.html 
    • Secure Network Analytics Flow Sensor - https://<FS-IP-OR-FQDN>/fs/index.html 
    • Sichere Netzwerkanalysen - UDP Director (Flow Replicator) - https://<UDPD-IP-OR-FQDN>/fr/index.html  
      •

    Datenträgerverwendung

    Wenn die Partition eine hohe Auslastung von mindestens 75 % aufweist, wird die Partition hervorgehoben.

    Festplattenspeicher leeren

    Wenn Sie sich nicht sicher sind, welche Dateien sicher gelöscht werden können, öffnen Sie ein TAC-Ticket, oder wenden Sie sich an den Cisco Support über die Kontaktseite für den weltweiten Cisco Support im Abschnitt "Verwandte Informationen" am Ende dieses Dokuments.

    Systemprotokolle

    Eine der schnellsten Methoden zur Wiederherstellung eines beträchtlichen Speicherplatzes ist das Löschen von Journalprotokollen mit dem journalctl --vacuum-time 1d Befehl. Beachten Sie den doppelten Bindestrich vor dem Wort "Vakuum".

    732smc:/# journalctl --vacuum-time 1d Deleted archived journal /var/log/journal/639c60e1e407f646b5ed1751cde413fa /user-1000@db376b09011842d5b247f6d31de6c241-00000000004ec2a8-0005e7838ecf15cc.journal (8.0M). <the above line repeats for each file deleted> Vacuuming done, freed 3.9G of archived journals from /var/log/journal/639c60e1e407f646b5ed1751cde413fa. 732smc:/# df -ah / /lancope/var/ Filesystem Size Used Avail Use% Mounted on /dev/sda2 20G 8.3G 9.9G 46% / /dev/mapper/vg_lancope-_var 108G 19G 87G 18% /lancope/var 732smc:/#

    Etwa 4G Speicherplatz wurde aus diesen Schritten zurückgewonnen und führte zu einer Verringerung der Festplattennutzung von 22 % auf 18 % auf der /lancope/var-Partition.

    Ein weiterer Speicherort für Journalprotokolleinträge ist ein /lancope/var/logs/journal Verzeichnis, das ebenfalls mit dem journalctl --vacuum-time 1d -D /lancope/var/logs/journal/  Befehl gelöscht werden kann.

    732smc:~# journalctl --vacuum-time 1d -D /lancope/var/logs/journal/ Deleted archived journal /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa/system@23219d088500446b948e596db8f8d928-0000000000000001-000609a3f79f856d.journal (88.0M). <the above line repeats for each file deleted> Vacuuming done, freed 784.0M of archived journals from /lancope/var/logs/journal//639c60e1e407f646b5ed1751cde413fa. 732smc:~#

    Dateien in den aufgelisteten Verzeichnissen können im Allgemeinen sicher gelöscht werden:

    /lancope/var/tcpdump /lancope/var/tomcat/logs /lancope/var/tmp /lancope/var/admin/tmp/

    Es wird empfohlen, entweder im Stammverzeichnis (/) oder im Verzeichnis /lancope/var zu starten, je nachdem, welche Partition Sie in der Web-UI identifiziert haben, die eine hohe Datenträgerauslastung aufweist. Ändern Sie das aktuelle Verzeichnis mit dem cd / Befehl.

    Führen Sie den du -xah --max-depth=1 | sort -hr Befehl aus, um den größten Speicherplatzbedarf des aktuellen Verzeichnisses zu ermitteln. Beachten Sie den doppelten Bindestrich — vor der maximalen Tiefe.

    Die Ausgabe zeigt, dass die Root-Partition (/) 8,3 G Speicherplatz belegt, wobei 5,5 G Speicherplatz im Verzeichnis /lancope verwendet wird, gefolgt vom Verzeichnis /usr mit 1,5 G Nutzung.

    Die Verwendung des Befehls | head -n4 in ist nicht erforderlich und wird im Beispiel verwendet, um die zurückgegebenen Ergebnisse einzuschränken.

    732smc:~# cd / 732smc:/# du -xah --max-depth=1 | sort -hr | head -n4 8.3G . 5.5G ./lancope 1.5G ./usr 1.3G ./opt 732smc:/#

    Wechseln Sie mit dem cd lancope/  Befehl in das Verzeichnis /lancope, und geben Sie den Befehl du mit dem !du Befehl erneut aus. Dadurch wird nun angezeigt, dass von dem 5.5G, das im Verzeichnis /lancope/ verwendet wird, 5.1G im Admin-Verzeichnis vorhanden ist. Wechseln Sie mit dem Befehl die aktuellen Verzeichnisse in das entsprechende Verzeichniscd. 

    732smc:/# cd lancope/ 732smc:/lancope# !du du -xah --max-depth=1 | sort -hr | head -n4 5.5G . 5.1G ./admin 212M ./services 59M ./mongodb 732smc:/lancope#

    Sobald Sie Dateien identifizieren, die gelöscht werden können, können Sie dies mit dem rm -i <filename> Befehl tun. Wenn Sie sich nicht sicher sind, welche Dateien sicher gelöscht werden können, öffnen Sie ein TAC-Ticket, oder wenden Sie sich an den Cisco Support über die Kontaktseite für den weltweiten Cisco Support im Abschnitt "Verwandte Informationen" am Ende dieses Dokuments. 

    732smc:/lancope/admin# rm -i file rm: remove regular empty file 'file'? yes 732smc:/lancope/admin#

    Wiederholen Sie diese Schritte bei Bedarf.

    Zuschneiden der verteilten Datenbank (DDS) - Flow-Statistiken

    Standardmäßig versuchen die FlowCollector- und SMC-Appliances in der DDS-Umgebung, täglich so viele Flow-Daten wie möglich rotiert zu speichern. Wenn die Grenzwerte für die Festplattennutzung erreicht werden, beginnt das System, die ältesten Daten zuerst zu löschen, um Platz für neue zu speichernde Daten zu schaffen.

    Um die FlowCollector-Datenbankstatistiken anzuzeigen, melden Sie sich in der FlowCollector-Admin-Benutzeroberfläche an, und wählen Sie dann Support > Database Storage Statistics aus.

    Statistiken zum DatenbankspeicherStatistiken zum Datenbankspeicher

    • Das Bild zeigt, dass die aufgenommenen Flow-Details (Netflow-Daten) durchschnittlich etwa 204,65 MB pro Tag betragen und dieser Flow Collector etwa 58,5 GB Daten gespeichert hat.
    • Das Bild zeigt, dass die aufgenommenen Flow-Schnittstellendetails (schnittstellenspezifische Statistiken) durchschnittlich 137 MB pro Tag betragen und dieser Flow Collector etwa 1,1 GB Daten gespeichert hat.
    • Das Bild zeigt, dass die gesamten Flow-Daten durchschnittlich ca. 342,53 MB pro Tag betragen und dieser Flow Collector ca. 60 GB an gesamten Daten gespeichert hat.
    • Wenn Sie die Datenbank auf ca. 20G der gesamten gespeicherten Daten reduzieren möchten, teilen Sie diese durch den Tagesdurchschnitt von 0,35G auf, der 57 entspricht.
      •

    Um die Gesamtgröße der Datenbank auf ca. 20 GB zu reduzieren, ändern Sie den summary_retention_days-Wert auf 57. Navigieren Sie anschließend zu Support > Advanced Settings .  Suchensummary_retention_days, und ändern Sie den Wert in den gewünschten Wert. 

    Zusammenfassung_AufbewahrungstageZusammenfassung_Aufbewahrungstage

    Fügen Sie anschließend am Ende der Liste eine neue Option hinzu. Der Add New Option Wert ist strict_retention_days , und der Option Value Wert ist wie im Bild dargestellt auf 1 festgelegt. Klicken Sie auf Hinzufügen. Dies strict_retention_days weist die Engine an, nur die in summary_retention_days angegebene Anzahl von Tagen beizubehalten.

    strict_retention_daysstrict_retention_days

    Wenn Sie die Option summary_retention_days in 4 geändert und den neuen Optionswert hinzugefügt haben, drücken Sie Apply unten auf der Seite. 

    Wenn Sie diese Schritte für ein Upgrade ausführen, löschen Sie den strict_retention_days Wert nach Abschluss des Upgrades, um die Daten so lange wie möglich aufzubewahren.

    Zuschneiden der verteilten Datenbank (DDS) - Details der Datenflussschnittstelle

    1. Melden Sie sich bei Ihrem StealthWatch Desktop Client als der Administrator-Benutzer an.

    2. Suchen Sie den FlowCollector in der Enterprise-Struktur. Klicken Sie auf das Pluszeichen (+), um den Container zu erweitern.

    3. Klicken Sie mit der rechten Maustaste auf den gewünschten FlowCollector. Auswählen Configuration > Properties.

    4. Klicken Sie im Dialogfeld Eigenschaften von FlowCollector auf Advanced.

    5. Wählen Sie das Store flow interface dataFeld aus. Legen Sie den Grenzwert auf Bis zu 15 Tage oder 30 Tage fest.

    6. Klicken Sie auf OK .

    Mehr Speicherplatz (nur virtuelle Appliances)

    Schalten Sie das virtuelle System aus, und erhöhen Sie die dem virtuellen System über den Hypervisor zugewiesene Festplattengröße. Der zusätzliche Speicherplatz wird der /lancope/var/-Partition zugewiesen.

    Möglicherweise sind zusätzliche Schritte erforderlich, damit StealthWatch diesen nicht zugewiesenen Speicherplatz nach einem Neustart belegt. Lesen Sie die Datenspeicherung des Installationsleitfadens für Ihre Virtual Machine Edition nach, um die erforderliche Festplattengröße zu ermitteln.

    Die Größe der Stamm-Partition (/) ist statisch und kann nicht angepasst werden. Eine Neuinstallation auf eine Version mit einer größeren Root-Partition, die während der Installation erstellt wurde, ist erforderlich.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    20-Oct-2022
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Joshua Martin
      Cisco Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.