proceso de enrollado y recorte de troncos

Hola amig@s 👋, para los que nos os acordéis de mí soy Mila Jiménez y hoy os voy a ayudar con: 🔽 proceso de enrollado y recorte de troncos

Descripción
El FortiAnalyzer permite registrar eventos del sistema en el disco.

es posible controlar el ‘tamaño del archivo de registro del dispositivo’ y el uso del espacio en disco de la unidad FortiAnalyzer mediante la configuración de la rotación de registros.

Solución
Introducción.

Cada vez que ingresan nuevos registros en FortiAanalyzer, el tipo de registro se determina a partir de su encabezado y, dependiendo de eso, se guarda en los archivos respectivos en el disco.

Ejemplo ‘e.log’,’ t.log’.

Es posible ver en:
LogView -> Explorar registro.

Estos archivos en el disco se denominan ‘archivo’.
Los demonios de SQL seleccionan el registro que se acaba de guardar en el archivo y lo insertan en la base de datos de registros.
Estos registros en la base de datos se conocen como registro ‘analítico’.

Los archivos de registro (‘e.log’, ‘t.log’) se transfieren según la configuración realizada en:
Configuración del sistema -> Avanzado -> Configuración de registro del dispositivo y rollo de archivo de registro cuando el tamaño excede -> Valor.

Cuando un archivo de registro alcanza su tamaño máximo configurado, FortiAnalyzer transfiere el archivo de registro activo cambiando el nombre del archivo.
El nombre del archivo tiene el formato xlog.N.log, donde x es una letra que indica el tipo de registro y N es un número único. correspondiente a la hora en que se recibió la primera entrada de registro ejemplo: ‘elog.1611593395.log.gz’.

Eliminación automática.

Los registros y archivos se eliminan automáticamente de la unidad FortiAnalyzer de acuerdo con la siguiente configuración:

Global: la configuración de administración de archivos de eliminación automática de archivos especifica cuándo eliminar los registros de archivo, los archivos en cuarentena, los informes y los archivos archivados más antiguos de los discos, independientemente de la configuración de almacenamiento de registros.
Política de datos: las políticas de datos especifican cuánto tiempo almacenar análisis y archivar registros para cada unidad. Cuando vence el período de tiempo especificado, los registros de archivo del dispositivo se eliminan automáticamente de los discos de la unidad FortiAnalyzer.
Utilización del disco: la configuración de utilización del disco elimina los registros de archivo más antiguos de cada unidad cuando se llena el espacio de disco asignado. El espacio en disco asignado está definido por el almacenamiento de registro.

Artículos relacionados  SAML SSO: configuración con Okta

Porcentaje configurado.


Es posible ejecutar este comando para verificar esa unidad y la cuota de disco ADOM

weepy-fmg-esx41 # dispositivo de registro de diagnóstico
Nombre del dispositivo ID del dispositivo Espacio utilizado (registros/cuarentena/contenido/IPS) % de espacio utilizado asignado
Total: 0 dispositivos de registro, utilizados = 0,0 KB cuota = ilimitada
Base de datos de registros de tipo AdomName AdomOID
[Retention   Quota      Used(    logs/quaranti/ content/     IPS) Used%] [Retention   Quota      Used(  SiemDB/  hcache) Used%]
FortiAnalyzer 128 FAZ 365 días 300,0 MB 0,0 KB (0,0 KB/ 0,0 KB/ 0,0 KB/ 0,0 KB) 0,0 % 60 días 700,0 MB 0,0 KB (0,0 KB/ 0,0 KB) 0,0 %
FortiAuthenticator 144 FAC 365 días 300,0 MB 0,0 KB (0,0 KB/ 0,0 KB/ 0,0 KB/ 0,0 KB) 0,0 % 60 días 700,0 MB 0,0 KB (0,0 KB/ 0,0 KB) 0,0 %
FortiClient 134 FCT 365 días 300,0 MB 0,0 KB (0,0 KB/ 0,0 KB/ 0,0 KB/ 0,0 KB) 0,0 % 60 días 700,0 MB 0,0 KB (0,0 KB/ 0,0 KB) 0,0 %
Dispositivos_no_gestionados 148 FSF 365 días 300,0 MB 0,0 KB( 0,0 KB/ 0,0 KB/ 0,0 KB/ 0,0 KB) 0,0 % 60 días 700,0 MB 0,0 KB ( 0,0 KB/ 0,0 KB) 0,0 %
fgg 194 FGT 365 días ilimitado 0.0KB( 0.0KB/ 0.0KB/ 0.0KB/ 0.0KB) n/a 60 días ilimitado 0.0KB( 0.0KB/ 0.0KB) n/a
raíz 3 FSF 365 días 15,0 GB 0,0 KB (0,0 KB/ 0,0 KB/ 0,0 KB/ 0,0 KB) 0,0 % 60 días 35,0 GB 1,8 MB (0,0 KB/ 0,0 KB) 0,0 %
prueba 192 FCT 365 días ilimitado 0.0KB( 0.0KB/ 0.0KB/ 0.0KB/ 0.0KB) n/a 60 días ilimitado 0.0KB( 0.0KB/ 0.0KB) n/a
Uso total: 19 ADOM, registros = 0,0 KB base de datos = 690,1 MB (uso de ADOM: 1,8 MB + uso interno: 688,3 MB)

Resumen de cuota total:
*** Advertencia: ¡La cuota total asignada es mayor que la cuota total! ¡Compruebe la configuración de cuotas de ADOM!
Cuota total asignada % de asignación disponible
63,2 GB 65,6 GB 0,0 KB 103,8 %

Resumen de almacenamiento del sistema:
% de uso disponible total utilizado
78,2 GB 6,7 GB 71,5 GB 8,6 %

Espacio reservado: 15,0 GB (19,2 % del espacio total).

Resumen general del problema: Archive logs, donde muestra 1128 de 365.




Es probable que esto se deba a archivos de registro de unidades de lograte bajas (o tipos de registro de bajo volumen) que aún no han alcanzado el tamaño móvil configurado.
Los archivos de registro activos que aún se utilizan no se pueden eliminar, lo que impide la aplicación de la retención.

Artículos relacionados  no se generan informes programados

Si este es el caso, es necesario configurar la rotación diaria de los archivos de registro.

esto esta debajo Configuración del sistema -> Avanzado -> Configuración de registro del dispositivo y ‘transmitir archivos de registro a la hora programada’.


Enrolle los troncos cuando alcancen un tamaño específico.

Utilice los siguientes comandos CLI para especificar el tamaño, en MB, en el que se transfiere un archivo de registro.
Para enrollar troncos cuando alcanzan un tamaño específico:

# configurar los ajustes de registro del sistema
# config rodando-regular

establecer tamaño de archivo
final

Rollo de troncos en un horario.

Utilice los siguientes comandos de CLI para configurar registros continuos en un horario establecido, o nunca.

Para deshabilitar el registro rodante.

# configurar los ajustes de registro del sistema
# config rodando-regular

establecer cuando ninguno
final

Para habilitar el balanceo diario de registros.

# configurar los ajustes de registro del sistema
# config rodando-regular

establecer carga habilitar
establecer cuando diariamente
establecer hora
establecer mínimo
final

Si la configuración de rotación diaria está deshabilitada, FortiAnalyzer esperará hasta que los archivos alcancen el tamaño especificado antes de rodarlos.

Habilitar ‘Transferir archivos de registro a la hora programada’ transferirá estos archivos antiguos, pero no se eliminarán automáticamente hasta que su fecha ‘Hasta’ tenga 365 días de antigüedad.

Cuando los registros de la unidad son más antiguos que la configuración Mantener registros para análisis, se eliminan automáticamente.

Además, cuando los registros analíticos exceden su cuota de disco, la base de datos SQL se recorta comenzando con las tablas de base de datos más antiguas.

Sección de solución de problemas:

# Informe tac exe
# Aplicación de depuración de diagnóstico registrada 255
# Habilitación de depuración de diagnóstico


Espere a que suceda el supuesto evento rodante.
Envíenos el registro del sistema de eventos.

# Diagnóstico de depuración deshabilitar

Envíanos la salida del # Comando de depuración diag.

⚙️ Para terminar, agradecerte por haber llegado hasta abajo de esta publicación. Esperamos que haya sido para solucionar tus problemas y que nos guardes en tus favoritos.
Si no puedes dar con la solución a tu duda utiliza la search bar o contacta con nosotros en los comentarios.
¡Hasta luego!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *