Hola amig@s 👋, para los que nos os acordéis de mí soy Mila Jiménez y hoy os voy a ayudar con: 🔽 proceso de enrollado y recorte de troncos
Descripción
El FortiAnalyzer permite registrar eventos del sistema en el disco.
es posible controlar el ‘tamaño del archivo de registro del dispositivo’ y el uso del espacio en disco de la unidad FortiAnalyzer mediante la configuración de la rotación de registros.
Solución
Introducción.
Cada vez que ingresan nuevos registros en FortiAanalyzer, el tipo de registro se determina a partir de su encabezado y, dependiendo de eso, se guarda en los archivos respectivos en el disco.
Ejemplo ‘e.log’,’ t.log’.
Es posible ver en:
LogView -> Explorar registro.
Estos archivos en el disco se denominan ‘archivo’.
Los demonios de SQL seleccionan el registro que se acaba de guardar en el archivo y lo insertan en la base de datos de registros.
Estos registros en la base de datos se conocen como registro ‘analítico’.
Los archivos de registro (‘e.log’, ‘t.log’) se transfieren según la configuración realizada en:
Configuración del sistema -> Avanzado -> Configuración de registro del dispositivo y rollo de archivo de registro cuando el tamaño excede -> Valor.
Cuando un archivo de registro alcanza su tamaño máximo configurado, FortiAnalyzer transfiere el archivo de registro activo cambiando el nombre del archivo.
El nombre del archivo tiene el formato xlog.N.log, donde x es una letra que indica el tipo de registro y N es un número único. correspondiente a la hora en que se recibió la primera entrada de registro ejemplo: ‘elog.1611593395.log.gz’.
Eliminación automática.
Los registros y archivos se eliminan automáticamente de la unidad FortiAnalyzer de acuerdo con la siguiente configuración:
– Global: la configuración de administración de archivos de eliminación automática de archivos especifica cuándo eliminar los registros de archivo, los archivos en cuarentena, los informes y los archivos archivados más antiguos de los discos, independientemente de la configuración de almacenamiento de registros.
– Política de datos: las políticas de datos especifican cuánto tiempo almacenar análisis y archivar registros para cada unidad. Cuando vence el período de tiempo especificado, los registros de archivo del dispositivo se eliminan automáticamente de los discos de la unidad FortiAnalyzer.
– Utilización del disco: la configuración de utilización del disco elimina los registros de archivo más antiguos de cada unidad cuando se llena el espacio de disco asignado. El espacio en disco asignado está definido por el almacenamiento de registro.
Porcentaje configurado.

weepy-fmg-esx41 # dispositivo de registro de diagnóstico
Nombre del dispositivo ID del dispositivo Espacio utilizado (registros/cuarentena/contenido/IPS) % de espacio utilizado asignado
Total: 0 dispositivos de registro, utilizados = 0,0 KB cuota = ilimitada
Base de datos de registros de tipo AdomName AdomOID
[Retention Quota Used( logs/quaranti/ content/ IPS) Used%] [Retention Quota Used( SiemDB/ hcache) Used%]
FortiAnalyzer 128 FAZ 365 días 300,0 MB 0,0 KB (0,0 KB/ 0,0 KB/ 0,0 KB/ 0,0 KB) 0,0 % 60 días 700,0 MB 0,0 KB (0,0 KB/ 0,0 KB) 0,0 %
FortiAuthenticator 144 FAC 365 días 300,0 MB 0,0 KB (0,0 KB/ 0,0 KB/ 0,0 KB/ 0,0 KB) 0,0 % 60 días 700,0 MB 0,0 KB (0,0 KB/ 0,0 KB) 0,0 %
FortiClient 134 FCT 365 días 300,0 MB 0,0 KB (0,0 KB/ 0,0 KB/ 0,0 KB/ 0,0 KB) 0,0 % 60 días 700,0 MB 0,0 KB (0,0 KB/ 0,0 KB) 0,0 %
Dispositivos_no_gestionados 148 FSF 365 días 300,0 MB 0,0 KB( 0,0 KB/ 0,0 KB/ 0,0 KB/ 0,0 KB) 0,0 % 60 días 700,0 MB 0,0 KB ( 0,0 KB/ 0,0 KB) 0,0 %
fgg 194 FGT 365 días ilimitado 0.0KB( 0.0KB/ 0.0KB/ 0.0KB/ 0.0KB) n/a 60 días ilimitado 0.0KB( 0.0KB/ 0.0KB) n/a
raíz 3 FSF 365 días 15,0 GB 0,0 KB (0,0 KB/ 0,0 KB/ 0,0 KB/ 0,0 KB) 0,0 % 60 días 35,0 GB 1,8 MB (0,0 KB/ 0,0 KB) 0,0 %
prueba 192 FCT 365 días ilimitado 0.0KB( 0.0KB/ 0.0KB/ 0.0KB/ 0.0KB) n/a 60 días ilimitado 0.0KB( 0.0KB/ 0.0KB) n/a
Uso total: 19 ADOM, registros = 0,0 KB base de datos = 690,1 MB (uso de ADOM: 1,8 MB + uso interno: 688,3 MB)Resumen de cuota total:
*** Advertencia: ¡La cuota total asignada es mayor que la cuota total! ¡Compruebe la configuración de cuotas de ADOM!
Cuota total asignada % de asignación disponible
63,2 GB 65,6 GB 0,0 KB 103,8 %Resumen de almacenamiento del sistema:
% de uso disponible total utilizado
78,2 GB 6,7 GB 71,5 GB 8,6 %Espacio reservado: 15,0 GB (19,2 % del espacio total).
Resumen general del problema: Archive logs, donde muestra 1128 de 365.

Los archivos de registro activos que aún se utilizan no se pueden eliminar, lo que impide la aplicación de la retención.
Si este es el caso, es necesario configurar la rotación diaria de los archivos de registro.

Utilice los siguientes comandos CLI para especificar el tamaño, en MB, en el que se transfiere un archivo de registro.
Para enrollar troncos cuando alcanzan un tamaño específico:
# configurar los ajustes de registro del sistema
# config rodando-regular
establecer tamaño de archivo
final
Rollo de troncos en un horario.
Utilice los siguientes comandos de CLI para configurar registros continuos en un horario establecido, o nunca.
Para deshabilitar el registro rodante.
# configurar los ajustes de registro del sistema
# config rodando-regular
establecer cuando ninguno
final
Para habilitar el balanceo diario de registros.
# configurar los ajustes de registro del sistema
# config rodando-regular
establecer carga habilitar
establecer cuando diariamente
establecer hora
establecer mínimo
final
Si la configuración de rotación diaria está deshabilitada, FortiAnalyzer esperará hasta que los archivos alcancen el tamaño especificado antes de rodarlos.
Habilitar ‘Transferir archivos de registro a la hora programada’ transferirá estos archivos antiguos, pero no se eliminarán automáticamente hasta que su fecha ‘Hasta’ tenga 365 días de antigüedad.
Cuando los registros de la unidad son más antiguos que la configuración Mantener registros para análisis, se eliminan automáticamente.
Sección de solución de problemas:
# Informe tac exe
# Aplicación de depuración de diagnóstico registrada 255
# Habilitación de depuración de diagnóstico
Espere a que suceda el supuesto evento rodante.
Envíenos el registro del sistema de eventos.
# Diagnóstico de depuración deshabilitar
Envíanos la salida del # Comando de depuración diag.
⚙️ Para terminar, agradecerte por haber llegado hasta abajo de esta publicación. Esperamos que haya sido para solucionar tus problemas y que nos guardes en tus favoritos.
Si no puedes dar con la solución a tu duda utiliza la search bar o contacta con nosotros en los comentarios.
¡Hasta luego!
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!