Sugerencia para la solución de problemas: se pierden los registros históricos en FortiAnalyzer

Hola amig@s ​👍, por si no me conocéis soy César Sánchez y hoy nos toca tratar con: ⤵️ Sugerencia para la solución de problemas: se pierden los registros históricos en FortiAnalyzer

 

Descripción

Este artículo describe cómo resolver la pérdida de registros históricos en Fortianalyzer debido al límite de cuota de ADOM.

Alcance

FortiAnalyzer

Investigación:

1) Verifique la utilización de la cuota de ADOM yendo a Ajustes del sistema -> Información de almacenamiento-> Haga doble clic en el ADOM que tiene el dispositivo –> aparecerá la siguiente ventana que muestra la utilización de Analytics & Archive además de la política de datos.

mrafat_0-1649325188989.png

2) Lo anterior también se puede observar a través de FAZ CLI emitiendo el comando:
[# diagnose log device ].

Observe el ‘% utilizado’ tanto para Analytics como para Archive si alcanzó el 85 % o más.

mrafat_1-1649325212430.png

3) En este escenario, FortiAnalyzer comenzará a eliminar registros antiguos para liberar espacio en el almacenamiento ADOM asignado para que pueda recibir los nuevos registros y eso puede resultar en recursos de CPU innecesarios que imponen Cuota con eliminación de registros y recortes de base de datos.

4) Verifique la tasa de registro recibida en el FortiAnalyzer emitiendo el siguiente comando:
# diagnosticar fortilogd logate (Monitoreo de la tasa de registro/seg en FortiAnalyzer)

últimos 5 segundos: 2329.6últimos 30 segundos: 2300,9, últimos 60 segundos: 2283,4.

5) Verifique el logro por dispositivo para verificar qué dispositivo está enviando una gran cantidad de registros que consumen mucho espacio en disco emitiendo el siguiente comando en la CLI de FortiAnalyzer:

# diag fortilogd lograte-device

Artículos relacionados  no se generan informes programados

Logs per second

Totals            Last Hour       Day      Week

     ————————————————-

    Device1_Serial:      200.00      5.30      2.10

    Device2_Serial:      1136.77     72.09     10.30

 

Soluciones.

Para evitar la pérdida de registros históricos debido a la cuota limitada de ADOM, siga los pasos a continuación:

1) Si hay suficiente almacenamiento en el disco duro, asigne una cuota adicional a los ADOM en la sección resaltada a continuación:

mrafat_2-1649325258193.png

 

2) Solo en el caso de FortiAnalyzer -VM, si no hay suficiente disco duro para asignar a ADOM, extienda el disco duro de la unidad.

3) Conocer el disco duro estimado que se necesita en función de la tasa de registro recibida y, en consecuencia, actualizar el disco duro.

4) Si no hay suficiente espacio y desea reducir el registro de un dispositivo específico que envía una gran cantidad de registros a FortiAnalyzer.

 

​🔧 Para terminar, felicitarte por haber llegado hasta el final de esta publicación. Esperamos que haya servido para solucionar tus problemas y que nos guardes en tus favoritos.
Si no logras dar con la solución a tu pregunta escribe en la search bar o contacta con nosotros en el cuadro de comentarios.
¡Hasta luego!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *