Consejos y trucos: eliminación de logs basada en el tiempo

Consejos y trucos: eliminación de logs basada en el tiempo

77909
Created On 09/25/18 18:59 PM - Last Modified 06/07/23 17:36 PM


Resolution


Pre 7,0. PAN-OS tenía una lógica de purga que se comprobó con la cuota logdb y el tamaño de cuota predefinido para los informes. Si se alcanzó la cuota, los registros más antiguos se eliminaron hasta que se alcanzó el tamaño de cuota configurado para el tipo de registro dado.

 

Con esta nueva característica, para logdb e informes, agregamos una función de purga usando ' Max Days '.  Esto le permite configurar un período de edad para cada tipo de registro y todos los informes.

 

Puede encontrar esta configuración en la ficha dispositivo/panorama > configuración > gestión > registro y configuración de informes > ficha almacenamiento de registros

 

2016-06 -01 _10-00 -10. pngMáximo días

Tenga en cuenta que el rango es entre 1-2000 días en todas las plataformas.  Agregar ningún valor equivale a ninguna expiración.

 

 

Para informes, encontrará esta configuración en la ficha dispositivo/panorama > configuración > administración > registro y configuración de informes > ficha exportar y reporting .

 

2016-06 -01 _10-10 -22. pngPeríodo de vencimiento del informe 

En el CLI, puede utilizar los siguientes comandos:

 

# set deviceconfig configuración de cuota de administración-registro de configuración-  <number of="" days=""></number>  vencimiento-período 

 

Tipo de registro = tráfico/amenaza/trsum/etc...

Número de días = 1-2000 (o predeterminado sin vencimiento)

 

# Set deviceconfig configuración del informe de administración-vencimiento-período<number of="" days=""></number>

 

Número de días = 1-2000 (o predeterminado sin vencimiento)

 

En la CLI, también puede verificar el período de caducidad y la retención actual mediante el siguiente comando:

 

> Mostrar sistema logdb-quota
 
Cuotas:
              sistema: 4,00%, 0,668 GB vencimiento-período: 0 días
              config: 4,00%, 0,668 GB vencimiento-período: 0 días
               alarma: 3,00%, 0,501 GB de caducidad-período: 0 días
             appstat: 4,00%, 0,668 GB vencimiento-período: 0 días
         Hip-informes: 1,00%, 0,167 GB vencimiento-período: 0 días
             tráfico: 32,00%, 5,342 GB vencimiento-período: 0 días
              amenaza: 16,00%, 2,671 GB período de caducidad: 0 días
               trsum: 7,00%, 1,169 GB vencimiento-período: 0 días
         hourlytrsum: 3,00%, 0,501 GB vencimiento-período: 0 días
          dailytrsum: 1,00%, 0,167 GB vencimiento-período: 0 días
         weeklytrsum: 1,00%, 0,167 GB vencimiento-período: 0 días
              URLs: 2,00%, 0,334 GB período de caducidad: 0 días
        hourlyurlsum: 1,00%, 0,167 GB vencimiento-período: 0 días
         dailyurlsum: 1,00%, 0,167 GB vencimiento-período: 0 días
        weeklyurlsum: 1,00%, 0,167 GB vencimiento-período: 0 días
               thsum: 2,00%, 0,334 GB vencimiento-período: 0 días
         hourlythsum: 1,00%, 0,167 GB vencimiento-período: 0 días
          dailythsum: 1,00%, 0,167 GB vencimiento-período: 0 días
         weeklythsum: 1,00%, 0,167 GB vencimiento-período: 0 días
              ID de usuario: 1,00%, 0,167 GB período de caducidad: 0 días
   Application-pcaps: 1,00%, 0,167 GB vencimiento-período: 0 días
             extpcap: 1,00%, 0,167 GB vencimiento-período: 0 días
  debug-Filter-pcaps: 1,00%, 0,167 GB caducidad-período: 0 días
            DLP-logs: 1,00%, 0,167 GB vencimiento-período: 0 días
            hipmatch: 3,00%, 0,501 GB vencimiento-período: 0 días
 
Uso del disco:
tráfico: troncos e índices: 2.8 g retención de corriente: 419 días
amenaza: registros e índices: 87M retención de corriente: 113 días
sistema: registros e índices: 179M retención de corriente: 603 días
config: logs e índices: 452M retención de corriente: 603 días
trsum: registros e índices: 1.2 g retención de corriente: 247 días
hourlytrsum: troncos e índices: 512 m de retención actual: 178 días
dailytrsum: logs e índices: 152M retención actual: 601 días
weeklytrsum: logs e índices: 98M retención actual: 597 días
thsum: logs e índices: 333M retención actual: 453 días
hourlythsum: logs e índices: 166M retención actual: 488 días
dailythsum: logs e índices: 22M retención actual: 600 días
weeklythsum: troncos e índices: 4.4 m retención actual: 597 días
appstatdb: troncos e índices: retención actual de 64m: 603 días
ID de usuario: logs e índices: 292K retención de corriente: 603 días
hipmatch: logs e índices: 28K retención de corriente: 0 días
extpcap: troncos e índices: 8.1 m retención actual: 561 días
URLs: logs e índices: 124M retención de corriente: 342 días
hourlyurlsum: logs e índices: 32M retención actual: 342 días
dailyurlsum: troncos e índices: 5.6 m retención de corriente: 341 días
 

 

"Período de caducidad: 0 días" significa que guardó el valor por defecto. Así que no hay vencimiento configurado.

"Retención actual: X días" significa que el registro disponible más antiguo es uno de X días atrás.  Todos los registros mayores de X días se purgan.

 

En caso de un downgrade a una versión más antigua de pan-os (por ejemplo, pan-os 6,1), el campo del período de caducidad se descartará para los registros y los informes.

 

Espero que este artículo te haya ayudado a entender esta característica.

 

Como siempre, damos la bienvenida a todas las opiniones, comentarios y preguntas en la sección de comentarios.

 

Kim

KIwi
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSJCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language