Conseils & astuces: suppression de log basée sur le temps

Pre 7,0. Pan-OS avait une logique de purge qui a été vérifiée par rapport au quota logdb et à la taille de quota prédéfinie pour les rapports. Si le quota a été atteint, les journaux les plus anciens ont été supprimés jusqu'à ce que nous ayons atteint la taille de quota configurée pour le type de journal donné.

Avec cette nouvelle fonctionnalité, pour logdb et les rapports, nous avons ajouté une fonction de purge en utilisant'Max Days'.  Cela vous permet de configurer une période d'âge pour chaque type de journal et tous les rapports.

Vous pouvez trouver ce paramètre sous l' onglet Device/panorama > Setup > Management > journalisation et création de rapports > onglet stockage du journal

Max Days

Notez que la plage est comprise entre 1-2000 jours sur toutes les plates-formes.  L'ajout d'aucune valeur n'équivaut à aucune expiration.

Pour les rapports, vous trouverez ce paramètre sous l' onglet Device/panorama > Setup > Management > journalisation et création de rapports > log Export and Reporting Tab.

Période d'Expiration du rapport 

Dans le CLI, vous pouvez utiliser les commandes suivantes:

# Set deviceconfig Setting Management quota-Settings log-expiration-  <number of="" days=""></number>  période 

Log type = trafic/menace/trsum/etc...

Nombre de jours = 1-2000 (ou par défaut sans expiration)

# Set deviceconfig Settings rapport de gestion-expiration-période<number of="" days=""></number>

Nombre de jours = 1-2000 (ou par défaut sans expiration)

Dans le CLI, vous pouvez également vérifier la période d'expiration et la rétention actuelle à l'Aide de la commande suivante:

> Show System logdb-quota
 
Quotas :
              système: 4,00%, 0,668 GB expiration-période: 0 jours
              config: 4,00%, 0,668 GB expiration-période: 0 jours
               alarme: 3,00%, 0,501 GB expiration-période: 0 jours
             appstat: 4,00%, 0,668 GB expiration-période: 0 jours
         Hip-rapports: 1,00%, 0,167 GB expiration-période: 0 jours
             trafic: 32,00%, 5,342 GB expiration-période: 0 jours
              menace: 16,00%, 2,671 GB expiration-période: 0 jours
               trsum: 7,00%, 1,169 GB expiration-période: 0 jours
         hourlytrsum: 3,00%, 0,501 GB expiration-période: 0 jours
          dailytrsum: 1,00%, 0,167 GB expiration-période: 0 jours
         weeklytrsum: 1,00%, 0,167 GB expiration-période: 0 jours
              URL: 2,00%, 0,334 GB expiration-période: 0 jours
        hourlyurlsum: 1,00%, 0,167 GB expiration-période: 0 jours
         dailyurlsum: 1,00%, 0,167 GB expiration-période: 0 jours
        weeklyurlsum: 1,00%, 0,167 GB expiration-période: 0 jours
               thsum: 2,00%, 0,334 GB expiration-période: 0 jours
         hourlythsum: 1,00%, 0,167 GB expiration-période: 0 jours
          dailythsum: 1,00%, 0,167 GB expiration-période: 0 jours
         weeklythsum: 1,00%, 0,167 GB expiration-période: 0 jours
              UserID: 1,00%, 0,167 GB expiration-période: 0 jours
   application-pcaps: 1,00%, 0,167 GB expiration-période: 0 jours
             extpcap: 1,00%, 0,167 GB expiration-période: 0 jours
  Debug-Filter-pcaps: 1,00%, 0,167 GB expiration-période: 0 jours
            DLP-logs: 1,00%, 0,167 GB expiration-période: 0 jours
            hipmatch: 3,00%, 0,501 GB expiration-période: 0 jours
 
Utilisation du disque:
trafic: logs et index: 2.8 g rétention actuelle: 419 jours
menace: logs et index: 87M rétention actuelle: 113 jours
système: logs et index: 179M rétention actuelle: 603 jours
config: logs et index: 452M rétention actuelle: 603 jours
trsum: logs et index: 1.2 g rétention actuelle: 247 jours
hourlytrsum: logs et index: 512M rétention actuelle: 178 jours
dailytrsum: logs et index: 152M rétention actuelle: 601 jours
weeklytrsum: logs et index: 98M rétention actuelle: 597 jours
thsum: logs et index: 333M rétention actuelle: 453 jours
hourlythsum: logs et index: 166M rétention actuelle: 488 jours
dailythsum: logs et index: 22m rétention actuelle: 600 jours
weeklythsum: logs et index: 4.4 m rétention actuelle: 597 jours
appstatdb: logs et index: 64M rétention actuelle: 603 jours
UserID: logs et index: 292K rétention actuelle: 603 jours
hipmatch: logs et index: 28K rétention actuelle: 0 jours
extpcap: logs et index: 8.1 m rétention actuelle: 561 jours
URL: logs et index: 124M rétention actuelle: 342 jours
hourlyurlsum: logs et index: 32m rétention actuelle: 342 jours
dailyurlsum: logs et index: 5.6 m rétention actuelle: 341 jours
 

"Expiration-période: 0 jours" signifie que vous avez conservé la valeur par défaut. Donc il n'y a pas d'expiration configuré.

"Rétention actuelle: x jours" signifie que le plus ancien journal disponible est un de x jours auparavant.  Tous les journaux de plus de X jours sont purgés.

Dans le cas d'un downgrade vers une version plus ancienne de Pan-OS (par exemple, Pan-OS 6,1), le champ période d'expiration sera rejeté pour les journaux et les rapports.

J'espère que cet article vous a aidé à comprendre cette fonctionnalité.

Comme toujours, nous saluons tous les commentaires, commentaires et questions dans la section commentaires ci-dessous.

Kim

KIwi