提示和技巧: 基于时间的日志删除

提示和技巧: 基于时间的日志删除

77913
Created On 09/25/18 18:59 PM - Last Modified 06/07/23 17:36 PM


Resolution


7.0 前。PAN OS 有一个清除逻辑, 它被检查的 logdb 配额和预定义的配额大小的报告。如果达到了配额, 则删除最旧的日志, 直到达到给定日志类型的配置配额大小。

 

使用此新功能, 对于 logdb 和报表, 我们使用 "最大天数" 添加了一个清除功能。这使您可以为每种日志类型和所有报表配置一个超时期限。

 

您可以在"设备/全景" 选项卡 >> 安装程序 > 管理 > 日志记录和报告设置中找到此设置 >> 日志存储选项卡

 

2016-06-01_10-00-10. png最大天数

请注意, 该范围在所有平台之间1-2000 天之间。 不添加任何值等于不过期。

 

 

对于报表, 您将在"设备/全景" 选项卡 >> 安装程序 > 管理 >> 记录和报告设置 > 日志导出和报告选项卡下找到此设置。

 

2016-06-01_10-10-22. png报告到期期间 

在 CLI 中, 可以使用以下命令:

 

#设置 deviceconfig 设置管理配额-设置日志-过期时间 <number of="" days=""></number>   

 

日志类型 = 通信量/威胁/trsum/等..。

天数 = 1-2000 (或默认为无过期)

 

# 设置 deviceconfig 设置管理报告-到期期<number of="" days=""></number>

 

天数 = 1-2000 (或默认为无过期)

 

在 CLI 中, 还可以使用以下命令验证过期期间和当前保留:

 

>> 显示系统 logdb-配额
 
配额:
              系统: 4.00%, 0.668 GB 过期时间: 0 天
              配置: 4.00%, 0.668 GB 过期时间: 0 天
               报警: 3.00%, 0.501 GB 过期时间: 0 天
             appstat: 4.00%, 0.668 GB 过期时间: 0 天
         髋关节报告: 1.00%, 0.167 GB 过期时间: 0 天
             流量: 32.00%, 5.342 GB 过期时间: 0 天
              威胁: 16.00%, 2.671 GB 过期时间: 0 天
               trsum: 7.00%, 1.169 GB 过期时间: 0 天
         hourlytrsum: 3.00%, 0.501 GB 过期时间: 0 天
          dailytrsum: 1.00%, 0.167 GB 过期时间: 0 天
         weeklytrsum: 1.00%, 0.167 GB 过期时间: 0 天
              urlsum: 2.00%, 0.334 GB 过期时间: 0 天
        hourlyurlsum: 1.00%, 0.167 GB 过期时间: 0 天
         dailyurlsum: 1.00%, 0.167 GB 过期时间: 0 天
        weeklyurlsum: 1.00%, 0.167 GB 过期时间: 0 天
               thsum: 2.00%, 0.334 GB 过期时间: 0 天
         hourlythsum: 1.00%, 0.167 GB 过期时间: 0 天
          dailythsum: 1.00%, 0.167 GB 过期时间: 0 天
         weeklythsum: 1.00%, 0.167 GB 过期时间: 0 天
              用户 id: 1.00%, 0.167 GB 过期时间: 0 天
   应用-pcaps: 1.00%, 0.167 GB 过期时间: 0 天
             extpcap: 1.00%, 0.167 GB 过期时间: 0 天
  调试-过滤器-pcaps: 1.00%, 0.167 GB 过期时间: 0 天
            dlp 日志: 1.00%, 0.167 GB 过期时间: 0 天
            hipmatch: 3.00%, 0.501 GB 过期时间: 0 天
 
磁盘使用情况:
流量: 日志和索引: 2.8G 当前保留时间: 419 天
威胁: 日志和索引: 87M 当前保留时间: 113 天
系统: 日志和索引: 179M 当前保留时间: 603 天
配置: 日志和索引: 452M 当前保留时间: 603 天
trsum: 日志和索引: 1.2G 当前保留时间: 247 天
hourlytrsum: 日志和索引: 512M 当前保留时间: 178 天
dailytrsum: 日志和索引: 152M 当前保留时间: 601 天
weeklytrsum: 日志和索引: 98M 当前保留时间: 597 天
thsum: 日志和索引: 333M 当前保留时间: 453 天
hourlythsum: 日志和索引: 166M 当前保留时间: 488 天
dailythsum: 日志和索引: 22M 当前保留时间: 600 天
weeklythsum: 日志和索引: 4.4M 当前保留时间: 597 天
appstatdb: 日志和索引: 64M 当前保留时间: 603 天
用户 id: 日志和索引: 292K 当前保留时间: 603 天
hipmatch: 日志和索引: 28K 当前保留时间: 0 天
extpcap: 日志和索引: 8.1M 当前保留时间: 561 天
urlsum: 日志和索引: 124M 当前保留时间: 342 天
hourlyurlsum: 日志和索引: 32M 当前保留时间: 342 天
dailyurlsum: 日志和索引: 5.6M 当前保留时间: 341 天
 

 

"到期期限: 0 天" 意味着您保留了默认值。因此, 没有配置过期。

"当前保留时间: x 天" 意味着最旧的可用日志是从 X 天前的。 所有超过 X 天的日志都将被清除。

 

如果降级为较旧的 pan os 版本 (例如, pan os 6.1), 则将丢弃日志和报表的 "到期时间" 字段。

 

我希望这篇文章能帮助你理解这个功能。

 

一如既往, 我们欢迎下面评论部分中的所有反馈、评论和问题。

 

猕猴桃
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSJCA0&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language