Wie man AlarmMeldung eliminiert: Log-Datenbank überSchreitet AlarmSchwelle

Wie man AlarmMeldung eliminiert: Log-Datenbank überSchreitet AlarmSchwelle

64805
Created On 09/25/18 20:40 PM - Last Modified 11/09/23 06:13 AM


Resolution


Symptom

Hier ein Beispiel für eine vollständige Alarmmeldung:

Die aktuelle Größe (57197 MB) der Traffic-Log-Datenbank überschreitet den Alarmschwellen Wert (90%) der zulässigen Gesamtgröße (63072 MB).

 

Problem

  • Protokolle werden gesäubert, wenn die Quoten Größe ausgeschöpft ist, weshalb es empfohlen wurde, die Gesamtquote auf ~ 90% der vollen Festplatte festzulegen. Es ist nicht erforderlich, Platz zu sparen, aber es wird empfohlen, die Leistung zu verbessern.
  • Protokolle werden gesäubert, um die Log-Datei so nah wie möglich zu halten. Wenn eine Partition auf 100MB gesetzt ist, werden die Protokolle nicht gesäubert, bis die Log-Datei 100% voll ist (100MB +). Die Verwendung kann über die Quote sein, weil die Indexierung Platz nimmt, aber Sie verwendet nicht den Säuberung-Mechanismus, wie das normale Protokoll schreibt. Wenn der Index stattfindet, aber keine neuen Protokolle hereinkommen, kann die Verwendung über die Quote, zum Beispiel über 100MB, liegen, bis der nächste Log geschrieben ist.  Sobald das nächste Protokoll geschrieben ist, wird das System genügend Protokolle und Indexdateien reinigen, um unter die Quote zu gelangen.
  • Wenn die Menge des angemeldeten Verkehrs größer ist als das, was die Firewall löschen kann, wird dieser Alarm erzeugt, wie oben erläutert.

 

Schalten Sie die Alarm Protokolle aus. Gehen Sie zu Device > Alarme, unter Log-Einstellung und deaktivieren Sie das Kontrollkästchen "Alarme aktivieren". Hinweis: damit wird das Problem nicht beseitigt.
Schritt-1. Png

Die andere Möglichkeit ist, die Speichergröße des Protokolls zu ändern. Gehen Sie zu Device > Setup > Management. Hinweis: Dies wird das Problem nicht angehen.
Step-2. PNG

 

Lösung

  1. Das Problem sind die Protokolle. Schauen Sie sich die Regel Protokollierungs Optionen an. Melden Sie sich nur am Sitzungs Ende an, nicht am Anfang und nicht am Anfang und am Ende. Verwenden Sie den Start erst bei der Fehlerbehebung, dann deaktivieren Sie ihn.
  2. Als nächstes schauen Sie sich alle Regeln an, die nicht benötigt werden, um den Verkehr zu protokollieren, wie DNS oder ICMP, oder irgendwelche Clean-up-Regeln oder andere, die nicht benötigt werden.
  3. Deaktivieren Sie die Protokollierung, wenn Sie nicht benötigt wird, was die Nachricht oben eliminiert.

 

Besitzer: ssastera
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClktCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language