Comment faire pour éliminer le message d'Alarme: base de données log dépasse la valeur seuil d'Alarme

Comment faire pour éliminer le message d'Alarme: base de données log dépasse la valeur seuil d'Alarme

64795
Created On 09/25/18 20:40 PM - Last Modified 11/09/23 06:13 AM


Resolution


Symptôme

Voici un exemple d'un message d'alarme complet:

La taille actuelle (57197 Mo) de la base de données du journal de trafic dépasse la valeur seuil d'alarme (90%) de la taille totale autorisée (63072 Mo).

 

Demande client

  • Les journaux sont purgés lorsque la taille du quota est épuisée, c'est pourquoi il a été recommandé de définir le quota global à ~ 90% du disque complet. Il n'est pas nécessaire d'économiser de l'espace, mais il est recommandé d'améliorer les performances.
  • Les journaux sont purgés pour garder le fichier journal le plus près possible de la totalité. Si une partition est réglée à 100 Mo, les journaux ne sont pas purgés jusqu'à ce que le fichier journal soit 100% complet (100 Mo +). L'utilisation peut être sur le quota car l'indexation prend de l'espace, mais il n'utilise pas le mécanisme de purge comme le journal normal écrit. Si l'index a lieu, mais pas de nouveaux journaux entrent, l'utilisation peut être sur le quota, par exemple plus de 100 Mo, jusqu'à ce que le journal suivant est écrit.  Une fois que le journal suivant est écrit, le système purgera suffisamment de journaux et de fichiers d'index pour obtenir en dessous du quota.
  • Si la quantité de trafic enregistrée est supérieure à ce que le pare-feu peut supprimer cette alarme sera généré, comme expliqué ci-dessus.

 

Éteignez les journaux d'alarme. Allez sur Device > alarmes, sous Configuration du journal et désactivez la case à cocher Activer les alarmes. Note: Ceci n'éliminera pas le problème.
étape-1. Png

L'autre option est de modifier la taille du stockage du journal. Allez à l'appareil > Setup > gestion. Note: Ceci ne traitera pas le problème.
Step-2. PNG

 

Résolution

  1. Le problème est les logs. Regardez les options de journalisation des règles. Log uniquement à la fin de la session, pas au début, et non pas au début et à la fin. Utilisez uniquement Start lors du dépannage, puis désactivez une fois terminé.
  2. Examinez ensuite toutes les règles qui ne sont pas nécessaires pour enregistrer le trafic, tels que DNS ou ICMP, ou toute règle de nettoyage ou d'autres qui ne sont pas nécessaires.
  3. Désactiver l'enregistrement Lorsqu'il n'est pas nécessaire, ce qui permettra d'éliminer le message ci-dessus.

 

propriétaire: ssastera
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClktCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language