Wie der Festplattenplatz auf Holz Kollektoren verteilt wird
Symptom
Wohin geht der Raum?
A Log Collector wird mit 4 1TB-Festplattenpaaren bereitgestellt. Der GUI meldet 3,23 TB des Gesamtspeicherplatzes, der über ein Kontingent zugewiesen werden kann. Verschiedene CLI Befehle zeigen unterschiedliche Werte als .GUI Was ist hier los? Wie viel Platz haben Sie eigentlich für Protokolle?
Cause
Wie wird Platz zugewiesen?
Es gibt mehrere Faktoren, die beeinflussen, wie viel Speicherplatz auf einem Datenträger für Protokolle in Elasticsearch verwendet wird. Die folgende Grafik erklärt, wo der Platz geht, wenn ein Festplatten-oder Festplatten paar zu einem Log-Sammler hinzugefügt wird.
Resolution
Gesamtgröße
In diesem Beispiel wird einem Protokollsammler 1 TB Datenträger hinzugefügt. Von Anfang an zeigt sich eine Diskrepanz zwischen der Größe der Festplatte (1 TB) und dem Speicherplatz, den das Betriebssystem sieht (917 GB). Diese Diskrepanz ist auf einige Faktoren zurückzuführen:
- Dateisystem Overhead: Es gibt einige Overhead, die mit der Erstellung des Dateisystems auf der Festplatte verbunden sind, aber es ist ziemlich gering.
- 1000 vs. 1024 Bytes pro Kilobyte: Festplattenhersteller zählen 1000 Bytes pro Kilobyte, während das Betriebssystem 1024 Bytes pro Kilobyte verwendet. Das ist die größte Quelle für die Diskrepanz, die wir oben sehen. Sie haben immer noch die gleiche Anzahl an Bytes zur Verfügung, Festplattenhersteller zählen die Kilobyte einfach anders.
Logd formatierte Protokolle
Ein Drittel (~ 33%) des verfügbaren Speicherplatzes wird für logd-formatierte Protokolle bereitgestellt. Das protokollierte Format wurde vor der Einführung von Elasticsearch verwendet. Post 8,0, die logd-formatierten Protokolle werden gespeichert, um Upgrade und Herabstufung zu unterstützen. Für diese Protokolle werden keine Indizes generiert.
Elasticsearch
Zwei Drittel (66 %) des verfügbaren Speicherplatzes wird Elasticsearch zugewiesen. Die konfigurierten Quoten werden gegen diesen zugewiesenen Raum angewendet. In der obigen Grafik ist zu sehen, dass die Standardmäßigen Kontingentsprozentsätze auf die 66 % des gesamten Speicherplatzes angewendet werden, der Elasticsearch zugewiesen ist.
Überprüfen der Datenträgerauslastung auf dem CLI
So überprüfen Sie die Gesamtdatenträgernutzung:
> System Speicherplatz anzeigen
Dieser Befehl zeigt das PAN-OS Äquivalent zum Unix-Befehl 'df -h' an. Die Nutzungsstatistiken für jede Halterung sind enthalten. Die Holzscheiben sind auf/opt/panlogs/montiert:
Ein Blick auf die Spalte "Größe" für die Protokolldatenträger zeigt, dass das Betriebssystem die Festplatten aufgrund der Diskrepanz von 1000 gegenüber 1024 Bytes pro Kilobyte als 917 GB ansieht.
So überprüfen Sie die Verwendung durch Elasticsearch
> System Suche anzeigen-Motor-Quote
Dieser Befehl zeigt den Status der Festplattenzuordnung von Elasticsearch an (66 % der gesamten Datenträgergröße):
Um die Nutzung durch logd zu überprüfen
> System logdb-Quote anzeigen
Dieser Befehl zeigt den Raum, der für die Speicherung von logdb-formatierten Protokollen verwendet wird (33% der gesamten Festplattengröße):