Cómo se asigna espacio en disco en los recopiladores de registros
Symptom
¿Dónde va el espacio?
A log collector se implementa con 4 pares de discos de 1 TB. Los GUI informes 3.23 TB del espacio total que se puede asignar a través de la cuota. Varios CLI comandos muestran valores diferentes de los GUIarchivos . ¿Qué está pasando aquí? ¿Cuánto espacio tienes realmente para los registros?
Cause
¿Cómo se asigna el espacio?
Hay varios factores que afectan a la cantidad de espacio en un disco que se utiliza para los registros en Elasticsearch. El gráfico siguiente explica dónde va el espacio cuando se agrega un disco o un par de discos a un recopilador de registros.
Resolution
Tamaño total
En este ejemplo, se agrega un disco 1 TB a un recopilador de registros. Desde el principio se puede ver una discrepancia entre el tamaño del disco (1 TB) y la cantidad de espacio que ve el sistema operativo (917 GB). Esta discrepancia se debe a un par de factores:
- Sobrecarga del sistema de archivos: hay algunos gastos generales asociados con la creación del sistema de archivos en el disco, pero es bastante menor.
- 1000 vs 1024 bytes por kilobyte: los fabricantes de unidades de disco duro cuentan 1000 bytes por kilobyte mientras que el sistema operativo utiliza 1024 bytes por kilobyte. Esta es la mayor fuente de la discrepancia que vemos arriba. Usted todavía tiene realmente el mismo número de bytes disponibles, los fabricantes de disco duro sólo cuentan los kilobytes de manera diferente.
Registros formateados logD
Un tercio (~ 33%) del espacio disponible en disco se asigna a registros con formato logD. El formato de registro es lo que se utilizó antes de la introducción de Elasticsearch. Post 8,0, los registros formateados logD se almacenan para soportar upgrade y downgrade solamente. No se generan índices para estos registros.
Elasticsearch
Dos tercios (~66%) del espacio en disco disponible es asignado para su uso por Elasticsearch. Las cuotas configuradas se aplican contra este espacio asignado. En el gráfico anterior se puede ver que los porcentajes de cuota predeterminados se aplican contra el 66% del espacio total en disco asignado a Elasticsearch.
Comprobando el uso del disco en el CLI
Para comprobar el uso general del disco:
> Mostrar sistema de espacio en disco
Este comando mostrará el PAN-OS equivalente al comando 'df -h' de Unix. Se incluyen las estadísticas de uso de cada montura. Los discos de registro se montan en/opt/panlogs/:
Al observar la columna 'Tamaño' para los discos de registro se muestra que el sistema operativo ve los discos como 917 GB debido a la discrepancia de 1000 frente a 1024 bytes por kilobyte.
Para comprobar el uso por Elasticsearch
> Mostrar sistema de búsqueda-motor-cuota
Este comando mostrará el estado de la asignación de disco de Elasticsearch (66% del tamaño total del disco):
Para comprobar el uso de logD
> Mostrar sistema logdb-quota
Este comando mostrará el espacio utilizado para almacenar registros con formato logdb (33% del tamaño total del disco):