Écart de quota de base de données journaux entre Panorama l’interface Web et CLI

27714

Created On 05/02/19 09:13 AM - Last Modified 03/26/21 17:40 PM

Symptom

Dans Panorama l’interface Web, les journaux détaillés sont configurés à 60% par exemple 992 Go (onglet Collector Group > Log Storage).
NOTE: Cela peut être appliqué à n’importe quel firewall .

Cependant, les CLI montre que l’allocation est de 164 Go, ce qui est égal à 40 jours, après avoir exécuter la commande
suivante: > afficher le système logdb-quota
...

Slot:0
Quotas:
détaillé: 60.00%, 164 GB Période d’expiration: 0 jours
résumé: 30,00%, 82 GB Période d’expiration: 0
jours infra_audit: 5,00%, 14 GB Période d’expiration: 0 jours
plate-forme: 0,10%, 0 GB Période d’expiration: 0 jours
externe: 0,10%, 0 GB Période d’expiration: 0 jours

Environment

Tout ou Panorama firewall plate-forme après la mise à PAN-OS niveau vers 8.0+

Cause

PanoramaL’interface Web affiche une valeur différente de celle des journaux CLI firewall détaillés qui sont situés dans les paramètres de stockage du journal pour le collecteur. Ceci est causé par des calculs internes et non par une anomalie.

Nous avons deux implémentations log-db PAN-OS après 8.0. L’implémentation originale avec les données affichées log-db est basée sur VLD l’utilisation du disque. La nouvelle implémentation avec Elasticsearch a une façon différente d’afficher les résultats, et il est nécessaire de vérifier le VLD et Elasticsearch afin de voir des informations précises sur CLI .

En outre, les indices Elasticsearch sont purgés lorsque 88% du quota de disque est touché. Ceci est fait pour empêcher l’ensemble du disque d’être disponible.

Resolution

C'est le comportement attendu. Il fonctionne par conception, puisque ce changement a été ajouté après PAN-OS 8.0.

Dans PAN-OS 8.0, le quota (taille d’au-d’œète) doit être combiné avec des commandes lorsqu’il est vu à partir de la CLI .
> afficher le système logdb-quota
+ > le système de
recherche-moteur-quota

Additional Information