Comment faire pour résoudre CDL les problèmes de stockage des journaux approchant des limites
10738
Created On 08/16/22 03:42 AM - Last Modified 06/12/24 06:56 AM
Objective
- Calculez la capacité minimale requise pour CDL stocker tous les types de journaux en fonction de la durée de rétention souhaitée.
- Vérifiez que CDLle quota de journalisation de de est configuré.
Environment
- Cortex Lac de données
- Palo Alto (Palo Alto) Firewall
Procedure
- Déterminer si vous disposez de la capacité Data Lake appropriée Cortex
- Utilisez Data Lake Estimator, La suggestion est d’ajouter un peu plus de capacité de stockage en plus de la valeur obtenue à partir de Cortex Cortex Data Lake Estimator. Il s’agit d’éviter que l’AIOps ne déclenche prématurément une alerte une fois que la capacité de stockage atteint 85% (voir la section supplémentaire)
- Cortex La capacité du lac de données peut être augmentée pour garantir une rétention suffisante selon les besoins ; contactez l’équipe commerciale de Palo Alto Networks pour obtenir une licence complémentaire Data Lake supplémentaire Cortex si nécessaire.
- Configurez le quota de journaux comme prévu dans Cortex Data Lake, veuillez suivre Allouer le stockage en fonction du type de journal
Additional Information
- Supposons que Cortex Data Lake Estimator recommande une capacité de 1 To.
- Les AIOP déclenchent l’alerte une fois que 85 % de la capacité du disque est atteinte, soit 850 gigaoctets.
- Si l’on veut que l’AIOps déclenche une alerte uniquement lorsqu’elle atteint la valeur de 1 To, il faut faire 1 To 85% de la capacité totale.
- Par conséquent, le calcul sera de 1 To/0,85 = 1,17647 TBytes ou 1,18 To.
- Ainsi, le fait d’avoir une valeur supplémentaire de 0,18 To entraîne l’activation du déclencheur lorsque 1 To est atteint.