ACC 选项卡缓慢生成更长的持续时间报告,如 7 天

ACC 选项卡缓慢生成更长的持续时间报告,如 7 天

15374
Created On 01/25/21 18:34 PM - Last Modified 11/05/21 02:07 AM


Symptom


  • ACC 当报告持续时间较长(如"持续 7 天"或"最后 30 天")时,选项卡需要 10 分钟或更长时间才能填充所有数据窗格
  • ACC 选项卡1天或1小时是非常快的-如少于1分钟

Environment


通常,此问题将在 firewall 具有较小硬盘驱动器的模型中观察到,例如:
  • PA-820
  • PA-850
  • PA-220
  • 所有帕诺斯

Cause


  • ACC 报告由摘要日志数据库填充。
  • 问题可能是, firewall 没有存储足够的历史摘要日志来填充 ACC 所选天数的报告。
  • 对于持续时间较长 ACC 的报告,如"最后 7 天"或"最后 7 个日历日"等, firewall 将首先尝试查询数据的较长时间框架摘要数据库。如果所选时间段的数据未完成,则将查询较小的间隔时间间隔摘要数据库以填补空白。
  • 在较小的时间框架数据库上生成的查询以填充较大的时间框架 ACC 报告,可以显著延长生成报告所需的时间。
 
  • 例如,从"显示系统日志配额"输出,并分析流量摘要日志的保留天数:
traffic: Logs and Indexes: 49G Current Retention: 14 days
threat: Logs and Indexes: 717M Current Retention: 65 days
system: Logs and Indexes: 1.6G Current Retention: 162 days
config: Logs and Indexes: 111M Current Retention: 84 days
alarm: Logs and Indexes: 40K Current Retention: 0 days
trsum: Logs and Indexes: 12G Current Retention: 22 days       <---- 15 minute traffic summary logs
hourlytrsum: Logs and Indexes: 4.9G Current Retention: 2 days <---- hourly traffic summary logs
dailytrsum: Logs and Indexes: 1.5G Current Retention: 5 days  <---- Daily traffic summary logs
weeklytrsum: Logs and Indexes: 1.5G Current Retention: 33 days
thsum: Logs and Indexes: 368M Current Retention: 65 days
hourlythsum: Logs and Indexes: 604M Current Retention: 65 days
dailythsum: Logs and Indexes: 153M Current Retention: 65 days
weeklythsum: Logs and Indexes: 102M Current Retention: 61 days
appstatdb: Logs and Indexes: 203M Current Retention: 84 days
userid: Logs and Indexes: 7.8M Current Retention: 76 days
iptag: Logs and Indexes: 36K Current Retention: 0 days
urlsum: Logs and Indexes: 5.0M Current Retention: 62 days
hourlyurlsum: Logs and Indexes: 1.2M Current Retention: 62 days
dailyurlsum: Logs and Indexes: 1.2M Current Retention: 62 days
weeklyurlsum: Logs and Indexes: 344K Current Retention: 61 days
gtp: Logs and Indexes: 36K Current Retention: 0 days
gtpsum: Logs and Indexes: 732K Current Retention: 0 days
auth: Logs and Indexes: 36K Current Retention: 0 days
sctp: Logs and Indexes: 36K Current Retention: 0 days
hourlysctpsum: Logs and Indexes: 8.0K Current Retention: 0 days
dailysctpsum: Logs and Indexes: 8.0K Current Retention: 0 days
weeklysctpsum: Logs and Indexes: 8.0K Current Retention: 0 days
decryption: Logs and Indexes: 324M Current Retention: 76 days
desum: Logs and Indexes: 320M Current Retention: 76 days
hourlydesum: Logs and Indexes: 8.0K Current Retention: 0 days
dailydesum: Logs and Indexes: 8.0K Current Retention: 0 days
weeklydesum: Logs and Indexes: 8.0K Current Retention: 0 days
globalprotect: Logs and Indexes: 238M Current Retention: 76 days
  • 使用上面的示例输出 - 如果 I 希望 ACC 生成"最后 7 天"的流量报告,最初 firewall 将查询仅存储 5 天日志保留的每日流量摘要或"每日记录"数据库。因此,要填充剩余两天的信息, firewall 将查询来自较小的时间间隔"小时工"或小时流量汇总数据库的数据。由于每小时只有2天的流量汇总数据, firewall 因此需要查询15分钟的流量汇总数据库或"trsum"。

Resolution


  • 要加快 ACC 选项卡报告生成,请确保保留的每日摘要日志天数多于用于查询 ACC 选项卡的时间段。
  • 可能需要增加设备 -> -> 管理>中的存储分配,以便保留更多历史记录。  NOTE 增加某些数据库中的日志存储将意味着减少其他数据库中的保留。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCbPCAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language