了解防火墙上的空闲内存与可用内存:监控的最佳实践

了解防火墙上的空闲内存与可用内存:监控的最佳实践

11547
Created On 08/27/24 05:01 AM - Last Modified 02/14/25 04:08 AM


Question


admin@Lab35-166-PA-3420> show system resources

top - 01:38:06 up 42 days, 22:53,  2 users,  load average: 13.37, 13.38, 13.54
Tasks: 340 total,  14 running, 325 sleeping,   0 stopped,   1 zombie
%Cpu(s): 87.5 us,  1.1 sy,  0.0 ni, 10.9 id,  0.0 wa,  0.4 hi,  0.0 si,  0.0 st
MiB Mem :  31402.7 total,    497.4 free,  23383.7 used,   7521.7 buff/cache
MiB Swap:      0.0 total,      0.0 free,      0.0 used.   4926.0 avail Mem
  1. Free Mem 和 Avail Mem 有什么区别?
  2. 为什么 Free Mem 的值低于 Avail Mem?
  3. 哪一个是建议在生产中使用的指标?
  4. avail Mem 是交换内存 (Swap Memory) 的一部分吗?
  5. 哪个SNMP MIB用于跟踪 Avail Mem?
  6. 我可以在哪里下载 PAN-COMMON- MIB?
  7. 哪个版本支持SNMP中的 avail Mem?
  8. 支持哪些平台?
  9. 为什么我从“显示系统资源”输出中获得的值与SNMP输出不同?
  10. 我已经通过SNMP实现了对可用内存的监视。现在,我该如何使用它?

Environment


  • 下一代防火墙

Answer


  1. 可用内存(497.4 MiB)
  • 这是指完全未被任何应用程序或操作系统使用的内存。它目前没有用于任何用途。
  • 监视未使用内存的传统方法。
可用内存(4926.0 MiB)
  • 可用内存包括空闲内存和操作系统当前用于缓存和缓冲的内存。如果需要,应用程序可以快速回收这些内存,即使它们当前正在使用中,也可以“可用”。
  • 监视未使用内存的最新方法
  1. 操作系统会将尽可能多的内存用于磁盘缓存等操作,以提高性能。从技术上讲,这些内存正在使用中,但并非专用于任何特定应用程序,因此可以在需要时快速提供。因此,可用内存较低,但可用内存较高,因为它包括这些缓冲区和缓存
  2. 可用内存可以更好地反映出新任务实际可用的内存量,因此建议使用该指标来跟踪防火墙的可用内存资源。
  1. 不,虽然命令的输出显示“avail Mem”与“Swap”一致,但请注意,值 4926.0 前面有一个句点,表示“Swap”和“avail Mem”之间的分隔。
swap.png
  1. [root@Lab35-166-PA-3420 mibs]# snmpwalk -v2c -c public localhost PAN-COMMON-MIB::panhrStorage          

----Snipped for Brevity-----

PAN-COMMON-MIB::panhrStorageAvailable.1010 = INTEGER: 0
PAN-COMMON-MIB::panhrStorageAvailable.1011 = INTEGER: 0
PAN-COMMON-MIB::panhrStorageAvailable.1012 = INTEGER: 0
PAN-COMMON-MIB::panhrStorageAvailable.1020 = INTEGER: 5043688
PAN-COMMON-MIB::panhrStorageAvailable.1030 = INTEGER: 0
PAN-COMMON-MIB::panhrStorageAvailable.1040 = INTEGER: 0
PAN-COMMON-MIB::panhrStorageAvailable.1041 = INTEGER: 0
PAN-COMMON-MIB::panhrStorageAvailable.1042 = INTEGER: 0
  2. 企业SNMP MIB文件
  3. PAN-OS 版本 11.1 及以上
  4. PA-400、PA-1400、PA-3400、PA-5400f 和 PA-5400
  5. 这是预料之中的, SNMP从 SDB 资源中获取其值,如下所示,而不是从“显示系统资源”的输出中获取其值
admin@Lab35-166-PA-3420> show system state filter resource.s1.mp.memory

resource.s1.mp.memory: { 'avail': 0x4cf5e8, 'size': 0x1eaaad0, 'units': 1024, 'used': 0x170d0f0, }
Although their respective value aren't identical, they are close.
  1. 您收集的历史数据应提供有关防火墙是否发生内存泄漏的第一手信息。 如果图表的趋势显示持续下降,并且您的流量在一段时间内保持稳定,则可能表明存在内存泄漏。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000PQYWCA4&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language