从Check Point管理服务器和Juniper NSM收到越来越多的日志后,我们的Juniper STRM的空间不足。由于我的STRM 500仅具有约400G的存储能力,并且没有其他方法可以获取预算以将其升级到其他昂贵的型号,因此,我决定从此包装盒中手动存档一些较旧的数据。这些步骤非常简单,只需找出日志文件夹并将它们焦油,然后将它们移动到远程ssh服务器即可。

1.现状:

已使用88%的磁盘,它将停止接收来自源的日志和流。此外,一旦磁盘达到一定级别(大约92%),将无法生成报告。

[[电子邮件 protected] 〜]#df
文件系统          1K-blocks      已用可用使用%安装在
/ dev / sda2            20323232  14568560   4705628  76% /
/ dev / sda3            10169544   1970636   7673988  21% /var/log
/ dev / sda1              108865     30790     72454  30% /boot
tmpfs                 4091188         0   4091188  0% /dev/shm
/ dev / sda8           424837936 362963724  31193700  92% /store
/ dev / sda5            17263128    177164  16194896   2% /store/tmp

2.所有日志数据都存储在/ store / ariel / events文件夹中:

/ store / ariel / events 文件夹中有两个子目录有效负载和记录,用于存储所有日志数据。有效载荷是要发送到STRM的原始数据,记录是规范化数据,在解析原始数据后将其存储到STRM。

[[电子邮件 protected] 事件]#ls -l
总共16
  root   4096 Jan  1 00:01 md
  root   4096 Jan  1 00:00 有效载荷
  root   4096 Jan  1 00:00 记录
drwxr-xr-x 4无无无4096 Jan 2 01:04 uncompressedCache

在有效负载和记录文件夹中,日志都按年和月存储。
这是2014年下每个月的文件夹大小 有效载荷 夹:

以下是记录文件夹下2014年每个月的文件夹大小:

3.  将要存档的文件夹压缩并移动到远程ssh存储服务器:

cd / store / ariel / events / payload / 2014 
tar -zcvf /store/tmp/2014.1.payload.tar.gz 1 
cd / store / ariel / events / 记录 / 2014 
tar -zcvf /store/tmp/2014.1.records.tar.gz 1
du -hs 2014.1。*。tar.gz
观看du -hs 2014.1。*。tar.gz

4. SCP tar文件到远程站点

scp /store/tmp/2014.1.*.tar.gz [电子邮件 protected]:/数据/备份/瞻博网络

5.删除文件和文件夹

rm -rf /store/tmp/2014.1.*.tar.gz
rm -rf / store / ariel / events / 有效载荷 / 2014/1
rm -rf / store / ariel / events / 记录 / 2014/1

6.  Verify

[[电子邮件 protected] tmp]#df -k 
文件系统          1K-blocks      已用可用使用%安装在 
/ dev / sda2            20323232  14562300   4711888  76% / 
/ dev / sda3            10169544   1999120   7645504  21% /var/log 
/ dev / sda1              108865     30790     72454  30% /boot 
tmpfs                 4091188         0   4091188  0% /dev/shm 
/ dev / sda8           424837936 329588056  73669368  82% /store 
/ dev / sda5            17263128    658040  15714020   5% /store/tmp

通过 约翰

发表评论