データ保持
データ保持サービスは、空きディスク容量の割合が harvester データベースの parameter_descriptions 内の freeSpacePercentage 属性によって指定されたしきい値を超えた場合に、 から履歴データを削除します。 このしきい値(率)のデフォルト値は 10% です。 つまり、空きディスク容量の割合が 10% を下回った場合、データ保持サービスはデータの削除を開始し、最も古いデータから削除していきます。
nfa1000
データ保持サービスは、空きディスク容量の割合が harvester データベースの
parameter_descriptions
内の freeSpacePercentage
属性によって指定されたしきい値を超えた場合に、Network Flow Analysis
から履歴データを削除します。 このしきい値(率)のデフォルト値は 10% です。 つまり、空きディスク容量の割合が 10% を下回った場合、データ保持サービスはデータの削除を開始し、最も古いデータから削除していきます。削除サービスは毎分チェックを実行し、データの消去を開始すべきかどうかを判断します(ディスク容量が完全に消費されてしまうのを防ぐため)。 十分なディスク領域がある場合、
data_retention.datastores
テーブル内の「max」しきい値までデータを減らすための削除は毎日 1 回のみ発生します。 そのため、1 日の特定の期間においては 24 時間分を超える .nfa
ファイルが存在する場合があります。データ保持サービスにより、削除が必要と判断された場合、主に以下の 3 つのカテゴリのデータが削除対象として処理されます。
- NetFlow アーカイブ データ – “Raw” NetFlow データ、NetFlow テンプレート データ(.nfaおよび.ntaファイル)を含む。 このデータは通常 24 時間保持されます。
- Reaper アーカイブ データ - 1 分要約データ(archive データベース)。 このデータは通常 30 日間保持されます。
- 履歴アーカイブ データ - 15 分要約データ(archive15 データベース)。 このデータは通常 1 年間保持されます。
各削除では、それぞれ少し異なる方法でディスク容量を解放するために 3 つの試行が行われます。
- 最大まで削除 - データのタイプに基づいて、デフォルトのしきい値までデータを削除します(raw NetFlow の場合は 24 時間、1 分データの場合は 30 日間、15 分データの場合は 1 年間)。 このレベルまで削除して十分な空き容量が確保されたら、それ以外の削除は実行されません。
- 最小まで削除 - 最小空き容量しきい値を満たすまでデータを削除します(デフォルトは 10%)。 まず、最も古いデータから始め、このしきい値を満たすまでデータが削除されます。 このレベルまで削除して十分な空き容量が確保されたら、それ以外の削除は実行されません。 また、この削除レベルは段階的に実行されます。つまり、必要な空き容量が確保されたら、再度必要になるまで削除は停止されます。
- すべてのデータの削除 - 最小空き容量の削除よりも積極的に削除を試行します。 これにより、指定されたタイプのデータはすべて削除されます。これは最後の手段として使用します。
データ保持サービスは、さまざまな削除アクティビティを記録します。 しきい値を超える十分な空き容量を解放することができない場合、そのように記録され、次にスケジュールされた間隔で再度試行されます。
必要な履歴データの量を保持できない場合、ディスクのサイズを大きくするか、Harvester で受信している一部の NetFlow トラフィックを別の Harvester に再配分することを真剣に検討する必要がある。
詳細: