読者です 読者をやめる 読者になる 読者になる

APC 技術ブログ

株式会社エーピーコミュニケーションズ 先進サービス開発部の公式ブログです。

株式会社 エーピーコミュニケーションズシステム基盤エンジニアリング事業部の公式ブログです。

【PALallax】特定の期間を経過したデータを削除する方法

PALallax PALallax-Tips Palo Alto Networks 自社製品

PALallaxで特定の期間を経過したデータを削除するには、”Curator ”というツールを使用します。

 

Curatorのインストール

PALallax Version 2.xでは、PALallaxインストール時に"curator "が同時にインストールされるので本手順は不要です。

 

Version 1.xをお使いの場合は以下のコマンドでインストールを行います。

 

# curl -kL https://bootstrap.pypa.io/get-pip.py | python
# pip install elasticsearch-curator

 

データベースからのデータ削除

以下のコマンドでデータを削除可能です。

以下の例では、30日より古いデータを削除しています。

# curator --host localhost delete indices --older-than 30 --timestring %Y%m%d --time-unit days --prefix palo

 

削除対象のデータベースは、Traffic、Threat、機器状態(SNMP-Get)のデータベースとなります。

データベースは種類ごとに以下のファイル名で保存されます。

上記コマンドのオプションで、"--prefix palo"としているため、プレフィックスに"palo"が含まれる全種類のデータベースが削除対象となります。

本オプションを変更することで、対象のデータベースを変更可能です。

 

■Traffic
 palo_syslog_log_001_traffic-yyyymmdd

■Threat
 palo_syslog_log_001_threat-yyyymmdd

■機器状態(SNMP-Get)
 palo_system_status_001-yyyymmdd

 

定期的に過去データを削除する場合は、スクリプトを作成し、cronなどで定期的に実行して下さい。

 


 

PALallaxに関するお問い合わせ、デモのご依頼は下記からお願いします。

 

www.ap-com.co.jp

 

www.ap-com.co.jp