monatliche LogServer Archive und logserver.sqlite >= 40GB?

Moderator: Securepoint

Gesperrt
Christian-ML
Beiträge: 5
Registriert: Di 19.06.2012, 12:25

monatliche LogServer Archive und logserver.sqlite >= 40GB?

Beitrag von Christian-ML »

Hallo,
ich hab ein Problem mit der Größe der LogServer Files.
Seit ca. Anfang März 13 wächsen die LogServer DBs im Archive Order von 2 - 2.5GB auf nun mehr 33 - 40GB.

...\Program Files (x86)\Security Operation Center\archive dort sind monatsweise DB-Files um 40GB, aktueller Monat sogar 2x 40GB
...\Program Files (x86)\Security Operation Center\bin\lc -> logserver.sqlite > 40GB

Es gab seit Anfang des Jahres an unseren drei FWs keine signifikanten Änderung (auch laut interner Doku nicht) und auch der Traffic den die Benutzer und Server produzieren ist nicht merklich gestiegen.
Wenn ich mir die historischen Logs anschaue, werden in 24h pro FW ca. 110.000 Einträge erzeugt, sind grob 6.8 Mio Einträge pro Monat (die Wochenenden mal ausgenommen).
Das sollten aber doch keine 40GB werden, oder?

Oliver Dehnbostel
Securepoint
Beiträge: 60
Registriert: So 25.07.2010, 00:25

Beitrag von Oliver Dehnbostel »

Hallo,

eine Datenbank von 40 GB entspricht ungefähr 200.000.000 Einträge.
1.000.000 Einträge sind ca. 160 bis 220 MB in Datenbank, je nach Message-Länge.

Da in der logserver.sqlite nur die aufbereiteten Syslog-Nachrichten sind, müssen dort eigentlich die oben genannte Anzahl an Nachrichten eingetroffen sein.
Größenänderungen durch andere Faktoren sind mir momentan nicht bekannt.

Ihr Archivierungintervall ist monatlich und es wurden jeden Monat Datenbanken mit steigender Größe erzeugt?

Mit freundlichen Grüßen
Oliver Dehnbostel

Christian-ML
Beiträge: 5
Registriert: Di 19.06.2012, 12:25

Beitrag von Christian-ML »

Hallo,
hier ein Screen, leider auf 600px in der Breite beschränkt, der DBs.

Bild

Ja der Archivierungsintervall steht auf einem Monat und ist seit Anfang März sprunghaft angestiegen.

Gruß
Christian

Oliver Dehnbostel
Securepoint
Beiträge: 60
Registriert: So 25.07.2010, 00:25

Beitrag von Oliver Dehnbostel »

Hallo,

vielen Dank für den Screenshot. Das ist in der Tat merkwürdig. Es sieht momentan so aus, als wenn das Bereinigen der Archivdatenbank nicht mehr ordentlich durchläuft.
Die Archivdatenbanken wachsen ja ungefähr mit der Größe der Datenbank vor März.

Wir werden uns das nochmal anschauen und versuchen das Problem zu reproduzieren. Das Ergebnis schreibe ich dann in diesen Thread.

Vielen Dank für Ihre Bemühungen,
Oliver Dehnbostel

Gesperrt