PALallaxで特定の期間を経過したデータを削除するには、”Curator ”というツールを使用します。
Curatorのインストール
PALallax Version 2.xでは、PALallaxインストール時に"curator "が同時にインストールされるので本手順は不要です。
Version 1.xをお使いの場合は以下のコマンドでインストールを行います。
# curl -kL https://bootstrap.pypa.io/get-pip.py | python
# pip install elasticsearch-curator
データベースからのデータ削除
以下のコマンドでデータを削除可能です。
以下の例では、30日より古いデータを削除しています。
# curator --host localhost delete indices --older-than 30 --timestring %Y%m%d --time-unit days --prefix palo
削除対象のデータベースは、Traffic、Threat、機器状態(SNMP-Get)のデータベースとなります。
データベースは種類ごとに以下のファイル名で保存されます。
上記コマンドのオプションで、"--prefix palo"としているため、プレフィックスに"palo"が含まれる全種類のデータベースが削除対象となります。
本オプションを変更することで、対象のデータベースを変更可能です。
■Traffic
palo_syslog_log_001_traffic-yyyymmdd
■Threat
palo_syslog_log_001_threat-yyyymmdd
■機器状態(SNMP-Get)
palo_system_status_001-yyyymmdd
定期的に過去データを削除する場合は、スクリプトを作成し、cronなどで定期的に実行して下さい。
PALallaxに関するお問い合わせ、デモのご依頼は下記からお願いします。