0x01 前言

前些天我的zabbix检测到我的软路由的可用磁盘空间低于20%而不断在发送报警邮件,我登入到pfsense的控制台中发现25G的空间快被占满了。

0x02 DEBUG

pfsense自身的系统只需要1G就能正常运行,就算有log的产生也不至于占满20G的空间。

另一个是因为我将所有log都发送到logstash中,使用ELK套件进行处理,基本不会保存在pfsense系统中。

既然pfsense自身系统没问题,就只剩下一种情况,也就是其他软件所导致的。pfsense支持插件的安装,虽然名为插件,其实本身也是开源软件,经过调整后适配pfsense的系统。因为pfsense是一款基于FreeBSD的软路由系统,所以软件的安装与配置也非常简单。

以下是我安装的软件包:

  • open-VM-tools是给esxi提供管理功能的一款管理工具,它并不会产生过多的日志
  • pfBlockerNG是一款功能强大的防火墙工具,因为没启用,所以不会产生日志
  • snort是一款开源的nIDS工具,日志全导向ELK套件
  • zabbix-agent是zabbix的一款代理程序,会产生少量日志

只有ntopng这款软件让我高度怀疑,因为在刚接触该软件时,我知道他可以记录所有流量的流向等信息,而且当时测试的时候发现,仅仅7天的log就高达10GB。

0x03 清理

首先要查找到ntopng日志文件在pfsense里的位置,首先通过SSH登入pfsense并进入shell界面:

然后使用find命令找到db目录:

查看以下目录中的内容:

ntopng的流量记录就保存在2、4、6这三个文件夹中。因为我已经清理过一次,所以目录较少。如果保存的时间比较长,那么目录会很多,这时候只需要删除他们即可。删除并不会影响ntopng的运作。

但请不要删除以下三个文件:

完成后再次查看磁盘使用情况:

0x04 结语

ntopng是一款很好的网络监控和分析软件,如果不是必要,可以在On-Disk Timeseries设置中减少记录保存的时间。

评论提交需几秒钟,请耐心等待 / comments submit takes few seconds, please be patient

请输入留言 / Please enter a message
请输入你的称呼 / Please enter your name

输入前先刷新 / refresh before entering