0x01 前言
前些天我的zabbix检测到我的软路由的可用磁盘空间低于20%而不断在发送报警邮件,我登入到pfsense的控制台中发现25G的空间快被占满了。
0x02 DEBUG
pfsense自身的系统只需要1G就能正常运行,就算有log的产生也不至于占满20G的空间。
另一个是因为我将所有log都发送到logstash中,使用ELK套件进行处理,基本不会保存在pfsense系统中。
既然pfsense自身系统没问题,就只剩下一种情况,也就是其他软件所导致的。pfsense支持插件的安装,虽然名为插件,其实本身也是开源软件,经过调整后适配pfsense的系统。因为pfsense是一款基于FreeBSD的软路由系统,所以软件的安装与配置也非常简单。
以下是我安装的软件包:
- open-VM-tools是给esxi提供管理功能的一款管理工具,它并不会产生过多的日志
- pfBlockerNG是一款功能强大的防火墙工具,因为没启用,所以不会产生日志
- snort是一款开源的nIDS工具,日志全导向ELK套件
- zabbix-agent是zabbix的一款代理程序,会产生少量日志
只有ntopng这款软件让我高度怀疑,因为在刚接触该软件时,我知道他可以记录所有流量的流向等信息,而且当时测试的时候发现,仅仅7天的log就高达10GB。
0x03 清理
首先要查找到ntopng日志文件在pfsense里的位置,首先通过SSH登入pfsense并进入shell界面:
然后使用find命令找到db目录:
[2.3.4-RELEASE][[email protected]]/root: find / -name ntopng /usr/local/bin/ntopng /usr/local/share/ntopng /usr/local/etc/rc.d/ntopng /var/db/ntopng /var/mail/ntopng /var/tmp/ntopng
查看以下目录中的内容:
#进入相关目录 [2.3.4-RELEASE][[email protected]]/root: cd /var/db/ntopng #查看内容 [2.3.4-RELEASE][[email protected]]/var/db/ntopng: ls -l total 820 drwxr-xr-x 7 nobody nobody 512 Jun 18 17:47 2 drwxr-xr-x 7 nobody nobody 512 Jun 18 17:47 4 drwxr-xr-x 7 nobody nobody 512 Jun 18 17:50 6 -rwxr-xr-x 1 nobody nobody 1162 Jul 1 13:43 ntopng.log -rw-r--r-- 1 root nobody 783960 Jul 1 13:43 ntopng.rdb drwxr-xr-x 3 nobody nobody 512 Apr 5 14:20 rrd
ntopng的流量记录就保存在2、4、6这三个文件夹中。因为我已经清理过一次,所以目录较少。如果保存的时间比较长,那么目录会很多,这时候只需要删除他们即可。删除并不会影响ntopng的运作。
但请不要删除以下三个文件:
-rwxr-xr-x 1 nobody nobody 1162 Jul 1 13:43 ntopng.log -rw-r--r-- 1 root nobody 783960 Jul 1 13:43 ntopng.rdb drwxr-xr-x 3 nobody nobody 512 Apr 5 14:20 rrd
完成后再次查看磁盘使用情况:
0x04 结语
ntopng是一款很好的网络监控和分析软件,如果不是必要,可以在On-Disk Timeseries设置中减少记录保存的时间。
