• はじめに
• システム要件
• 保存期間の設定の仕組み
• 実機での確認

はじめに

本ドキュメントではCisco Secure Network AnalyticsのFlow Collectorにおいて、データの保存期間を設定する方法を説明します。

システム要件

本ドキュメントでは Cisco Secure Network Analytics 7.3.2を使用して設定と動作を確認しています。バージョンにより設定方法や動作が異なる場合があります。

保存期間の設定の仕組み

Flow Collectorにおけるデータの保存設定ですが、デフォルトでは、ディスク容量の制限にかかるまで格納する実装となっております。「summary_retention_days」「interface_retention_days」という２つのパラメータはそれぞれ「フローに関連するデータの保存期間の設定」と「フローのインタフェースに関するデータの保存期間の設定」であり、これらを設定することで、保存期間を設定することができます。この２つはデフォルトで無効になっており、「strict_retention_days」というboolean型のパラメータに値を設定することで有効にすることができます。

実機での確認

(1)
Flow Collector の WebUI にログインし、Database Storage Statistics を開きます。

(2)
保存されているデータの期間を確認します。

(3)
Support > Advanced Settings を開きます。

(4)
"Advanced Settings" ページにて、"summary_retention_days"と"interface_retention_days" のパラメータの値を
残したい日数の数字に書き換えます。今回は10を設定します。
（まだ Apply はしません）

 (5)
"Advanced Settings" ページの一番下のフォームにて、

Add New Option: strict_retention_days
Option Value: 1

と入力し、"Add" を押します。（上のパラメータ一覧に追加されます）

その後、ページ左下の "Apply" を押します。

(6)
Support > Database Storage Statistics のページを開きます。
５分〜１０分程度で、設定した日数分を超える、フローデータやセキュリティイベント等のデータが削除されます。

(7)

一時的なデータ削除が目的で、元に戻したい場合は、データが削除されましたら、Advanced Settings のページで strict_retention_days のパラメータを削除します。
strict_retention_days のところで右端の Delete チェックボックスにチェックを入れて、
ページ左下の Apply ボタンを押すと削除されます。