В моем случае есть два wazuh worker и один мастер. Мастер Wazuh отправляет журналы в elasticsearch, и мы визуализируем журналы агента с помощью плагина wazuh на kibana.
Мы получаем хорошее количество журналов в wazuh. Вот почему каждые два дня файловая система, смонтированная в файловой системе / var / ossec / data, заполняется. Однако в первые дни он работал нормально в течение многих дней. Чтобы решить эту проблему, я выполнил несколько шагов:
Измененный каталог cd /var/ossec/data
Проверено, какой файл или папка занимает больше места du -sh *
Было показано, что пространство 14 ГБ занято папкой журналов внутри / var / ossec / data
Удалены файлы старше 7 дней в каталоге / var / ossec / data / logs / alerts /
cd /var/ossec/data/logs/alerts
find -mtime +7 -type f -name "*alert*" -print -delete
Выполнив все вышеперечисленные шаги, я проверил вывод df -h
и обнаружил, что файловая система все еще заполнена на 100%. По сути, существует огромное несоответствие между выводом df и ду.
Теперь я ищу какой-то ответ, который позволит мне освободить еще немного места на мастере wazuh, которое недоступно в выводе ** du -sh **.