Чтобы не допустить полного заполнения жесткого диска генерируемыми файлами журналов системных событий и файлов дампов, файлы журналов и дампов автоматически ротируются по достижении максимально разрешенного размера файлов или по истечении максимального срока их хранения. Как только объем файлов превысит указанное значение, самые старые файлы будут автоматические удалены.
В разделе диска /var на устройстве Kaspersky NGFW хранятся следующие типы системных событий:
Для разных типов файлов ротация работает по-разному:
"SystemMaxUse=" в journald.conf.Под каждый тип файлов на диске выделяется определенный максимально допустимый объем (см. таблицу ниже).
Максимальный допустимый размер файлов
Тип файла |
Максимально допустимый объем занимаемого места в процентах |
|---|---|
Файл сетевого дампа |
Размер файла определяется заданной длительностью записи файла в секундах или пакетах |
Файлы дампов ядра |
10% |
Файлы локальных системных событий |
40% (не учитываются, если включено хранение системных событий в RAM) |
Постоянные файлы событий безопасности в директории |
15% |
Временные файлы событий безопасности в директории |
15% |
Файлы дампов трафика при срабатывании сигнатур IDPS в директории |
10% |
Вы можете узнать размер раздела /var, выделенный под прочие данные, и оставшийся размер раздела /var, выделенный под файлы журналов и файлов дампов, выполнив команду du в bash на устройстве Kaspersky NGFW.