NTA: FSDBディスクの空き容量が不足した際の挙動

Version 6

    ■ はじめに

     

    NTA (NetFlow Traffic Analyzer) 専用データベース、FSDB (Flow Storage Data Base) を格納するディスクの空き容量が不足した際の挙動について記載します。

     

     

    ■ 質問

     

    - FSDB ディスク容量がFullになった場合にどのような挙動になりますか?

     

     

    ■ 回答

     

    - FSDBディスク容量が不足すると自動的にフローの書き込みを停止します。

     

    - Main Poller 上のNTA サービスやFSDBサーバ上のNTAサービスは停止しません。

    - Main Poller 上のICMP/SNMPの監視には問題御座いません。

    - ディスクには書き込みませんが、フローを受け続ける動作となりますためFSDBのサーバの負荷が若干上がります。

     

    結果として、NTAページ上の各リソースは「データを利用できません。」となります。

     

     

     

    ■ 発生時のメッセージ

     

     「 イベント サマリー

    FSDB_full_event_summary.png

     

     「 イベント - 過去25件 」

    FSDB_full_event.png

     

     

    // 関連ナレッジ

     NTA stopped processing flows - SolarWinds Worldwide, LLC. Help and Support

     NTA Flow Storage exception: Cannot create slot sync - SolarWinds Worldwide, LLC. Help and Support

     

     

    ■ 検証環境

     

    - Windows Server 2012 R2 Eval 180 days (Japanese)

     

    Server Name: Product

    - FLORA: NPM 11.5.2 / NTA 4.1.1

    - METIS: Microsoft SQL Server 2014 Eval 180 days

    - NETZACH: Flow Storage Data Base (NTA 4.1.1 pkg)

          - C drive: Windows Server 2012 R2

          - D drive (5GB) : FSDB

     

    < 検証中 >

     

    - FSDBディスク容量をフルにするため、NetFlow を大量に送信している画面

    disk_full.png

     

     

    ■ 対処法

     

    いくつか記載致しますので、状況に応じて必要な対処を行っていただきます様お願い致します。

     

     

    - FSDB サーバー上の不要なファイルを削除します。

     

    過去取得されたDiagファイルや画面キャプチャーなどです。Windowsのみを考慮すると、デフォルトでディスククリーンアップは無効となっておりますが、

    それらツールを使ってディスク容量をかせぐことができます。(Windows Update不要ファイルの削除など) また、スリープのためのテンポラリファイル

    やスワップテンポラリファイルも数ギガ~数十ギガ食っていることがあるため、緊急回避の時はこれらファイルの存在を忘れてはなりません。

     

     

    - FSDBディスクの容量を増加させて様子をみます。

     

    仮想環境の場合は容易にオンラインで対処可能なケースとなりますが、物理環境においては要検討課題となります。

     

     

    - FSDB保存期間を短く調整して様子を見ます。

     

     設定 > NTA設定 > データーベース設定

     

    setting0.png

     

    setting1.png

     

    setting2.png

     

    - FSDB 保存先を変更します。

     

    "SolarWinds NTA Flow Storage Database Configurator" にて、容量のあるドライブにパスを変更できます。

    しかしながら、大前提として、別ドライブ(容量)があるケースに限られます。

     

    NTA Flow Storage Configurator.png

     

    FSDB_1.png

     

    - トップトーカー最適化の値変更 (Top talker optimization)

     

    初期設定で 95% 設定となっており、この値は、通信量の多い順にならべて、その上から95%を保持します。

    トラフィック分析として全くと言っていいほど必要のない残りの5%は破棄します。この値を仮に 100% すべてフローを取得すると、

    現行から、40倍~100倍のディスク容量が必要となります。結果として、値を下げていただくことで、通信量の多い順の保持となり

    ますので、様子見として、94% や 93% などとして、様子をいただくことが可能です。

     

     

     

    ■ 関連情報

     

    NTA Flow Storage Database is out of space - SolarWinds Worldwide, LLC. Help and Support

    Obtain disk space on NTA Flow Storage Database drive - SolarWinds Worldwide, LLC. Help and Support

    Error: Connection to NTA Flow Storage Database has been lost. NTA cannot save any flows now - SolarWinds Worldwide, LLC.…

     

    上記LINK先にも記載がある通り、FSDBのストレージ容量がフルの時やアンチウイルススキャン時になどに接続が失わせることがあります。

    Orion: アンチウイルス除外設定

     

     

    ■ 事前検知(アラート)

     

    FSDBサーバーをOrionにノード登録することで、ボリュームの容量監視が可能となります。 (要:リソースにてボリュームを選択)

    このボリューム情報を元にアラート作成することで事前検知が可能となります。

     

    volume.png

     

    具体的には、アラートのトリガー条件にて、「アラート作成対象」を "ボリューム" に選択して、

    FSDBサーバのノードとFSDBを格納しているボリューム(ドライブ)の使用率を指定することで

    事前に容量が溢れる前にアラートを上げることで事前の対処が可能となります。

     

    alert_volume.png

     

    上記の例では、使用率 85% 以上の場合にアラート通知する設定となります。

     

     

    // 参考情報

     

    Web-based アラート管理 クイックビュー

     

    「アラート作成対象」が「ボリューム」の時、「実際のトリガー条件」においては、

    以下の 「フィールドを選択...」してから、「すべてのフィールドを参照」を選択して使用率を選択してください。

    alert1.png

    alert2.png

    alert3.png

     

    * 出力プレビューを変更して、対象とするノードのボリュームを選択することでより明確にイメージを把握できます。