So với các loại dữ liệu khác, dữ liệu phiên là khá nhỏ. Tuy nhiên, dữ liệu sẽ ngày càng tăng dần kích thước đến một mức không thể quản lý nếu không được kiểm soát. Không có khuyến nghị cụ thể về số lượng luồng dữ liệu cần lưu trữ, vì việc này phụ thuộc vào tầm quan trọng của dữ liệu đối với tổ chức và băng thông mà tổ chức có. Có thể không cần thiết hoặc không được phép thu thập dữ liệu FPC cho các giao thức nhất định, như đường hầm mã hóa GRE hoặc lưu lượng HTTPS, nhưng vẫn nên giữ các luồng dữ liệu về các phiên liên lạc.
Để ước lượng không gian lưu trữ cần thiết cho dữ liệu lưu lượng, đội CERT NetSA cung cấp một bảng tính dự phòng SiLK mà có thể hỗ trợ, tại: http://tools.netsa.cert.org/releases/SiLK- Provisioning-v3.3.xlsx.
Có nhiều cách để quản lý các bản ghi nhật ký mạng, nhưng cách đơn giản và dễ nhất để duy trì là thực hiện kiểm tra định kỳ tất cả dữ liệu và thực hiện “tái đầu tư” (rollover) khi cần thiết hoặc theo một chu kỳ thời gian. Có nhiều công cụ thu thập dữ liệu có tính năng “tái đầu tư” trong quá trình tạo ra dữ liệu, tuy nhiên vẫn có thể phải quản lý việc này bằng tay. Một giải pháp hạn chế dữ liệu là làm sạch các thư mục luồng dữ liệu định kỳ bằng cách xóa các tệp tin cũ hơn X
ngày. Ví dụ cụ thể SiLK thực hiện việc định kỳ này như sau:
30 12 * * * find /data/silk/* -mtime + 29 -exec rm {}
Các tệp tin trong thư mục /data/silk/ sẽ bị xóa nếu đã được lưu từ 30 ngày trở lên. Việc này được thực hiện hàng ngày vào lúc 12:30 PM. Tuy nhiên, cần chú ý đảm bảo các tệp tin cấu hình không có trong các thư mục này.
Có thể lưu trữ dự phòng luồng dữ liệu, như di chuyển dữ liệu đến một thiết bị lưu trữ USB bên ngoài, như sau:
*/30 * * * * rsync --update -vr /data/silk/ /mnt/usb/data/silk/ &> /dev/null Lệnh này sẽ sao chép tất cả các luồng tệp tin mới theo chu kỳ 2 phút.
Nhìn chung, các phương pháp định kỳ này được dùng tùy thuộc vào hệ điều hành hiện đang sử dụng.