Beheben Sie den Fehler 'Sichere Web-Appliance - Volle Festplatte'.

Einleitung

In diesem Dokument werden die Schritte zum Beheben des Fehlers "Volle Festplattenkapazität" in der sicheren Webappliance (SWA) beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Zugang zur Kommandozeile der SWA

• Administratorzugriff auf die SWA
• FTP-Zugriff auf SWA

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Fehler im Zusammenhang mit der vollständigen Festplatte  

Es gibt verschiedene Fehler und Warnungen in SWA, die darauf hinweisen, dass die Festplatte voll oder der Festplattenspeicher nahezu voll ist. Die folgende Liste enthält Fehler und Warnungen. Diese Protokolle unterscheiden sich je nach Softwareversion und aufgrund der Bereitstellungsmethoden, z. B. Warnungen, Systemprotokolle oder die Ausgabe desdisplayalertsBefehls über die CLI.   

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected. 
WARNING: Data partition utilization on appliance is high and can cause issues

Überwachung der Datenträgerverwendung

Sie können die Festplattennutzung sowohl über die GUI als auch über die CLI überwachen und anzeigen.

Anzeigen der Festplattennutzung in der GUI

Nachdem Sie sich bei der SWA-Benutzeroberfläche angemeldet haben, können Sie auf der Seite "Mein Dashboard" Reporting / logging Disk die Verwendung aus dem System Overview Abschnitt sehen.  

Anmerkung: In SWA werden Berichte und Protokolle in einer einzigen Partition gespeichert, die als DATA-Partition bezeichnet wird.

Navigieren Sie auch in der GUI im Reporting Menü zuSystem Status. Alternativ können Sie die Festplattennutzung im Overview Abschnitt im Menü anzeigenReporting.

Anzeigen der Datenträgerverwendung in der CLI

• Aus der Ausgabe von status oderstatus detailkönnen Sie die Reporting / logging Disk Nutzung

SWA.CLI> status

Enter "status detail" for more information.

Status as of:                  Sun Feb 19 19:55:13 2023 CET
Up since:                      Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
  CPU                                    25.9%
  RAM                                    13.6%
  Reporting/Logging Disk                 58.1%

• Aus der Ausgabe von ipcheckkönnen Sie den zugewiesenen Speicherplatz für jede Partition und den prozentualen Anteil des genutzten Speicherplatzes pro Partition sehen.

SWA.CLI> ipcheck
...
  Disk 0                200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
  Disk Total            200GB
=== Skiped ===
  Root                  4GB 65%
  Nextroot              4GB 1%
  Var                   400MB 29%
  Log                   130GB 8%
  DB                    2GB 0%
  Swap                  8GB
  Proxy Cache           50GB
=== Skiped ===

• In SHD Logs wird dieReporting / logging DiskAuslastung für jede Minute alsDskUtilangezeigt. Um auf SHD-Protokolle zuzugreifen, gehen Sie wie folgt vor:

1. GebengrepSie odertailin die CLI ein.
2. Finden shd_logs. Typ: SHD Logs Retrieval: FTP Pollaus der Liste aus, und geben Sie die zugehörige Nummer ein.
3. InEnter the regular expression to grepkönnen Sie einen regulären Ausdruck eingeben, um in den Protokollen zu suchen. Sie können z. B. Datum und Uhrzeit eingeben.
4. Do you want this search to be case insensitive? [Y]>, können Sie dies als Standard beibehalten, es sei denn, Sie müssen nach der Groß-/Kleinschreibung suchen, was in SHD-Protokollen nicht erforderlich ist.
5. Do you want to search for non-matching lines? [N]>, können Sie diese Zeile als Standard festlegen, es sei denn, Sie müssen nach allem mit Ausnahme des regulären Ausdrucks grep suchen.
6. Do you want to tail the logs? [N]>. Diese Option ist nur in der Ausgabe des grep verfügbar. Wenn Sie dies als Standard (N) zulassen, werden die SHD-Protokolle aus der ersten Zeile der aktuellen Datei angezeigt.
7. Do you want to paginate the output? [N]>. Wenn Sie auswählen, Yist die Ausgabe die gleiche wie die Ausgabe des Befehls less. Sie können zwischen Linien und Seiten navigieren. Sie können auch in den Protokollen suchen (Geben Sie /dann das Schlüsselwort ein und drücken SieEnter). Geben Sieqein, um das Protokoll zu beenden.

In diesem Beispiel werden 52,2 % der Reporting / logging Disk Energie verbraucht. 

Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0

I

Festplattenstruktur und Fehlerbehebung bei vollständiger Partition 

Wie bereits bei der Ausgabe von erwähnt,ipcheckgibt es sieben Partitionen in der SWA:

Die Stammpartition ist voll. 

Wenn die Root-Partition (bekannt als rootfs oder /) voll oder mehr als 100% ist, was manchmal erwartet wird, und der SWA unnötige Dateien entfernt. 

Wenn Sie einen Verlust der Systemleistung feststellen, versuchen Sie zunächst, die Appliance neu zu starten, und überprüfen Sie dann erneut die Festplattenkapazität der Root-Partition. Wenn das Problem weiterhin besteht, wenden Sie sich an den Cisco Kundenservice, um ein TAC-Ticket zu erstellen. 

Nächste Stammpartition ist voll 

Wenn Ihr Upgrade fehlschlägt, stellen Sie sicher, dass Ihre nächste Root-Partition frei ist oder über genügend freien Speicherplatz für das Upgrade verfügt.

Ursprünglich wurden virtuelle SWA-, E-Mail Security Appliance (ESA)- und virtuelle Security Management Appliance (SMA)-Images mit einer Nextroot-Partitionsgröße von weniger als 500 MB erstellt. Im Laufe der Jahre und mit neueren AsyncOS-Versionen, die zusätzliche Funktionen enthalten, mussten Upgrades immer mehr dieser Partition während des gesamten Upgrade-Prozesses verwenden. Manchmal, wenn Sie versuchen, von älteren Versionen zu aktualisieren, scheitern Upgrades aufgrund dieser Partitionsgröße.

In den Upgrade-Protokollen in der CLI werden folgende Fehler angezeigt:

Finding partitions... done.                                                    
Setting next boot partition to current partition as a precaution... done.      
Erasing new boot partition... done.                                            
Extracting eapp done.                                                          
Extracting scanerroot done.                                                    
Extracting splunkroot done.                                                    
Extracting savroot done.                                                       
Extracting ipasroot done.                                                      
Extracting ecroot done.                                                        
Removing unwanted files in nextroot done.                                      
Extracting distroot                                                            
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed

Laden Sie für einen virtuellen SWA eine neue Image-Datei gemäß diesem Dokument herunter: Installationsleitfaden für Cisco Secure Email und Web Virtual Appliance

Versuchen Sie dann, das Konfigurations-Backup von der älteren Version in das neu installierte SWA zu importieren. Wenn das angezeigt wird, Configuration Import Erroröffnen Sie ein Serviceticket.

Für SMA und ESA finden Sie die Problemumgehung für dieses Problem über diesen Link: How to Apply the Workaround for Cisco vESA/vSMA Upgrade Fail Due to Small Partition Size - Cisco

Var-Partition ist voll 

Wenn die Var Partition voll ist, erhalten Sie diese Fehler, wenn Sie sich bei CLI oder über denDisplayalertsBefehl in CLI anmelden:

/var: write failed, filesystem is full
The temporary data partition is at 99% capacity

Starten Sie zunächst die Appliance neu, um dieses Problem zu beheben. Wenn die Kapazität von /var partition immer noch mehr als 100 % beträgt, wenden Sie sich an den Cisco TAC-Support.

Die Berichts-/Protokollierungspartition ist voll 

Wenn die Reporting/Logging-Partition voll ist, können die Fehler wie folgt aussehen:

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA

WARNING: Data partition utilization on appliance is high and can cause issues

Die Ursache dieser Fehler kann wie folgt eingeordnet werden:

1. Protokolldateien belegen zu viel Speicherplatz.
2. Es gibt einige Kerndateien, die auf dem Gerät generiert werden und zur vollen Festplattennutzung führen.
3. Die Berichterstellung belegt zu viel Speicherplatz.
4. Web-Tracking belegt zu viel Speicherplatz.
5. Einige interne Protokolle belegen zu viel Speicherplatz.

Protokolldateien belegen zu viel Speicherplatz

Um Protokolldateien anzuzeigen, können Sie über FTP eine Verbindung mit dem SWA zur Verwaltungsschnittstelle herstellen.

Anmerkung: FTP ist standardmäßig deaktiviert.

Um FTP über die GUI zu aktivieren, gehen Sie wie folgt vor:

Schritt 1: Melden Sie sich bei der GUI an.

Schritt 2. Klicken Sie Interfaces unter dem Network Menü.

Schritt 3. Klicken Sie aufEdit Settings.

Schritt 4: Wählen Sie FTP aus dem Appliance Management ServicesAbschnitt.

Schritt 5: (Optional) Sie können den Standard-FTP-Port ändern.

Schritt 6. Klicken Sie aufSubmit.

Schritt 7: Änderungen bestätigen.

Nach der FTP-Verbindung können Sie die Protokolle, das Erstellungsdatum und die Größe jeder Protokolldatei anzeigen. Wenn Sie die Protokolle archivieren müssen, können Sie sie von FTP herunterladen. Oder um Speicherplatz freizugeben, können Sie alte Protokolle entfernen.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

Tipp: Wenn Sie sehen, dass die Protokolldateien nicht viel Speicherplatz belegen, ist das Problem wahrscheinlich auf Berichte oder Kerndateien zurückzuführen.

Kerndateien auf dem Gerät

Um anzuzeigen, ob SWA über Core-Dateien verfügt, gehen Sie in CLI wie folgt vor:

Schritt 1: Melden Sie sich bei CLI an. 

Schritt 2: Führen Sie den folgenden Befehl aus: diagnostic (Hierbei handelt es sich um einen ausgeblendeten Befehl, der nicht automatisch mit TAB gefüllt werden kann.)

Schritt 3. Geben SiePROXYein.

Schritt 4. Geben Sie LISTein.

Die Ausgabe zeigt an, ob Core-Dateien vorhanden sind. Um die Kerndateien zu entfernen, wenden Sie sich an den Cisco Support Service. Ein TAC-Techniker muss die Ursache der Kerndateien untersuchen und kann die Dateien dann entfernen.  

Reporting belegt zu viel Speicherplatz

In SWA gibt es zwei Berichtstypen: Reporting und WebTracking. WebTracking belegt den größten Teil des Speicherplatzes.

Um den Verlauf von WebTracking zu überprüfen, navigieren Sie aus der GUI zuWebTracking. Wählen Sie im Reporting Menü des Time Range Abschnitts die Option Custom Range, Die hervorgehobenen Daten zeigen den WebTracking-Berichtsverlauf an.

Um eine Sicherung von WebTracking durchzuführen, können Sie den Bericht über den Printable Download Link im Bericht in die CSV-Datei exportieren.

Tipp: Vermeiden Sie die Erstellung von WebTracking-Berichten über lange Zeiträume, die vom normalen täglichen Web-Datenverkehr abhängen. Die Berichte können längere Zeit dazu führen, dass der SWA nicht mehr reagiert. 

Zum Zeitpunkt der Erstellung dieses Artikels gibt es keine Funktion zum manuellen Löschen älterer Berichte. (Cisco Bug-ID CSCun82094)

Um einige Ihrer Berichte zu löschen, müssen Sie sich an den TAC-Support wenden, oder Sie können alle Berichte mit den folgenden Schritten aus der CLI löschen: 

Schritt 1. Melden Sie sich bei der CLI an.

Schritt 2. Führen Sie den diagnostic Befehl aus. (Hierbei handelt es sich um einen ausgeblendeten Befehl, der nicht automatisch mit TAB vervollständigt werden kann.)

Schritt 3. Geben SieREPORTINGein, und drücken Sie Enter.

Schritt 4. Geben SieDELETEDBein, und drücken SieEnter.

Vorsicht: Mit diesem Befehl werden alle Berichtsdaten gelöscht. Es kann nicht abgebrochen werden.

Interne Protokolle Belegungsdatenträger

Wenn Ihr Gerät die Bedingungen des Defekts aufweist: Cisco Bug-ID CSCvy69039, müssen Sie ein TAC-Ticket öffnen, um die internen Protokolle vom Back-End zu überprüfen und die großen Protokolldateien manuell zu entfernen.

Dies ist eine temporäre Problemumgehung, aber in der betroffenen Version wird die Protokolldatei nach dem Löschen automatisch erstellt, und die Dateigröße wächst wiederholt von 0.

Zugehörige Informationen

• WSA AsyncOS - Versionshinweise
• Technischer Support und Dokumentation für Cisco Systeme