Einleitung
In diesem Dokument werden die Schritte zum Beheben des Fehlers "Volle Festplattenkapazität" in der sicheren Webappliance (SWA) beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Zugang zur Kommandozeile der SWA
- Administratorzugriff auf die SWA
- FTP-Zugriff auf SWA
Verwendete Komponenten
Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Fehler im Zusammenhang mit der vollständigen Festplatte
Es gibt verschiedene Fehler und Warnungen in SWA, die darauf hinweisen, dass die Festplatte voll oder der Festplattenspeicher nahezu voll ist. Die folgende Liste enthält Fehler und Warnungen. Diese Protokolle unterscheiden sich je nach Softwareversion und aufgrund der Bereitstellungsmethoden, z. B. Warnungen, Systemprotokolle oder die Ausgabe desdisplayalerts
Befehls über die CLI.
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected.
WARNING: Data partition utilization on appliance is high and can cause issues
Überwachung der Datenträgerverwendung
Sie können die Festplattennutzung sowohl über die GUI als auch über die CLI überwachen und anzeigen.
Anzeigen der Festplattennutzung in der GUI
Nachdem Sie sich bei der SWA-Benutzeroberfläche angemeldet haben, können Sie auf der Seite "Mein Dashboard" Reporting / logging Disk
die Verwendung aus dem System Overview
Abschnitt sehen.
Anmerkung: In SWA werden Berichte und Protokolle in einer einzigen Partition gespeichert, die als DATA-Partition bezeichnet wird.
Navigieren Sie auch in der GUI im Reporting
Menü zuSystem Status
. Alternativ können Sie die Festplattennutzung im Overview
Abschnitt im Menü anzeigenReporting
.
Anzeigen der Datenträgerverwendung in der CLI
- Aus der Ausgabe von
status
oderstatus detail
können Sie die Reporting / logging Disk
Nutzung
SWA.CLI> status
Enter "status detail" for more information.
Status as of: Sun Feb 19 19:55:13 2023 CET
Up since: Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
CPU 25.9%
RAM 13.6%
Reporting/Logging Disk 58.1%
- Aus der Ausgabe von
ipcheck
können Sie den zugewiesenen Speicherplatz für jede Partition und den prozentualen Anteil des genutzten Speicherplatzes pro Partition sehen.
SWA.CLI> ipcheck
...
Disk 0 200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
Disk Total 200GB
=== Skiped ===
Root 4GB 65%
Nextroot 4GB 1%
Var 400MB 29%
Log 130GB 8%
DB 2GB 0%
Swap 8GB
Proxy Cache 50GB
=== Skiped ===
- In SHD Logs wird die
Reporting / logging Disk
Auslastung für jede Minute alsDskUtil
angezeigt. Um auf SHD-Protokolle zuzugreifen, gehen Sie wie folgt vor:
- Geben
grep
Sie odertail
in die CLI ein.
- Finden
shd_logs
. Typ: SHD Logs Retrieval: FTP Poll
aus der Liste aus, und geben Sie die zugehörige Nummer ein.
- In
Enter the regular expression to grep
können Sie einen regulären Ausdruck eingeben, um in den Protokollen zu suchen. Sie können z. B. Datum und Uhrzeit eingeben.
Do you want this search to be case insensitive? [Y]>
, können Sie dies als Standard beibehalten, es sei denn, Sie müssen nach der Groß-/Kleinschreibung suchen, was in SHD-Protokollen nicht erforderlich ist.
Do you want to search for non-matching lines? [N]>
, können Sie diese Zeile als Standard festlegen, es sei denn, Sie müssen nach allem mit Ausnahme des regulären Ausdrucks grep suchen.
Do you want to tail the logs? [N]>
. Diese Option ist nur in der Ausgabe des grep verfügbar. Wenn Sie dies als Standard (N) zulassen, werden die SHD-Protokolle aus der ersten Zeile der aktuellen Datei angezeigt.
Do you want to paginate the output? [N]>
. Wenn Sie auswählen, Y
ist die Ausgabe die gleiche wie die Ausgabe des Befehls less. Sie können zwischen Linien und Seiten navigieren. Sie können auch in den Protokollen suchen (Geben Sie /dann das Schlüsselwort ein und drücken SieEnter
). Geben Sieq
ein, um das Protokoll zu beenden.
In diesem Beispiel werden 52,2 % der Reporting / logging Disk
Energie verbraucht.
Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0
I
Festplattenstruktur und Fehlerbehebung bei vollständiger Partition
Wie bereits bei der Ausgabe von erwähnt,ipcheck
gibt es sieben Partitionen in der SWA:
Partitionsname |
Beschreibung |
Wurzel |
Speichert interne Betriebssystemdateien |
Nextroot |
Diese Partition wird für das Upgrade verwendet |
Var |
Speichert interne Betriebssystemdateien |
Protokoll |
Sperrt Protokolle und Berichtsdatei |
DB |
Konfiguration und interne Datenbanken |
Auslagern |
SWAP-Speicher |
Proxy-Cache |
Speichert zwischengespeicherte Daten |
Die Stammpartition ist voll.
Wenn die Root-Partition (bekannt als rootfs oder /) voll oder mehr als 100% ist, was manchmal erwartet wird, und der SWA unnötige Dateien entfernt.
Wenn Sie einen Verlust der Systemleistung feststellen, versuchen Sie zunächst, die Appliance neu zu starten, und überprüfen Sie dann erneut die Festplattenkapazität der Root-Partition. Wenn das Problem weiterhin besteht, wenden Sie sich an den Cisco Kundenservice, um ein TAC-Ticket zu erstellen.
Nächste Stammpartition ist voll
Wenn Ihr Upgrade fehlschlägt, stellen Sie sicher, dass Ihre nächste Root-Partition frei ist oder über genügend freien Speicherplatz für das Upgrade verfügt.
Ursprünglich wurden virtuelle SWA-, E-Mail Security Appliance (ESA)- und virtuelle Security Management Appliance (SMA)-Images mit einer Nextroot-Partitionsgröße von weniger als 500 MB erstellt. Im Laufe der Jahre und mit neueren AsyncOS-Versionen, die zusätzliche Funktionen enthalten, mussten Upgrades immer mehr dieser Partition während des gesamten Upgrade-Prozesses verwenden. Manchmal, wenn Sie versuchen, von älteren Versionen zu aktualisieren, scheitern Upgrades aufgrund dieser Partitionsgröße.
In den Upgrade-Protokollen in der CLI werden folgende Fehler angezeigt:
Finding partitions... done.
Setting next boot partition to current partition as a precaution... done.
Erasing new boot partition... done.
Extracting eapp done.
Extracting scanerroot done.
Extracting splunkroot done.
Extracting savroot done.
Extracting ipasroot done.
Extracting ecroot done.
Removing unwanted files in nextroot done.
Extracting distroot
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed
Laden Sie für einen virtuellen SWA eine neue Image-Datei gemäß diesem Dokument herunter: Installationsleitfaden für Cisco Secure Email und Web Virtual Appliance
Versuchen Sie dann, das Konfigurations-Backup von der älteren Version in das neu installierte SWA zu importieren. Wenn das angezeigt wird, Configuration Import Error
öffnen Sie ein Serviceticket.
Für SMA und ESA finden Sie die Problemumgehung für dieses Problem über diesen Link: How to Apply the Workaround for Cisco vESA/vSMA Upgrade Fail Due to Small Partition Size - Cisco
Var-Partition ist voll
Wenn die Var
Partition voll ist, erhalten Sie diese Fehler, wenn Sie sich bei CLI oder über denDisplayalerts
Befehl in CLI anmelden:
/var: write failed, filesystem is full
The temporary data partition is at 99% capacity
Starten Sie zunächst die Appliance neu, um dieses Problem zu beheben. Wenn die Kapazität von /var partition immer noch mehr als 100 % beträgt, wenden Sie sich an den Cisco TAC-Support.
Die Berichts-/Protokollierungspartition ist voll
Wenn die Reporting/Logging-Partition voll ist, können die Fehler wie folgt aussehen:
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
WARNING: Data partition utilization on appliance is high and can cause issues
Die Ursache dieser Fehler kann wie folgt eingeordnet werden:
- Protokolldateien belegen zu viel Speicherplatz.
- Es gibt einige Kerndateien, die auf dem Gerät generiert werden und zur vollen Festplattennutzung führen.
- Die Berichterstellung belegt zu viel Speicherplatz.
- Web-Tracking belegt zu viel Speicherplatz.
- Einige interne Protokolle belegen zu viel Speicherplatz.
Protokolldateien belegen zu viel Speicherplatz
Um Protokolldateien anzuzeigen, können Sie über FTP eine Verbindung mit dem SWA zur Verwaltungsschnittstelle herstellen.
Anmerkung: FTP ist standardmäßig deaktiviert.
Um FTP über die GUI zu aktivieren, gehen Sie wie folgt vor:
Schritt 1: Melden Sie sich bei der GUI an.
Schritt 2. Klicken Sie Interfaces
unter dem Network
Menü.
Schritt 3. Klicken Sie aufEdit Settings
.
Schritt 4: Wählen Sie FTP
aus dem Appliance Management Services
Abschnitt.
Schritt 5: (Optional) Sie können den Standard-FTP-Port ändern.
Schritt 6. Klicken Sie aufSubmit
.
Schritt 7: Änderungen bestätigen.
Nach der FTP-Verbindung können Sie die Protokolle, das Erstellungsdatum und die Größe jeder Protokolldatei anzeigen. Wenn Sie die Protokolle archivieren müssen, können Sie sie von FTP herunterladen. Oder um Speicherplatz freizugeben, können Sie alte Protokolle entfernen.
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
Tipp: Wenn Sie sehen, dass die Protokolldateien nicht viel Speicherplatz belegen, ist das Problem wahrscheinlich auf Berichte oder Kerndateien zurückzuführen.
Kerndateien auf dem Gerät
Um anzuzeigen, ob SWA über Core-Dateien verfügt, gehen Sie in CLI wie folgt vor:
Schritt 1: Melden Sie sich bei CLI an.
Schritt 2: Führen Sie den folgenden Befehl aus: diagnostic
(Hierbei handelt es sich um einen ausgeblendeten Befehl, der nicht automatisch mit TAB gefüllt werden kann.)
Schritt 3. Geben SiePROXY
ein.
Schritt 4. Geben Sie LIST
ein.
Die Ausgabe zeigt an, ob Core-Dateien vorhanden sind. Um die Kerndateien zu entfernen, wenden Sie sich an den Cisco Support Service. Ein TAC-Techniker muss die Ursache der Kerndateien untersuchen und kann die Dateien dann entfernen.
Reporting belegt zu viel Speicherplatz
In SWA gibt es zwei Berichtstypen: Reporting und WebTracking. WebTracking belegt den größten Teil des Speicherplatzes.
Um den Verlauf von WebTracking zu überprüfen, navigieren Sie aus der GUI zuWebTracking
. Wählen Sie im Reporting
Menü des Time Range
Abschnitts die Option Custom Range
, Die hervorgehobenen Daten zeigen den WebTracking-Berichtsverlauf an.
Um eine Sicherung von WebTracking durchzuführen, können Sie den Bericht über den Printable Download
Link im Bericht in die CSV-Datei exportieren.
Tipp: Vermeiden Sie die Erstellung von WebTracking-Berichten über lange Zeiträume, die vom normalen täglichen Web-Datenverkehr abhängen. Die Berichte können längere Zeit dazu führen, dass der SWA nicht mehr reagiert.
Zum Zeitpunkt der Erstellung dieses Artikels gibt es keine Funktion zum manuellen Löschen älterer Berichte. (Cisco Bug-ID CSCun82094)
Um einige Ihrer Berichte zu löschen, müssen Sie sich an den TAC-Support wenden, oder Sie können alle Berichte mit den folgenden Schritten aus der CLI löschen:
Schritt 1. Melden Sie sich bei der CLI an.
Schritt 2. Führen Sie den diagnostic
Befehl aus. (Hierbei handelt es sich um einen ausgeblendeten Befehl, der nicht automatisch mit TAB vervollständigt werden kann.)
Schritt 3. Geben SieREPORTING
ein, und drücken Sie Enter
.
Schritt 4. Geben SieDELETEDB
ein, und drücken SieEnter
.
Vorsicht: Mit diesem Befehl werden alle Berichtsdaten gelöscht. Es kann nicht abgebrochen werden.
Interne Protokolle Belegungsdatenträger
Wenn Ihr Gerät die Bedingungen des Defekts aufweist: Cisco Bug-ID CSCvy69039, müssen Sie ein TAC-Ticket öffnen, um die internen Protokolle vom Back-End zu überprüfen und die großen Protokolldateien manuell zu entfernen.
Dies ist eine temporäre Problemumgehung, aber in der betroffenen Version wird die Protokolldatei nach dem Löschen automatisch erstellt, und die Dateigröße wächst wiederholt von 0.
Zugehörige Informationen