Résoudre l'erreur de disque plein de Secure Web Appliance

Introduction

Ce document décrit les étapes à suivre pour résoudre l'erreur d'espace disque total dans l'appareil Web sécurisé (SWA).

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Accès à la CLI de SWA

• Accès administratif au SWA
• Accès FTP à SWA

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Erreurs liées au disque plein  

Différentes erreurs et avertissements dans SWA indiquent que le disque est plein ou que l'espace disque est presque plein. Voici la liste des erreurs et des avertissements. Ces journaux sont différents dans chaque version du logiciel et en raison des méthodes de livraison, telles que les alertes, les journaux système ou le résultat de la commande dansdisplayalertsl'interface de ligne de commande.   

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected. 
WARNING: Data partition utilization on appliance is high and can cause issues

Surveiller l'utilisation du disque

Vous pouvez surveiller et afficher l'utilisation du disque à partir de l'interface graphique et de la CLI.

Afficher l'utilisation du disque dans l'interface graphique

Après vous être connecté à l'interface utilisateur graphique de SWA, dans la page My-Dashboard, vous pouvez voir l'utilisation Reporting / logging Disk à partir de la System Overview section.  

Remarque : Dans SWA, les rapports et les journaux sont stockés dans une seule partition, appelée partition DATA.

Dans l'interface utilisateur graphique également, sous le Reporting menu, accédez àSystem Status. Vous pouvez également afficher l'utilisation du disque à partir de la Overview section, sous le menuReporting.

Afficher l'utilisation du disque dans CLI

• Dans la sortie de status oustatus detail, vous pouvez voir l'Reporting / logging Diskutilisation

SWA.CLI> status

Enter "status detail" for more information.

Status as of:                  Sun Feb 19 19:55:13 2023 CET
Up since:                      Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
  CPU                                    25.9%
  RAM                                    13.6%
  Reporting/Logging Disk                 58.1%

• Le résultat de ipcheckindique l'espace disque alloué à chaque partition et le pourcentage d'espace utilisé par partition.

SWA.CLI> ipcheck
...
  Disk 0                200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
  Disk Total            200GB
=== Skiped ===
  Root                  4GB 65%
  Nextroot              4GB 1%
  Var                   400MB 29%
  Log                   130GB 8%
  DB                    2GB 0%
  Swap                  8GB
  Proxy Cache           50GB
=== Skiped ===

• Dans les journaux SHD, l'Reporting / logging Diskutilisation pour chaque minute est affichée sous la formeDskUtil. Pour accéder aux journaux SHD, procédez comme suit :

1. Tapezgreportaildans l'interface de ligne de commande.
2. Rechercher shd_logs. type : SHD Logs Retrieval: FTP Poll, dans la liste et tapez le numéro associé.
3. DansEnter the regular expression to grep, vous pouvez taper une expression régulière pour effectuer une recherche dans les journaux. Par exemple, vous pouvez taper date et heure.
4. Do you want this search to be case insensitive? [Y]>, vous pouvez conserver cette valeur par défaut, sauf si vous devez rechercher la distinction majuscules/minuscules, ce qui n'est pas nécessaire dans les journaux SHD.
5. Do you want to search for non-matching lines? [N]>, vous pouvez définir cette ligne comme valeur par défaut, sauf si vous devez rechercher tout sauf votre expression régulière grep.
6. Do you want to tail the logs? [N]>. Cette option n'est disponible que dans la sortie du grep, si vous la laissez par défaut (N), elle affiche les journaux SHD de la première ligne du fichier courant.
7. Do you want to paginate the output? [N]>. Si vous sélectionnez Y, la sortie est la même que celle de la commande less. Vous pouvez naviguer entre les lignes et les pages. Vous pouvez également effectuer une recherche dans les journaux (tapez /puis le mot-clé et appuyez surEnter). Pour quitter le journal, tapezq.

Dans cet exemple, 52,2 % de la Reporting / logging Disk consommation est effectuée. 

Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0

I

Structure du disque et dépannage de la partition complète 

Comme indiqué précédemment dans la sortie deipcheck, il y a sept partitions dans le SWA :

La partition racine est pleine 

Si la partition racine (connue sous le nom de rootfs ou /) est pleine ou supérieure à 100%, ce qui est parfois attendu, et le SWA supprime les fichiers inutiles. 

Si vous constatez une baisse des performances du système, essayez d'abord de redémarrer l'appliance, puis vérifiez à nouveau la capacité du disque de la partition racine. Si le problème persiste, contactez le service client Cisco pour ouvrir un dossier TAC. 

La partition racine suivante est pleine 

Si votre mise à niveau échoue, assurez-vous que votre partition racine suivante est libre ou qu'elle dispose de suffisamment d'espace libre pour la mise à niveau,

Initialement, les images SMA virtuelles SWA, ESA (Email Security Appliance) et SMA (Virtual Security Management Appliance) ont été créées avec une taille de partition Nextroot inférieure à 500 Mo. Au fil des ans, et avec les nouvelles versions d'AsyncOS qui incluent des fonctionnalités supplémentaires, les mises à niveau ont dû utiliser de plus en plus de cette partition tout au long du processus de mise à niveau. Parfois, lorsque vous essayez de mettre à niveau à partir d'anciennes versions, les mises à niveau échouent en raison de cette taille de partition.

Dans les journaux de mise à niveau de l'interface de ligne de commande, vous pouvez voir ces erreurs :

Finding partitions... done.                                                    
Setting next boot partition to current partition as a precaution... done.      
Erasing new boot partition... done.                                            
Extracting eapp done.                                                          
Extracting scanerroot done.                                                    
Extracting splunkroot done.                                                    
Extracting savroot done.                                                       
Extracting ipasroot done.                                                      
Extracting ecroot done.                                                        
Removing unwanted files in nextroot done.                                      
Extracting distroot                                                            
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed

Pour un SWA virtuel, téléchargez un nouveau fichier image conformément à ce document : Guide d'installation de l'appliance virtuelle Cisco Secure Email and Web

Essayez ensuite d'importer la sauvegarde de la configuration de l'ancienne version vers le SWA nouvellement installé. Si vous voyez le Configuration Import Error, veuillez ouvrir un dossier de demande de service.

Pour SMA et ESA, vous pouvez trouver la solution de contournement pour ce problème à partir de ce lien : How to Apply the Workaround for Cisco vESA/vSMA Upgrade Fail Due to Small Partition Size - Cisco

La partition Var est pleine 

Si la Var partition est pleine, vous obtenez ces erreurs lorsque vous vous connectez à l'interface de ligne de commande ou à partir de la commande de l'interfaceDisplayalertsde ligne de commande :

/var: write failed, filesystem is full
The temporary data partition is at 99% capacity

Pour résoudre ce problème, redémarrez d'abord l'appliance. Si la capacité de la partition /var est toujours supérieure à 100 %, contactez l'assistance du TAC Cisco.

La partition de signalement/consignation est pleine 

Si la partition Reporting / Logging est pleine, les erreurs peuvent être :

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA

WARNING: Data partition utilization on appliance is high and can cause issues

La cause première de ces erreurs peut être classée comme suit :

1. Les fichiers journaux occupent trop d'espace disque.
2. Certains fichiers de mémoire sont générés sur le périphérique, ce qui entraîne une utilisation complète du disque.
3. Les rapports occupent trop d'espace disque.
4. Le suivi Web occupe trop d'espace disque.
5. Certains journaux internes occupent trop d'espace disque.

Les fichiers journaux occupent trop d'espace disque

Pour afficher les fichiers journaux, vous pouvez vous connecter au SWA par FTP à l'interface de gestion.

Remarque : FTP est désactivé par défaut.

Pour activer le protocole FTP à partir de l'interface utilisateur graphique, procédez comme suit :

Étape 1. Connectez-vous à l’interface utilisateur graphique.

Étape 2. Cliquez Interfaces sous le Network menu.

Étape 3. Cliquez surEdit Settings.

Étape 4. Sélectionnez FTP dans la sectionAppliance Management Services.

Étape 5. (Facultatif) vous pouvez modifier le port FTP par défaut.

Étape 6. Cliquez surSubmit.

Étape 7. Confirmer les modifications

Après la connexion FTP, vous pouvez afficher les journaux, la date de création et la taille de chaque fichier journal. Si vous devez archiver les journaux, vous pouvez les télécharger à partir du FTP. Vous pouvez également supprimer d'anciens journaux pour libérer de l'espace disque.

Pour résoudre ce problème, procédez comme suit :

Conseil : Si vous voyez que les fichiers journaux n'occupaient pas beaucoup d'espace disque, il est probable que le problème soit lié aux rapports ou aux fichiers de base.

Fichiers principaux sur le périphérique

Pour savoir si SWA possède des fichiers de base, procédez comme suit à partir de l'interface CLI :

Étape 1 : connexion à l’interface de ligne de commande 

Étape 2. Exécutez la commande : diagnostic (il s'agit d'une commande masquée qui ne peut pas être remplie automatiquement avec la touche TAB).

Étape 3. TapezPROXY.

Étape 4. Tapez LIST.

Le résultat indique s'il existe des fichiers de base. Pour supprimer les fichiers principaux, contactez le service d'assistance Cisco. Un ingénieur TAC doit rechercher la cause des fichiers principaux, puis il peut supprimer les fichiers.  

Les rapports occupent trop d'espace disque

Il existe deux types de rapports dans SWA : Rapports et suivi Web. WebTracking occupe la plus grande partie de l'espace disque.

Pour consulter l'historique de WebTracking, accédez à depuisWebTrackingl'interface utilisateur graphique. Dans le Reporting menu, dans la Time Range section, sélectionnez Custom Range, Les dates mises en surbrillance affichent l'historique du rapport WebTracking.

Pour effectuer une sauvegarde à partir de WebTracking, vous pouvez exporter le rapport au format CSV à partir du Printable Download lien du rapport.

Conseil : Évitez de générer des rapports WebTracking pendant de longues périodes, qui dépendent du trafic Web quotidien normal. Les rapports pour des durées plus longues peuvent entraîner l'inactivité de l'agent SWA. 

Au moment où cet article est écrit, il n'y a aucune fonctionnalité pour supprimer manuellement les rapports plus anciens. (ID de bogue Cisco CSCun82094)

Pour supprimer certains de vos rapports, vous devez contacter l'assistance TAC ou supprimer tous les rapports de l'interface de ligne de commande en procédant comme suit : 

Étape 1. Connectez-vous à l’interface CLI.

Étape 2. Exécutez la diagnostic commande. (Il s'agit d'une commande masquée qui ne peut pas être exécutée automatiquement avec la touche TAB.)

Étape 3. TapezREPORTINGet appuyez sur Enter.

Étape 4. TapezDELETEDBet appuyez surEnter.

Mise en garde : Cette commande supprime toutes les données des rapports. Elle ne peut pas être abandonnée.

Les journaux internes occupent le disque

Si votre périphérique présente les conditions du défaut : ID de bogue Cisco CSCvy69039, vous devez ouvrir un dossier TAC pour vérifier les journaux internes à partir du back-end et supprimer manuellement les fichiers journaux volumineux.

Il s'agit d'une solution de contournement temporaire, mais dans la version concernée, le fichier journal est automatiquement créé après la suppression et la taille du fichier augmente de nouveau de 0 à plusieurs reprises.

Informations connexes

• Notes de version de WSA AsyncOS
• Assistance et documentation techniques - Cisco Systems