Introduction
Ce document décrit les étapes à suivre pour résoudre l'erreur d'espace disque total dans l'appareil Web sécurisé (SWA).
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Accès administratif au SWA
- Accès FTP à SWA
Composants utilisés
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Erreurs liées au disque plein
Différentes erreurs et avertissements dans SWA indiquent que le disque est plein ou que l'espace disque est presque plein. Voici la liste des erreurs et des avertissements. Ces journaux sont différents dans chaque version du logiciel et en raison des méthodes de livraison, telles que les alertes, les journaux système ou le résultat de la commande dans displayalerts l'interface de ligne de commande.
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected.
WARNING: Data partition utilization on appliance is high and can cause issues
Surveiller l'utilisation du disque
Vous pouvez surveiller et afficher l'utilisation du disque à partir de l'interface graphique et de la CLI.
Afficher l'utilisation du disque dans l'interface graphique
Après vous être connecté à l'interface utilisateur graphique de SWA, dans la page My-Dashboard, vous pouvez voir l'utilisation Reporting / logging Disk à partir de la System Overview section.
Remarque : Dans SWA, les rapports et les journaux sont stockés dans une seule partition, appelée partition DATA.
Dans l'interface utilisateur graphique également, sous le Reporting menu, accédez à System Status. Vous pouvez également afficher l'utilisation du disque à partir de la Overview section, sous le menu Reporting.
Afficher l'utilisation du disque dans CLI
- À partir du résultat de l'état ou du détail d'état, vous pouvez voir l'utilisation du disque de rapport / journalisation
SWA.CLI> status
Enter "status detail" for more information.
Status as of: Sun Feb 19 19:55:13 2023 CET
Up since: Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
CPU 25.9%
RAM 13.6%
Reporting/Logging Disk 58.1%
- Le résultat de
ipcheckindique l'espace disque alloué à chaque partition et le pourcentage d'espace utilisé par partition.
SWA.CLI> ipcheck
...
Disk 0 200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
Disk Total 200GB
=== Skiped ===
Root 4GB 65%
Nextroot 4GB 1%
Var 400MB 29%
Log 130GB 8%
DB 2GB 0%
Swap 8GB
Proxy Cache 50GB
=== Skiped ===
- Dans les journaux SHD, l'utilisation du disque de rapport / journalisation pour chaque minute est affichée comme DskUtil. Pour accéder aux journaux SHD, procédez comme suit :
- Tapez grep ortail dans la CLI.
- Recherchez shd_logs. type : Récupération des journaux SHD : Sondage FTP, à partir de la liste et tapez le numéro associé.
- Dans Entrez l'expression régulière à grep, vous pouvez taper une expression régulière pour effectuer une recherche dans les journaux. Par exemple, vous pouvez taper date et heure.
- Voulez-vous que cette recherche ne respecte pas la casse ? [Y]>, vous pouvez conserver cette valeur par défaut, sauf si vous devez rechercher la distinction majuscules/minuscules, ce qui n'est pas nécessaire dans les journaux SHD.
- Voulez-vous rechercher les lignes qui ne correspondent pas ? [N]>, vous pouvez définir cette ligne comme valeur par défaut, sauf si vous devez rechercher tout sauf votre expression régulière grep.
- Voulez-vous suivre les journaux ? [N]>. Cette option n'est disponible que dans la sortie du grep, si vous la laissez par défaut (N), elle affiche les journaux SHD de la première ligne du fichier courant.
- Voulez-vous paginer le résultat ? [N]>. Si vous sélectionnez
Y, la sortie est la même que celle de la commande less. Vous pouvez naviguer entre les lignes et les pages. Vous pouvez également effectuer une recherche dans les journaux (tapez /puis le mot-clé et appuyez sur Entrée). Pour quitter le journal, tapezq.
Dans cet exemple, 52,2 % de la Reporting / logging Disk consommation est effectuée.
Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0
Structure du disque et dépannage de la partition complète
Comme indiqué précédemment dans la sortie de ipcheck, il y a sept partitions dans le SWA :
| Nom de partition |
Description |
| Racine |
Conserve les fichiers système d'exploitation internes |
| Nextroot |
Cette partition est utilisée pour la mise à niveau |
| Var |
Conserve les fichiers système d'exploitation internes |
| Journal |
Contient les journaux et le fichier de rapports |
| DB |
Configuration et bases de données internes |
| Échange |
Mémoire SWAP |
| Cache proxy |
Conserve les données mises en cache |
La partition racine est pleine
Si la partition racine (connue sous le nom de rootfs ou /) est pleine ou supérieure à 100%, ce qui est parfois attendu, et le SWA supprime les fichiers inutiles.
Si vous constatez une baisse des performances du système, essayez d'abord de redémarrer l'appliance, puis vérifiez à nouveau la capacité du disque de la partition racine. Si le problème persiste, contactez le service client Cisco pour ouvrir un dossier TAC.
La partition racine suivante est pleine
Si votre mise à niveau échoue, assurez-vous que votre partition racine suivante est libre ou qu'elle dispose de suffisamment d'espace libre pour la mise à niveau,
Initialement, les images SMA virtuelles SWA, ESA (Email Security Appliance) et SMA (Virtual Security Management Appliance) ont été créées avec une taille de partition Nextroot inférieure à 500 Mo. Au fil des ans, et avec les nouvelles versions d'AsyncOS qui incluent des fonctionnalités supplémentaires, les mises à niveau ont dû utiliser de plus en plus de cette partition tout au long du processus de mise à niveau. Parfois, lorsque vous essayez de mettre à niveau à partir d'anciennes versions, les mises à niveau échouent en raison de cette taille de partition.
Dans les journaux de mise à niveau de l'interface de ligne de commande, vous pouvez voir ces erreurs :
Finding partitions... done.
Setting next boot partition to current partition as a precaution... done.
Erasing new boot partition... done.
Extracting eapp done.
Extracting scanerroot done.
Extracting splunkroot done.
Extracting savroot done.
Extracting ipasroot done.
Extracting ecroot done.
Removing unwanted files in nextroot done.
Extracting distroot
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed
Pour un SWA virtuel, téléchargez un nouveau fichier image conformément à ce document : Guide d'installation de l'appliance virtuelle Cisco Secure Email and Web
Essayez ensuite d'importer la sauvegarde de la configuration de l'ancienne version vers le SWA nouvellement installé. Si vous voyez le Configuration Import Error, veuillez ouvrir un dossier de demande de service.
Pour SMA et ESA, vous pouvez trouver la solution de contournement pour ce problème à partir de ce lien : How to Apply the Workaround for Cisco vESA/vSMA Upgrade Fail Due to Small Partition Size - Cisco
La partition Var est pleine
Si la var partition est pleine, vous obtenez ces erreurs lorsque vous vous connectez à l'interface de ligne de commande ou à partir de la commande de l'interface Displayalerts de ligne de commande :
/var: write failed, filesystem is full
The temporary data partition is at 99% capacity
Pour résoudre ce problème, redémarrez d'abord l'appliance. Si la capacité de la partition /var est toujours supérieure à 100 %, contactez l'assistance du TAC Cisco.
Partition du système d'exploitation à XX % de capacité
Si vous recevez l'erreur : « La partition du système d'exploitation est à 91 % de sa capacité ». Il s'agit généralement de la partition /nextroot.
à partir de la CLI, exécutez la commande ipcheck.
SWA_CLI> ipcheck
...
Disk 0 1024GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
Disk Total 1024GB
Root 2GB 95%
Nextroot 2GB 92%
Var 400MB 60%
Log 808GB 21%
DB 2GB 0%
Swap 8GB
Proxy Cache 200GB
Si la taille de la partition Nextroot est de 2 Go, en raison de cet avis de champ : https://www.cisco.com/c/en/us/support/docs/field-notices/722/fn72230.html vous devez installer une nouvelle version de machine virtuelle supérieure à 14.5 dans laquelle la partition Nextroot est de 4 Go, et migrer de l'ancien SWA vers le nouveau SWA.
Pour plus d'informations, veuillez consulter ce lien : Comment appliquer la solution de contournement pour la mise à niveau de Cisco vESA/vSMA en cas d'échec en raison de la petite taille de partition
La partition de signalement/consignation est pleine
Si la partition Reporting / Logging est pleine, les erreurs peuvent être :
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
WARNING: Data partition utilization on appliance is high and can cause issues
La cause première de ces erreurs peut être classée comme suit :
- Les fichiers journaux occupent trop d'espace disque.
- Certains fichiers de mémoire sont générés sur le périphérique, ce qui entraîne une utilisation complète du disque.
- Les rapports occupent trop d'espace disque.
- Le suivi Web occupe trop d'espace disque.
- Certains journaux internes occupent trop d'espace disque.
Les fichiers journaux occupent trop d'espace disque
Pour afficher les fichiers journaux, vous pouvez vous connecter au SWA par FTP à l'interface de gestion.
Remarque : FTP est désactivé par défaut.
Pour activer le protocole FTP à partir de l'interface utilisateur graphique, procédez comme suit :
Étape 1. Connectez-vous à l’interface utilisateur graphique.
Étape 2. Cliquez Interfaces sous le Network menu.
Étape 3. Cliquez sur Edit Settings.
Étape 4. Sélectionnez FTP dans la sectionAppliance Management Services.
Étape 5. (Facultatif) vous pouvez modifier le port FTP par défaut.
Étape 6. Cliquez sur Submit.
Étape 7. Confirmer les modifications
Après la connexion FTP, vous pouvez afficher les journaux, la date de création et la taille de chaque fichier journal. Si vous devez archiver les journaux, vous pouvez les télécharger à partir du FTP. Vous pouvez également supprimer d'anciens journaux pour libérer de l'espace disque.
Pour résoudre ce problème, procédez comme suit :
Conseil : Si vous voyez que les fichiers journaux n'occupaient pas beaucoup d'espace disque, il est probable que le problème soit lié aux rapports ou aux fichiers de base.
Fichiers principaux sur le périphérique
Pour savoir si SWA possède des fichiers de base, procédez comme suit à partir de l'interface CLI :
Étape 1 : connexion à l’interface de ligne de commande
Étape 2. Exécutez la commande : diagnostic (il s'agit d'une commande masquée qui ne peut pas être remplie automatiquement avec la touche TAB).
Étape 3. Tapez PROXY.
Étape 4. Tapez LIST.
Le résultat indique s'il existe des fichiers de base. Pour supprimer les fichiers principaux, contactez le service d'assistance Cisco. Un ingénieur TAC doit rechercher la cause des fichiers principaux, puis il peut supprimer les fichiers.
Les rapports occupent trop d'espace disque
Il existe deux types de rapports dans SWA : Rapports et suivi Web. WebTracking occupe la plus grande partie de l'espace disque.
Pour consulter l'historique de WebTracking, accédez à depuis WebTracking l'interface utilisateur graphique. Dans le Reporting menu, dans la Time Range section, sélectionnez Custom Range, Les dates mises en surbrillance affichent l'historique du rapport WebTracking.
Pour effectuer une sauvegarde à partir de WebTracking, vous pouvez exporter le rapport au format CSV à partir du Printable Download lien du rapport.
Conseil : Évitez de générer des rapports WebTracking pendant de longues périodes, qui dépendent du trafic Web quotidien normal. Les rapports pour des durées plus longues peuvent entraîner l'inactivité de l'agent SWA.
Au moment où cet article est écrit, il n'y a aucune fonctionnalité pour supprimer manuellement les rapports plus anciens. (ID de bogue Cisco CSCun82094)
Pour supprimer certains de vos rapports, vous devez contacter l'assistance TAC ou supprimer tous les rapports de l'interface de ligne de commande en procédant comme suit :
Étape 1. Connectez-vous à l’interface CLI.
Étape 2. Exécutez la diagnostic commande. (Il s'agit d'une commande masquée qui ne peut pas être exécutée automatiquement avec la touche TAB.)
Étape 3. Tapez REPORTING et appuyez sur Enter.
Étape 4. Tapez DELETEDB et appuyez sur Enter.
Mise en garde : Cette commande supprime toutes les données des rapports. Elle ne peut pas être abandonnée.
Si vous avez SWA S195 ou S190, considérez également ce défaut : ID de bogue Cisco CSCwd83093 .
Les journaux internes occupent le disque
Si votre périphérique présente les conditions du défaut : ID de bogue Cisco CSCvy69039, vous devez ouvrir un dossier TAC pour vérifier les journaux internes à partir du back-end et supprimer manuellement les fichiers journaux volumineux.
Il s'agit d'une solution de contournement temporaire, mais dans la version concernée, le fichier journal est automatiquement créé après la suppression et la taille du fichier augmente de nouveau de 0 à plusieurs reprises.
Informations connexes
Commentaires