はじめに
このドキュメントでは、Secure Web Appliance(SWA)のフルディスクスペースエラーを解決する手順について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
フルディスクに関連するエラー
SWAには、ディスクがいっぱいであるか、ディスク領域がほとんどいっぱいであることを示すさまざまなエラーと警告があります。エラーと警告のリストを次に示します。これらのログはソフトウェアバージョンごとに異なり、アラート、システムログ、CLIからのdisplayalertsコマンドの出力などの配信方法が原因で発生します。
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected.
WARNING: Data partition utilization on appliance is high and can cause issues
ディスク使用量の監視
GUIとCLIの両方からディスクの使用状況を監視および表示できます。
GUIでのディスク使用量の表示
SWA GUIにログインすると、My-DashboardページのSystem OverviewセクションにReporting / logging Disk usageと表示されます。
注:SWAでは、レポートおよびログはDATAパーティションと呼ばれる1つのパーティションに保存されます。
また、GUIのReportingメニューで、System Statusに移動します。または、Reportingメニューの下のOverviewセクションで、ディスクの使用状況を表示できます。
CLIでのディスク使用量の表示
statusまたはstatus detailの出力から、Reporting / logging Disk usageを確認できます
SWA.CLI> status
Enter "status detail" for more information.
Status as of: Sun Feb 19 19:55:13 2023 CET
Up since: Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
CPU 25.9%
RAM 13.6%
Reporting/Logging Disk 58.1%
ipcheckの出力から、各パーティションに割り当てられているディスク領域と、パーティションごとの使用領域のパーセンテージがわかります。
SWA.CLI> ipcheck
...
Disk 0 200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
Disk Total 200GB
=== Skiped ===
Root 4GB 65%
Nextroot 4GB 1%
Var 400MB 29%
Log 130GB 8%
DB 2GB 0%
Swap 8GB
Proxy Cache 50GB
=== Skiped ===
- SHDログでは、1分ごとの
レポート/ロギングディスク使用率はDskUtilと表示されます。SHDログにアクセスするには、次の手順を使用します。
- CLIで
ortail と入力します。
shd_logsを見つけます。リストから「SHD Logs Retrieval: FTP Poll」と入力し、関連付けられた番号を入力します。- 「
grepを実行する正規表現の入力」に、ログ内を検索する正規表現を入力できます。たとえば、日付と時刻を入力できます。
Do you want this search to be case insensitive?(この検索で大文字小文字を区別しますか?)[Y]>大文字と小文字の区別を検索する必要がない場合を除き、このオプションはデフォルトのままにしておくことができます。大文字と小文字の区別は、SHDログでは必要ありません。一致しない行を検索しますか?[N]>正規表現を除くすべての文字列を検索する必要がない限り、この行をデフォルトとして設定できます。Do you want to tail the logs?(ログの最後を表示しますか?)[N]>.このオプションは、grepの出力でのみ使用できます。これをデフォルト(N)にした場合、現在のファイルの最初の行からSHDログが表示されます。Do you want to paginate the output?(出力をページングしますか?)[N]>.Yを選択すると、出力はlessコマンドの出力と同じになります。行とページの間を移動できます。また、ログの内部を検索することもできます(/と入力してからキーワードを入力し、Enterキーを押します)。 ログを終了するには、qと入力します。
この例では、Reporting / logging Diskの52.2 %が使用されています。
Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0
I
ディスク構造およびフルパーティションのトラブルシューティング
前述のように、ipcheckの出力では、SWAに7つのパーティションがあります。
| パーティション名 |
説明 |
| Root |
内部のオペレーションシステムファイルを保持 |
| Nextroot |
このパーティションはアップグレードに使用されます |
| バール |
内部のオペレーションシステムファイルを保持 |
| log |
ログとレポートファイルを保持します |
| DB |
設定および内部データベース |
| スワップ |
メモリのスワップ |
| プロキシ キャッシュ |
キャッシュされたデータを保持 |
ルートパーティションがいっぱいです
ルートパーティション(rootfsまたは/と呼ばれる)がいっぱいであるか100 %を超えている場合。これは予期される状況であり、SWAは不要なファイルを削除します。
システムパフォーマンスの低下が見られる場合は、最初にアプライアンスを再起動し、次にルートパーティションのディスク容量を再度確認します。それでも問題が解決しない場合は、シスコカスタマーサービスに連絡して、TACサービスリクエストをオープンしてください。
次のルートパーティションがいっぱいです
アップグレードが失敗した場合は、次のルートパーティションが空いているか、アップグレードに十分な空き領域があることを確認します。
当初、仮想SWA、Eメールセキュリティアプライアンス(ESA)、および仮想セキュリティ管理アプライアンス(SMA)の各イメージは、500MB未満のNextrootパーティションサイズで構築されていました。長年にわたり、追加機能を含む新しいAsyncOSリリースでは、アップグレードのプロセスを通じてアップグレードでこのパーティションをますます多く使用する必要がありました。古いバージョンからアップグレードしようとすると、このパーティションサイズのためにアップグレードが失敗することがあります。
CLIのアップグレードログから、次のエラーを確認できます。
Finding partitions... done.
Setting next boot partition to current partition as a precaution... done.
Erasing new boot partition... done.
Extracting eapp done.
Extracting scanerroot done.
Extracting splunkroot done.
Extracting savroot done.
Extracting ipasroot done.
Extracting ecroot done.
Removing unwanted files in nextroot done.
Extracting distroot
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed
仮想SWAの場合は、このドキュメントに従って新しいイメージファイルをダウンロードしてください:Cisco Secure Email and Web仮想アプライアンスインストールガイド
次に、古いバージョンから新しくインストールしたSWAに設定バックアップをインポートします。Configuration Import Errorが表示された場合は、サービスリクエストをオープンしてください。
SMAおよびESAに関しては、この問題の回避策を次のリンクから参照できます。Cisco vESA/vSMAアップグレードの回避策の適用方法で小さいパーティションサイズが原因で失敗する – シスコ
Varパーティションがいっぱいです
Varパーティションがいっぱいになっている場合、CLIにログインするか、CLIのDisplayalertsコマンドを使用すると、次のエラーが表示されます。
/var: write failed, filesystem is full
The temporary data partition is at 99% capacity
この問題を解決するには、まずアプライアンスを再起動します。/varパーティションの容量が依然として100 %を超えている場合は、Cisco TACサポートに連絡してください。
レポート/ログパーティションがいっぱいです
レポート/ロギングパーティションがいっぱいの場合は、次のエラーが発生する可能性があります。
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
WARNING: Data partition utilization on appliance is high and can cause issues
これらのエラーの根本原因は、次のように分類できます。
- ログファイルが占有するディスク領域が多すぎます。
- デバイス上で生成されたコアファイルが存在するため、ディスクが完全に使用されます。
- レポート作成に必要なディスク領域が多すぎます。
- Webトラッキングが占有するディスク領域が多すぎます。
- 一部の内部ログはディスク領域を過度に占有します。
ログファイルが占有するディスク領域が多すぎる
ログファイルを表示するには、管理インターフェイスにFTPでSWAに接続します。
注:FTPはデフォルトで無効になっています。
GUIからFTPを有効にするには、次の手順を使用します。
ステップ 1:GUI にログインします。
ステップ 2:Networkメニューの下にあるInterfacesをクリックします。
ステップ 3:[Edit Settings] をクリックします。
ステップ 4:「Appliance Management Services」セクションから「FTP」を選択します。
ステップ5:(オプション)デフォルトのFTPポートを変更できます。
手順 6:[Submit] をクリックします。
手順 7:変更を確定します。
FTP接続後に、ログ、作成日、および各ログファイルのサイズを表示できます。ログをアーカイブする必要がある場合は、FTPからダウンロードできます。または、ディスク領域を解放するために、古いログを削除できます。
この問題を解決するには、次の手順を実行します。
ヒント:ログファイルが多くのディスク領域を占有していなかったことが判明した場合、問題の原因はレポートまたはコアファイルに関連している可能性が高いと考えられます。
デバイス上のコアファイル
SWAにコアファイルがあるかどうかを確認するには、CLIで次の手順を実行します。
ステップ 1:CLIにログインします。
ステップ 2:diagnosticコマンドを実行します(これは隠しコマンドであり、TABで自動的に入力することはできません)。
ステップ 3:PROXYと入力します。
ステップ 4:LISTと入力します。
出力は、コアファイルがあるかどうかを示します。コアファイルを削除するには、TACエンジニアがコアファイルの原因を調査する必要がある場合は、シスコサポートサービスに連絡してください。調査が終わったら、コアファイルを削除できます。
レポートのディスク領域が多すぎる
SWAには、レポートとWebTrackingの2種類のレポートがあります。WebTrackingは、ディスク領域のほとんどを占有します。
WebTrackingの履歴を確認するには、GUIからWebTrackingに移動します。Reportingメニューで、Time RangeセクションからCustom Rangeを選択します。強調表示された日付がWebTrackingレポートの履歴を示します。
WebTrackingからバックアップを作成するには、レポートの印刷可能なダウンロードリンクからレポートをCSVにエクスポートします。
ヒント:通常の毎日のWebトラフィックに依存するWebTrackingレポートの生成を長時間にわたって回避します。レポートの期間が長くなると、SWAが応答しなくなる可能性があります。
この記事の作成時点では、古いレポートを手動で削除する機能はありません。(Cisco Bug ID CSCun82094)
レポートの一部を削除するには、TACサポートに問い合わせる必要があります。または、次の手順でCLIからすべてのレポートを削除できます。
ステップ 1:CLIにログインします。
ステップ 2:diagnosticコマンドを実行します。(これは隠しコマンドであり、Tabを使用して自動的に入力することはできません)。
ステップ 3:REPORTINGと入力してEnterキーを押します。
ステップ 4:DELETEDBと入力してEnterキーを押します。
注意:このコマンドを実行すると、すべてのレポートデータが削除されます。中止できません。
内部ログがディスクを占有
デバイスが不具合「Cisco Bug ID CSCvy69039」の条件を満たしている場合は、TACケースをオープンして、バックエンドの内部ログをチェックし、大きなログファイルを手動で削除する必要があります。
これは一時的な回避策ですが、影響を受けるバージョンでは、ログファイルは削除後に自動的に作成され、ファイルサイズが再び0から繰り返し大きくなります。
関連情報
フィードバック