Secure Web Appliance Full Disk Error oplossen

Inleiding

In dit document worden de stappen beschreven voor het oplossen van een fout met volledige schijfruimte in Secure Web Appliance (SWA).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Toegang tot CLI van SWA

• Administratieve toegang tot de SWA
• FTP-toegang tot SWA

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Fouten met betrekking tot de volledige schijf  

Er zijn verschillende fouten en waarschuwingen in SWA die aangeven dat de schijf vol is of dat de schijfruimte bijna vol is. Hier is de lijst met fouten en waarschuwingen. Deze logs zijn verschillend in elke softwareversie en vanwege de leveringsmethoden, zoals waarschuwingen, systeemlogs of de uitvoer van de opdrachtdisplayalertsvanuit de CLI.   

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected. 
WARNING: Data partition utilization on appliance is high and can cause issues

Schijfgebruik controleren

U kunt het schijfgebruik controleren en bekijken vanuit zowel de GUI als de CLI.

Schijfgebruik in GUI bekijken

Nadat u zich hebt aangemeld bij de SWA GUI, kunt u op de pagina Mijn dashboard het gebruik zien Reporting / logging Disk in de System Overview sectie.  

Opmerking: In SWA worden rapporten en logs opgeslagen op één partitie, de DATA-partitie.

Navigeer ook in de GUI onder het Reporting menu naarSystem Status. U kunt ook het schijfgebruik bekijken in het Overview gedeelte onder hetReportingmenu.

Schijfgebruik in CLI bekijken

• Aan de hand van de output van status ofstatus detail, kunt u het Reporting / logging Disk gebruik zien

SWA.CLI> status

Enter "status detail" for more information.

Status as of:                  Sun Feb 19 19:55:13 2023 CET
Up since:                      Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
  CPU                                    25.9%
  RAM                                    13.6%
  Reporting/Logging Disk                 58.1%

• Aan de hand van de uitvoer van ipcheckkunt u de toegewezen schijfruimte voor elke partitie en het percentage gebruikte ruimte per partitie zien.

SWA.CLI> ipcheck
...
  Disk 0                200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
  Disk Total            200GB
=== Skiped ===
  Root                  4GB 65%
  Nextroot              4GB 1%
  Var                   400MB 29%
  Log                   130GB 8%
  DB                    2GB 0%
  Swap                  8GB
  Proxy Cache           50GB
=== Skiped ===

• In SHD-logboeken wordt hetReporting / logging Diskgebruik voor elke minuut weergegeven alsDskUtil. Ga als volgt te werk om toegang te krijgen tot SHD-logs:

1. Typgrepof voertailde CLI uit.
2. Vind shd_logshet. Type:SHD Logs Retrieval: FTP Poll, uit de lijst en typ het bijbehorende nummer.
3. In kuntEnter the regular expression to grepu een reguliere expressie typen om in de logs te zoeken. U kunt bijvoorbeeld datum en tijd invoeren.
4. Do you want this search to be case insensitive? [Y]>U kunt dit echter als de standaardinstelling laten, tenzij u moet zoeken naar hoofdlettergevoeligheid, die in SHD-logs niet nodig is.
5. Do you want to search for non-matching lines? [N]>U kunt deze regel echter als standaard instellen, tenzij u alles moet zoeken behalve uw reguliere GREP-expressie.
6. Do you want to tail the logs? [N]>. Deze optie is alleen beschikbaar in de uitvoer van de grep, als u dit als standaard (N) instelt, worden de SHD-logs van de eerste regel van het huidige bestand weergegeven.
7. Do you want to paginate the output? [N]>. Als u Yselecteert, is de uitvoer hetzelfde als de uitvoer van de opdracht less. U kunt navigeren tussen lijnen en pagina's. U kunt ook zoeken in de logs (Typ / typ vervolgens het trefwoord en druk opEnter). Als u het logboek wilt afsluiten, typt uq.

In dit voorbeeld wordt 52,2% van de Reporting / logging Disk energie verbruikt. 

Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0

I

Schijfstructuur en probleemoplossing voor volledige partitie 

Zoals eerder vermeld uit de uitvoer vanipcheck, zijn er zeven partities in de SWA:

De hoofdpartitie is vol 

Als de hoofdpartitie (bekend als rootfs of /) vol is of meer dan 100%, wat soms wordt verwacht, en de SWA onnodige bestanden verwijdert. 

Als u een daling van de systeemprestaties ziet, probeert u eerst het toestel opnieuw op te starten en controleert u vervolgens opnieuw de schijfcapaciteit van de rootpartitie. Als het probleem zich blijft voordoen, neemt u contact op met de klantenservice van Cisco om een TAC-kwestie te openen. 

Volgende rootpartitie is vol 

Als uw upgrade mislukt, zorg ervoor dat uw volgende rootpartitie gratis is of voldoende vrije ruimte heeft voor de upgrade,

Aanvankelijk werden virtuele SWA-, Email Security Appliance (ESA)- en Virtual Security Management Appliance (SMA)-images gebouwd met een Nextroot-partitiegrootte van minder dan 500MB. In de loop der jaren, en met nieuwere AsyncOS-releases die extra functies bevatten, hebben upgrades steeds meer van deze partitie moeten gebruiken tijdens het upgradeproces. Soms wanneer u probeert te upgraden van oudere versies, mislukken upgrades vanwege deze partitiegrootte.

In de upgradelogs in de CLI ziet u de volgende fouten:

Finding partitions... done.                                                    
Setting next boot partition to current partition as a precaution... done.      
Erasing new boot partition... done.                                            
Extracting eapp done.                                                          
Extracting scanerroot done.                                                    
Extracting splunkroot done.                                                    
Extracting savroot done.                                                       
Extracting ipasroot done.                                                      
Extracting ecroot done.                                                        
Removing unwanted files in nextroot done.                                      
Extracting distroot                                                            
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed

Download voor een virtuele SWA een nieuw afbeeldingsbestand volgens dit document: Cisco Secure Email and Web Virtual Appliance Installation Guide

Probeer vervolgens de back-up van de configuratie te importeren van de oudere versie naar de nieuw geïnstalleerde SWA. Als u de Configuration Import Errorservice ziet, opent u een serviceaanvraagprocedure.

Voor SMA en ESA kunt u de oplossing voor dit probleem vinden via deze link: Hoe de oplossing voor Cisco vESA/vSMA-upgradefout toepassen vanwege de kleine partitiegrootte - Cisco

VAR-partitie is vol 

Als de partitie Var vol is, krijgt u deze fouten wanneer u zich aanmeldt bij CLI of vanuit de opdrachtDisplayalertsin CLI:

/var: write failed, filesystem is full
The temporary data partition is at 99% capacity

Om dit probleem op te lossen, start u het toestel eerst opnieuw op. Als de capaciteit van de /var-partitie nog steeds meer dan 100% is, neemt u contact op met Cisco TAC-ondersteuning.

Rapportage-/logboekpartitie is vol 

Als de partitie Rapportage / Logboekregistratie vol is, kunnen de fouten zijn:

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA

WARNING: Data partition utilization on appliance is high and can cause issues

De oorzaak van deze fouten kan worden gecategoriseerd als:

1. Logbestanden nemen te veel schijfruimte in beslag.
2. Er zijn enkele kernbestanden gegenereerd op het apparaat die leiden tot volledig schijfgebruik.
3. Rapportage neemt te veel schijfruimte in beslag.
4. Webtracking neemt te veel schijfruimte in beslag.
5. Sommige interne logs nemen te veel schijfruimte in beslag.

Logbestanden nemen te veel schijfruimte in beslag

Als u logbestanden wilt bekijken, kunt u via FTP verbinding maken met de SWA met de beheerinterface.

Opmerking: FTP is standaard uitgeschakeld.

Voer de volgende stappen uit om FTP in te schakelen vanuit de GUI:

Stap 1. Log in op de GUI.

Stap 2. Klik Interfaces onder het Network menu.

Stap 3. Klik op de knop .Edit Settings

Stap 4. Selecteer FTP uit de Appliance Management Servicessectie.

Stap 5. (Optioneel) U kunt de standaard FTP-poort wijzigen.

Stap 6. Klik op de knop .Submit

Stap 7. Wijzigen vastleggen.

Na de FTP-verbinding kunt u de logs, de aanmaakdatum en de grootte van elk logbestand bekijken. Als u de logs moet archiveren, kunt u ze downloaden van FTP. Of om schijfruimte vrij te maken, kunt u oude logs verwijderen.

Gebruik deze stappen om dit probleem op te lossen:

Tip: Als u ziet dat de logbestanden niet veel schijfruimte in beslag namen, is het probleem waarschijnlijk gerelateerd aan rapporten of kernbestanden.

Core-bestanden op het apparaat

Als u wilt zien of SWA kernbestanden heeft, gebruikt u de volgende stappen vanuit CLI:

Stap 1. Log in bij CLI. 

Stap 2. Voer de opdracht uit: diagnostic (het is een verborgen opdracht en kan niet automatisch worden gevuld met TAB).

Stap 3. Type.PROXY

Stap 4. Type.LIST

De uitvoer laat zien of er kernbestanden zijn. Om de kernbestanden te verwijderen, neemt u contact op met Cisco Support Service, een TAC-ingenieur moet de oorzaak van kernbestanden onderzoeken en vervolgens kunnen ze de bestanden verwijderen.  

Rapportage neemt te veel schijfruimte in beslag

Er zijn twee soorten rapporten in SWA: Rapportage en WebTracking. WebTracking neemt het grootste deel van de schijfruimte in beslag.

Om de geschiedenis van WebTracking te bekijken, navigeert u naarWebTrackingvanuit de GUI. Selecteer onder het Reporting menu in het Time Range gedeelte Custom RangeDe gemarkeerde datums tonen de geschiedenis van het WebTracking-rapport.

Als u een back-up van WebTracking wilt maken, kunt u het rapport exporteren naar CSV via de koppeling in het Printable Download rapport.

Tip: Vermijd het genereren van WebTracking-rapporten voor lange perioden, afhankelijk van het normale dagelijkse webverkeer. De rapporten voor langere duur kunnen ertoe leiden dat de SWA niet meer reageert. 

Op het moment dat dit artikel wordt geschreven, is er geen functie om oudere rapporten handmatig te verwijderen. (Cisco bug ID CSCun82094)

Om sommige van uw rapporten te verwijderen, moet u contact opnemen met TAC Support, of u kunt alle rapporten uit de CLI verwijderen met de volgende stappen: 

Stap 1. Log in bij CLI.

Stap 2. Voer het diagnostic commando uit. (Het is een verborgen opdracht en kan niet automatisch worden ingevuld met TAB.)

Stap 3. TypREPORTINGen druk Enterop.

Stap 4. TypDELETEDBen drukEnterop.

Let op: met deze opdracht worden alle rapportgegevens verwijderd. Het kan niet worden afgebroken.

Interne logbestanden bezetten schijf

Als uw apparaat de voorwaarden van het defect heeft: Cisco bug ID CSCvy69039, moet u een TAC-case openen om de interne logs van de back-end te controleren en de grote logbestanden handmatig te verwijderen.

Dit is een tijdelijke oplossing, maar op de getroffen versie wordt het logbestand automatisch gemaakt na verwijdering en groeit de bestandsgrootte herhaaldelijk van 0 weer.

Gerelateerde informatie

• Opmerkingen bij release van WSA AsyncOS
• Technische ondersteuning en documentatie – Cisco Systems