簡介
本文檔介紹解決Secure Web Appliance(SWA)中的「Full Disk Space Error(磁碟空間錯誤)」的步驟。
必要條件
需求
思科建議您瞭解以下主題:
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
與全磁碟相關的錯誤
SWA中存在不同的錯誤和警告,表明磁碟已滿或磁碟空間已接近滿。以下是錯誤和警告的清單。每個軟體版本中的這些日誌都不同,並且由於交付方式(如警報、系統日誌或CLI中的命令輸出displayalerts)而異。
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected.
WARNING: Data partition utilization on appliance is high and can cause issues
監視磁碟使用情況
您可以通過GUI和CLI監控和檢視磁碟使用情況。
在GUI中檢視磁碟使用情況
登入到SWA GUI後,在My-Dashboard頁面中,可以從部Reporting / logging Disk分看到用System Overview法。
附註:在SWA中,報告和日誌儲存在單個分割槽(稱為DATA分割槽)中。
在GUI的選單下Reporting導航至System Status。或者,也可以從選單下的部分查Overview看磁碟使用情況Reporting。
在CLI中檢視磁碟使用情況
- 從或的輸出
status中status detail,您可以看到用Reporting / logging Disk法
SWA.CLI> status
Enter "status detail" for more information.
Status as of: Sun Feb 19 19:55:13 2023 CET
Up since: Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
CPU 25.9%
RAM 13.6%
Reporting/Logging Disk 58.1%
- 從的輸出中,
ipcheck您可以看到分配給每個分割槽的磁碟空間以及每個分割槽的已用空間百分比。
SWA.CLI> ipcheck
...
Disk 0 200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
Disk Total 200GB
=== Skiped ===
Root 4GB 65%
Nextroot 4GB 1%
Var 400MB 29%
Log 130GB 8%
DB 2GB 0%
Swap 8GB
Proxy Cache 50GB
=== Skiped ===
- 在SHD日誌中,每
Reporting / logging Disk分鐘的利用率顯示為DskUtil。要訪問SHD日誌,請執行以下步驟:
- 在CLI中鍵入
grep或tail。
- 尋找
shd_logs到。Type:SHD Logs Retrieval: FTP Poll,並鍵入相關號碼。
- 在
Enter the regular expression to grep,可以鍵入正規表示式在日誌中搜尋。例如,可以鍵入日期和時間。
Do you want this search to be case insensitive? [Y]>,您可以將此選項保留為預設值,除非您需要搜尋大小寫敏感性(在SHD日誌中,不需要此選項)。Do you want to search for non-matching lines? [N]>,您可以將此行設定為預設值,除非您需要搜尋除grep正規表示式之外的所有內容。Do you want to tail the logs? [N]>.此選項僅在grep的輸出中可用,如果將其設定為預設值(N),則它顯示當前檔案第一行中的SHD日誌。Do you want to paginate the output? [N]>.如果選取Y,則輸出與less命令的輸出相同。您可以在行和頁面之間導航。此外,您還可以在日誌中搜尋(鍵入/然後鍵入關鍵字並按Enter)。 要退出日誌,請鍵入q。
在此示例中,消耗了52.2Reporting / logging Disk%。
Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0
I
磁碟結構和完全分割槽故障排除
如前面的輸出所述ipcheck,SWA中有七個分割槽:
| 分割槽名稱 |
說明 |
| 根 |
保留內部作業系統檔案 |
| Nextroot |
此分割槽用於升級 |
| Var |
保留內部作業系統檔案 |
| log |
保留日誌和報告檔案 |
| DB |
配置和內部資料庫 |
| 交換 |
交換記憶體 |
| 代理快取 |
保留快取的資料 |
根分割槽已滿
如果根分割槽(稱為rootfs或/)已滿或超過100%(有時這是預期值),則SWA將刪除不必要的檔案。
如果您看到某些系統效能下降,請首先嘗試重新啟動裝置,然後再次檢查根分割槽的磁碟容量。如果問題仍然存在,請聯絡思科客戶服務以開啟TAC案例。
下一個根分割槽已滿
如果升級失敗,請確保下一個根分割槽已可用或有足夠的可用空間進行升級,
最初,虛擬SWA、郵件安全裝置(ESA)和虛擬安全管理裝置(SMA)SMA映像的Nextroot分割槽大小小於500 MB。多年以來,隨著包含其他功能的較新AsyncOS版本的推出,升級在整個升級過程中必須越來越多地使用此分割槽。有時當您嘗試從較舊版本升級時,升級會因為此分割槽大小而失敗。
在CLI中的升級日誌中,您可以看到以下錯誤:
Finding partitions... done.
Setting next boot partition to current partition as a precaution... done.
Erasing new boot partition... done.
Extracting eapp done.
Extracting scanerroot done.
Extracting splunkroot done.
Extracting savroot done.
Extracting ipasroot done.
Extracting ecroot done.
Removing unwanted files in nextroot done.
Extracting distroot
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed
對於虛擬SWA,請根據本文檔下載新的映像檔案:思科安全郵件和網路虛擬裝置安裝指南
然後,嘗試將配置備份從舊版本匯入到新安裝的SWA。如果您看到了,Configuration Import Error請開啟一個Service Request Case。
對於SMA和ESA,可以從此連結找到此問題的解決方法:如何應用Cisco vESA/vSMA升級的解決方法 — 由於小分割槽大小而失敗 — Cisco
Var分割槽已滿
如果分Var區已滿,則當您登入CLI時或在CLI中使用Displayalerts命令時,會收到以下錯誤:
/var: write failed, filesystem is full
The temporary data partition is at 99% capacity
要解決此問題,請首先重新啟動裝置。如果/var分割槽的容量仍大於100%,請聯絡Cisco TAC支援。
報告/日誌記錄分割槽已滿
如果報告/日誌記錄分割槽已滿,錯誤可能為:
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
WARNING: Data partition utilization on appliance is high and can cause issues
這些錯誤的根本原因可分類為:
- 日誌檔案佔用太多磁碟空間。
- 裝置上生成的一些核心檔案會導致磁碟使用率達到全高。
- 報告佔用太多磁碟空間。
- Web跟蹤佔用太多磁碟空間。
- 某些內部日誌佔用了過多的磁碟空間。
日誌檔案佔用太多磁碟空間
要檢視日誌檔案,可以通過FTP連線到管理介面。
附註:FTP預設處於禁用狀態。
要從GUI啟用FTP,請執行以下步驟:
步驟1.登入到GUI。
步驟2.在菜Interfaces單下單Network擊。
步驟3.按一下Edit Settings。
步驟4.從FTP部分選Appliance Management Services擇。
步驟5.(可選)您可以變更預設的FTP連線埠。
步驟6.按一下Submit。
步驟7.提交更改。
FTP連線後,您可以檢視日誌、每個日誌檔案的建立日期和大小。如果需要歸檔日誌,可以從FTP下載。或者,若要釋放磁碟空間,您可以刪除舊日誌。
使用以下步驟解決此問題:
提示:如果您看到日誌檔案沒有佔用太多磁碟空間,則問題很可能與報告或核心檔案有關。
裝置上的核心檔案
要檢視SWA是否具有核心檔案,請在CLI中使用以下步驟:
步驟1.登入CLI。
步驟2.執行命令: diagnostic (它是一個隱藏命令,不能用TAB自動填充)。
步驟3.鍵入PROXY。
步驟4.類LIST型。
輸出會顯示是否存在任何核心檔案。若要移除核心檔案,請聯絡思科支援服務,TAC工程師需要調查核心檔案的原因,然後他們可以移除檔案。
報告佔用太多磁碟空間
SWA中有兩種型別的報告:報告和網路跟蹤。WebTracking佔用大部分磁碟空間。
要檢查WebTracking的歷史記錄,請從WebTrackingGUI導航到。在選單Reporting下,從部分中Time Range選擇「突出顯Custom Range示的日期顯示WebTracking報告歷史記錄」。
要從WebTracking進行備份,您可以從報告中的連結將報Printable Download告匯出為CSV。
提示:避免長時間生成WebTracking報告,因為報告的生成依賴於正常的日常Web流量。報告持續時間較長,可能導致SWA變得無響應。
在撰寫本文時,沒有手動刪除舊報告的功能。(思科錯誤ID CSCun82094)
若要刪除部分報告,您需要聯絡TAC支援,或者通過以下步驟從CLI刪除所有報告:
步驟1.登入CLI。
步驟2.執行命diagnostic令。(這是一個隱藏命令,無法使用TAB自動完成。)
步驟3.鍵入REPORTING,然後按Enter鍵。
步驟4.鍵入DELETEDB,然後按Enter。
注意:此命令將刪除所有報告資料。無法中止。
內部日誌佔用磁碟
如果您的裝置存在缺陷:思科錯誤ID CSCvy69039,則需開啟TAC案例,從後端檢查內部記錄並手動移除大型記錄檔。
這是一種臨時的解決方法,但在受影響的版本中,日誌檔案將在刪除後自動建立,並且檔案大小會再次從0重複增長。
相關資訊
意見