Beheben Sie den Fehler 'Sichere Web-Appliance - Volle Festplatte'.

Einleitung

In diesem Dokument werden die Schritte zum Beheben des Fehlers "Volle Festplattenkapazität" in der sicheren Webappliance (SWA) beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Zugang zur Kommandozeile der SWA

• Administratorzugriff auf die SWA
• FTP-Zugriff auf SWA

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Fehler im Zusammenhang mit der vollständigen Festplatte  

Es gibt verschiedene Fehler und Warnungen in SWA, die darauf hinweisen, dass die Festplatte voll oder der Festplattenspeicher nahezu voll ist. Die folgende Liste enthält Fehler und Warnungen. Diese Protokolle unterscheiden sich je nach Softwareversion und aufgrund der Bereitstellungsmethoden wie Warnungen, Systemprotokolle oder der Ausgabe der displayalerts aus der CLI heraus.   

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected. 
WARNING: Data partition utilization on appliance is high and can cause issues

Überwachung der Datenträgerverwendung

Sie können die Festplattennutzung sowohl über die GUI als auch über die CLI überwachen und anzeigen.

Anzeigen der Festplattennutzung in der GUI

Nachdem Sie sich bei der SWA-Benutzeroberfläche angemeldet haben, wird auf der Seite "Mein Dashboard" Folgendes angezeigt: Reporting / logging Disk Nutzung aus dem System Overview Abschnitt.  

Hinweis: In SWA werden Berichte und Protokolle in einer einzigen Partition gespeichert, die als DATA-Partition bezeichnet wird.

Ebenfalls in der GUI finden Sie unter Reporting Menü, navigieren Sie zu System Status. Alternativ können Sie die Festplattennutzung über das Overview Abschnitt unter dem Reporting Menü.

Anzeigen der Datenträgerverwendung in der CLI

• Aus der Ausgabe von status Oder status detailkönnen Sie sehen, Reporting / logging Disk Nutzung

SWA.CLI> status

Enter "status detail" for more information.

Status as of:                  Sun Feb 19 19:55:13 2023 CET
Up since:                      Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
  CPU                                    25.9%
  RAM                                    13.6%
  Reporting/Logging Disk                 58.1%

• Aus der Ausgabe von ipcheckkönnen Sie den zugewiesenen Speicherplatz für jede Partition und den prozentualen Anteil des genutzten Speicherplatzes pro Partition sehen.

SWA.CLI> ipcheck
...
  Disk 0                200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
  Disk Total            200GB
=== Skiped ===
  Root                  4GB 65%
  Nextroot              4GB 1%
  Var                   400MB 29%
  Log                   130GB 8%
  DB                    2GB 0%
  Swap                  8GB
  Proxy Cache           50GB
=== Skiped ===

• In SHD-Protokollen wird die Reporting / logging Disk Auslastung pro Minute wird angezeigt als DskUtil. Um auf SHD-Protokolle zuzugreifen, gehen Sie wie folgt vor:

1. Typgrep Odertail in der Kommandozeile ein.
2. Suchen shd_logs. Typ: SHD Logs Retrieval: FTP Pollaus der Liste aus, und geben Sie die zugehörige Nummer ein.
3. In Enter the regular expression to grepkönnen Sie einen regulären Ausdruck eingeben, um in den Protokollen zu suchen. Sie können z. B. Datum und Uhrzeit eingeben.
4. Do you want this search to be case insensitive? [Y]>, können Sie dies als Standard beibehalten, es sei denn, Sie müssen nach der Groß-/Kleinschreibung suchen, was in SHD-Protokollen nicht erforderlich ist.
5. Do you want to search for non-matching lines? [N]>, können Sie diese Zeile als Standard festlegen, es sei denn, Sie müssen nach allem mit Ausnahme des regulären Ausdrucks grep suchen.
6. Do you want to tail the logs? [N]>. Diese Option ist nur in der Ausgabe des grep verfügbar. Wenn Sie dies als Standard (N) zulassen, werden die SHD-Protokolle aus der ersten Zeile der aktuellen Datei angezeigt.
7. Do you want to paginate the output? [N]>. Wenn Sie Y, ist die Ausgabe die gleiche wie die Ausgabe des Befehls less. Sie können zwischen Linien und Seiten navigieren. Auch können Sie innerhalb der Protokolle suchen (Geben Sie /dann das Schlüsselwort und drücken Sie Enter). Geben Sie zum Verlassen des Protokolls Folgendes ein: q.

In diesem Beispiel 52,2 % der Reporting / logging Disk wird verbraucht. 

Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0

I

Festplattenstruktur und Fehlerbehebung bei vollständiger Partition 

Wie bereits erwähnt, aus der Ausgabe von ipcheckgibt es sieben Partitionen in der SWA:

Partitionsname	Beschreibung
Wurzel	Speichert interne Betriebssystemdateien
Nextroot	Diese Partition wird für das Upgrade verwendet
Var	Speichert interne Betriebssystemdateien
Protokoll	Sperrt Protokolle und Berichtsdatei
DB	Konfiguration und interne Datenbanken
Auslagern	SWAP-Speicher
Proxy-Cache	Speichert zwischengespeicherte Daten

Die Stammpartition ist voll. 

Wenn die Root-Partition (bekannt als rootfs oder /) voll oder mehr als 100% ist, was manchmal erwartet wird, und der SWA unnötige Dateien entfernt. 

Wenn Sie einen Verlust der Systemleistung feststellen, versuchen Sie zunächst, die Appliance neu zu starten, und überprüfen Sie dann erneut die Festplattenkapazität der Root-Partition. Wenn das Problem weiterhin besteht, wenden Sie sich an den Cisco Kundenservice, um ein TAC-Ticket zu erstellen. 

Nächste Stammpartition ist voll 

Wenn Ihr Upgrade fehlschlägt, stellen Sie sicher, dass Ihre nächste Root-Partition frei ist oder über genügend freien Speicherplatz für das Upgrade verfügt.

Ursprünglich wurden virtuelle SWA-, E-Mail Security Appliance (ESA)- und virtuelle Security Management Appliance (SMA)-Images mit einer Nextroot-Partitionsgröße von weniger als 500 MB erstellt. Im Laufe der Jahre und mit neueren AsyncOS-Versionen, die zusätzliche Funktionen enthalten, mussten Upgrades immer mehr dieser Partition während des gesamten Upgrade-Prozesses verwenden. Manchmal, wenn Sie versuchen, von älteren Versionen zu aktualisieren, scheitern Upgrades aufgrund dieser Partitionsgröße.

In den Upgrade-Protokollen in der CLI werden folgende Fehler angezeigt:

Finding partitions... done.                                                    
Setting next boot partition to current partition as a precaution... done.      
Erasing new boot partition... done.                                            
Extracting eapp done.                                                          
Extracting scanerroot done.                                                    
Extracting splunkroot done.                                                    
Extracting savroot done.                                                       
Extracting ipasroot done.                                                      
Extracting ecroot done.                                                        
Removing unwanted files in nextroot done.                                      
Extracting distroot                                                            
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed

Laden Sie für einen virtuellen SWA eine neue Image-Datei gemäß diesem Dokument herunter: Installationsleitfaden für Cisco Secure Email und Web Virtual Appliance

Versuchen Sie dann, das Konfigurations-Backup von der älteren Version in das neu installierte SWA zu importieren. Wenn Sie die Configuration Import Erroröffnen Sie bitte ein Serviceticket.

Für SMA und ESA finden Sie die Problemumgehung für dieses Problem über diesen Link: How to Apply the Workaround for Cisco vESA/vSMA Upgrade Fail Due to Small Partition Size - Cisco

Var-Partition ist voll 

Wenn die Var Partition voll ist, erhalten Sie diese Fehler, wenn Sie sich bei der CLI oder Displayalerts in der CLI:

/var: write failed, filesystem is full
The temporary data partition is at 99% capacity

Starten Sie zunächst die Appliance neu, um dieses Problem zu beheben. Wenn die Kapazität von /var partition immer noch mehr als 100 % beträgt, wenden Sie sich an den Cisco TAC-Support.

  

Die Berichts-/Protokollierungspartition ist voll 

Wenn die Reporting/Logging-Partition voll ist, können die Fehler wie folgt aussehen:

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA

WARNING: Data partition utilization on appliance is high and can cause issues

Die Ursache dieser Fehler kann wie folgt eingeordnet werden:

1. Protokolldateien belegen zu viel Speicherplatz.
2. Es gibt einige Kerndateien, die auf dem Gerät generiert werden und zur vollen Festplattennutzung führen.
3. Die Berichterstellung belegt zu viel Speicherplatz.
4. Web-Tracking belegt zu viel Speicherplatz.
5. Einige interne Protokolle belegen zu viel Speicherplatz.

Protokolldateien belegen zu viel Speicherplatz

Um Protokolldateien anzuzeigen, können Sie über FTP eine Verbindung mit dem SWA zur Verwaltungsschnittstelle herstellen.

Hinweis: FTP ist standardmäßig deaktiviert.

Um FTP über die GUI zu aktivieren, gehen Sie wie folgt vor:

Schritt 1: Melden Sie sich bei der GUI an.

Schritt 2: Klicken Sie auf  Interfaces unter dem Network Menü.

Schritt 3: Klicken Sie auf Edit Settings.

Schritt 4: Auswählen FTP aus dem Appliance Management Services Abschnitt.

Schritt 5: (Optional) Sie können den Standard-FTP-Port ändern.

Schritt 6: Klicken Sie auf Submit.

Schritt 7. Änderungen bestätigen.

Nach der FTP-Verbindung können Sie die Protokolle, das Erstellungsdatum und die Größe jeder Protokolldatei anzeigen. Wenn Sie die Protokolle archivieren müssen, können Sie sie von FTP herunterladen. Oder um Speicherplatz freizugeben, können Sie alte Protokolle entfernen.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

Tipp: Wenn Sie sehen, dass die Protokolldateien nicht viel Speicherplatz belegen, ist das Problem wahrscheinlich auf Berichte oder Core-Dateien zurückzuführen.

Kerndateien auf dem Gerät

Um anzuzeigen, ob SWA über Core-Dateien verfügt, gehen Sie in CLI wie folgt vor:

Schritt 1: Melden Sie sich bei CLI an. 

Schritt 2: Führen Sie den folgenden Befehl aus: diagnostic (Hierbei handelt es sich um einen ausgeblendeten Befehl, der nicht automatisch mit TAB gefüllt werden kann.)

Schritt 3: Typ PROXY.

Schritt 4: Typ LIST.

Die Ausgabe zeigt an, ob Core-Dateien vorhanden sind. Um die Kerndateien zu entfernen, wenden Sie sich an den Cisco Support Service. Ein TAC-Techniker muss die Ursache der Kerndateien untersuchen und kann die Dateien dann entfernen.  

Reporting belegt zu viel Speicherplatz

Es gibt zwei Berichtstypen in SWA: Reporting und WebTracking. WebTracking belegt den größten Teil des Speicherplatzes.

Um den Verlauf von WebTracking zu überprüfen, navigieren Sie zu WebTracking Über die GUI. Im Reporting aus dem Time Range Abschnitt auswählen Custom Range, Die hervorgehobenen Daten zeigen den WebTracking-Berichtsverlauf an.

Um eine Sicherung von WebTracking durchzuführen, können Sie den Bericht aus dem Printable Download Link im Bericht.

Tipp: Vermeiden Sie es, WebTracking-Berichte über lange Zeiträume zu erstellen, die vom normalen täglichen Web-Datenverkehr abhängen. Die Berichte können längere Zeit dazu führen, dass der SWA nicht mehr reagiert. 

Zum Zeitpunkt der Erstellung dieses Artikels gibt es keine Funktion zum manuellen Löschen älterer Berichte. (Cisco Bug-ID CSCun82094)

Um einige Ihrer Berichte zu löschen, müssen Sie sich an den TAC-Support wenden, oder Sie können alle Berichte mit den folgenden Schritten aus der CLI löschen: 

Schritt 1: Melden Sie sich bei CLI an.

Schritt 2: Führen Sie die diagnostic aus. (Hierbei handelt es sich um einen ausgeblendeten Befehl, der nicht automatisch mit TAB vervollständigt werden kann.)

Schritt 3: Typ REPORTING und drücken Sie Enter.

Schritt 4: Typ DELETEDB  und drücken Sie Enter.

Achtung: Dieser Befehl löscht alle Berichtsdaten. Es kann nicht abgebrochen werden.

Interne Protokolle Belegungsdatenträger

Wenn Ihr Gerät die Bedingungen des Defekts aufweist: Cisco Bug-ID CSCvy69039, müssen Sie ein TAC-Ticket öffnen, um die internen Protokolle vom Back-End zu überprüfen und die großen Protokolldateien manuell zu entfernen.

Dies ist eine temporäre Problemumgehung, aber in der betroffenen Version wird die Protokolldatei nach dem Löschen automatisch erstellt, und die Dateigröße wächst wiederholt von 0.

Zugehörige Informationen

• WSA AsyncOS - Versionshinweise
• Technischer Support und Dokumentation für Cisco Systeme