Resolver error de disco completo de dispositivo web seguro

Introducción

Este documento describe los pasos para resolver el error de espacio de disco completo en el dispositivo web seguro (SWA).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Acceso a CLI de SWA

• Acceso administrativo al SWA
• Acceso FTP a SWA

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Errores relacionados con el disco completo  

Existen diferentes errores y advertencias en SWA que indican que el disco está lleno o que el espacio en disco está casi lleno. Esta es la lista de errores y advertencias. Estos registros son diferentes en cada versión de software y se deben a los métodos de entrega, como alertas, registros del sistema o la salida del displayalerts desde la CLI.   

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected. 
WARNING: Data partition utilization on appliance is high and can cause issues

Supervisar el uso del disco

Puede supervisar y ver el uso del disco tanto desde la GUI como desde la CLI.

Ver el uso del disco en la GUI

Después de iniciar sesión en la GUI de SWA, en la página My-Dashboard, puede ver Reporting / logging Disk uso desde el System Overview sección.  

Nota: En SWA, los informes y registros se almacenan en una única partición, conocida como la partición DATA.

También en la interfaz gráfica de usuario, en la Reporting menú, vaya a System Status. También puede ver el uso del disco desde el Overview sección, bajo el Reporting menú.

Ver el uso del disco en CLI

• A partir de la salida de status or status detail, puede ver la Reporting / logging Disk uso

SWA.CLI> status

Enter "status detail" for more information.

Status as of:                  Sun Feb 19 19:55:13 2023 CET
Up since:                      Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
  CPU                                    25.9%
  RAM                                    13.6%
  Reporting/Logging Disk                 58.1%

• A partir de la salida de ipcheck, puede ver el espacio de disco asignado a cada partición y el porcentaje de espacio utilizado por partición.

SWA.CLI> ipcheck
...
  Disk 0                200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
  Disk Total            200GB
=== Skiped ===
  Root                  4GB 65%
  Nextroot              4GB 1%
  Var                   400MB 29%
  Log                   130GB 8%
  DB                    2GB 0%
  Swap                  8GB
  Proxy Cache           50GB
=== Skiped ===

• En Registros SHD, el Reporting / logging Disk la utilización de cada minuto se muestra como DskUtil. Para acceder a los registros SHD, siga estos pasos:

1. Tipogrep ortail en la CLI.
2. Buscar shd_logs. Tipo: SHD Logs Retrieval: FTP Poll, en la lista y escriba el número asociado.
3. IN Enter the regular expression to grep, puede escribir una expresión regular para buscar dentro de los registros. Por ejemplo, puede escribir fecha y hora.
4. Do you want this search to be case insensitive? [Y]>, puede dejar esta opción como predeterminada, a menos que necesite buscar la distinción entre mayúsculas y minúsculas, que en los registros SHD no necesita esta opción.
5. Do you want to search for non-matching lines? [N]>, puede establecer esta línea como predeterminada, a menos que necesite buscar todo excepto su expresión regular grep.
6. Do you want to tail the logs? [N]>. Esta opción sólo está disponible en la salida del grep; si la deja como predeterminada (N), mostrará los registros SHD de la primera línea del archivo actual.
7. Do you want to paginate the output? [N]>. Si selecciona Y, el resultado es el mismo que el resultado del comando less. Puede desplazarse entre líneas y páginas. También, puede buscar dentro de los registros (Escriba /luego la palabra clave y presione Enter). Para salir del registro, escriba q.

En este ejemplo, el 52,2% de Reporting / logging Disk se consume. 

Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0

I

Estructura de disco y resolución de problemas de partición completa 

Como se ha mencionado anteriormente en el resultado de ipcheck, hay siete particiones en el SWA:

Nombre de partición	Descripción
Raíz	Mantiene los archivos internos del sistema de operación
Nextroot	Esta partición se utiliza para la actualización
Var	Mantiene los archivos internos del sistema de operación
Registro	Contiene registros y archivos de informes
DB	Bases de datos internas y de configuración
Intercambiar	memoria de intercambio
Caché de proxy	Mantiene los datos almacenados en caché

La partición raíz está llena 

Si la partición raíz (conocida como rootfs o /) está llena o más del 100%, lo que a veces se espera, y el SWA elimina los archivos innecesarios. 

Si observa alguna caída en el rendimiento del sistema, intente reiniciar el dispositivo en primer lugar y, a continuación, compruebe de nuevo la capacidad de disco de la partición raíz. Si el problema persiste, póngase en contacto con el servicio de atención al cliente de Cisco para abrir un caso de TAC. 

La siguiente partición raíz está llena 

Si su actualización falla, asegúrese de que su partición raíz siguiente esté libre o tenga suficiente espacio libre para la actualización,

Inicialmente, las imágenes de SMA de los dispositivos de seguridad de correo electrónico (ESA) y los dispositivos de administración de seguridad (SMA) virtuales se generaban con una partición Nextroot de menos de 500 MB. Con el paso de los años, y con las nuevas versiones de AsyncOS que incluyen funciones adicionales, las actualizaciones han tenido que usar cada vez más esta partición a lo largo del proceso de actualización. Algunas veces, cuando intenta actualizar desde versiones anteriores, las actualizaciones fallan debido a este tamaño de partición.

En los registros de actualización de la CLI, puede ver estos errores:

Finding partitions... done.                                                    
Setting next boot partition to current partition as a precaution... done.      
Erasing new boot partition... done.                                            
Extracting eapp done.                                                          
Extracting scanerroot done.                                                    
Extracting splunkroot done.                                                    
Extracting savroot done.                                                       
Extracting ipasroot done.                                                      
Extracting ecroot done.                                                        
Removing unwanted files in nextroot done.                                      
Extracting distroot                                                            
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed

Para un SWA virtual, descargue un nuevo archivo de imagen según este documento : Guía de Instalación de Cisco Secure Email and Web Virtual Appliance

A continuación, intente importar la copia de seguridad de la configuración de la versión anterior al SWA recién instalado. Si ve el Configuration Import Error, abra un caso de solicitud de servicio.

Para SMA y ESA, puede encontrar la solución alternativa para este problema en este enlace: Cómo aplicar la solución alternativa para Cisco vESA/vSMA Upgrade Fail Due to Small Partition Size - Cisco

La partición Var está llena 

Si Var está llena, obtendrá estos errores cuando inicie sesión en la CLI o desde el Displayalerts comando en CLI:

/var: write failed, filesystem is full
The temporary data partition is at 99% capacity

Para resolver este problema, reinicie primero el dispositivo. Si la capacidad de la partición /var aún es superior al 100%, comuníquese con el soporte del TAC de Cisco.

  

La partición de informes/registros está llena 

Si la partición Reporting / Logging está llena, los errores pueden ser:

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA

WARNING: Data partition utilization on appliance is high and can cause issues

La causa raíz de estos errores se puede categorizar como:

1. Los archivos de registro ocupan demasiado espacio en disco.
2. Hay algunos archivos de núcleo generados en el dispositivo que conducen al uso de disco completo.
3. Los informes ocupan demasiado espacio en disco.
4. El rastreo web ocupa demasiado espacio en disco.
5. Algunos registros internos ocupan demasiado espacio en disco.

Los archivos de registro ocupan demasiado espacio en disco

Para ver los archivos de registro, puede conectarse al SWA por FTP a la interfaz de administración.

Nota: FTP está desactivado de forma predeterminada.

Para habilitar FTP desde la GUI, siga estos pasos:

Paso 1. Inicie sesión en la GUI.

Paso 2. Haga clic en Interfaces en el Network menú.

Paso 3. Haga clic en Edit Settings.

Paso 4. Seleccionar FTP desde Appliance Management Services sección.

Paso 5. (Opcional) Puede cambiar el puerto FTP predeterminado.

Paso 6. Haga clic en Submit.

Paso 7. Registrar cambios.

Después de la conexión FTP, puede ver los registros, la fecha de creación y el tamaño de cada archivo de registro. Si necesita archivar los registros, puede descargarlos desde FTP. O bien, para liberar espacio en disco, puede quitar los registros antiguos.

Siga estos pasos para resolver este problema:

Sugerencia: Si observa que los archivos de registro no ocupan mucho espacio en disco, lo más probable es que el problema esté relacionado con informes o archivos de núcleo.

Archivos principales en el dispositivo

Para ver si SWA tiene archivos de núcleo, en CLI siga estos pasos:

Paso 1. Inicie sesión en CLI. 

Paso 2. Ejecute el comando: diagnostic (es un comando oculto y no se puede rellenar automáticamente con TAB).

Paso 3. Tipo PROXY.

Paso 4. Tipo LIST.

El resultado muestra si hay algún archivo de núcleo. Para eliminar los archivos de núcleo, póngase en contacto con el servicio de asistencia de Cisco. Un ingeniero del TAC debe investigar la causa de los archivos de núcleo y, a continuación, puede eliminar los archivos.  

Los informes ocupan demasiado espacio en disco

Hay dos tipos de informes en SWA: Reporting y WebTracking. WebTracking ocupa la mayor parte del espacio en disco.

Para comprobar el historial de WebTracking, vaya a WebTracking Desde la GUI. En la sección Reporting menú, desde el Time Range sección, seleccione Custom Range, Las fechas resaltadas muestran el historial de informes de WebTracking.

Para realizar una copia de seguridad desde WebTracking, puede exportar el informe a CSV desde el Printable Download en el informe.

Sugerencia: evite la generación de informes de rastreo web durante periodos de tiempo prolongados, lo que depende del tráfico web diario normal. Los informes de mayor duración pueden provocar que el SWA deje de responder. 

En el momento en que se escribe este artículo, no hay ninguna función para eliminar manualmente los informes anteriores. (Id. de error de Cisco CSCun82094)

Para eliminar algunos de sus informes, debe ponerse en contacto con el Soporte del TAC, o puede eliminar todos los informes de la CLI con estos pasos: 

Paso 1. Inicie sesión en CLI.

Paso 2. Ejecute el diagnostic comando. (Es un comando oculto y no se puede completar automáticamente con TAB.)

Paso 3. Tipo REPORTING y pulse Enter.

Paso 4. Tipo DELETEDB  y pulse Enter.

Precaución: este comando elimina todos los datos de los informes. No se puede cancelar.

Registros internos ocupar disco

Si su dispositivo tiene las condiciones del defecto: Id. de bug Cisco CSCvy69039, debe abrir un caso TAC para verificar los registros internos del back end y eliminar manualmente los archivos de log grandes.

Esta es una solución temporal, pero en la versión afectada, el archivo de registro se crea automáticamente después de la eliminación y el tamaño del archivo crece repetidamente desde 0 de nuevo.

Información Relacionada

• Notas de la versión de WSA AsyncOS
• Soporte Técnico y Documentación - Cisco Systems