Risolvi errore disco completo di Secure Web Appliance

Introduzione

In questo documento viene descritto come risolvere l'errore di spazio totale su disco in Secure Web Appliance (SWA).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Accesso alla CLI di SWA

• Accesso amministrativo all'SWA
• Accesso FTP a SWA

Componenti usati

Il documento può essere consultato per tutte le versioni software o hardware.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Errori correlati all'intero disco  

In SWA sono presenti diversi errori e avvisi che indicano che il disco è pieno o che lo spazio su disco è quasi pieno. Di seguito è riportato l'elenco degli errori e delle avvertenze. Questi log sono diversi in ciascuna versione del software e a causa dei metodi di consegna, come gli alert, i log di sistema o l'output displayalerts dalla CLI.   

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected. 
WARNING: Data partition utilization on appliance is high and can cause issues

Monitoraggio dell'utilizzo del disco

È possibile monitorare e visualizzare l'utilizzo del disco sia dalla GUI sia dalla CLI.

Visualizzazione dell'utilizzo del disco nella GUI

Dopo aver effettuato l'accesso all'interfaccia grafica SWA, nella pagina My-Dashboard è possibile visualizzare Reporting / logging Disk utilizzo dal System Overview sezione.  

Nota: in SWA i report e i log vengono memorizzati in una singola partizione, nota come partizione DATI.

Anche nella GUI, sotto Reporting dal menu, passare a System Status. In alternativa, è possibile visualizzare l'utilizzo del disco dal Overview sezione, sotto Reporting menu.

Visualizzazione dell'utilizzo del disco nella CLI

• Dall'output di status o status detail, è possibile visualizzare Reporting / logging Disk utilizzo

SWA.CLI> status

Enter "status detail" for more information.

Status as of:                  Sun Feb 19 19:55:13 2023 CET
Up since:                      Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
  CPU                                    25.9%
  RAM                                    13.6%
  Reporting/Logging Disk                 58.1%

• Dall'output di ipcheck, è possibile visualizzare lo spazio su disco allocato per ogni partizione e la percentuale di spazio utilizzato per ogni partizione.

SWA.CLI> ipcheck
...
  Disk 0                200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
  Disk Total            200GB
=== Skiped ===
  Root                  4GB 65%
  Nextroot              4GB 1%
  Var                   400MB 29%
  Log                   130GB 8%
  DB                    2GB 0%
  Swap                  8GB
  Proxy Cache           50GB
=== Skiped ===

• Nei registri SHD, il Reporting / logging Disk l'utilizzo per ogni minuto viene visualizzato come DskUtil. Per accedere ai registri SHD, attenersi alla seguente procedura:

1. Tipogrep otail nella CLI.
2. Cerca shd_logs. Tipo: SHD Logs Retrieval: FTP Poll, dall'elenco e digitare il numero associato.
3. Dentro Enter the regular expression to grep, è possibile digitare un'espressione regolare per eseguire la ricerca all'interno dei registri. È ad esempio possibile digitare data e ora.
4. Do you want this search to be case insensitive? [Y]>, è possibile mantenere questa impostazione come predefinita, a meno che non sia necessario cercare la distinzione tra maiuscole e minuscole, che nei registri SHD non è necessaria.
5. Do you want to search for non-matching lines? [N]>, è possibile impostare questa riga come predefinita, a meno che non sia necessario cercare tutti gli elementi tranne l'espressione regolare grep.
6. Do you want to tail the logs? [N]>. Questa opzione è disponibile solo nell'output del grep, se la si lascia come predefinita (N), mostra i log SHD dalla prima riga del file corrente.
7. Do you want to paginate the output? [N]>. Se si seleziona Y, l'output è lo stesso del comando less. È possibile spostarsi tra le righe e le pagine. Inoltre, è possibile eseguire ricerche all'interno dei log (digitare /quindi la parola chiave e premere Enter). Per uscire dal registro, digitare q.

In questo esempio il 52,2% Reporting / logging Disk viene consumato. 

Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0

I

Struttura del disco e risoluzione dei problemi relativi alla partizione completa 

Come indicato in precedenza dalla produzione di ipcheck, la SWA comprende sette partizioni:

Nome partizione	Descrizione
Radice	Conserva i file interni del sistema operativo
Nextroot	Questa partizione è utilizzata per l'aggiornamento
Var	Conserva i file interni del sistema operativo
Log	Contiene i registri e il file di report
DB	Configurazione e database interni
Scambia	Memoria SWAP
Cache proxy	Mantiene i dati nella cache

Partizione radice piena 

Se la partizione radice (nota come radice o /) è piena o è superiore al 100%, il che a volte è previsto, e l'SWA rimuove i file non necessari. 

Se si verifica un calo delle prestazioni del sistema, provare innanzitutto a riavviare l'accessorio, quindi verificare nuovamente la capacità del disco della partizione radice. Se il problema persiste, contattare l'assistenza clienti Cisco per aprire una richiesta TAC. 

Partizione radice successiva piena 

Se l'aggiornamento non riesce, verificare che la partizione radice successiva sia libera o che lo spazio disponibile sia sufficiente per l'aggiornamento,

Inizialmente, le immagini SMA (Virtual SWA, Email Security Appliance (ESA) e Virtual Security Management Appliance) sono state create con una partizione Nextroot di dimensioni inferiori a 500 MB. Nel corso degli anni, e con le nuove versioni di AsyncOS che includono funzionalità aggiuntive, gli aggiornamenti hanno dovuto utilizzare sempre più questa partizione durante tutto il processo di upgrade. In alcuni casi, quando si tenta di eseguire l'aggiornamento da versioni precedenti, gli aggiornamenti non vengono eseguiti a causa delle dimensioni della partizione.

Dai log di aggiornamento nella CLI, è possibile visualizzare questi errori:

Finding partitions... done.                                                    
Setting next boot partition to current partition as a precaution... done.      
Erasing new boot partition... done.                                            
Extracting eapp done.                                                          
Extracting scanerroot done.                                                    
Extracting splunkroot done.                                                    
Extracting savroot done.                                                       
Extracting ipasroot done.                                                      
Extracting ecroot done.                                                        
Removing unwanted files in nextroot done.                                      
Extracting distroot                                                            
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed

Per un SWA virtuale, scaricare un nuovo file di immagine in base a questo documento: Cisco Secure Email and Web Virtual Appliance Installation Guide

Quindi provare a importare il backup della configurazione dalla versione precedente al nuovo SWA installato. Se viene visualizzato il Configuration Import Error, aprire una richiesta di assistenza.

Per SMA ed ESA, la soluzione al problema è disponibile sul seguente collegamento: How to Apply the Workaround for Cisco vESA/vSMA Upgrade Fail due to Small Partition Size - Cisco (Come applicare la soluzione per l'aggiornamento di Cisco vESA/vSMA non riuscito a causa delle dimensioni ridotte della partizione)

Partizione Var piena 

Se il Var è piena, questi errori si verificano quando si accede alla CLI o dalla Displayalerts nella CLI:

/var: write failed, filesystem is full
The temporary data partition is at 99% capacity

Per risolvere il problema, riavviare l'accessorio. Se la capacità della partizione /var è ancora superiore al 100%, contattare il supporto tecnico Cisco.

  

Partizione di creazione di rapporti/registrazione piena 

Se la partizione di reporting/registrazione è piena, gli errori possono essere i seguenti:

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA

WARNING: Data partition utilization on appliance is high and can cause issues

La causa principale di questi errori può essere classificata come:

1. I file di registro occupano troppo spazio su disco.
2. Nel dispositivo sono stati generati alcuni file di base che determinano l'utilizzo completo del disco.
3. Il report occupa troppo spazio su disco.
4. Il rilevamento Web occupa troppo spazio su disco.
5. Alcuni registri interni occupano troppo spazio su disco.

I file di registro occupano troppo spazio su disco

Per visualizzare i file di log, è possibile collegarsi al file SWA tramite FTP all'interfaccia di gestione.

Nota: FTP è disabilitato per impostazione predefinita.

Per abilitare l'FTP dalla GUI, attenersi alla seguente procedura:

Passaggio 1. Accedere alla GUI.

Passaggio 2. Fare clic su  Interfaces sotto la Network menu.

Passaggio 3. Fare clic su Edit Settings.

Passaggio 4. Seleziona FTP dal Appliance Management Services sezione.

Passaggio 5. (Facoltativo) è possibile modificare la porta FTP predefinita.

Passaggio 6. Fare clic su Submit.

Passaggio 7. Eseguire il commit delle modifiche.

Dopo la connessione FTP, è possibile visualizzare i registri, la data di creazione e le dimensioni di ciascun file di registro. Se è necessario archiviare i registri, è possibile scaricarli da FTP. In alternativa, per liberare spazio su disco, è possibile rimuovere i registri meno recenti.

Per risolvere il problema, procedere come segue:

Suggerimento: se i file di log non occupano molto spazio su disco, è probabile che il problema sia dovuto a report o a file di base.

File di base nel dispositivo

Per verificare se il file SWA contiene file di base, dalla CLI attenersi alla seguente procedura:

Passaggio 1. Accedere alla CLI. 

Passaggio 2. Eseguire il comando: diagnostic (è un comando nascosto e non può essere compilato automaticamente con TAB).

Passaggio 3. Tipo PROXY.

Passaggio 4. Tipo LIST.

L'output mostra se sono presenti file di base. Per rimuovere i file principali, contattare il servizio di assistenza Cisco; il tecnico TAC deve verificare la causa dei file principali e quindi può rimuovere i file.  

Il report occupa troppo spazio su disco

In SWA sono disponibili due tipi di report: Reporting e WebTracking. WebTracking occupa la maggior parte dello spazio su disco.

Per controllare la cronologia di WebTracking, passare a WebTracking Dall'interfaccia grafica. Nell'ambito Reporting dal menu Time Range , selezionare Custom Range, Le date evidenziate mostrano la cronologia del report WebTracking.

Per eseguire un backup da WebTracking, è possibile esportare il report in formato CSV dal Printable Download nel report.

Suggerimento: evitare la generazione di report WebTracking per lunghi periodi, che dipendono dal normale traffico Web giornaliero. I report per periodi più lunghi possono causare la mancata risposta dell'SWA. 

Al momento della scrittura di questo articolo, non è disponibile alcuna funzionalità per eliminare manualmente i report meno recenti. (ID bug Cisco CSCun82094)

Per eliminare alcuni rapporti, è necessario contattare il supporto TAC oppure è possibile eliminare tutti i rapporti dalla CLI procedendo come segue: 

Passaggio 1. Accedere alla CLI.

Passaggio 2. Eseguire la diagnostic Si tratta di un comando nascosto e non può essere completato automaticamente con TAB.

Passaggio 3. Tipo REPORTING e premere Enter.

Passaggio 4. Tipo DELETEDB  e premere Enter.

Attenzione: questo comando elimina tutti i dati dei report. Non può essere interrotta.

Occupare il disco nei log interni

Se il dispositivo ha le condizioni del difetto: ID bug Cisco CSCvy69039, è necessario aprire una richiesta TAC per controllare i log interni del back-end e rimuovere manualmente i file di log di grandi dimensioni.

Si tratta di una soluzione temporanea, ma nella versione interessata il file di registro viene creato automaticamente dopo l'eliminazione e le dimensioni del file aumentano ripetutamente da 0.

Informazioni correlate

• Note sulla release di WSA AsyncOS
• Documentazione e supporto tecnico – Cisco Systems