概要
このドキュメントでは、Secure Web Appliance(SWA)のフルディスクスペースエラーを解決する手順について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
フルディスクに関連するエラー
SWAには、ディスクがいっぱいであるか、ディスク領域がほとんどいっぱいであることを示すさまざまなエラーや警告があります。エラーと警告のリストを次に示します。これらのログは、ソフトウェアバージョンごとに異なり、アラート、システムログ、または displayalerts コマンドをCLIから実行します。
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected.
WARNING: Data partition utilization on appliance is high and can cause issues
ディスク使用率の監視
ディスクの使用状況は、GUIとCLIの両方から監視および表示できます。
GUIでのディスク使用量の表示
SWA GUIにログインすると、My-Dashboardページに Reporting / logging Disk の使用 System Overview 。
注:SWAでは、レポートとログはDATAパーティションと呼ばれる1つのパーティションに保存されます。
また、GUIでは、 Reporting メニュー、移動 System Statusを参照。または、ディスクの使用状況を Overview セクションの下 Reporting を選択をします。
CLIでのディスク使用量の表示
- ~の出力から
status または status detailを参照してください。 Reporting / logging Disk 使用
SWA.CLI> status
Enter "status detail" for more information.
Status as of: Sun Feb 19 19:55:13 2023 CET
Up since: Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
CPU 25.9%
RAM 13.6%
Reporting/Logging Disk 58.1%
- ~の出力から
ipcheck各パーティションに割り当てられたディスク領域と、各パーティションの使用領域の割合を確認できます。
SWA.CLI> ipcheck
...
Disk 0 200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
Disk Total 200GB
=== Skiped ===
Root 4GB 65%
Nextroot 4GB 1%
Var 400MB 29%
Log 130GB 8%
DB 2GB 0%
Swap 8GB
Proxy Cache 50GB
=== Skiped ===
- SHDログで、
Reporting / logging Disk 毎分の使用率は次のように表示されます。 DskUtilを参照。SHDログにアクセスするには、次の手順を使用します。
- Type
grep またはtail CLIで設定します。
- 検索
shd_logsを参照。Type: SHD Logs Retrieval: FTP Pollをクリックし、関連付けられた番号をリストから入力します。
- イン
Enter the regular expression to grepを使用すると、正規表現を入力してログ内を検索できます。たとえば、日付と時刻を入力できます。
Do you want this search to be case insensitive? [Y]>大文字と小文字の区別を検索する必要がない限り、デフォルトのままにしておくことができます。SHDログでは、このオプションは必要ありません。Do you want to search for non-matching lines? [N]>grep正規表現以外のすべてを検索する必要がない限り、この行をデフォルトとして設定できます。Do you want to tail the logs? [N]>を参照。このオプションは、grepの出力でのみ使用できます。これをデフォルト(N)にすると、現在のファイルの最初の行のSHDログが表示されます。Do you want to paginate the output? [N]>を参照。を選択した場合 Yの場合、出力はlessコマンドの出力と同じです。行とページの間を移動できます。また、ログ内を検索することもできます(/キーワードを入力し、 Enter)。ログを終了するには、次のように入力します qを参照。
この例では、 Reporting / logging Disk 使用されます。
Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0
I
ディスク構造とフルパーティションのトラブルシューティング
前述のように、 ipcheckSWAには7つのパーティションがあります。
| パーティション名 |
説明 |
| Root |
内部のオペレーションシステムファイルを保持する |
| Nextroot |
このパーティションはアップグレードに使用されます |
| バール |
内部のオペレーションシステムファイルを保持する |
| log |
ログとレポートファイルを保持します。 |
| DB |
設定および内部データベース |
| スワップ |
メモリのスワップ |
| プロキシ キャッシュ |
キャッシュされたデータを保持 |
ルートパーティションがいっぱいです
ルートパーティション(rootfsまたは/と呼ばれる)がいっぱいであるか100 %を超えている場合(これは予想されることですが)、SWAは不要なファイルを削除します。
システムパフォーマンスが低下している場合は、まずアプライアンスを再起動し、次にルートパーティションのディスク容量を再度確認します。それでも問題が解決しない場合は、シスコカスタマーサービスに連絡して、TACケースをオープンしてください。
次のルートパーティションがいっぱいです
アップグレードが失敗した場合は、次のルートパーティションが空いているか、アップグレードに十分な空き領域があることを確認します。
当初、仮想SWA、Eメールセキュリティアプライアンス(ESA)、および仮想セキュリティ管理アプライアンス(SMA)の各SMAイメージは、500 MB未満のNextrootパーティションサイズで構築されていました。長年にわたり、追加機能を含む新しいAsyncOSリリースにより、アップグレードではアップグレードプロセス全体を通じてこのパーティションをますます多く使用する必要がありました。古いバージョンからアップグレードしようとすると、このパーティションサイズのためにアップグレードが失敗することがあります。
CLIのアップグレードログから、次のエラーを確認できます。
Finding partitions... done.
Setting next boot partition to current partition as a precaution... done.
Erasing new boot partition... done.
Extracting eapp done.
Extracting scanerroot done.
Extracting splunkroot done.
Extracting savroot done.
Extracting ipasroot done.
Extracting ecroot done.
Removing unwanted files in nextroot done.
Extracting distroot
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed
仮想SWAの場合は、このドキュメントに従って新しいイメージファイルをダウンロードします:『Cisco Secure Email and Web Virtual Appliance Installation Guide
次に、古いバージョンから新しくインストールしたSWAに設定バックアップをインポートしてみます。このドキュメントの Configuration Import Errorサービスリクエストをオープンしてください。
SMAおよびESAについては、次のリンクからこの問題の回避策を参照できます。「Cisco vESA/vSMAアップグレードの回避策の適用方法でパーティションサイズが小さいために失敗する:シスコ
Varパーティションがいっぱいです
If the Var パーティションがいっぱいです。これらのエラーは、CLIにログインするか、 Displayalerts コマンドをCLIで入力します。
/var: write failed, filesystem is full
The temporary data partition is at 99% capacity
この問題を解決するには、まずアプライアンスを再起動します。/varパーティションの容量がまだ100 %を超えている場合は、Cisco TACサポートに連絡してください。
レポート/ログパーティションがいっぱいです
レポート/ロギングパーティションがいっぱいになると、次のようなエラーが発生する可能性があります。
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
WARNING: Data partition utilization on appliance is high and can cause issues
これらのエラーの根本原因は、次のように分類できます。
- ログファイルが占有するディスク領域が多すぎます。
- デバイス上で生成されたコアファイルが存在するため、ディスクが完全に使用されます。
- レポート作成に使用するディスク領域が多すぎます。
- Webトラッキングが占有するディスク領域が多すぎます。
- 一部の内部ログは、ディスク領域を過度に占有します。
ログファイルのディスク領域が多すぎる
ログファイルを表示するには、管理インターフェイスにFTPでSWAに接続します。
注:FTPはデフォルトで無効になっています。
GUIからFTPを有効にするには、次の手順を使用します。
ステップ 1:GUI にログインします。
ステップ 2:クリック Interfaces の下に Network を選択をします。
ステップ 3:クリック Edit Settingsを参照。
ステップ 4:選択 FTP Appliance Management Services 。
ステップ5:(オプション)デフォルトのFTPポートを変更できます。
手順 6:クリック Submitを参照。
手順 7:変更を確定します。
FTP接続後は、ログ、作成日、および各ログファイルのサイズを確認できます。ログをアーカイブする必要がある場合は、FTPからダウンロードできます。または、ディスク領域を解放するために、古いログを削除できます。
この問題を解決するには、次の手順を実行します。
ヒント:ログファイルが多くのディスク領域を占有していなかったことが判明した場合、問題はレポートまたはコアファイルに関連している可能性が高いです。
デバイス上のコアファイル
SWAにコアファイルがあるかどうかを確認するには、CLIから次の手順を使用します。
ステップ 1:CLIにログインします。
ステップ 2:次のコマンドを実行します。 diagnostic (これは隠しコマンドであり、TABで自動的に入力することはできません)。
ステップ 3:Type PROXYを参照。
ステップ 4:Type LISTを参照。
出力には、コアファイルがあるかどうかを示します。コアファイルを削除するには、シスコサポートサービスにお問い合わせください。TACエンジニアはコアファイルの原因を調査する必要があります。その後、コアファイルを削除できます。
レポート作成がディスク領域を占有し過ぎる
SWAには、レポートとWebTrackingの2種類のレポートがあります。WebTrackingはディスク領域のほとんどを占有します。
WebTrackingの履歴を確認するには、 WebTracking GUI から、の下 Reporting メニュー、 Time Range セクション、選択 Custom Range強調表示された日付は、WebTrackingレポートの履歴を示します。
WebTrackingからバックアップを作成するには、レポートを Printable Download リンクをクリックします。
ヒント:通常の毎日のWebトラフィックに依存する長時間のWebTrackingレポートの生成を回避します。レポートの期間が長くなると、SWAが応答しなくなる可能性があります。
この記事を作成した時点では、古いレポートを手動で削除する機能はありません。(Cisco Bug ID CSCun82094)
レポートの一部を削除するには、TACサポートに問い合わせる必要があります。または、次の手順でCLIからすべてのレポートを削除できます。
ステップ 1:CLIにログインします。
ステップ 2:を実行します。 diagnostic コマンドを使用して、アップグレードを実行します。(これは隠しコマンドであり、[Tab]を使用して自動的に入力することはできません)。
ステップ 3:Type REPORTING およびプレス Enterを参照。
ステップ 4:Type DELETEDB およびプレス Enterを参照。
注意:このコマンドは、すべてのレポートデータを削除します。中止できません。
内部ログがディスクを占有
ご使用のデバイスが不具合「Cisco Bug ID CSCvy69039」の条件を満たしている場合は、TACケースをオープンしてバックエンドからの内部ログをチェックし、大きなログファイルを手動で削除する必要があります。
これは一時的な回避策ですが、影響を受けるバージョンでは、ログファイルは削除後に自動的に作成され、ファイルサイズが0から繰り返し増加します。
関連情報
フィードバック