소개
이 문서에서는 SWA(Secure Web Appliance)의 전체 디스크 공간 오류를 해결하는 단계에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- SWA에 대한 관리 액세스
- SWA에 대한 FTP 액세스
사용되는 구성 요소
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
전체 디스크 관련 오류
SWA에는 디스크가 꽉 찼거나 디스크 공간이 거의 찼음을 나타내는 다른 오류와 경고가 있습니다. 다음은 오류 및 경고 목록입니다. 이러한 로그는 각 소프트웨어 버전마다 다르며 알림, 시스템 로그 또는 의 출력과 같은 전달 방법으로 인해 displayalerts 명령을 입력합니다.
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected.
WARNING: Data partition utilization on appliance is high and can cause issues
디스크 사용량 모니터링
GUI 및 CLI 모두에서 디스크 사용량을 모니터링하고 볼 수 있습니다.
GUI에서 디스크 사용량 보기
SWA GUI에 로그인한 후 My-Dashboard(내 대시보드) 페이지에서 다음을 확인할 수 있습니다 Reporting / logging Disk 사용 System Overview 섹션을 참조하십시오.
참고: SWA에서 보고서와 로그는 DATA 파티션이라고 하는 단일 파티션에 저장됩니다.
또한 GUI에서 Reporting 메뉴, 탐색 System Status. 또는 Overview 섹션, Reporting 메뉴를 선택합니다.
CLI에서 디스크 사용량 보기
- 의 출력에서
status 또는 status detail이 경우 Reporting / logging Disk 사용
SWA.CLI> status
Enter "status detail" for more information.
Status as of: Sun Feb 19 19:55:13 2023 CET
Up since: Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
CPU 25.9%
RAM 13.6%
Reporting/Logging Disk 58.1%
- 의 출력에서
ipcheck에서는 각 파티션에 할당된 디스크 공간 및 파티션당 사용된 공간의 비율을 볼 수 있습니다.
SWA.CLI> ipcheck
...
Disk 0 200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
Disk Total 200GB
=== Skiped ===
Root 4GB 65%
Nextroot 4GB 1%
Var 400MB 29%
Log 130GB 8%
DB 2GB 0%
Swap 8GB
Proxy Cache 50GB
=== Skiped ===
- SHD 로그에서
Reporting / logging Disk 분당 사용률은 DskUtil. SHD 로그에 액세스하려면 다음 단계를 수행합니다.
- 유형
grep 또는tail CLI에서 확인할 수 있습니다
- 찾기
shd_logs. 유형: SHD Logs Retrieval: FTP Poll목록에서 관련 번호를 입력합니다.
- 수신
Enter the regular expression to grep로그 내에서 검색할 정규식을 입력할 수 있습니다. 예를 들어, 날짜 및 시간을 입력할 수 있습니다.
Do you want this search to be case insensitive? [Y]>SHD 로그에서 이 옵션이 필요 없는 경우, case sensitivity(케이스 민감도)를 검색할 필요가 없는 경우 이 옵션을 기본값으로 둘 수 있습니다.Do you want to search for non-matching lines? [N]>grep 정규식을 제외한 모든 항목을 검색할 필요가 없는 경우 이 라인을 기본값으로 설정할 수 있습니다.Do you want to tail the logs? [N]>. 이 옵션은 grep의 출력에서만 사용할 수 있습니다. 이 옵션을 기본값(N)으로 설정하면 현재 파일의 첫 번째 행에서 SHD 로그가 표시됩니다.Do you want to paginate the output? [N]>. 선택한 경우 Y, 출력은 less 명령의 출력과 동일합니다. 행과 페이지 사이를 이동할 수 있습니다. 또한 로그 내부를 검색할 수도 있습니다(키워드를 입력한 다음 을 누르고 Enter). 로그를 종료하려면 다음을 입력합니다 q.
이 예에서는 52.2%의 Reporting / logging Disk 소비됩니다.
Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0
I
디스크 구조 및 전체 파티션 문제 해결
의 출력에서 앞서 언급했듯이 ipcheckSWA에는 7개의 파티션이 있습니다.
| 파티션 이름 |
설명 |
| 루트 |
내부 운영 체제 파일 유지 |
| 넥스트롯 |
이 파티션은 업그레이드에 사용됩니다. |
| 변종 |
내부 운영 체제 파일 유지 |
| 로그 |
로그 및 보고 파일 보유 |
| DB |
구성 및 내부 데이터베이스 |
| 스왑 |
메모리 스왑 |
| 프록시 캐시 |
캐시된 데이터 유지 |
루트 파티션이 꽉 찼습니다.
루트 파티션(rootfs 또는 /라고 함)이 꽉 찼거나 100%를 초과하는 경우(경우에 따라 예상됨) SWA가 불필요한 파일을 제거합니다.
일부 시스템 성능 저하가 표시되면 먼저 어플라이언스를 재부팅한 다음 루트 파티션의 디스크 용량을 다시 확인합니다. 문제가 계속되면 Cisco 고객 서비스에 문의하여 TAC 케이스를 여십시오.
다음 루트 파티션이 꽉 찼습니다.
업그레이드가 실패할 경우 다음 루트 파티션이 사용 가능하거나 업그레이드를 위한 충분한 공간이 있는지 확인합니다.
초기에는 가상 SWA, ESA(Email Security Appliance) 및 SMA 이미지를 500MB 미만의 Nextroot 파티션 크기로 구축했습니다. 지난 몇 년 동안, 그리고 추가 기능이 포함된 최신 AsyncOS 릴리스를 통해 업그레이드는 업그레이드 프로세스 동안 이 파티션을 점점 더 많이 사용해야 했습니다. 이전 버전에서 업그레이드하려고 할 때 이 파티션 크기 때문에 업그레이드가 실패하는 경우가 있습니다.
CLI의 업그레이드 로그에서 다음 오류를 확인할 수 있습니다.
Finding partitions... done.
Setting next boot partition to current partition as a precaution... done.
Erasing new boot partition... done.
Extracting eapp done.
Extracting scanerroot done.
Extracting splunkroot done.
Extracting savroot done.
Extracting ipasroot done.
Extracting ecroot done.
Removing unwanted files in nextroot done.
Extracting distroot
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed
가상 SWA의 경우, 이 문서 Cisco Secure Email and Web Virtual Appliance 설치 설명서에 따라 새 이미지 파일을 다운로드하십시오.
그런 다음 이전 버전에서 새로 설치된 SWA로 컨피그레이션 백업을 가져옵니다. Firepower 4100 시리즈에 Configuration Import Error, 서비스 요청 케이스를 여십시오.
SMA 및 ESA의 경우, 이 문제에 대한 해결 방법은 다음 링크에서 확인할 수 있습니다. How to Apply the Workaround for Cisco vESA/vSMA Upgrade Fail Due Small Partition Size - Cisco
Var 파티션이 꽉 찼습니다.
이 Var 파티션이 꽉 찼습니다. CLI에 로그인하거나 Displayalerts CLI의 명령:
/var: write failed, filesystem is full
The temporary data partition is at 99% capacity
이 문제를 해결하려면 먼저 어플라이언스를 다시 시작하십시오. /var 파티션의 용량이 100%를 초과하는 경우 Cisco TAC 지원에 문의하십시오.
보고/로깅 파티션이 꽉 찼습니다.
Reporting/Logging 파티션이 꽉 차면 다음과 같은 오류가 발생할 수 있습니다.
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
WARNING: Data partition utilization on appliance is high and can cause issues
이러한 오류의 근본 원인은 다음과 같이 분류할 수 있습니다.
- 로그 파일이 너무 많은 디스크 공간을 차지합니다.
- 디바이스에는 전체 디스크 사용으로 이어지는 몇 가지 핵심 파일이 생성됩니다.
- 보고에서 디스크 공간을 너무 많이 차지합니다.
- 웹 추적이 너무 많은 디스크 공간을 차지합니다.
- 일부 내부 로그는 디스크 공간을 너무 많이 차지합니다.
로그 파일이 디스크 공간을 너무 많이 차지함
로그 파일을 보려면 FTP를 통해 SWA에 관리 인터페이스에 연결할 수 있습니다.
참고: FTP는 기본적으로 비활성화되어 있습니다.
GUI에서 FTP를 활성화하려면 다음 단계를 수행합니다.
1단계. GUI에 로그인합니다.
2단계. 클릭 Interfaces 의 아래에 Network 메뉴를 선택합니다.
3단계. 클릭 Edit Settings.
4단계. 선택 FTP 에서 Appliance Management Services 섹션을 참조하십시오.
5단계. (선택 사항) 기본 FTP 포트를 변경할 수 있습니다.
6단계. 클릭 Submit.
7단계. 변경 사항을 커밋합니다.
FTP 연결 후 각 로그 파일의 로그, 생성 날짜 및 크기를 볼 수 있습니다. 로그를 아카이브해야 하는 경우 FTP에서 다운로드할 수 있습니다. 또는 디스크 공간을 확보하기 위해 이전 로그를 제거할 수 있습니다.
이 문제를 해결하려면 다음 단계를 수행하십시오.
팁: 로그 파일이 디스크 공간을 많이 차지하지 않는 경우 대부분 보고서 또는 코어 파일과 관련된 문제일 수 있습니다.
디바이스의 코어 파일
SWA에 코어 파일이 있는지 보려면 CLI에서 다음 단계를 수행합니다.
1단계. CLI에 로그인합니다.
2단계. 다음 명령을 실행합니다. diagnostic (숨겨진 명령이며 TAB으로 자동 채울 수 없습니다.)
3단계. 유형 PROXY.
4단계. 유형 LIST.
코어 파일이 있는지 여부가 출력에 표시됩니다. 코어 파일을 제거하려면 시스코 지원 서비스에 문의하십시오. TAC 엔지니어가 코어 파일의 원인을 조사해야 파일을 제거할 수 있습니다.
보고 작업이 너무 많은 디스크 공간을 차지함
SWA에는 보고와 WebTracking이라는 두 가지 유형의 보고서가 있습니다. WebTracking은 디스크 공간의 대부분을 차지합니다.
WebTracking 기록을 확인하려면 WebTracking GUI에서 확인할 수 있습니다 아래 Reporting 메뉴, Time Range 섹션, 선택 Custom Range강조 표시된 날짜에 WebTracking 보고서 기록이 표시됩니다.
WebTracking에서 백업을 수행하려면 다음에서 CSV로 보고서를 내보낼 수 있습니다. Printable Download 링크를 클릭합니다.
팁: 일반적인 일일 웹 트래픽에 따라 오랜 기간 동안 WebTracking 보고서를 생성하지 마십시오. 보고서가 더 오래 지속되면 SWA가 응답하지 않을 수 있습니다.
이 기사를 쓸 때, 오래된 보고서를 수동으로 삭제할 수 있는 기능이 없다. (Cisco 버그 ID CSCun82094)
일부 보고서를 삭제하려면 TAC 지원에 문의해야 합니다. 또는 다음 단계를 수행하여 CLI에서 모든 보고서를 삭제할 수 있습니다.
1단계. CLI에 로그인합니다.
2단계. 실행 diagnostic 명령을 실행합니다. (이 명령은 숨겨진 명령이며 TAB을 사용하여 자동으로 완료할 수 없습니다.)
3단계. 유형 REPORTING 및 Enter.
4단계. 유형 DELETEDB 및 Enter.
주의: 이 명령은 모든 보고서 데이터를 삭제합니다. 중단할 수 없습니다.
내부 로그가 디스크 사용
디바이스에 Cisco 버그 ID CSCvy69039라는 결함 조건이 있는 경우, TAC 케이스를 열어 백엔드에서 내부 로그를 확인하고 대용량 로그 파일을 수동으로 제거해야 합니다.
이는 일시적인 해결 방법이지만, 영향을 받은 버전에서는 삭제 후 로그 파일이 자동으로 생성되며 파일 크기가 다시 0에서 반복적으로 증가합니다.
관련 정보
피드백