Oplossen Secure Web Applicatie volledige schijffout

Inleiding

Dit document beschrijft de stappen om een fout in volledige schijfruimte in Secure Web Applicatie (SWA) op te lossen.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Toegang tot CLI van SWA

• Administratieve toegang tot de SWA
• FTP-toegang tot SWA

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Fouten met betrekking tot volledige schijf  

Er zijn verschillende fouten en waarschuwingen in SWA die aangeven dat de schijf vol is of dat de schijfruimte bijna vol is. Hier is de lijst van fouten en waarschuwingen. Deze logbestanden zijn verschillend in elke softwareversie en toe te schrijven aan de leveringsmethodes, zoals alarm, systeemlogboeken, of de output van displayalerts opdracht van de CLI.   

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected. 
WARNING: Data partition utilization on appliance is high and can cause issues

Schijfgebruik controleren

U kunt schijfgebruik controleren en weergeven vanuit zowel de GUI als de CLI.

Schijfgebruik in GUI bekijken

Nadat u bent ingelogd op de SWA GUI, kunt u in My-Dashboard Page zien Reporting / logging Disk gebruik van de System Overview doorsnede.  

Opmerking: In SWA worden rapporten en logbestanden opgeslagen in één partitie, bekend als de DATA Partition.

Ook in de GUI, onder de Reporting Menu, navigeer naar System Status. U kunt het gebruik van de schijf ook bekijken via de Overview deel, onder de Reporting -menu.

Schijfgebruik in CLI bekijken

• Uit de output van status of status detail, kunt u de Reporting / logging Disk gewoonte

SWA.CLI> status

Enter "status detail" for more information.

Status as of:                  Sun Feb 19 19:55:13 2023 CET
Up since:                      Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
  CPU                                    25.9%
  RAM                                    13.6%
  Reporting/Logging Disk                 58.1%

• Uit de output van ipcheck, kunt u de toegewezen schijfruimte aan elke verdeling en het percentage gebruikte ruimte per verdeling zien.

SWA.CLI> ipcheck
...
  Disk 0                200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
  Disk Total            200GB
=== Skiped ===
  Root                  4GB 65%
  Nextroot              4GB 1%
  Var                   400MB 29%
  Log                   130GB 8%
  DB                    2GB 0%
  Swap                  8GB
  Proxy Cache           50GB
=== Skiped ===

• In SHD-logbestanden wordt de Reporting / logging Disk gebruik voor elke minuut wordt weergegeven als DskUtil. Gebruik de volgende stappen om toegang tot SHD-logbestanden te krijgen:

1. Typegrep oftail in de CLI.
2. Zoeken shd_logs. Type: SHD Logs Retrieval: FTP Poll, uit de lijst en typ het bijbehorende nummer.
3. In Enter the regular expression to grep, kunt u een reguliere expressie typen om in de logbestanden te zoeken. U kunt bijvoorbeeld datum en tijd typen.
4. Do you want this search to be case insensitive? [Y]>, kunt u dit als standaard laten, tenzij u moet zoeken naar casegevoeligheid, die in SHD logboeken, u deze optie niet nodig hebt.
5. Do you want to search for non-matching lines? [N]>, kunt u deze lijn als standaard instellen, tenzij u moet zoeken naar alles behalve uw grote reguliere expressie.
6. Do you want to tail the logs? [N]>. Deze optie is alleen beschikbaar in de uitvoer van de grep, als u dit als standaard (N) laat, toont het de SHD Logs van de eerste regel van het huidige bestand.
7. Do you want to paginate the output? [N]>. Als u YDe output is echter hetzelfde als de output van de minder commando. U kunt tussen lijnen en pagina's navigeren. U kunt ook in de logbestanden zoeken (Typ /druk vervolgens op het trefwoord en druk op Enter). Als u het logbestand wilt afsluiten, typt u q.

In dit voorbeeld is 52,2% van Reporting / logging Disk wordt verbruikt. 

Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0

I

Volledige partitie voor schijfstructuur en probleemoplossing 

Zoals eerder vermeld uit de output van ipcheckDe SWA bestaat uit zeven delen:

Partitienaam	Beschrijving
wortel	Houdt bestanden bij met het interne bedieningssysteem
Nextroot	Deze partitie wordt gebruikt voor upgrade
Var	Houdt bestanden bij met het interne bedieningssysteem
Logboek	Logbestanden en rapportagebestand vasthouden
DB	Configuratie- en interne databases
ruilmiddel	SWAP-geheugen
Proxy-cache	Cachegegevens blijven behouden

Root Partition is Full 

Als de wortelverdeling (die als wortelverdelingen of /) wordt bekend volledig of meer dan 100% is, wat soms wordt verwacht, en de SWA verwijdert onnodige bestanden. 

Als de systeemprestaties dalen, probeer dan eerst het apparaat opnieuw op te starten en controleer vervolgens opnieuw de schijfcapaciteit van de root-partitie. Als het probleem zich blijft voordoen, neemt u contact op met de klantenservice van Cisco om een TAC-case te openen. 

De volgende rootpartitie is volledig 

Als uw upgrade mislukt, zorg er dan voor dat uw Next Root Partition gratis is of voldoende vrije ruimte heeft voor de upgrade,

Aanvankelijk werden de virtuele SWA-, Email Security Appliance (ESA)- en Virtual Security Management Appliance (SMA)-afbeeldingen gebouwd met een Nextroot-partitiegrootte van minder dan 500 MB. In de loop der jaren, en met nieuwere AsyncOS releases die extra functies bevatten, hebben upgrades steeds meer van deze partitie moeten gebruiken tijdens het upgradeproces. Soms, wanneer u probeert te upgraden van oudere versies, upgrades mislukken vanwege deze partitiegrootte.

Van upgradelogboeken in CLI, kunt u deze fouten zien:

Finding partitions... done.                                                    
Setting next boot partition to current partition as a precaution... done.      
Erasing new boot partition... done.                                            
Extracting eapp done.                                                          
Extracting scanerroot done.                                                    
Extracting splunkroot done.                                                    
Extracting savroot done.                                                       
Extracting ipasroot done.                                                      
Extracting ecroot done.                                                        
Removing unwanted files in nextroot done.                                      
Extracting distroot                                                            
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed

Voor een virtuele SWA, download een nieuw beeldbestand per dit document: De Gids van de Installatie van de applicatie van Cisco Secure Email en Web Virtuele

Probeer vervolgens de back-up van de configuratie van de oudere versie te importeren naar de nieuw geïnstalleerde SWA. Als u de Configuration Import Error, open een case voor serviceaanvragen.

Voor SMA en ESA kunt u de tijdelijke oplossing voor dit probleem vinden via deze link: Hoe kan ik de tijdelijke oplossing voor Cisco vESA/vSMA upgrade mislukt vanwege kleine partitiegrootte - Cisco

Var-partitie is volledig 

Indien de Var partitie is volledig, krijgt u deze fouten wanneer u inlogt bij CLI of van de Displayalerts opdracht in CLI:

/var: write failed, filesystem is full
The temporary data partition is at 99% capacity

Om dit probleem op te lossen, moet u het apparaat opnieuw opstarten. Als de capaciteit van /var-partitie nog steeds meer dan 100% bedraagt, neemt u contact op met Cisco TAC-ondersteuning.

  

Rapportage/vastlegging partitie is volledig 

Als de rapportage / vastlegging partitie volledig is, kunnen de fouten zijn:

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA

WARNING: Data partition utilization on appliance is high and can cause issues

De basisoorzaak van deze fouten kan als volgt worden gecategoriseerd:

1. Logbestanden nemen te veel schijfruimte in beslag.
2. Er zijn enkele kernbestanden gegenereerd op het apparaat die leiden tot volledig schijfgebruik.
3. Rapportage neemt te veel schijfruimte in beslag.
4. Web Tracking neemt te veel schijfruimte in beslag.
5. Sommige interne logboeken bezetten te veel schijfruimte.

Logbestanden nemen te veel schijfruimte in beslag

Om logbestanden te bekijken, kunt u verbinding maken met de SWA via FTP met de beheerinterface.

Opmerking: FTP is standaard uitgeschakeld.

Gebruik de volgende stappen om FTP vanuit de GUI in te schakelen:

Stap 1. Log in op de GUI.

Stap 2. Klik op de knop  Interfaces in het kader Network -menu.

Stap 3. Klik op de knop Edit Settings.

Stap 4. Kiezen FTP van de Appliance Management Services doorsnede.

Stap 5. (optioneel) u kunt de standaard FTP-poort wijzigen.

Stap 6. Klik op de knop Submit.

Stap 7. Wijzigingen vastleggen.

Na de FTP-verbinding kunt u de logbestanden, de aanmaakdatum en de grootte van elk logbestand bekijken. Als u de logbestanden moet archiveren, kunt u ze downloaden via FTP. Of om schijfruimte vrij te maken, kunt u oude logboeken verwijderen.

Ga als volgt te werk om dit probleem op te lossen:

Tip: Als u ziet dat de logbestanden niet veel schijfruimte innamen, is het probleem waarschijnlijk gerelateerd aan rapporten of kernbestanden.

Core-bestanden op het apparaat

Om te zien of SWA kernbestanden heeft, van CLI gebruikt u deze stappen:

Stap 1. Log in op CLI. 

Stap 2. Voer de opdracht uit: diagnostic (het is een verborgen opdracht en kan niet automatisch worden ingevuld met TAB).

Stap 3. Type PROXY.

Stap 4. Type LIST.

De output toont of er kernbestanden zijn. Als u de kernbestanden wilt verwijderen, neemt u contact op met Cisco Support Service, moet een TAC Engineer de oorzaak van kernbestanden onderzoeken en kunnen ze de bestanden verwijderen.  

Rapportage Bezettingen te veel schijfruimte

Er zijn twee soorten rapporten in SWA: Rapportage en WebTracking. WebTracking neemt het grootste deel van de schijfruimte in beslag.

Om de geschiedenis van WebTracking te controleren, navigeer naar WebTracking Via de GUI. In het Reporting -menu, vanaf Time Range sectie selecteert u Custom Range, De gemarkeerde datums tonen de geschiedenis van het WebTracking-rapport.

Als u een back-up van WebTracking wilt maken, kunt u het rapport vanuit de Printable Download link in het verslag.

Tip: Vermijd het genereren van WebTracking rapporten voor lange tijdsperioden, die afhankelijk zijn van het normale dagelijkse webverkeer. De meldingen voor langere duur kunnen ertoe leiden dat de SWA niet reageert. 

Op het moment dat dit artikel wordt geschreven, is er geen functie om oudere rapporten handmatig te verwijderen. (Cisco bug-id CSCun82094)

Om een aantal van uw rapporten te verwijderen, moet u contact opnemen met TAC Support, of u kunt alle rapporten verwijderen van de CLI met deze stappen: 

Stap 1. Log in op CLI.

Stap 2. Voer de diagnostic uit. (Het is een verborgen opdracht en kan niet automatisch worden voltooid met TAB.)

Stap 3. Type REPORTING en druk Enter.

Stap 4. Type DELETEDB  en druk Enter.

Waarschuwing: deze opdracht verwijdert alle rapporten en gegevens. Dat kan niet worden afgebroken.

Interne logs bezettingsschijf

Als uw apparaat de voorwaarden van het defect heeft: Cisco bug-id CSC69039, moet u een TAC-case openen om de interne logs van de achterkant te controleren en de grote logbestanden handmatig te verwijderen.

Dit is een tijdelijke tijdelijke tijdelijke tijdelijke tijdelijke oplossing, maar op de getroffen versie, wordt het logbestand automatisch gemaakt na het wissen en de bestandsgrootte groeit herhaaldelijk van 0.

Gerelateerde informatie

• Opmerkingen over WSA Async OS release
• Technische ondersteuning en documentatie – Cisco Systems