Inleiding
Dit document beschrijft de stappen om een fout in volledige schijfruimte in Secure Web Applicatie (SWA) op te lossen.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Administratieve toegang tot de SWA
- FTP-toegang tot SWA
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Fouten met betrekking tot volledige schijf
Er zijn verschillende fouten en waarschuwingen in SWA die aangeven dat de schijf vol is of dat de schijfruimte bijna vol is. Hier is de lijst van fouten en waarschuwingen. Deze logbestanden zijn verschillend in elke softwareversie en toe te schrijven aan de leveringsmethodes, zoals alarm, systeemlogboeken, of de output van displayalerts
opdracht van de CLI.
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected.
WARNING: Data partition utilization on appliance is high and can cause issues
Schijfgebruik controleren
U kunt schijfgebruik controleren en weergeven vanuit zowel de GUI als de CLI.
Schijfgebruik in GUI bekijken
Nadat u bent ingelogd op de SWA GUI, kunt u in My-Dashboard Page zien Reporting / logging Disk
gebruik van de System Overview
doorsnede.
Opmerking: In SWA worden rapporten en logbestanden opgeslagen in één partitie, bekend als de DATA Partition.
Ook in de GUI, onder de Reporting
Menu, navigeer naar System Status
. U kunt het gebruik van de schijf ook bekijken via de Overview
deel, onder de Reporting
-menu.
Schijfgebruik in CLI bekijken
- Uit de output van
status
of status detail
, kunt u de Reporting / logging Disk
gewoonte
SWA.CLI> status
Enter "status detail" for more information.
Status as of: Sun Feb 19 19:55:13 2023 CET
Up since: Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
CPU 25.9%
RAM 13.6%
Reporting/Logging Disk 58.1%
- Uit de output van
ipcheck
, kunt u de toegewezen schijfruimte aan elke verdeling en het percentage gebruikte ruimte per verdeling zien.
SWA.CLI> ipcheck
...
Disk 0 200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
Disk Total 200GB
=== Skiped ===
Root 4GB 65%
Nextroot 4GB 1%
Var 400MB 29%
Log 130GB 8%
DB 2GB 0%
Swap 8GB
Proxy Cache 50GB
=== Skiped ===
- In SHD-logbestanden wordt de
Reporting / logging Disk
gebruik voor elke minuut wordt weergegeven als DskUtil
. Gebruik de volgende stappen om toegang tot SHD-logbestanden te krijgen:
- Type
grep
oftail
in de CLI.
- Zoeken
shd_logs
. Type: SHD Logs Retrieval: FTP Poll
, uit de lijst en typ het bijbehorende nummer.
- In
Enter the regular expression to grep
, kunt u een reguliere expressie typen om in de logbestanden te zoeken. U kunt bijvoorbeeld datum en tijd typen.
Do you want this search to be case insensitive? [Y]>
, kunt u dit als standaard laten, tenzij u moet zoeken naar casegevoeligheid, die in SHD logboeken, u deze optie niet nodig hebt.
Do you want to search for non-matching lines? [N]>
, kunt u deze lijn als standaard instellen, tenzij u moet zoeken naar alles behalve uw grote reguliere expressie.
Do you want to tail the logs? [N]>
. Deze optie is alleen beschikbaar in de uitvoer van de grep, als u dit als standaard (N) laat, toont het de SHD Logs van de eerste regel van het huidige bestand.
Do you want to paginate the output? [N]>
. Als u Y
De output is echter hetzelfde als de output van de minder commando. U kunt tussen lijnen en pagina's navigeren. U kunt ook in de logbestanden zoeken (Typ /druk vervolgens op het trefwoord en druk op Enter
). Als u het logbestand wilt afsluiten, typt u q
.
In dit voorbeeld is 52,2% van Reporting / logging Disk
wordt verbruikt.
Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0
I
Volledige partitie voor schijfstructuur en probleemoplossing
Zoals eerder vermeld uit de output van ipcheck
De SWA bestaat uit zeven delen:
Partitienaam |
Beschrijving |
wortel |
Houdt bestanden bij met het interne bedieningssysteem |
Nextroot |
Deze partitie wordt gebruikt voor upgrade |
Var |
Houdt bestanden bij met het interne bedieningssysteem |
Logboek |
Logbestanden en rapportagebestand vasthouden |
DB |
Configuratie- en interne databases |
ruilmiddel |
SWAP-geheugen |
Proxy-cache |
Cachegegevens blijven behouden |
Root Partition is Full
Als de wortelverdeling (die als wortelverdelingen of /) wordt bekend volledig of meer dan 100% is, wat soms wordt verwacht, en de SWA verwijdert onnodige bestanden.
Als de systeemprestaties dalen, probeer dan eerst het apparaat opnieuw op te starten en controleer vervolgens opnieuw de schijfcapaciteit van de root-partitie. Als het probleem zich blijft voordoen, neemt u contact op met de klantenservice van Cisco om een TAC-case te openen.
De volgende rootpartitie is volledig
Als uw upgrade mislukt, zorg er dan voor dat uw Next Root Partition gratis is of voldoende vrije ruimte heeft voor de upgrade,
Aanvankelijk werden de virtuele SWA-, Email Security Appliance (ESA)- en Virtual Security Management Appliance (SMA)-afbeeldingen gebouwd met een Nextroot-partitiegrootte van minder dan 500 MB. In de loop der jaren, en met nieuwere AsyncOS releases die extra functies bevatten, hebben upgrades steeds meer van deze partitie moeten gebruiken tijdens het upgradeproces. Soms, wanneer u probeert te upgraden van oudere versies, upgrades mislukken vanwege deze partitiegrootte.
Van upgradelogboeken in CLI, kunt u deze fouten zien:
Finding partitions... done.
Setting next boot partition to current partition as a precaution... done.
Erasing new boot partition... done.
Extracting eapp done.
Extracting scanerroot done.
Extracting splunkroot done.
Extracting savroot done.
Extracting ipasroot done.
Extracting ecroot done.
Removing unwanted files in nextroot done.
Extracting distroot
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed
Voor een virtuele SWA, download een nieuw beeldbestand per dit document: De Gids van de Installatie van de applicatie van Cisco Secure Email en Web Virtuele
Probeer vervolgens de back-up van de configuratie van de oudere versie te importeren naar de nieuw geïnstalleerde SWA. Als u de Configuration Import Error
, open een case voor serviceaanvragen.
Voor SMA en ESA kunt u de tijdelijke oplossing voor dit probleem vinden via deze link: Hoe kan ik de tijdelijke oplossing voor Cisco vESA/vSMA upgrade mislukt vanwege kleine partitiegrootte - Cisco
Var-partitie is volledig
Indien de Var
partitie is volledig, krijgt u deze fouten wanneer u inlogt bij CLI of van de Displayalerts
opdracht in CLI:
/var: write failed, filesystem is full
The temporary data partition is at 99% capacity
Om dit probleem op te lossen, moet u het apparaat opnieuw opstarten. Als de capaciteit van /var-partitie nog steeds meer dan 100% bedraagt, neemt u contact op met Cisco TAC-ondersteuning.
Rapportage/vastlegging partitie is volledig
Als de rapportage / vastlegging partitie volledig is, kunnen de fouten zijn:
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
WARNING: Data partition utilization on appliance is high and can cause issues
De basisoorzaak van deze fouten kan als volgt worden gecategoriseerd:
- Logbestanden nemen te veel schijfruimte in beslag.
- Er zijn enkele kernbestanden gegenereerd op het apparaat die leiden tot volledig schijfgebruik.
- Rapportage neemt te veel schijfruimte in beslag.
- Web Tracking neemt te veel schijfruimte in beslag.
- Sommige interne logboeken bezetten te veel schijfruimte.
Logbestanden nemen te veel schijfruimte in beslag
Om logbestanden te bekijken, kunt u verbinding maken met de SWA via FTP met de beheerinterface.
Opmerking: FTP is standaard uitgeschakeld.
Gebruik de volgende stappen om FTP vanuit de GUI in te schakelen:
Stap 1. Log in op de GUI.
Stap 2. Klik op de knop Interfaces
in het kader Network
-menu.
Stap 3. Klik op de knop Edit Settings
.
Stap 4. Kiezen FTP
van de Appliance Management Services
doorsnede.
Stap 5. (optioneel) u kunt de standaard FTP-poort wijzigen.
Stap 6. Klik op de knop Submit
.
Stap 7. Wijzigingen vastleggen.
Na de FTP-verbinding kunt u de logbestanden, de aanmaakdatum en de grootte van elk logbestand bekijken. Als u de logbestanden moet archiveren, kunt u ze downloaden via FTP. Of om schijfruimte vrij te maken, kunt u oude logboeken verwijderen.
Ga als volgt te werk om dit probleem op te lossen:
Tip: Als u ziet dat de logbestanden niet veel schijfruimte innamen, is het probleem waarschijnlijk gerelateerd aan rapporten of kernbestanden.
Core-bestanden op het apparaat
Om te zien of SWA kernbestanden heeft, van CLI gebruikt u deze stappen:
Stap 1. Log in op CLI.
Stap 2. Voer de opdracht uit: diagnostic
(het is een verborgen opdracht en kan niet automatisch worden ingevuld met TAB).
Stap 3. Type PROXY
.
Stap 4. Type LIST
.
De output toont of er kernbestanden zijn. Als u de kernbestanden wilt verwijderen, neemt u contact op met Cisco Support Service, moet een TAC Engineer de oorzaak van kernbestanden onderzoeken en kunnen ze de bestanden verwijderen.
Rapportage Bezettingen te veel schijfruimte
Er zijn twee soorten rapporten in SWA: Rapportage en WebTracking. WebTracking neemt het grootste deel van de schijfruimte in beslag.
Om de geschiedenis van WebTracking te controleren, navigeer naar WebTracking
Via de GUI. In het Reporting
-menu, vanaf Time Range
sectie selecteert u Custom Range
, De gemarkeerde datums tonen de geschiedenis van het WebTracking-rapport.
Als u een back-up van WebTracking wilt maken, kunt u het rapport vanuit de Printable Download
link in het verslag.
Tip: Vermijd het genereren van WebTracking rapporten voor lange tijdsperioden, die afhankelijk zijn van het normale dagelijkse webverkeer. De meldingen voor langere duur kunnen ertoe leiden dat de SWA niet reageert.
Op het moment dat dit artikel wordt geschreven, is er geen functie om oudere rapporten handmatig te verwijderen. (Cisco bug-id CSCun82094)
Om een aantal van uw rapporten te verwijderen, moet u contact opnemen met TAC Support, of u kunt alle rapporten verwijderen van de CLI met deze stappen:
Stap 1. Log in op CLI.
Stap 2. Voer de diagnostic
uit. (Het is een verborgen opdracht en kan niet automatisch worden voltooid met TAB.)
Stap 3. Type REPORTING
en druk Enter
.
Stap 4. Type DELETEDB
en druk Enter
.
Waarschuwing: deze opdracht verwijdert alle rapporten en gegevens. Dat kan niet worden afgebroken.
Interne logs bezettingsschijf
Als uw apparaat de voorwaarden van het defect heeft: Cisco bug-id CSC69039, moet u een TAC-case openen om de interne logs van de achterkant te controleren en de grote logbestanden handmatig te verwijderen.
Dit is een tijdelijke tijdelijke tijdelijke tijdelijke tijdelijke oplossing, maar op de getroffen versie, wordt het logbestand automatisch gemaakt na het wissen en de bestandsgrootte groeit herhaaldelijk van 0.
Gerelateerde informatie