Resolver erro de disco total do Secure Web Appliance

Introdução

Este documento descreve as etapas para resolver o erro de espaço em disco total no Secure Web Appliance (SWA).

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Acesso ao CLI do SWA

• Acesso administrativo ao SWA
• Acesso por FTP ao SWA

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Erros relacionados ao disco completo  

Há diferentes erros e avisos no SWA que indicam que o disco está cheio ou que o espaço em disco está quase cheio. Esta é a lista de erros e avisos. Esses registros são diferentes em cada versão de software e devido aos métodos de entrega, como alertas, registros do sistema ou a saída do displayalerts do CLI.   

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected. 
WARNING: Data partition utilization on appliance is high and can cause issues

Monitorar o uso do disco

Você pode monitorar e visualizar o uso do disco na GUI e na CLI.

Visualizar o uso do disco na GUI

Depois de fazer login na GUI do SWA, na página Meu painel, você pode ver Reporting / logging Disk uso a partir do System Overview seção.  

Observação: em SWA, os relatórios e logs são armazenados em uma única partição, conhecida como a partição DATA.

Também na GUI, sob o comando Reporting , navegue até System Status. Como alternativa, você pode visualizar o uso do disco na Overview , sob o comando Reporting menu.

Exibir uso de disco na CLI

• A partir da saída de status or status detail, você pode ver o Reporting / logging Disk uso

SWA.CLI> status

Enter "status detail" for more information.

Status as of:                  Sun Feb 19 19:55:13 2023 CET
Up since:                      Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
  CPU                                    25.9%
  RAM                                    13.6%
  Reporting/Logging Disk                 58.1%

• A partir da saída de ipcheck, você pode ver o espaço em disco alocado para cada partição e o percentual de espaço usado por partição.

SWA.CLI> ipcheck
...
  Disk 0                200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
  Disk Total            200GB
=== Skiped ===
  Root                  4GB 65%
  Nextroot              4GB 1%
  Var                   400MB 29%
  Log                   130GB 8%
  DB                    2GB 0%
  Swap                  8GB
  Proxy Cache           50GB
=== Skiped ===

• Nos registros SHD, o comando Reporting / logging Disk a utilização de cada minuto é mostrada como DskUtil. Para acessar os registros SHD, use estas etapas:

1. Tipogrep ortail na CLI.
2. Localizar shd_logs. Digite: SHD Logs Retrieval: FTP Poll, na lista e digite o número associado.
3. IN Enter the regular expression to grep, você pode digitar uma expressão regular para pesquisar dentro dos logs. Por exemplo, você pode digitar data e hora.
4. Do you want this search to be case insensitive? [Y]>, você pode deixar isso como o padrão, a menos que precise pesquisar a diferenciação de maiúsculas e minúsculas, que nos registros SHD, você não precisa dessa opção.
5. Do you want to search for non-matching lines? [N]>, você pode definir essa linha como padrão, a menos que precise pesquisar tudo, exceto sua expressão regular grep.
6. Do you want to tail the logs? [N]>. Essa opção está disponível apenas na saída do grep; se você deixar isso como padrão (N), ela mostrará os Logs SHD da primeira linha do arquivo atual.
7. Do you want to paginate the output? [N]>. Se você selecionar Y, a saída é igual à saída do comando less. Você pode navegar entre linhas e páginas. Além disso, você pode pesquisar dentro dos logs (Digite /depois a palavra-chave e pressione Enter). Para sair do registro, digite q.

Neste exemplo, 52,2% dos Reporting / logging Disk é consumido. 

Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0

I

Estrutura de disco e solução de problemas da partição completa 

Conforme mencionado anteriormente, a partir da saída de ipcheck, há sete partições no SWA:

Nome da partição	Descrição
Root	Mantém arquivos internos do sistema operacional
Nextroot	Esta partição é usada para atualização
Var	Mantém arquivos internos do sistema operacional
Registro	Armazena logs e arquivos de relatórios
DB	Configuração e bancos de dados internos
Trocar	memória SWAP
Cache de proxy	Mantém dados em cache

A partição raiz está cheia 

Se a partição raiz (conhecida como rootfs ou /) estiver cheia ou mais de 100%, o que às vezes é esperado, e o SWA remover arquivos desnecessários. 

Se o desempenho do sistema cair, primeiro tente reinicializar o equipamento e, em seguida, verifique novamente a capacidade do disco da partição raiz. Se o problema persistir, entre em contato com o Atendimento ao cliente da Cisco para abrir um caso de TAC. 

A próxima partição raiz está cheia 

Se a atualização falhar, verifique se a Próxima Partição Raiz está livre ou tem espaço livre suficiente para a atualização.

Inicialmente, imagens SMA de SWA virtual, Email Security Appliance (ESA) e virtual Security Management Appliance (dispositivo de gerenciamento de segurança virtual) foram criadas com um tamanho de partição do Nextroot inferior a 500 MB. Com o passar dos anos, e com versões mais recentes do AsyncOS que incluem recursos adicionais, as atualizações tiveram que usar cada vez mais essa partição durante todo o processo de atualização. Às vezes, quando você tenta atualizar de versões mais antigas, as atualizações falham devido ao tamanho da partição.

Nos logs de atualização na CLI, você pode ver estes erros:

Finding partitions... done.                                                    
Setting next boot partition to current partition as a precaution... done.      
Erasing new boot partition... done.                                            
Extracting eapp done.                                                          
Extracting scanerroot done.                                                    
Extracting splunkroot done.                                                    
Extracting savroot done.                                                       
Extracting ipasroot done.                                                      
Extracting ecroot done.                                                        
Removing unwanted files in nextroot done.                                      
Extracting distroot                                                            
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed

Para um SWA virtual, baixe um novo arquivo de imagem de acordo com este documento: Guia de instalação do Cisco Secure Email and Web Virtual Appliance

Em seguida, tente importar o backup de configuração da versão mais antiga para o SWA recém-instalado. Se você vir o Configuration Import Error, abra um caso de solicitação de serviço.

Para o SMA e o ESA, você pode encontrar a solução para esse problema neste link: Como aplicar a solução para a falha de atualização do Cisco vESA/vSMA devido ao tamanho pequeno da partição - Cisco

Partição Var está cheia 

Se a Var estiver cheia, você receberá esses erros quando fizer login na CLI ou na Displayalerts no CLI:

/var: write failed, filesystem is full
The temporary data partition is at 99% capacity

Para resolver esse problema, reinicie primeiro o equipamento. Se a capacidade da partição /var ainda for superior a 100%, entre em contato com o suporte do TAC da Cisco.

  

A partição de relatório/registro está cheia 

Se a partição Relatório / Registro estiver cheia, os erros poderão ser:

Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin  Disk space for /data has exceeded threshold value 90% with current capacity of 99 %

The reporting/logging disk is full on a WSA

WARNING: Data partition utilization on appliance is high and can cause issues

A causa raiz desses erros pode ser categorizada como:

1. Os arquivos de log ocupam muito espaço em disco.
2. Há alguns arquivos principais gerados no dispositivo que levam ao uso total do disco.
3. Os relatórios ocupam muito espaço em disco.
4. O Rastreamento da Web ocupa muito espaço em disco.
5. Alguns logs internos ocupam muito espaço em disco.

Os arquivos de log ocupam muito espaço em disco

Para exibir arquivos de log, você pode se conectar ao SWA por FTP à interface de gerenciamento.

Observação: o FTP está desabilitado por padrão.

Para ativar o FTP na GUI, siga estas etapas:

Etapa 1. Faça login na GUI.

Etapa 2. Clique em Interfaces sob o comando Network menu.

Etapa 3. Clique em Edit Settings.

Etapa 4. Selecionar FTP nos Appliance Management Services seção.

Etapa 5. (Opcional) você pode alterar a Porta FTP padrão.

Etapa 6. Clique em Submit.

Passo 7. Confirmar alterações.

Após a conexão FTP, você pode exibir os logs, a data de criação e o tamanho de cada arquivo de log. Se precisar arquivar os logs, você poderá baixá-los do FTP. Ou para liberar espaço em disco, você pode remover logs antigos.

Siga estas etapas para resolver esse problema:

Dica: se você vir que os arquivos de log não ocuparam muito espaço em disco, provavelmente o problema está relacionado a relatórios ou arquivos principais.

Arquivos principais no dispositivo

Para ver se o SWA tem arquivos principais, na CLI, siga estas etapas:

Etapa 1. Faça login na CLI. 

Etapa 2. Execute o comando: diagnostic (é um comando oculto e não pode ser preenchido automaticamente com TAB).

Etapa 3. Tipo PROXY.

Etapa 4. Tipo LIST.

A saída mostra se há algum arquivo principal. Para remover os arquivos principais, entre em contato com o Serviço de Suporte da Cisco, um Engenheiro do TAC precisa investigar a causa dos arquivos principais e, em seguida, pode remover os arquivos.  

Os relatórios ocupam muito espaço em disco

Há dois tipos de relatórios no SWA: Relatórios e WebTracking. O WebTracking ocupa a maior parte do espaço em disco.

Para verificar o histórico de rastreamento da Web, navegue até WebTracking Na GUI. Sob o comando Reporting , no menu Time Range , selecione Custom Range, As datas destacadas mostram o histórico do relatório WebTracking.

Para fazer um backup do WebTracking, você pode exportar o relatório para CSV do Printable Download no relatório.

Dica: evite a geração de relatórios do WebTracking por longos períodos, o que depende do tráfego normal diário da Web. Os relatórios de durações mais longas podem fazer com que o SWA não responda. 

No momento em que este artigo é escrito, não há nenhum recurso para excluir manualmente relatórios mais antigos. (ID de bug da Cisco CSCun82094)

Para excluir alguns de seus relatórios, você precisa entrar em contato com o Suporte do TAC ou pode excluir todos os relatórios do CLI com estas etapas: 

Etapa 1. Faça login na CLI.

Etapa 2. Execute o comando diagnostic comando. (É um comando oculto e não pode ser preenchido automaticamente com TAB.)

Etapa 3. Tipo REPORTING e pressione Enter.

Etapa 4. Tipo DELETEDB  e pressione Enter.

Cuidado: este comando exclui todos os dados de relatórios. Ela não pode ser anulada.

Logs Internos Ocupam Disco

Se o seu dispositivo tiver as condições do defeito: bug da Cisco ID CSCvy69039, você precisará abrir um caso TAC para verificar os logs internos do back-end e remover os arquivos de log grandes manualmente.

Essa é uma solução temporária, mas na versão afetada, o arquivo de log é criado automaticamente após a exclusão e o tamanho do arquivo cresce repetidamente de 0.

Informações Relacionadas

• Notas da versão do WSA AsyncOS
• Suporte Técnico e Documentação - Cisco Systems