簡介
本文檔介紹解決Secure Web Appliance(SWA)中的「Full Disk Space Error(磁碟空間錯誤)」的步驟。
必要條件
需求
思科建議您瞭解以下主題:
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
與全磁碟相關的錯誤
SWA中存在不同的錯誤和警告,表明磁碟已滿或磁碟空間已接近滿。以下是錯誤和警告的清單。每個軟體版本中的這些日誌都不同,並且由於交付方式(如警報、系統日誌或的輸出), displayalerts 命令。
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
This appliance has disk usage that is higher than expected.
WARNING: Data partition utilization on appliance is high and can cause issues
監視磁碟使用情況
您可以通過GUI和CLI監控和檢視磁碟使用情況。
在GUI中檢視磁碟使用情況
登入SWA GUI後,在My-Dashboard Page中,您可以看到 Reporting / logging Disk 的用法 System Overview 部分。
注意:在SWA中,報告和日誌儲存在單個分割槽(稱為DATA Partition)中。
在GUI中,在 Reporting 選單,導航到 System Status.或者,您也可以從 Overview 部分,在 Reporting 選單。
在CLI中檢視磁碟使用情況
- 從
status 或 status detail,您可以看到 Reporting / logging Disk 使用
SWA.CLI> status
Enter "status detail" for more information.
Status as of: Sun Feb 19 19:55:13 2023 CET
Up since: Sat Feb 11 14:00:56 2023 CET (8d 5h 54m 17s)
System Resource Utilization:
CPU 25.9%
RAM 13.6%
Reporting/Logging Disk 58.1%
- 從
ipcheck中,您可以看到分配給每個分割槽的磁碟空間以及每個分割槽已用空間的百分比。
SWA.CLI> ipcheck
...
Disk 0 200GB VMware Virtual disk 1.0 at mpt0 bus 0 scbus2 target 0 lun 0
Disk Total 200GB
=== Skiped ===
Root 4GB 65%
Nextroot 4GB 1%
Var 400MB 29%
Log 130GB 8%
DB 2GB 0%
Swap 8GB
Proxy Cache 50GB
=== Skiped ===
- 在SHD日誌中,
Reporting / logging Disk 每分鐘的利用率顯示為 DskUtil.要訪問SHD日誌,請執行以下步驟:
- 類型
grep 或tail 在CLI中。
- 尋找
shd_logs.Type: SHD Logs Retrieval: FTP Poll,並鍵入相關號碼。
- 在
Enter the regular expression to grep,可以鍵入正規表示式在日誌中搜尋。例如,可以鍵入日期和時間。
Do you want this search to be case insensitive? [Y]>,您可以將此選項保留為預設值,除非您需要搜尋大小寫敏感性(在SHD日誌中,不需要此選項)。Do you want to search for non-matching lines? [N]>,您可以將此行設定為預設值,除非您需要搜尋除grep正規表示式之外的所有內容。Do you want to tail the logs? [N]>.此選項僅在grep的輸出中可用,如果將其設定為預設值(N),則它顯示當前檔案第一行中的SHD日誌。Do you want to paginate the output? [N]>.如果您選擇 Y,輸出與less命令的輸出相同。您可以在行和頁面之間導航。此外,您還可以在日誌中搜尋(鍵入/然後鍵入關鍵字並按 Enter)。要退出日誌,請鍵入 q.
在本示例中,52.2%的 Reporting / logging Disk 已使用。
Mon Feb 20 23:46:14 2023 Info: Status: CPULd 66.4 DskUtil 52.2 RAMUtil 11.3 Reqs 0 Band 0 Latency 0 CacheHit 0 CliConn 0 SrvConn 0 MemBuf 0 SwpPgOut 0 ProxLd 0 Wbrs_WucLd 0.0 LogLd 0.0 RptLd 0.0 WebrootLd 0.0 SophosLd 0.0 McafeeLd 0.0 WTTLd 0.0 AMPLd 0.0
I
磁碟結構和完全分割槽故障排除
正如前面所提到的,來自 ipcheck,SWA中有七個分割槽:
| 分割槽名稱 |
說明 |
| 根 |
保留內部作業系統檔案 |
| Nextroot |
此分割槽用於升級 |
| Var |
保留內部作業系統檔案 |
| log |
保留日誌和報告檔案 |
| DB |
配置和內部資料庫 |
| 交換 |
交換記憶體 |
| 代理快取 |
保留快取的資料 |
根分割槽已滿
如果根分割槽(稱為rootfs或/)已滿或超過100%(有時這是預期值),則SWA將刪除不必要的檔案。
如果您看到某些系統效能下降,請首先嘗試重新啟動裝置,然後再次檢查根分割槽的磁碟容量。如果問題仍然存在,請聯絡思科客戶服務以開啟TAC案例。
下一個根分割槽已滿
如果升級失敗,請確保下一個根分割槽已可用或有足夠的可用空間進行升級,
最初,虛擬SWA、郵件安全裝置(ESA)和虛擬安全管理裝置(SMA)SMA映像的Nextroot分割槽大小小於500 MB。多年以來,隨著包含其他功能的較新AsyncOS版本的推出,升級在整個升級過程中必須越來越多地使用此分割槽。有時當您嘗試從較舊版本升級時,升級會因為此分割槽大小而失敗。
在CLI中的升級日誌中,您可以看到以下錯誤:
Finding partitions... done.
Setting next boot partition to current partition as a precaution... done.
Erasing new boot partition... done.
Extracting eapp done.
Extracting scanerroot done.
Extracting splunkroot done.
Extracting savroot done.
Extracting ipasroot done.
Extracting ecroot done.
Removing unwanted files in nextroot done.
Extracting distroot
/nextroot: write failed, filesystem is full
./usr/share/misc/termcap: Write failed
./usr/share/misc/pci_vendors: Write to restore size failed
./usr/libexec/getty: Write to restore size failed
./usr/libexec/ld-elf.so.1: Write to restore size failed
./usr/lib/libBlocksRuntime.so: Write to restore size failed
./usr/lib/libBlocksRuntime.so.0: Write to restore size failed
./usr/lib/libalias.so: Write to restore size failed
./usr/lib/libarchive.so: Write to restore size failed
對於虛擬SWA,請根據本文檔下載新的映像檔案:思科安全郵件和網路虛擬裝置安裝指南
然後,嘗試將配置備份從舊版本匯入到新安裝的SWA。如果您看到 Configuration Import Error,請開啟服務請求案例。
對於SMA和ESA,可以從此連結找到此問題的解決方法:如何應用Cisco vESA/vSMA升級的解決方法 — 由於小分割槽大小而失敗 — Cisco
Var分割槽已滿
如果 Var 分割槽已滿,當您登入到CLI或從 Displayalerts 命令列介面:
/var: write failed, filesystem is full
The temporary data partition is at 99% capacity
要解決此問題,請首先重新啟動裝置。如果/var分割槽的容量仍大於100%,請聯絡Cisco TAC支援。
報告/日誌記錄分割槽已滿
如果報告/日誌記錄分割槽已滿,錯誤可能為:
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above 97 percent.
User admin Disk space for /data has exceeded threshold value 90% with current capacity of 99 %
The reporting/logging disk is full on a WSA
WARNING: Data partition utilization on appliance is high and can cause issues
這些錯誤的根本原因可分類為:
- 日誌檔案佔用太多磁碟空間。
- 裝置上生成的一些核心檔案會導致磁碟使用率達到全高。
- 報告佔用太多磁碟空間。
- Web跟蹤佔用太多磁碟空間。
- 某些內部日誌佔用了過多的磁碟空間。
日誌檔案佔用太多磁碟空間
要檢視日誌檔案,可以通過FTP連線到管理介面。
注意:FTP預設情況下處於禁用狀態。
要從GUI啟用FTP,請執行以下步驟:
步驟 1.登入到GUI。
步驟 2.按一下 Interfaces 在 Network 選單。
步驟 3.按一下 Edit Settings.
步驟 4.選擇 FTP 從 Appliance Management Services 部分。
步驟5.(可選)您可以變更預設的FTP連線埠。
步驟 6.按一下 Submit.
步驟 7.提交更改。
FTP連線後,您可以檢視日誌、每個日誌檔案的建立日期和大小。如果需要歸檔日誌,可以從FTP下載。或者,若要釋放磁碟空間,您可以刪除舊日誌。
使用以下步驟解決此問題:
提示:如果您看到日誌檔案沒有佔用太多磁碟空間,則問題很可能與報告或核心檔案有關。
裝置上的核心檔案
要檢視SWA是否具有核心檔案,請在CLI中使用以下步驟:
步驟 1.登入到CLI。
步驟 2.執行命令: diagnostic (它是一個隱藏命令,不能用TAB自動填充)。
步驟 3.類型 PROXY.
步驟 4.類型 LIST.
輸出會顯示是否存在任何核心檔案。若要移除核心檔案,請聯絡思科支援服務,TAC工程師需要調查核心檔案的原因,然後他們可以移除檔案。
報告佔用太多磁碟空間
SWA中有兩種型別的報告:報告和網路跟蹤。WebTracking佔用大部分磁碟空間。
要檢查WebTracking的歷史記錄,請導航至 WebTracking 在GUI上。在 Reporting 選單,在 Time Range 部分,選擇 Custom Range中,突出顯示的日期顯示WebTracking報告歷史記錄。
要從WebTracking進行備份,您可以從以下位置將報告匯出到CSV: Printable Download 連結。
提示:避免長時間生成WebTracking報告,這取決於正常的日常Web流量。報告持續時間較長,可能導致SWA變得無響應。
在撰寫本文時,沒有手動刪除舊報告的功能。(思科錯誤ID CSCun82094)
若要刪除部分報告,您需要聯絡TAC支援,或者通過以下步驟從CLI刪除所有報告:
步驟 1.登入到CLI。
步驟 2.執行 diagnostic 指令。(這是一個隱藏命令,無法使用TAB自動完成。)
步驟 3.類型 REPORTING 然後按下 Enter.
步驟 4.類型 DELETEDB 然後按下 Enter.
注意:此命令刪除所有報告資料。無法中止。
內部日誌佔用磁碟
如果您的裝置存在缺陷:思科錯誤ID CSCvy69039,則需開啟TAC案例,從後端檢查內部記錄並手動移除大型記錄檔。
這是一種臨時的解決方法,但在受影響的版本中,日誌檔案將在刪除後自動建立,並且檔案大小會再次從0重複增長。
相關資訊
意見