Speicherplatz für Protokolle und Berichte
Die Firewall speichert Berichte, Ereignisprotokolle und Fehlerbehebungsprotokolle im /var
Ordner.
In diesem Ordner werden auch Daten anderer Firewall-Komponenten gespeichert. Diesen Komponenten werden je nach Funktionalität individuelle Speicherplatzkontingente zugewiesen.
Der verfügbare Speicherplatz im /var
Ordner hängt von den folgenden Faktoren ab:
- Der dem Ordner zugewiesene Speicherplatz hängt vom Gerätemodell ab.
- Berichte und Protokolle belegen Speicherplatz abhängig von der Häufigkeit von Netzwerkereignissen und den von Ihnen festgelegten Einstellungen, z. B. der Aufbewahrungsdauer der Berichte und dem Debug-Modus-Status der Fehlerbehebungsprotokolle. Daher beanspruchen sie mit der Zeit mehr Speicherplatz, und bei den Appliance-Modellen der unteren Leistungsklasse kann es zu Speicherplatzmangel kommen.
Die Festplatte ist fast voll
Sehen Sie, wie Speicherplatz für Berichte und Protokolle zugeteilt wird und wie die Firewall sie verarbeitet, wenn die Festplatte fast voll ist.
Komponenten- und Ordnername | Speicherplatz | Wenn der Speicherplatz fast voll ist | Alarm |
---|---|---|---|
Berichte (reportdb_16 ) | Belegt den verfügbaren Speicherplatz im /var Ordner. | Beendet das Speichern von Berichten. Siehe Berichte. | Die Firewall generiert standardmäßig Warnungen. |
Ereignisprotokolle (eventlogs ) | Ein Prozent der /var Der Ordner wird basierend auf dem Appliance-Modell zugewiesen. | Löscht ältere Protokolle. Protokolliert weiterhin neue Ereignisse. Siehe Protokolle. | Keine Warnungen. |
Protokolle zur Fehlerbehebung (tslog ) | Jeder Komponente wird je nach Appliance-Modell ein bestimmter Speicherplatz zugewiesen. Kritischen Komponenten wird mehr Speicherplatz zugewiesen. | Löscht ältere komprimierte Protokolldateien. Erstellt weiterhin neue Protokolle. Siehe Fehlerbehebungsprotokolle. | Keine Warnungen. |
E-Mail-Quarantäne (quarantine ) | Den Speicherplatz wählen Sie unter Quarantäneeinstellungen auf der Webadministrationskonsole. | Löscht ältere E-Mails. Neue E-Mails werden weiterhin unter Quarantäne gestellt. Siehe Quarantänebereich. | Keine Warnungen. |
Identifizieren Sie die Ursache für die volle Festplatte
Um herauszufinden, was Speicherplatz belegt, gehen Sie wie folgt vor:
- Stellen Sie sicher, dass die Paketerfassung nicht ausgeführt wird. Sie belegt Speicherplatz.
- Wenn Sie Dateien in das
/var
Ordner, löschen Sie sie. -
Um den von den Komponenten belegten Speicherplatz zu überprüfen, verwenden Sie die folgenden Befehle:
- Berichte:
du -kh reportdb_16
- Ereignisprotokolle:
du -kh eventlogs
- Protokolle zur Fehlerbehebung:
du -kh tslog
- Berichte:
-
Überprüfen Sie die folgenden E-Mail-Komponenten:
- Gehe zu E-Mail > Quarantäneeinstellungenund wählen Sie die Option mit dem geringsten Speicherplatz für E-Mail-Quarantäne.
- Gehe zu E-Mail > Mail-Spool und klicken Sie auf Wiederholen oder Löschen um die E-Mails zu löschen.
So verwalten Sie den Speicherplatz
Berichte
Wir empfehlen Ihnen, unsere Best Practices zu befolgen, um zu verhindern, dass die Festplatte voll wird.
Geben Sie Speicherplatz frei
Behalten Sie Warnmeldungen im Auge und löschen Sie Berichte, wenn die Festplatte voll ist.
-
Behalten Sie den Überblick über Warnmeldungen mit einer der folgenden Optionen:
- Überwachen Sie die Kontrollzentrum oder die Protokollanzeige für die Warnungen.
- Gehe zu Systemdienste > Benachrichtigungsliste und richten Sie E-Mail- und SNMP-Benachrichtigungen ein.
-
Gehe zu Berichte > Berichtseinstellungen anzeigen und führen Sie eine oder alle der folgenden Aktionen aus:
- Klicken Datenmanagement und wählen Sie für einige oder alle Module eine kürzere Berichtsaufbewahrungsfrist aus.
- Klicken Manuelle Bereinigung und einige oder alle Berichte für einen bestimmten Zeitraum löschen. Siehe Manuelle Bereinigung.
Bewährte Methoden
Befolgen Sie die Best Practices, um sicherzustellen, dass die /var
Der Ordner verfügt über genügend Speicherplatz.
-
Konfigurieren Sie die Firewall-Berichterstellung von Sophos Central wie folgt:
- Registrieren Sie sich für die Sophos Central Firewall-Verwaltung. Siehe Übersicht über die Sophos Central-Dienste.
-
Gehe zu Systemdienste > Protokolleinstellungen und wählen Sie Zentrales Reporting für die Firewall-Module.
Die Firewall sendet Ereignisprotokolle an Sophos Central, das auf Grundlage dieser Protokolle Berichte erstellt und speichert. Siehe Protokolleinstellungen.
-
Verwenden Sie das Tool zur Speicherschätzung, um Ihren Speicherbedarf zu prüfen und die Speicherplatzpläne in der Berichtslizenz in Sophos Central auszuwerten. Siehe Firewall-Berichtsspeicher nach Firewall-Modell.
-
Legen Sie kürzere Aufbewahrungsfristen für Berichte in der Firewall wie folgt fest:
- Gehe zu Berichte > Berichtseinstellungen anzeigen > Datenmanagement.
- Wählen Sie die Dauer basierend auf den einzelnen Modulen und Ihren Netzwerk- und Compliance-Anforderungen. Siehe Datenmanagement.
- Klicken Anwenden.
Notiz
Die von Ihnen angegebene Dauer gilt nur für Berichte. Sie gilt nicht für Protokolle.
-
(Optional) Deaktivieren Sie die Berichte auf der Appliance. Dadurch werden alle Berichte in der Firewall deaktiviert. Siehe On-Box-Berichte.
Ereignisprotokolle
Protokollanzeige zeigt die Ereignisprotokolle an. Um den Speicherplatzbedarf der Ereignisprotokolle zu minimieren, können Sie die Protokolle an externe Syslog-Server senden und anschließend die Protokollspeicherung in der Firewall deaktivieren.
Gehe zu Systemdienste > Protokolleinstellungen und führen Sie eine oder beide der folgenden Aktionen aus:
-
Konfigurieren Sie Syslog-Server, an die die Protokolle gesendet werden sollen.
Sie können Ereignisprotokolle je nach Ihren Netzwerk- und Compliance-Anforderungen länger aufbewahren.
-
Deaktivieren Sie lokale Protokolle für einige oder alle Module.
- Wählen Sie die Protokollunterdrückung, um die Festplattennutzung zu reduzieren.
Sehen Protokolleinstellungen.
Fehlerbehebungsprotokolle
Deaktivieren Sie unbedingt den Debug-Modus. Laden Sie zur Fehlerbehebung die gewünschten Protokolldateien herunter und löschen Sie die Protokolle wie folgt:
-
Gehe zu Diagnose > Werkzeuge und laden Sie die Protokolle mit einer der folgenden Optionen herunter:
- Fehlerbehebungsprotokolle
- Konsolidierter Fehlerbehebungsbericht
Sehen Fehlerbehebungsprotokolle.
-
Wenn Sie den Debug-Modus für eine Komponente aktiviert haben, schalten Sie ihn bitte aus. Siehe Überprüfen der Fehlerbehebungsprotokolle.
Fehlerbehebungsprotokolle beanspruchen im Debugmodus viel Speicherplatz. Aktivieren Sie den Debugmodus nur während der Fehlerbehebung. Deaktivieren Sie ihn, sobald Sie die erforderlichen Protokolle erhalten haben.
-
Gehe zu Diagnose > Paketerfassung und stellen Sie sicher, dass Sie es ausgeschaltet haben.
Schalten Sie es nur zur Fehlerbehebung ein.
-
Wenn weiterhin Speicherplatz für die Fehlerbehebungsprotokolle fehlt, löschen Sie alle Protokolle, die komprimierten Protokolle oder Protokolle für bestimmte Komponenten. Siehe Fehlerbehebungsprotokolle.