Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=logs-reports-storage

Speicherplatz für Protokolle und Berichte

Die Firewall speichert Berichte, Ereignisprotokolle und Fehlerbehebungsprotokolle im /var Ordner.

Der Ordner speichert auch Daten zu anderen Firewall-Komponenten. Diesen Komponenten werden je nach ihrer Funktionalität individuelle Speicherplatzkontingente zugewiesen.

Der verfügbare Speicherplatz im /var Der Ordner hängt von folgenden Faktoren ab:

  • Der dem Ordner zugewiesene Speicherplatz hängt vom Gerätemodell ab.
  • Berichte und Protokolle belegen Speicherplatz abhängig von der Häufigkeit der Netzwerkereignisse und den von Ihnen festgelegten Einstellungen, wie z. B. der Aufbewahrungsdauer von Berichten und dem Debug-Modus der Protokolle zur Fehlerbehebung. Daher nehmen sie mit der Zeit immer mehr Speicherplatz zu und können bei älteren Appliance-Modellen zu Speicherplatzmangel führen.

Die Festplatte ist fast voll

Sehen Sie, wie der Speicherplatz für Berichte und Protokolle zugewiesen wird und wie die Firewall diese verarbeitet, wenn die Festplatte fast voll ist.

Komponenten- und Ordnername Speicherplatz Wenn der Platz fast voll ist Alarm
Berichte (reportdb_16) Belegt den verfügbaren Speicherplatz im /var Ordner. Speichert keine Berichte mehr. Siehe Berichte. Die Firewall generiert standardmäßig Warnmeldungen.
Ereignisprotokolle (eventlogs) Ein Prozentsatz der /var Die Ordnerzuordnung erfolgt anhand des Gerätemodells. Löscht ältere Protokolle. Protokolliert weiterhin neue Ereignisse. Siehe Protokolle. Keine Warnmeldungen.
Fehlerbehebungsprotokolle (tslog) Jedem Bauteil wird je nach Gerätemodell ein bestimmter Speicherplatz zugewiesen. Kritische Bauteile erhalten mehr Speicherplatz. Löscht ältere komprimierte Protokolldateien. Erstellt weiterhin neue Protokolle. Siehe Fehlerbehebungsprotokolle. Keine Warnmeldungen.
E-Mail-Quarantäne (quarantine) Sie wählen den Speicherplatz unter Quarantäneeinstellungen in der Web-Administrationskonsole. Ältere E-Mails werden gelöscht. Neue E-Mails werden weiterhin in Quarantäne gestellt. Siehe Quarantänebereich. Keine Warnmeldungen.

Ermitteln Sie die Ursache für die volle Festplatte.

Um herauszufinden, was Speicherplatz belegt, gehen Sie wie folgt vor:

  • Stellen Sie sicher, dass die Paketerfassung nicht ausgeführt wird. Sie belegt Speicherplatz.
  • Wenn Sie Dateien in den /var Ordner, löschen Sie sie.

  • Um den von den Komponenten belegten Speicherplatz zu überprüfen, verwenden Sie die folgenden Befehle:

    • Berichte: du -kh reportdb_16
    • Ereignisprotokolle: du -kh eventlogs
    • Fehlerbehebungsprotokolle: du -kh tslog

  • Prüfen Sie die folgenden E-Mail-Komponenten:

    • Gehe zu E-Mail > Quarantäneeinstellungen: und wählen Sie die Option mit dem geringsten Speicherplatzbedarf für E-Mail-Quarantäne.
    • Gehe zu E-Mail > Briefspule und klicken Wiederholen oder Löschen um die E-Mails zu löschen.

Wie man den Speicherplatz verwaltet

Berichte

Wir empfehlen Ihnen, unsere bewährten Methoden zu befolgen, um zu verhindern, dass die Festplatte voll wird.

Speicherplatz freigeben

Behalten Sie die Warnmeldungen und Löschberichte im Auge, falls die Festplatte voll wird.

  • Verfolgen Sie Benachrichtigungen mithilfe einer der folgenden Optionen:

    • Überwachen Sie die Kontrollzentrum oder die Protokollanzeige für die Benachrichtigungen.
    • Gehe zu Systemdienste > Benachrichtigungsliste und E-Mail- und SNMP-Benachrichtigungen einrichten.

  • Gehe zu Berichte > Einstellungen für die Anzeige von Berichten und ergreifen Sie eine oder alle der folgenden Maßnahmen:

    • Klicken Datenverwaltung und wählen Sie für einige oder alle Module eine kürzere Aufbewahrungsfrist für Berichte.
    • Klicken Manuelle Spülung und einige oder alle Berichte für einen bestimmten Zeitraum löschen. Siehe Manuelle Spülung.

Bewährte Verfahren

Befolgen Sie die bewährten Verfahren, um sicherzustellen, dass /var Der Ordner verfügt über ausreichend Speicherplatz.

  • Konfigurieren Sie die Firewall-Berichtsfunktion von Sophos Central wie folgt:

    1. Registrieren Sie sich für die Firewall-Verwaltung von Sophos Central. Siehe Sophos Central-Dienste im Überblick.

    2. Gehe zu Systemdienste > Protokolleinstellungen und auswählen Zentrale Berichterstattung für die Firewall-Module.

      Die Firewall sendet Ereignisprotokolle an Sophos Central, das auf Basis dieser Protokolle Berichte generiert und speichert. Siehe Protokolleinstellungen.

    3. Nutzen Sie das Tool zur Datenspeicherbedarfsabschätzung, um Ihren Speicherbedarf zu prüfen und die Speicherpläne der Reporting-Lizenz in Sophos Central zu bewerten. Siehe Firewall-Berichtsspeicherung nach Firewall-Modell.

  • Kürzere Aufbewahrungsfristen für Berichte in der Firewall können wie folgt festgelegt werden:

    1. Gehe zu Berichte > Einstellungen für die Anzeige von Berichten > Datenverwaltung.
    2. Wählen Sie die Dauer anhand der einzelnen Module sowie Ihrer Netzwerk- und Compliance-Anforderungen. Siehe Datenverwaltung.
    3. Klicken Anwenden.

    Notiz

    Die von Ihnen angegebene Dauer gilt nur für Berichte. Sie gilt nicht für Protokolle.

  • (Optional) Geräteinterne Berichte deaktivieren. Dadurch wird die gesamte Berichterstattung in der Firewall deaktiviert. Siehe Berichte auf der Verpackung.

Ereignisprotokolle

Protokollanzeige Zeigt die Ereignisprotokolle an. Um den von den Ereignisprotokollen belegten Speicherplatz zu minimieren, können Sie die Protokolle an externe Syslog-Server senden und anschließend die Protokollspeicherung in der Firewall deaktivieren.

Gehe zu Systemdienste > Protokolleinstellungen und ergreifen Sie eine oder beide der folgenden Maßnahmen:

  • Konfigurieren Sie die Syslog-Server, an die die Protokolle gesendet werden sollen.

    Je nach Netzwerk- und Compliance-Anforderungen können Sie Ereignisprotokolle länger aufbewahren.

  • Deaktivieren Sie die lokalen Protokolle für einige oder alle Module.

  • Aktivieren Sie die Protokollunterdrückung, um die Festplattennutzung zu reduzieren.

Sehen Protokolleinstellungen.

Fehlerbehebungsprotokolle

Stellen Sie sicher, dass der Debug-Modus deaktiviert ist. Wenn Sie ein Problem beheben, laden Sie die gewünschten Protokolldateien herunter und löschen Sie anschließend die Fehlerbehebungsprotokolle wie folgt:

  • Gehe zu Diagnostik > Werkzeuge und laden Sie die Protokolle mit einer der folgenden Optionen herunter:

    • Fehlerbehebungsprotokolle
    • Konsolidierter Fehlerbehebungsbericht

    Sehen Fehlerbehebungsprotokolle.

  • Falls Sie den Debug-Modus für eine Komponente aktiviert haben, deaktivieren Sie ihn. Siehe Fehlerbehebungsprotokolle prüfen.

    Die Protokolldateien zur Fehlerbehebung belegen im Debug-Modus viel Speicherplatz. Aktivieren Sie ihn nur, wenn Sie Fehlerbehebungsmaßnahmen durchführen. Deaktivieren Sie ihn wieder, sobald Sie die benötigten Protokolle erhalten haben.

  • Gehe zu Diagnostik > Paketerfassung Und vergewissern Sie sich, dass Sie es ausgeschaltet haben.

    Schalten Sie es nur ein, wenn Sie eine Fehlersuche durchführen.

  • Sollten weiterhin Speicherplatzprobleme bei der Protokollierung von Fehlersuchvorgängen auftreten, löschen Sie entweder alle Protokolle, die komprimierten Protokolle oder die Protokolle bestimmter Komponenten. Siehe Fehlerbehebungsprotokolle.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen