症状
一些常见的root分区满了的症状有:
> show system disk-space
Filesystem Size Used Avail Use% Mounted on
/dev/md2 3.8G 3.1G 581M 85% / <----- root 分区
/dev/md5 7.6G 4.2G 3.0G 59% /opt/pancfg .
/dev/md6 3.8G 3.0G 666M 82% /opt/panrepo
tmpfs 2.0G 210M 1.8G 11% /dev/shm
cgroup_root 2.0G 0 2.0G 0% /cgroup
/dev/md8 88G 2.4G 81G 3% /opt/panlogs
tmpfs 12M 0 12M 0% /opt/pancfg/mgmt/lcaas/ssl/private
环境
原因
导致分区被占满的一些常见原因:
解决办法
启用积极的清理(PAN-OS 7.1.14+, 8.0.7+, 8.1.0+)
如果95%的占用率警报被触发,这将自动截断所有旧的日志文件(所有*var/log/pan目录下的条目,匹配*.1, ... *.4, *.log.old)。
> debug software disk-usage aggressive-cleaning <enable|disable>
注意: 启用积极的清理可能会清除日志,使日志无法用于故障排除。
要验证这些变化,或者如果它已经被启用,请使用下面的命令。
> show system state | match aggressive-cleaning
cfg.debug-sw-du.config: { 'aggressive-cleaning': True, }
运行磁盘使用量清理命令 (PAN-OS 8.1.0+)
磁盘使用率的清理可以通过下面的命令手动完成:
> debug software disk-usage cleanup ?
+ 深度清理 删除备份日志文件
*阈值 系统分区大小的阈值百分比,启动清理工作
> debug software disk-usage cleanup deep threshold 90
请注意,这个命令必须每次手动运行,以使磁盘使用率低于90%,并且在重启后不会持续。
注意:启用积极的清理可能会清除日志,使日志无法用于分析
检查并删除不必要的Core文件
> show system files
/opt/dpfs/var/cores/:
total 4.0K
drwxrwxrwx 2 root root 4.0K Jun 10 20:05 crashinfo
/opt/dpfs/var/cores/crashinfo:
total 0
/var/cores/:
total 115M
drwxrwxrwx 2 root root 4.0K Jun 10 20:15 crashinfo
-rw-rw-rw- 1 root root 867M Jun 12 13:38 devsrvr_4.0.3-c37_1.gz
-rw-rw-rw- 1 root root 51M Jun 12 13:39 core.20053
/var/cores/crashinfo:
total 16K
-rw-rw-rw- 1 root root 15K Jun 10 20:15 devsrvr_4.0.3-c37_0.info
> delete core management-plane file devsrvr_4.0.3-c37_1.gz
> scp export core-file management-plane from mgmtsrvr_7.0.3_0.tgz to user@10.0.0.10:/home/
user@10.0.0.10 's password: ********
mgmtsrvr_7.0.3_0.tgz 100% 453MB 46.4MB/s 00:12
删除旋转的文件和扩展名为.old的文件
这些文件包含监控细节和防火墙上的服务相关日志。如果你不需要它们,可以安全地删除它们。如果TAC调查一个正在发生的问题,你可能更愿意保留它们,直到将tech support file上传到案例管理器。 .
> delete debug-log ?
cp-log Remove cp-log at /opt/var.cp/log/pan/
dp0-log Remove dp0-log at /opt/var.dp0/log/pan/
dp1-log Remove dp1-log at /opt/var.dp1/log/pan/
dp2-log Remove dp2-log at /opt/var.dp2/log/pan/
mp-global Remove mp-global at /opt/mp-global/
mp-log Remove mp-log at /var/log/pan/ <--- 面是 mp-log 的例子
> delete debug-log mp-log file *.1
> delete debug-log mp-log file *.2
> delete debug-log mp-log file *.3
> delete debug-log mp-log file *.4
> delete debug-log mp-log file *.old
清除任何已启用的数据包-diag记录
运行 > debug dataplane packet-diag show setting 检查是否启用了 packet-diag
> debug dataplane packet-diag show setting
DP dp0:
--------------------------------------------------------------------------------
Packet diagnosis setting:
--------------------------------------------------------------------------------
Packet filter
Enabled: no
Match pre-parsed packet: no
--------------------------------------------------------------------------------
Logging
Enabled: no <-- No是默认值,意味着不启用
> debug dataplane packet-diag show setting
DP dp0:
--------------------------------------------------------------------------------
Packet diagnosis setting:
--------------------------------------------------------------------------------
Packet filter
Enabled: no
Match pre-parsed packet: no
--------------------------------------------------------------------------------
Logging
Enabled: yes <--- 意味着启用了数据包分析
要清除packet-diag设置和日志,请运行以下命令:
> debug dataplane packet-diag clear all
包诊断设置为默认
> debug dataplane packet-diag clear log log
Dataplane调试日志已清除
删除任何Debug pcaps或Debug-filter pcapsc
> delete debug-filter file <file-name>
> delete pcap directory *
如果上述修复步骤都不能解决问题,建议收集以下的故障诊断数据,并创建技术支持的case。
