Revisar almacenamiento e informes en Sophos Firewall
Si un Sophos Firewall advierte sobre poco espacio de almacenamiento, no debe eliminar archivos inmediatamente ni desactivar informes. En primer lugar, debe quedar claro qué partición está afectada, si la causa son informes locales, registros, colas de correo, cuarentena, archivos de soporte o un disco duro virtual demasiado pequeño.
El artículo explica cómo verificar el estado de almacenamiento en Sophos Firewall, administrar informes locales de manera controlada y solo desactivar los informes integrados cuando se comprendan las implicaciones. Para la retención de registros a largo plazo, Informes del firewall central suele ser una mejor adición porque no depende solo de los datos de los informes locales del dispositivo.
⚠️ Importante: Eliminar informes o desactivar informes integrados puede eliminar irremediablemente los informes locales y los datos de registro. Antes de tomar tales medidas, se debe verificar si los datos requeridos se exportan, se almacenan de manera centralizada o ya no son necesarios para fines de soporte y auditoría.
Cuando el espacio de almacenamiento se vuelve crítico
Los problemas de almacenamiento no siempre aparecen de inmediato. Los avisos típicos son:
- Correo electrónico de advertencia o aviso del Centro de control sobre un alto consumo de memoria.
- Los informes se cargan lentamente, permanecen vacíos o no muestran los datos actuales.
- Los archivos de registro locales están creciendo rápidamente.
- Los servicios de informes o bases de datos producen errores.
- La actualización del firmware o la instalación de la revisión informan que hay memoria libre insuficiente.
- Virtual Firewall se implementó con un disco demasiado pequeño.
- La protección del correo, la cuarentena o el alto tráfico web/de aplicaciones generan una gran cantidad de datos locales.
Si al mismo tiempo se producen errores de E/S, reinicios inusuales o problemas de la base de datos, no sólo se debe liberar espacio de almacenamiento. Luego, también puede verificar el estado del SSD a través de SMART y los Servicios y registros relevantes.
En reports existe un umbral importante: por defecto, la firewall avisa cuando la partición relevante alcanza el 70 por ciento de uso. A partir del 80 por ciento, la generación de reports se detiene. Si reporting se detiene por este motivo, no basta con bajar justo por debajo del 80 por ciento; el uso debe volver a estar por debajo del umbral de aviso para que los reports se generen de forma fiable.
En appliances muy pequeñas, también hay que comprobar si los reports locales son compatibles. Sophos menciona los modelos XGS 87/87w y XGS 88/88w como modelos sin On-Appliance Reporting. En estos entornos, la retención central mediante Sophos Central o Syslog no es solo comodidad, sino parte del diseño.
Qué ocupa almacenamiento en la firewall
Muchos datos operativos locales se guardan en /var. Allí la firewall almacena, entre otros, reports, Event Logs, Troubleshooting Logs y datos de otros componentes. Cada área tiene cuotas propias según el modelo de appliance y la función. Por eso una pequeña firewall de sucursal no se comporta como una appliance grande con más capacidad local.
La distinción importante:
- Reports: Los reports dejan de guardarse correctamente o deben acortarse o eliminarse. El riesgo es un historial local más corto y evaluaciones faltantes.
- Event Logs: Se eliminan logs antiguos y los nuevos events pueden seguir escribiéndose. La capacidad de análisis histórico se reduce.
- Troubleshooting Logs: Se eliminan archivos de log comprimidos antiguos. Para análisis de soporte puede faltar una ventana temporal importante.
- E-Mail-Quarantine: Pueden eliminarse correos antiguos de cuarentena. La trazabilidad y los procesos de liberación se ven afectados.
- Archivos temporales o copiados manualmente: Estos archivos pueden bloquear almacenamiento innecesariamente. La causa queda oculta si solo se eliminan reports.
El Disk-Usage-Graph de WebAdmin ayuda en la primera clasificación. Allí se muestran por separado signatures, datos de configuración, reports y almacenamiento temporal. No sustituye un análisis detallado, pero muestra si destacan reports, datos temporales u otras áreas.
La trampa más importante es mezclar reports y logs. La retención de reports en Reports > Show Reports settings > Data management afecta a reports. Los Event Logs para Log Viewer, Sophos Central y Syslog se controlan en cambio en System services > Log settings. Si solo se acorta la retención de reports, los Event Logs locales no se reducen automáticamente.
Después de upgrades hay otro punto importante: desde SFOS 21.0, la firewall puede tratar reports anteriores y posteriores a un upgrade en bases de datos de reports separadas. Al evaluar un día de upgrade puede aparecer por tanto una selección entre datos anteriores y posteriores a la migración. Si se vuelve a un firmware anterior después de un upgrade, pueden perderse reports generados desde el upgrade. Antes de trabajos de firmware, los reports locales relevantes deberían exportarse o estar disponibles de forma centralizada.
Verifique el espacio de almacenamiento en la Consola del dispositivo
Para obtener una descripción general rápida, puede verificar el almacenamiento utilizado en la Consola del dispositivo. El comando muestra las áreas de memoria relevantes de Sophos Firewall:
system diagnostics show disk

La consola del dispositivo está diseñada para comandos específicos de Sophos. Si es necesario preparar el acceso a través de SSH, Sophos Firewall conectarse a través de SSH ayuda. También describe por qué SSH solo debe permitirse en redes de administración confiables.
Verifique el espacio de almacenamiento en el Advanced Shell
En Advanced Shell se pueden revisar los sistemas de archivos con más detalle. Este comando muestra el tamaño, la memoria utilizada, la memoria libre y el porcentaje de uso:
df -hkm

Si no está claro si la salida completa es demasiado amplia, conviene mirar específicamente /var, porque allí hay muchos datos operativos locales:
df -h /var
El comando es pura lectura. Los archivos de los directorios del sistema no deben eliminarse manualmente sólo porque una partición parezca llena. En primer lugar, se debe delimitar la causa.
Si /var destaca, primero conviene revisar las áreas previstas por Sophos en lugar de borrar directorios al azar. Para una clasificación inicial son especialmente relevantes reports, Event Logs y Troubleshooting Logs. Además, se debe comprobar si Packet Capture, Debug-Logging, archivos de soporte o archivos copiados manualmente ocupan almacenamiento.
Para los tres bloques de almacenamiento típicos, Sophos menciona estos comandos de lectura en Advanced Shell:
du -kh reportdb_16
du -kh eventlogs
du -kh tslog
Estos comandos sirven para clasificar. No sustituyen una limpieza soportada mediante WebAdmin, Device Console o las funciones de diagnóstico previstas.
Limitar la causa
Un disco lleno puede tener varias causas. El siguiente paso correcto depende de qué datos estén creciendo.
- Reports ocupan mucho almacenamiento: Revisar la retención en Reports > Show Reports settings > Data management, exportar reports o usar Central Reporting.
- Los logs locales crecen con fuerza: Revisar log settings, Debug-Logging y los servicios afectados.
- Troubleshooting Logs crecen con fuerza: Revisar Debug-Logging, análisis de soporte activo o errores de servicio recurrentes.
/varestá llamativamente lleno: Revisar reports, logs, base de datos, archivos de soporte o mail queue.- Disk Graph muestra mucho almacenamiento temporal: Revisar captures activos, archivos de soporte o procesos temporales.
- E-Mail-Quarantine o Mail Spool crece: Revisar Email > Quarantine settings y Email > Mail spool. Los mensajes atascados deberían comprobarse, reenviarse de forma controlada o eliminarse.
- La firewall virtual está dimensionada demasiado justa: Revisar tamaño de disco y especificaciones de plataforma en el hypervisor.
- Hay advertencia de almacenamiento antes de un firmware upgrade: No iniciar la actualización a ciegas; primero ejecutar el SFOS 22 Upgrade Check.
- Clúster HA afectado: Revisar ambos nodos por separado, porque logs y reports locales no tienen que ser idénticos.
Si hay fallas activas, primero deben guardarse los registros mientras el error esté reciente. El artículo Sophos Firewall Copia de seguridad de registros para soporte y análisis describe cómo exportar los datos del registro local.
Si los Event Logs cargan el almacenamiento local, la retención de reports no es el ajuste correcto. Entonces se revisa en System services > Log settings qué módulos se guardan localmente, se envían a Sophos Central o se reenvían a Syslog. Log Suppression puede ayudar a reducir repeticiones innecesarias. Pero no deben desaparecer events relevantes para seguridad que después se necesiten para Incident Response, soporte o cumplimiento.
No elimine manualmente en el sistema de archivos
Incluso si Advanced Shell muestra memoria y directorios libres, no deben eliminarse archivos directamente en /var, /log o directorios de bases de datos. Las acciones de eliminación manual pueden dañar reports, servicios, bases de datos o análisis de soporte y dificultar el análisis posterior de la causa raíz.
Mejor proceso:
- Estado de almacenamiento de documentos y partición afectada.
- Guarde los registros relevantes o el CTR si es probable que haya un caso de soporte.
- Comprobar si Packet Capture o Debug-Logging siguen activos.
- Verifique la retención del informe a través de WebAdmin.
- Solo vacíe informes a través del punto de consola previsto si está claro que se pueden omitir datos locales.
- Si el consumo continúa creciendo, verifique la causa: registro de depuración, cola de correo, cuarentena, base de datos, disco virtual o tráfico local inusualmente alto.
Si no está claro qué datos ocupan la memoria, no deberías trabajar con rm. Entonces es más seguro hacer una copia de seguridad de los registros e involucrar al soporte o a Avanet con los hallazgos actuales.
Para Troubleshooting Logs existen comandos separados de Device Console para purgar. No sustituyen el análisis de causa y solo deberían usarse cuando los logs necesarios ya estén guardados. A grandes rasgos, system diagnostics purge-old-logs elimina logs antiguos comprimidos, mientras que system diagnostics purge-all-logs elimina todos los Troubleshooting Logs. Para subsistemas individuales existen variantes específicas. En caso de duda, una exportación dirigida en Diagnostics > Tools es más limpia que un purge general.
Ajustar la retención de informes en WebAdmin
Si los informes locales son la causa, primero se debe verificar el período de retención. En muchos entornos, históricamente se han realizado informes en caja, aunque la evaluación real ahora se lleva a cabo de forma centralizada.
La ruta de Sophos para la retención local de reports es:
Reports > Show Reports settings > Data management
Allí se puede ajustar la duración de retención por módulo de report y guardar con Apply. El cambio afecta a reports, no a Event Logs. Sophos también indica que los cambios en la retención de reports solo surten efecto a las 00:00.

Preguntas útiles antes de realizar un cambio:
- ¿Realmente todavía se están evaluando los informes locales?
- ¿Existe ya un sistema de informes centralizado, syslog o SIEM?
- ¿Durante cuánto tiempo deben almacenarse internamente los datos de registros e informes?
- ¿Existe algún requisito de cumplimiento o soporte?
- ¿Es suficiente una retención local más corta cuando el almacenamiento central está activo?
Si se requieren registros e informes en Sophos Central, también debe verificar qué tipos de registros se envían a Central en Servicios del sistema > Configuración de registros. La activación se describe en Activar informes del firewall central.
Eliminar reports de forma controlada
Si los servicios ya no funcionan correctamente debido a que la memoria está llena, puede ser necesaria la limpieza manual de los informes. Pero esta debería ser una medida de recuperación controlada, no un proceso operativo normal.
Verifique de antemano:
- copia de seguridad de la configuración actual disponible
- informes requeridos exportados o disponibles centralmente
- períodos afectados documentados
- Razón del crecimiento del almacenamiento entendida
- Ventana de mantenimiento o caso de soporte preparado si el firewall ya es inestable
El primer camino debería ser WebAdmin:
Reports > Show Reports settings > Manual purge
Con ello se pueden eliminar reports de forma específica por módulo y periodo. Este proceso puede ser lento porque la firewall purga reports de manera controlada para proteger los recursos del sistema.
Si eso no basta o la firewall ya está en un estado de recuperación, existe el punto de consola:
5. Device Management > 4. Flush Device Reports

Después de eliminar, no debe simplemente volver a las operaciones diarias. Es importante comprobar si realmente aumenta la memoria libre y si los informes, Log Viewer, los informes centrales y los servicios afectados vuelven a funcionar de manera plausible.
Flush Device Reports elimina los reports almacenados en la firewall y reinicia la firewall. Durante ese tiempo no está disponible a través de la red durante aproximadamente diez minutos. Por eso este paso pertenece a una ventana de mantenimiento o a un proceso de recuperación documentado.
Si la firewall ya tiene servicios afectados por almacenamiento lleno, antes de eliminar debe quedar claro qué datos faltarán después. Los reports locales suelen ser útiles para change reviews, análisis de usuarios, trazabilidad de seguridad o preguntas de soporte. Quien los elimina necesita una breve nota con periodo, motivo y fuente alternativa disponible, por ejemplo Central Reporting o Syslog.
Verifique o desactive los informes On-Box
Los informes On-Box guardan los informes localmente en el firewall. Esto es práctico, pero puede consumir memoria para electrodomésticos pequeños, mucho tráfico o almacenamiento prolongado.
Puede verificar el estado en la Consola del dispositivo:
show on-box-reports
Este comando no responde a la misma pregunta que system diagnostics show disk: show on-box-reports muestra si los informes locales están activados en general, mientras que system diagnostics show disk muestra el uso actual de almacenamiento por áreas. Para un diagnóstico limpio normalmente se necesitan ambas vistas.
Si no se necesitan informes locales y hay otro almacenamiento disponible, puede desactivar los informes integrados:
set on-box-reports off
Esto sólo debería ser consciente. Los informes son importantes para el análisis, el soporte y las operaciones. En muchos entornos productivos, es mejor reducir el almacenamiento local y utilizar informes centrales, syslog o SIEM en paralelo. Si se requiere una retención central más prolongada, Sophos Central Firewall Reporting Advanced es una posible opción.
Importante: On-Box Reports solo pueden activarse o desactivarse de forma global, no selectivamente por módulo. Si solo algunas áreas de reports ocupan demasiado almacenamiento, una retención más corta o un purging específico suele ser mejor que desactivar On-Box Reporting por completo.
Si se desactivan On-Box Reports, después no solo debe comprobarse el almacenamiento. También cambian procesos internos: vistas locales de reports, reports programados, evaluaciones de seguridad y análisis ad hoc rápidos en la firewall pueden desaparecer o volverse menos útiles. Por eso este paso pertenece a una decisión operativa, no a una limpieza espontánea de almacenamiento.
Clasificar umbrales de advertencia y alertas
Sophos Firewall puede generar Control-Center-Alerts y Event Logs cuando el uso de /var es alto. El umbral de advertencia puede controlarse en Device Console con set var-partition-usage watermark. Pero esto no soluciona el problema de almacenamiento. Un umbral más bajo o más alto solo cambia cuándo aparece una advertencia, no por qué se consume almacenamiento.
El rango permitido está entre el 50 y el 75 por ciento; el valor predeterminado es 70 por ciento. Reporting se detiene al 80 por ciento, y esa parada no es el límite operativo real, sino ya un estado de error. Un umbral de aviso más alto no hace la firewall más estable, sino que reduce el tiempo de reacción.
Para la operación suele ser más útil:
- Activar notificaciones por e-mail o SNMP para advertencias de almacenamiento.
- Revisar las advertencias de almacenamiento antes de la siguiente ventana de mantenimiento.
- Ajustar retención, Debug-Logging y uso local de reports si las advertencias se repiten.
- Comprobar conscientemente el almacenamiento libre antes de firmware upgrades.
Si el uso aumenta de forma clara o los reports ya se detienen, primero hay que liberar almacenamiento y aclarar la causa. Un umbral modificado no debe servir para ocultar un problema real de capacidad.
Preste atención a los firewalls virtuales
Con los Sophos Firewalls virtuales la causa no siempre está en los informes o registros. A veces, el dispositivo virtual se implementó con muy poco disco o creció durante varios años sin reevaluar los requisitos de la plataforma.
En entornos virtuales también conviene comprobar:
- Tamaño del disco virtual.
- Espacio libre en el almacén de datos.
- Instantáneas, trabajos de respaldo y latencia de almacenamiento.
- Supervisión del hipervisor.
- Si la versión del firewall especifica requisitos de memoria adicionales.
- Si la virtual disk puede ampliarse online o si un reimage con restore es la vía más limpia.
Si el disco es básicamente demasiado pequeño, eliminar informes es sólo un alivio a corto plazo. Luego, la plataforma virtual debe adaptarse y protegerse adecuadamente con una copia de seguridad, una ventana de mantenimiento y un plan de restauración.
Antes de SFOS 22, este punto es especialmente importante: si la firewall muestra una advertencia de almacenamiento o un upgrade blocker relativo a la virtual disk, primero debe completarse el SFOS 22 Upgrade Check. Allí están enlazadas las indicaciones oficiales de Sophos sobre virtual disk. La ampliación pertenece a una ventana de mantenimiento planificada con backup, almacenamiento del hypervisor verificado y validación posterior de las particiones.
En hardware appliances, en cambio, la ampliación de disco no es la vía normal. Allí conviene revisar consumo de almacenamiento, reports, logs, quarantine y estado SSD, y preparar un proceso de soporte o RMA si se sospecha hardware.
Lista de comprobación
Comprobar inmediatamente
- Mensaje de advertencia, hora y cortafuegos afectados documentados.
system diagnostics show diskejecutado en la consola del dispositivo.df -hkmmarcado en Advanced Shell.- Noté una partición inusual.
- Disk-Usage-Graph en WebAdmin revisado para una clasificación inicial.
- Informes, logs, cola de correo, cuarentena y disco virtual evaluados como posibles causas.
- Packet Capture y Debug-Logging revisados como fuentes temporales de almacenamiento.
Antes de eliminar o desactivar
- Se realizan copias de seguridad de los informes y registros necesarios.
- Informes centrales, syslog u otro almacenamiento central marcado.
- Ruta de respaldo y recuperación disponible.
- Ventana de mantenimiento definida cuando se ven afectados los servicios productivos.
- En HA ambos nodos se verificaron por separado.
- Periodo y motivo de una limpieza de reports documentados.
Después de la limpieza
- La memoria libre se comprobó nuevamente.
- Informes y Log Viewer probados.
- Central Reporting o Syslog verificados para obtener datos actuales.
- Se documenta la causa del crecimiento de la memoria.
- Período de retención, configuración de registro y proceso de revisión ajustados.
- Notificaciones para futuras advertencias de almacenamiento revisadas.
Preguntas frecuentes
¿Cuándo es crítico el espacio de almacenamiento en Sophos Firewall?
¿Puede simplemente eliminar informes?
¿Debería desactivar los informes integrados?
¿Se pueden desactivar On-Box Reports solo para módulos concretos?
¿Por qué /var suele ser relevante?
/var. Si esta área crece significativamente, pueden estar involucrados reports, archivos de registro, datos de bases de datos, archivos de soporte o datos de correo/cuarentena.