Ir al contenido
Avanet

Limpiar la base de datos Secure Heartbeat de Sophos Firewall en caso de soporte

Este procedimiento no es un consejo general de optimización para Sophos Firewall. Describe un caso de soporte muy específico: el firewall tiene poco espacio libre y el soporte de Sophos confirma que ciertas tablas relacionadas con Secure Heartbeat en la base de datos corporate se han vuelto inusualmente grandes.

En este caso, un mantenimiento específico con VACUUM FULL puede recuperar espacio. Dado que se accede directamente a la base de datos interna PostgreSQL del firewall, el procedimiento solo debe realizarse después de la confirmación actual del soporte de Sophos y dentro de una ventana de mantenimiento.

Cuándo es relevante esta guía

El procedimiento es relevante cuando el espacio en el Sophos Firewall es escaso y se sospecha que las tablas de la base de datos relacionadas con Secure Heartbeat ocupan un espacio inusualmente grande.

Indicaciones típicas pueden ser:

  • Advertencias por alto consumo de memoria
  • Particiones muy ocupadas en el firewall
  • Problemas con informes, registros o servicios debido a la capacidad limitada del disco
  • Una indicación del soporte de Sophos de que la base de datos Secure Heartbeat se ha vuelto demasiado grande

Si no está claro por qué el disco se llena, primero se debe realizar el análisis general de Comprobar espacio en Sophos Firewall y gestionar informes. Este mantenimiento de la base de datos solo tiene sentido si los informes, registros, cola de correo, cuarentena, tamaño del disco virtual y otras causas evidentes no son la explicación real o si el soporte de Sophos menciona explícitamente la ruta de la base de datos.

Requisitos previos

Para este mantenimiento se necesita:

  • Acceso administrativo al Sophos Firewall
  • Acceso a la Advanced Shell
  • Una recomendación o confirmación concreta del soporte de Sophos
  • Una ventana de mantenimiento
  • Una copia de seguridad de la configuración del firewall actual
  • Registros asegurados, en caso de que el caso deba analizarse más adelante
  • Suficiente espacio libre para que el mantenimiento de la base de datos pueda completarse

Si el acceso a la Shell aún no está configurado, la guía Conectar Sophos Firewall por SSH explica cómo establecer una conexión SSH al firewall. Si se está preparando un caso de soporte, también son útiles Guardar registros de Sophos Firewall para análisis externo y Abrir un ticket de soporte de Sophos.

⚠️ Estos comandos acceden directamente a la base de datos interna PostgreSQL del Sophos Firewall. Solo deben ejecutarse de manera específica y después de la confirmación actual del soporte de Sophos para el caso de soporte concreto. VACUUM FULL puede bloquear tablas durante su ejecución y, dependiendo del tamaño de la base de datos, puede tardar algún tiempo.

Cuándo no se deben ejecutar los comandos

Los comandos no deben ejecutarse si solo hay una advertencia general de espacio y la causa aún no se ha delimitado. Con frecuencia, los problemas de espacio se deben a informes, registros de depuración, archivos de soporte, protección de correo, cuarentena, un disco virtual demasiado pequeño o una retención general de registros.

Señales claras para detenerse son:

  • El soporte de Sophos no ha confirmado específicamente las dos tablas: Entonces, la intervención en la base de datos sería solo una suposición y no estaría autorizada para el caso específico.
  • No hay una copia de seguridad actual o una ventana de mantenimiento: En caso de error, falta un camino de retorno limpio o el impacto afecta al funcionamiento en curso.
  • SSH o Advanced Shell es inestable: Un comando de base de datos interrumpido dificulta el análisis posterior.
  • El rol de HA, número de serie o nodo afectado no está claro: El comando puede ser ineficaz en el dispositivo incorrecto o distorsionar el diagnóstico.
  • Se están eliminando informes, registros o archivos de soporte en paralelo: Después, no está claro qué medida liberó espacio.
  • El firewall ya está perdiendo servicios críticos: Entonces, primero se debe asegurar el estado actual y evaluarlo con el soporte de Sophos.

El procedimiento tampoco es adecuado como mantenimiento regular, tarea programada o limpieza preventiva. Si las tablas vuelven a crecer rápidamente, es un síntoma, no un estado operativo normal. Entonces, el caso de soporte debe continuar con registros actuales, salidas de disco y evolución temporal.

Aprobación del soporte y criterios de interrupción

Antes de la ejecución, no solo debe haber una copia de seguridad. También debe estar claro quién autorizó el paso, qué problema se está tratando y cuándo se interrumpirá el procedimiento.

Datos mínimos razonables:

  • Aprobación del soporte: Número de ticket, contacto y recomendación concreta.
  • Firewall afectado: Número de serie, modelo, versión de firmware, rol de HA.
  • Problema: Advertencia de espacio, partición afectada, servicios afectados.
  • Hora de inicio: Momento antes del primer comando.
  • Valores previos: Salida de df -h, df -hkm y system diagnostics show disk.
  • Criterio de interrupción: Mensaje de error, tiempo de ejecución inusualmente largo, sesión SSH inestable o nuevos errores del sistema.

Si la conexión SSH es inestable, el firewall ya está perdiendo servicios críticos o el soporte de Sophos no ha confirmado específicamente las tablas, no se debe experimentar con comandos de base de datos. En tales casos, las salidas de disco actuales, los registros y un caso de soporte limpio son más valiosos que un intento de mantenimiento a medias.

Comprobar espacio antes del mantenimiento

Antes del mantenimiento de la base de datos, se debe verificar cuán ocupadas están las particiones:

df -h

Para una visualización más detallada en megabytes, también se puede usar el siguiente comando:

df -hkm

La salida debe documentarse antes del mantenimiento para poder comparar después si se ha liberado espacio. Además, el estado específico del disco de Sophos desde la Device Console es útil:

system diagnostics show disk

En clústeres HA, ambos nodos deben verificarse por separado. Las bases de datos locales, los registros y el espacio libre pueden diferir entre el primario y el auxiliar.

Antes del mantenimiento, también debe estar claro si otras causas están ocupando espacio en paralelo. Esto incluye archivos de soporte antiguos, grandes bases de datos de informes, cola de correo, cuarentena, registros de depuración o archivos almacenados manualmente. Si estos puntos no se han verificado, la base de datos Secure Heartbeat es solo una suposición.

Ejecutar el mantenimiento de la base de datos

Los siguientes comandos se ejecutan en la Advanced Shell. Durante la ejecución, la sesión SSH debe permanecer estable. El firewall no debe reiniciarse mientras un comando está en ejecución.

Primero se limpia la tabla tbleacappcache:

psql -U pgroot -d corporate -c "VACUUM FULL tbleacappcache"

Luego se limpia la tabla tblappstoeps:

psql -U pgroot -d corporate -c "VACUUM FULL tblappstoeps"

Los comandos generalmente devuelven VACUUM después de una ejecución exitosa. Si un comando genera un mensaje de error o se cuelga inusualmente, no se debe continuar con otros comandos experimentales de base de datos. En este caso, la salida, el momento y el estado actual del disco son relevantes para el soporte de Sophos.

Durante la ejecución, no debe haber otra persona limpiando espacio, informes o archivos de base de datos en paralelo. De lo contrario, más tarde no estará claro qué medida tuvo qué efecto. En firewalls productivos, una breve entrada de cambio con la hora de inicio, el comando y el resultado es útil.

Comprobar espacio después del mantenimiento

Después de completar los comandos, se debe verificar nuevamente el espacio:

df -h

Si la base de datos Secure Heartbeat realmente era la causa, la ocupación de la partición afectada debería reducirse. La magnitud del efecto depende de cuán grandes eran las tablas antes y cuántos datos pudo liberar PostgreSQL.

Después del mantenimiento, también se debe verificar:

  • ¿system diagnostics show disk muestra valores plausibles nuevamente?
  • ¿Son utilizables nuevamente el Log Viewer, los informes y los servicios afectados?
  • ¿Hay nuevos errores en los Servicios y registros relevantes?
  • ¿El consumo de espacio vuelve a aumentar significativamente en las próximas horas o días?
  • ¿Están documentados los pasos ejecutados en el ticket o cambio?

Para el control posterior, una sola comparación exitosa de df -h no siempre es suficiente. Si la partición solo se alivia brevemente y luego vuelve a llenarse rápidamente, el mantenimiento no es un cierre, sino una indicación de diagnóstico. Entonces, la evolución temporal con salidas de disco frescas, período de registro y servicios afectados debe devolverse al soporte de Sophos.

Indicaciones importantes

  • Este mantenimiento no soluciona automáticamente la causa de por qué las tablas crecieron.
  • Si el espacio vuelve a aumentar rápidamente después, se debe abrir un caso de soporte de Sophos.
  • VACUUM FULL es más intensivo que un VACUUM normal, ya que las tablas se reescriben.
  • Los comandos no deben usarse como tarea programada regular o rutina sin diagnóstico.
  • En firewalls productivos, se recomienda una ventana de mantenimiento, ya que algunas funciones pueden reaccionar con retraso durante el mantenimiento de la base de datos.
  • En clústeres HA, debe estar claro en qué nodo es necesario el mantenimiento.
  • Antes de otros comandos de base de datos, se debe involucrar nuevamente al soporte de Sophos.

Errores comunes

Ejecutar comandos sin diagnóstico

Una partición llena no significa automáticamente que Secure Heartbeat sea la causa. Antes de los comandos de base de datos, se deben verificar las salidas de disco, los registros y los consumidores de espacio evidentes.

No planificar una ventana de mantenimiento

VACUUM FULL puede tardar dependiendo del tamaño de la tabla y bloquear tablas. En firewalls productivos, el paso no debe ejecutarse de manera casual durante una fase operativa crítica.

No seguir observando después de la limpieza

Si el espacio solo se libera brevemente y luego vuelve a crecer significativamente, la causa no está resuelta. Entonces se necesita un análisis adicional con el soporte de Sophos.

Confundir el nodo HA

En entornos HA, la situación de almacenamiento local puede ser diferente por nodo. Por lo tanto, antes de cada comando, debe estar claro si se está trabajando en el primario o en el auxiliar y qué número de serie está afectado. Un comando en el nodo incorrecto puede ser ineficaz y dificultar innecesariamente el análisis posterior.

Contexto del caso

En el caso de soporte concreto, la causa fue una base de datos Secure Heartbeat demasiado grande. Los dos comandos VACUUM FULL mencionados sirven para limpiar específicamente las tablas afectadas y liberar el espacio no utilizado. Sin embargo, no se debe derivar de esto un mantenimiento general de la base de datos para Sophos Firewall.

El artículo solo trata este caso específico de espacio. Si Secure Heartbeat no funciona, los endpoints no informan el estado de Heartbeat, la sincronización con Central falla o las reglas del firewall con condiciones de Heartbeat no funcionan como se espera, es un problema diferente. Entonces, la conexión con Sophos Central, el estado del endpoint, la regla del firewall, el Log Viewer y los registros de servicio relevantes son más importantes que una intervención directa en la base de datos.

Para problemas generales de espacio, el primer paso sigue siendo la revisión sistemática del espacio, los registros, los informes y los datos de soporte. Para la operación en torno a Sophos Central, también es adecuado Conectar Sophos Firewall con Sophos Central, para archivos de registro Solución de problemas de Sophos Firewall: Servicios y registros.

FAQ

¿Debería limpiarse regularmente la base de datos Secure Heartbeat?

No. Este procedimiento no es un mantenimiento de rutina. Si las tablas vuelven a crecer significativamente, se debe aclarar la causa con el soporte de Sophos.

¿Es suficiente una advertencia de espacio como razón para estos comandos?

No. Primero se deben verificar las causas normales de espacio como informes, registros, cola de correo, cuarentena, archivos de soporte y tamaño del disco virtual. Los comandos son apropiados solo cuando el soporte de Sophos confirma la ruta de la base de datos para el caso específico.

¿Qué se debe asegurar antes de VACUUM FULL?

Al menos una copia de seguridad de configuración actual, registros relevantes, salidas previas de df -h y system diagnostics show disk, número de ticket, número de serie, versión de firmware y rol de HA.