Vérifier la santé du SSD de Sophos Firewall via SMART
Le SSD interne d’un Sophos Firewall stocke notamment les journaux, les rapports, les données de quarantaine, les fichiers temporaires et les données système. Dans les environnements avec beaucoup de journalisation, de rapports sur l’appareil, de protection des e-mails ou de forte charge système, il peut être judicieux de vérifier occasionnellement l’état du SSD.
Cette vérification ne remplace pas une surveillance matérielle officielle ni un diagnostic de support. Cependant, elle aide à détecter tôt une valeur d’usure anormale et à préparer à temps une sauvegarde, un cas de support ou un remplacement matériel.
⚠️ Important : L’Advanced Shell offre un accès direct au système. Les commandes présentées ici ne font que lire des informations. Aucun fichier ne doit être supprimé, aucune partition modifiée, aucun SMART self-test lancé et aucun support échangé sans être sûr de l’impact sur le support, la garantie et le fonctionnement.
Quand vérifier le SSD
Une vérification du SSD est particulièrement utile si l’un de ces points s’applique :
- Le pare-feu génère de nombreux journaux ou rapports locaux.
- Des avertissements de consommation élevée de mémoire ont été émis.
- Les rapports sur l’appareil, la file d’attente des e-mails, la quarantaine ou les journaux locaux augmentent fortement.
- L’appliance est en service depuis plusieurs années.
- Avant une mise à niveau majeure du firmware, l’état du système doit être documenté.
- Un cluster HA doit être mieux surveillé matériellement.
Pour les problèmes d’espace de stockage, consultez également Vérifier l’espace de stockage de Sophos Firewall et gérer les rapports. Pour la conservation centralisée des journaux, activez Central Firewall Reporting afin que chaque analyse ne dépende pas des données locales sur l’appareil.
Ce que ce contrôle apporte
Le contrôle SMART est un échantillon technique directement sur l’appliance. Il ne répond pas à toutes les questions matérielles, mais aide à évaluer l’usure du SSD et les valeurs de disque remarquables.
- La valeur d’endurance SSD est anormale ou augmente vite : documenter la valeur SMART et vérifier l’évolution.
/varest plein ou les rapports s’arrêtent : vérifier l’espace de stockage et les rapports.- Des alarmes température, ventilateur ou alimentation sont visibles : vérifier Surveillance matérielle SNMP et WebAdmin/monitoring.
- Des risques de configuration ou findings Health Check sont ouverts : analyser le Sophos Firewall Health Check.
- Un remplacement matériel ou RMA devient probable : préparer numéro de série, statut support, sauvegarde et données RMA.
Le Sophos Firewall Health Check évalue les risques de configuration. Il ne remplace ni un contrôle du disque ni une supervision matérielle. À l’inverse, une valeur SMART sans anomalie ne prouve pas que les rapports, logs, quarantaines ou bases de données fonctionnent proprement.
Prérequis
Pour la vérification, vous avez besoin de :
- Accès à l’utilisateur
admin. - Accès SSH ou accès à l’Advanced Shell.
- Accès SSH strictement limité depuis un réseau d’administration de confiance.
- Une fenêtre de maintenance ou de diagnostic planifiée si le pare-feu est fortement sollicité.
- En cas de HA : accès aux deux appliances.
Comment préparer l’accès est décrit dans Connecter Sophos Firewall via SSH. Après la connexion, ouvrez l’Advanced Shell via 5 Device Management > 3 Advanced Shell. Après la vérification, l’accès doit être à nouveau réduit au minimum nécessaire.
Lire l’endurance du SSD
Sur de nombreux appareils matériels Sophos Firewall, le SSD interne est visible sous /dev/sda. La commande suivante lit les informations SMART et filtre la sortie pour la valeur d’endurance :
smartctl -x /dev/sda | grep Endurance

La commande est un diagnostic en lecture seule depuis l’Advanced Shell, pas un indicateur d’état SFOS normal dans WebAdmin. Selon l’appliance, le disque et le firmware, la sortie peut être différente ou le nom d’attribut attendu peut manquer. Il ne faut pas deviner, mais documenter la sortie complète et les symptômes associés.
Dans la sortie, la valeur avant Percentage Used Endurance Indicator est particulièrement intéressante. Une valeur basse est généralement bonne. Dans la capture d’écran, la valeur est 1, ce qui n’est pas critique.
Interpréter correctement la valeur
Les valeurs SMART sont des valeurs de diagnostic du support de stockage. Ces valeurs sont utiles, mais ne sont pas identiques pour chaque SSD et chaque fabricant. Par conséquent, la valeur ne doit pas être considérée isolément.
- Valeur très basse : normalement sans problème.
- Valeur augmentant sensiblement au fil du temps : surveiller l’évolution et planifier la maintenance.
- Valeur nettement plus élevée que les mesures précédentes : préparer un cas de support et vérifier si un remplacement est envisageable.
- Erreurs d’E/S supplémentaires ou problèmes système : ne pas seulement vérifier l’endurance du SSD, mais inclure les logs et le diagnostic de support.
L’important est la tendance. Une seule valeur est moins significative qu’une vérification répétée sur plusieurs fenêtres de maintenance. Si la valeur augmente rapidement ou si des problèmes de mémoire, de base de données ou de rapport se produisent en même temps, un cas de support Sophos doit être préparé.
Une valeur élevée seule ne constitue pas encore un diagnostic propre. Le constat devient plus significatif lorsque plusieurs indices se combinent :
- La valeur d’endurance augmente plus vite que prévu.
/varou les données de rapport se comportent de manière anormale.- Les logs montrent des erreurs d’E/S, de base de données ou de système de fichiers.
- WebAdmin, les rapports ou des services deviennent instables sans changement de configuration clair.
- Une appliance dans le cluster HA montre des valeurs nettement différentes du partenaire.
Documenter les mesures
Pour qu’une valeur d’endurance croissante soit traçable plus tard, chaque vérification doit être brièvement documentée. Cela est particulièrement utile avant les mises à niveau du firmware, dans les clusters HA et pour les appliances en service depuis plusieurs années.
Une documentation simple suffit généralement :
- Date et heure :
2026-06-20 10:30 - Pare-feu ou emplacement :
XGS 2100 - HQ - Node :
PrimaryouAuxiliary - Version du firmware :
SFOS 22.0.1 MR1 - Valeur d’endurance du SSD :
1 - Symptômes accompagnants : aucun, avertissement de stockage, erreurs d’E/S, problèmes de rapport
- Prochaine action : surveiller, préparer un cas de support, planifier un remplacement
En cas de support, cet historique est plus utile qu’une seule capture d’écran. On peut voir si la valeur vieillit lentement, saute soudainement ou se produit en même temps que des problèmes de mémoire et de base de données.
Le point de mesure doit aussi rester stable. Si possible, documenter toujours la même commande, le même chemin de périphérique et le même node. Dans les clusters HA, la sortie ne doit pas seulement être conservée comme capture d’écran, mais associée au numéro de série ou au rôle du node. Sinon, il sera plus tard difficile de savoir si les valeurs proviennent du Primary, de l’Auxiliary ou d’un appareil déjà remplacé.
Si aucune sortie d’endurance n’apparaît
Si la commande filtrée ne produit aucune sortie, vous pouvez d’abord afficher la sortie SMART sans filtre :
smartctl -x /dev/sda
Ensuite, recherchez des termes comme Endurance, Percentage Used, Wear ou des attributs SMART spécifiques au fabricant. Si la sortie n’est pas claire, elle ne doit pas être devinée, mais vérifiée avec le support Sophos ou Avanet.
Le chemin du périphérique peut varier selon la plateforme. Par conséquent, vous ne devez pas tester ou écrire aveuglément sur d’autres chemins de support. Pour les pare-feux virtuels, la santé du support de stockage est principalement une tâche de la plateforme de virtualisation et du système de stockage.
Si smartctl ne fournit aucune valeur exploitable, ce n’est pas une preuve que le disque est sain ou défectueux. Le constat doit alors être documenté comme “non lisible de manière claire” et combiné avec d’autres indices : espace disque, logs système, monitoring hyperviseur, valeurs matérielles SNMP, diagnostic support et symptômes observés. Les tests d’écriture, SMART self-tests ou tentatives de réparation ne doivent être effectués que si Sophos Support ou un plan de maintenance clair l’exige explicitement.
Transformer le constat en mesures
Après la mesure, il ne faut pas considérer la valeur isolément, mais la traduire en une décision d’exploitation concrète.
- Valeur basse, aucun symptôme : documenter la mesure et la vérifier à nouveau lors de la prochaine fenêtre de maintenance.
- La valeur augmente rapidement ou saute de manière notable : sauvegarder le backup, le SSMK, le numéro de série, la version du firmware et l’historique. Préparer ensuite un cas de support.
- Avertissements d’espace disque ou problèmes de rapports en plus : vérifier d’abord l’espace disque, les rapports, les logs et la quarantaine. Une forte consommation d’espace n’est pas automatiquement un défaut SSD.
- Erreurs d’I/O, de base de données ou de système de fichiers dans les logs : sauvegarder ensemble la sortie SMART, les logs pertinents et l’évolution temporelle, sans expérimenter avec des suppressions manuelles.
- Différence nette entre les nœuds HA : documenter séparément les deux numéros de série, rôles, versions firmware et valeurs mesurées. Pour un RMA ou un remplacement, il doit être clair quel nœud est concerné.
- Firewall virtuelle : ne pas interpréter le constat comme sur du matériel physique. Les éléments décisifs sont l’hyperviseur, le stockage, le datastore, la latence I/O et le monitoring de la plateforme.
Cette classification évite deux erreurs typiques : dramatiser une seule valeur SMART ou considérer de vrais symptômes comme “seulement un problème d’espace disque”. Ce qui compte, c’est la combinaison entre tendance, symptômes, logs, plateforme et statut du support.
Vérifier séparément le cluster HA
Dans un cluster HA Sophos Firewall, chaque appliance a son propre SSD. L’état des supports de stockage n’est pas synchronisé par HA.
Par conséquent, vous devez vérifier :
- Appliance principale.
- Appliance auxiliaire.
- Numéro de série ou nom d’hôte du nœud respectif.
- Date, version du firmware et valeur d’endurance mesurée.
- Si des anomalies de stockage ou d’E/S sont visibles sur un nœud.
Pour le fonctionnement HA et les rôles, consultez Sophos Firewall HA-Cluster : Active-Passive, Active-Active et Appliance auxiliaire.
En cas de remplacement possible, le rôle HA est important. Avant un RMA, il doit être clair quel appareil sera remplacé, quelle version firmware et quel build tournent sur l’appareil sain et si une fenêtre de maintenance est nécessaire. Sophos décrit les processus RMA pour les scénarios HA séparément selon les rôles ; en pratique, il ne faut donc pas attendre l’arrivée de l’appareil de remplacement pour clarifier quel node est réellement concerné.
Ne pas remplacer sans support
Un SSD ne doit pas être remplacé de manière autonome simplement parce qu’une valeur SMART semble anormale. Une intervention matérielle peut affecter le support, la garantie, le traitement RMA et la sécurité opérationnelle.
Avant un remplacement, ces points doivent être préparés :
- Sauvegarde actuelle de la configuration.
- Clé maître de stockage sécurisé.
- Numéro de série et modèle de l’appliance.
- Version firmware et build.
- Rôle HA, si un cluster est utilisé.
- Capture d’écran ou extrait de texte de la sortie SMART.
- Description des symptômes et de l’évolution dans le temps.
- État du stockage et des rapports, si ces points sont également anormaux.
- Statut de la licence et du support.
Les bases de la garantie et du support sont décrites dans l’article Combien de temps ai-je une garantie sur le matériel Sophos ?. Si une appliance doit être réinstallée, Réinstaller Sophos Firewall OS : Reimage avec une clé USB est l’article de récupération approprié.
Liste de contrôle
- Accès SSH autorisé uniquement depuis des réseaux d’administration de confiance.
- Advanced Shell ouvert.
smartctl -x /dev/sda | grep Enduranceexécuté.- Valeur, date, version du firmware et numéro de série documentés.
- Dans le cas de HA, les deux nœuds vérifiés séparément.
- Espace de stockage et rapports locaux vérifiés en cas d’anomalies.
- Alarmes SNMP ou monitoring vérifiées en cas de suspicion matérielle.
- Version firmware, build, modèle et statut support notés pour un cas de support.
- En cas de valeurs élevées ou en forte augmentation, cas de support préparé.
- Aucun remplacement matériel effectué sans clarification du support et de la garantie.