Sophos Firewall: verificare spazio e gestire report
Se un Sophos Firewall avverte di spazio di archiviazione insufficiente, non eliminare immediatamente i file o disattivare i report. Innanzitutto deve essere chiaro quale partizione è interessata, se la causa sono report locali, log, code di posta, quarantena, file di supporto o un disco rigido virtuale troppo piccolo.
L’articolo spiega come verificare lo stato di archiviazione su Sophos Firewall, gestire i report locali in modo controllato e disattivare i report on-box solo quando se ne comprendono le implicazioni. Per la conservazione dei log a lungo termine, Central Firewall Reporting è spesso un’aggiunta migliore perché non dipendi solo dai dati dei report locali sull’appliance.
⚠️ Importante: l’eliminazione dei report o la disattivazione dei report on-box può rimuovere irrimediabilmente i report locali e i dati di registro. Prima di adottare tali misure, è opportuno verificare se i dati richiesti vengono esportati, archiviati centralmente o non sono più necessari a fini di supporto e audit.
Quando lo spazio di archiviazione diventa critico
I problemi di archiviazione non sempre si presentano immediatamente. Avvisi tipici sono:
- E-mail di avviso o avviso del Centro di controllo relativo all’elevato consumo di memoria.
- I report si caricano lentamente, rimangono vuoti o non mostrano i dati correnti.
- I file di registro locali stanno crescendo rapidamente.
- I servizi di report o database producono errori.
- L’aggiornamento del firmware o l’installazione dell’hotfix segnala che la memoria libera è insufficiente.
- Virtual Firewall è stato distribuito con un disco troppo piccolo.
- La protezione della posta, la quarantena o un elevato traffico web/applicazioni generano molti dati locali.
Se contemporaneamente si verificano errori I/O, riavvii insoliti o problemi del database, non bisognerebbe limitarsi a liberare spazio. Va verificato anche lo stato dell’SSD tramite SMART e i relativi servizi e log.
Per i Reports esiste una soglia importante: per impostazione predefinita, la firewall avvisa quando la partizione rilevante raggiunge il 70 percento di utilizzo. Dall'80 percento la generazione dei report si arresta. Se il reporting si ferma per questo motivo, non basta scendere appena sotto l'80 percento; l’utilizzo deve tornare sotto la soglia di avviso affinché i Reports vengano generati di nuovo in modo affidabile.
Per appliance molto piccole bisogna inoltre verificare se i report locali siano supportati. Sophos indica XGS 87/87w e XGS 88/88w come modelli senza On-Appliance Reporting. In questi ambienti, la conservazione centralizzata tramite Sophos Central o Syslog non è solo comodità, ma parte del design.
Cosa occupa spazio sulla firewall
Molti dati operativi locali si trovano nell’area /var. Qui la firewall archivia tra l’altro Reports, Event Logs, Troubleshooting Logs e dati di altri componenti. Le singole aree hanno quote proprie a seconda del modello di appliance e delle funzioni usate. Una piccola firewall di filiale non si comporta quindi come una grande appliance con maggiore capacità locale.
È importante distinguere:
- Reports: I report non vengono più salvati correttamente oppure devono essere accorciati o eliminati. Il rischio è una cronologia locale più breve e analisi mancanti.
- Event Logs: I log più vecchi vengono rimossi, mentre i nuovi eventi possono continuare a essere scritti. L’analisi storica diventa più breve.
- Troubleshooting Logs: I file di log compressi più vecchi vengono rimossi. Per analisi di supporto può mancare una finestra temporale importante.
- E-mail Quarantine: Le mail in quarantena più vecchie possono essere rimosse. Ne risentono tracciabilità e processi di rilascio.
- File temporanei o copiati manualmente: Questi file possono bloccare spazio inutilmente. La causa resta nascosta se vengono eliminati solo i Reports.
Il Disk-Usage-Graph nel WebAdmin aiuta nella prima classificazione. Mostra separatamente signatures, dati di configurazione, Reports e spazio temporaneo. Non sostituisce un’analisi dettagliata, ma indica se sono più evidenti Reports, dati temporanei o altre aree.
La trappola più importante è confondere Reports e log. La conservazione dei Reports in Reports > Show Reports settings > Data management riguarda i Reports. Gli Event Logs per Log Viewer, Sophos Central e Syslog vengono invece gestiti in System services > Log settings. Se si accorcia solo la conservazione dei Reports, gli Event Logs locali non diventano automaticamente più piccoli.
Dopo gli upgrade c’è un altro punto importante: da SFOS 21.0 la firewall può gestire i Reports prima e dopo un upgrade in database di report separati. Nell’analisi di un giorno di upgrade può quindi apparire una selezione tra dati prima e dopo la migrazione. Se dopo un upgrade si torna a un firmware precedente, i Reports generati dall’upgrade possono andare persi. Prima dei lavori sul firmware, i Reports locali rilevanti dovrebbero quindi essere esportati o disponibili centralmente.
Controlla lo spazio di archiviazione nella Console dispositivo
Per una rapida panoramica, puoi controllare lo spazio di archiviazione utilizzato nella Console dispositivo. Il comando mostra le aree di memoria rilevanti di Sophos Firewall:
system diagnostics show disk

La Device Console è destinata ai comandi specifici di Sophos. Se è necessario preparare l’accesso tramite SSH, Sophos Firewall connettersi tramite SSH aiuta. Descrive inoltre il motivo per cui SSH dovrebbe essere consentito solo da reti amministrative affidabili.
Controlla lo spazio di archiviazione in Advanced Shell
Nel Advanced Shell puoi dare uno sguardo più da vicino ai file system. Questo comando mostra le dimensioni, la memoria utilizzata, la memoria libera e la percentuale di utilizzo:
df -hkm

Se non è chiaro se l’intero output è troppo ampio, conviene guardare specificamente /var, perché lì ci sono molti dati operativi locali:
df -h /var
Il comando è pura lettura. I file nelle directory di sistema non dovrebbero essere eliminati manualmente solo perché una partizione sembra piena. Innanzitutto bisognerebbe circoscrivere la causa.
Se /var è evidente, bisogna prima controllare le aree Sophos previste invece di cancellare directory a caso. Per una classificazione grossolana sono particolarmente rilevanti Reports, Event Logs e Troubleshooting Logs. Inoltre va verificato se Packet Capture, Debug-Logging, file di supporto o file copiati manualmente occupano spazio.
Per i tre blocchi di spazio tipici, Sophos indica questi comandi di lettura nell’Advanced Shell:
du -kh reportdb_16
du -kh eventlogs
du -kh tslog
Questi comandi servono per la classificazione. Non sostituiscono una pulizia supportata tramite WebAdmin, Device Console o le funzioni diagnostiche previste.
Limita la causa
Un disco pieno può avere diverse cause. Il passo successivo corretto dipende da quali dati stanno crescendo.
- I Reports occupano molto spazio: controllare la conservazione in Reports > Show Reports settings > Data management, esportare i report o usare Central Reporting.
- I log locali crescono molto: controllare Log settings, Debug-Logging e servizi interessati.
- I Troubleshooting Logs crescono molto: verificare Debug-Logging, analisi di supporto attive o errori di servizio ricorrenti.
/varè molto piena: controllare Reports, log, database, file di supporto o mailqueue.- Il Disk-Graph mostra molto spazio temporaneo: controllare capture in corso, file di supporto o processi temporanei.
- E-Mail Quarantine o Mail Spool cresce: verificare Email > Quarantine settings e Email > Mail spool. I messaggi bloccati dovrebbero essere controllati, riconsegnati in modo controllato o eliminati.
- La firewall virtuale è dimensionata troppo piccola: controllare dimensione del disco e requisiti della piattaforma nell’hypervisor.
- Prima di un firmware upgrade appare un avviso di spazio: non avviare l’upgrade alla cieca, eseguire prima SFOS 22 Upgrade Check.
- Cluster HA interessato: controllare entrambi i nodi separatamente, perché log e report locali non devono essere identici.
Se sono presenti errori attivi, è necessario prima salvare i registri mentre l’errore è fresco. L’articolo Sophos Firewall Backup dei registri per supporto e analisi descrive come esportare i dati di registro locali.
Se gli Event Logs gravano sullo spazio locale, la conservazione dei Reports non è la leva giusta. In questo caso bisogna verificare in System services > Log settings quali moduli vengono salvati localmente, inviati a Sophos Central o inoltrati a Syslog. Log Suppression può aiutare a ridurre ripetizioni inutili. Tuttavia non devono scomparire eventi rilevanti per la sicurezza che potrebbero servire in seguito per Incident Response, supporto o compliance.
Non eliminare manualmente nel file system
Anche se Advanced Shell mostra memoria e directory libere, i file non dovrebbero essere eliminati direttamente in /var, /log o nelle directory del database. Le azioni di eliminazione manuale possono danneggiare report, servizi, database o analisi di supporto e rendere più difficile la successiva analisi delle cause principali.
Processo migliore:
- Stato di archiviazione dei documenti e partizione interessata.
- Salva i registri o il CTR pertinenti se è probabile un caso di supporto.
- Verificare se Packet Capture o Debug-Logging sono ancora attivi.
- Controllare la conservazione del report tramite WebAdmin.
- Report vuoti tramite il punto console previsto solo se è chiaro che i dati locali possono essere omessi.
- Se il consumo continua a crescere, verificarne la causa: registrazione del debug, coda di posta, quarantena, database, disco virtuale o traffico locale insolitamente elevato.
Se non è chiaro quali dati occupano la memoria, non lavorare con rm. Quindi è più sicuro eseguire il backup dei registri e coinvolgere il supporto o Avanet con i risultati attuali.
Per i Troubleshooting Logs esistono comandi Device Console separati per il purge. Non sostituiscono l’analisi della causa e vanno usati solo dopo aver salvato i log necessari. In sintesi, system diagnostics purge-old-logs elimina log compressi più vecchi, mentre system diagnostics purge-all-logs elimina tutti i Troubleshooting Logs. Per singoli sottosistemi esistono varianti specifiche. In caso di dubbio, un export mirato in Diagnostics > Tools è più pulito di un purge generale.
Modifica la conservazione dei report in WebAdmin
Se la causa sono le segnalazioni locali, è necessario verificare prima il periodo di conservazione. In molti ambienti, storicamente venivano effettuati report on-box, anche se la valutazione vera e propria viene ora effettuata a livello centrale.
Il percorso Sophos per la conservazione locale dei Reports è:
Reports > Show Reports settings > Data management
Qui si può adattare la durata di conservazione per modulo di report e salvare con Apply. La modifica agisce sui Reports, non sugli Event Logs. Sophos segnala inoltre che le modifiche alla conservazione dei Reports diventano effettive solo alle 00:00.

Domande utili prima di apportare una modifica:
- I rapporti locali sono davvero ancora in fase di valutazione?
- Esiste già un reporting centrale, un syslog o un SIEM?
- Per quanto tempo i dati di registro e di report devono essere archiviati internamente?
- Sono previsti requisiti di conformità o di supporto?
- È sufficiente una conservazione locale più breve quando è attiva l’archiviazione centrale?
Se sono richiesti registri e report in Sophos Central, è necessario verificare anche quali tipi di registro vengono inviati a Central in Servizi di sistema > Impostazioni registro. L’attivazione è descritta in Attivazione del reporting del firewall centrale.
Eliminare i Reports in modo controllato
Se i servizi non funzionano più correttamente a causa della memoria piena, potrebbe essere necessaria la pulizia manuale dei report. Ma questa dovrebbe essere una misura di recupero controllata, non il normale processo operativo.
Controllare in anticipo:
- backup della configurazione corrente disponibile
- report richiesti esportati o disponibili a livello centrale
- periodi interessati documentati
- Motivo dell’aumento dello storage compreso
- Finestra di manutenzione o caso di supporto preparato se il firewall è già instabile
Il primo percorso dovrebbe essere il WebAdmin:
Reports > Show Reports settings > Manual purge
In questo modo si possono eliminare Reports in modo mirato per modulo e periodo. Questa procedura può essere lenta perché la firewall esegue il purge dei Reports in modo controllato per preservare le risorse di sistema.
Se non basta o la firewall è già in uno stato di recovery, esiste il punto console:
5. Device Management > 4. Flush Device Reports

Dopo l’eliminazione, non si dovrebbe semplicemente tornare alle operazioni quotidiane. È importante verificare se la memoria libera aumenta davvero e se report, Log Viewer, Central Reporting e servizi interessati funzionano di nuovo in modo plausibile.
Flush Device Reports elimina i Reports salvati sulla firewall e riavvia la firewall. Durante questo periodo non è raggiungibile via rete per circa dieci minuti. Per questo motivo questo passaggio appartiene a una finestra di manutenzione o a un processo di recovery documentato.
Se la firewall ha già servizi compromessi a causa dello spazio pieno, prima dell’eliminazione deve essere chiaro quali dati mancheranno dopo. I Reports locali sono spesso utili per change review, analisi utente, tracciabilità security o domande di supporto. Chi li elimina dovrebbe annotare brevemente periodo, motivo e fonte sostitutiva disponibile, per esempio Central Reporting o Syslog.
Controlla o disattiva i report integrati
I report integrati salvano i report localmente sul firewall. Questo è pratico, ma può consumare memoria per piccoli elettrodomestici, traffico elevato o lunga conservazione.
È possibile verificare lo stato nella console del dispositivo:
show on-box-reports
Questo comando non risponde alla stessa domanda di system diagnostics show disk: show on-box-reports indica se i report locali sono attivi in generale, mentre system diagnostics show disk mostra l’utilizzo attuale dello storage nelle varie aree. Per una diagnosi pulita servono di solito entrambe le viste.
Se i report locali non sono necessari ed è disponibile un altro spazio di archiviazione, è possibile disattivare i report sulla casella:
set on-box-reports off
Questo dovrebbe essere fatto solo consapevolmente. I report sono importanti per analisi, supporto e operatività. In molti ambienti produttivi è meglio ridurre la conservazione locale e usare in parallelo Central Reporting, Syslog o un SIEM. Se serve una conservazione centralizzata più lunga, Sophos Central Firewall Reporting Advanced è un’opzione possibile.
Importante: On-Box Reports può essere attivato o disattivato solo nel complesso, non selettivamente per singolo modulo. Se solo alcune aree di report occupano troppo spazio, una conservazione più breve o un purging mirato è di solito migliore rispetto alla disattivazione completa di On-Box Reporting.
Se On-Box Reports viene disattivato, dopo non bisogna controllare solo lo spazio. Cambiano anche processi interni: viste locali dei Reports, report pianificati, analisi di sicurezza e analisi ad hoc rapide sulla firewall possono sparire o diventare meno utili. Questo passaggio appartiene quindi a una decisione operativa, non a una pulizia spontanea dello spazio.
Classificare soglie di avviso e alert
Sophos Firewall può generare Control-Center-Alerts e Event Logs quando l’utilizzo di /var è elevato. La soglia di avviso può essere controllata dalla Device Console con set var-partition-usage watermark. Questo però non è una soluzione al problema di spazio. Una soglia più bassa o più alta modifica solo il momento in cui compare l’avviso, non il motivo del consumo di spazio.
L’intervallo consentito è dal 50 al 75 percento, il valore predefinito è 70 percento. Il reporting si arresta all'80 percento, e questo arresto non è il vero limite operativo, ma già uno stato di errore. Una soglia di avviso più alta quindi non rende la firewall più stabile, ma riduce solo il tempo di reazione.
Per l’operatività è di solito più sensato:
- Attivare notifiche e-mail o SNMP per gli avvisi di spazio.
- Non rimandare gli avvisi di spazio alla successiva finestra di manutenzione.
- In caso di avvisi ricorrenti, adattare conservazione, Debug-Logging e uso dei report locali.
- Verificare consapevolmente lo spazio libero prima dei firmware upgrade.
Se l’utilizzo aumenta chiaramente o i Reports sono già fermi, va prima liberato spazio e chiarita la causa. Una soglia di avviso modificata non deve servire a nascondere un vero problema di capacità.
Prestare attenzione ai firewall virtuali
Con i Sophos Firewall virtuali la causa non è sempre nei report o nei log. A volte l’appliance virtuale veniva distribuita con un disco insufficiente o veniva ampliata nel corso di diversi anni senza rivalutare i requisiti della piattaforma.
Negli ambienti virtuali dovresti controllare anche:
- Dimensione del disco virtuale.
- Spazio libero nel datastore.
- Istantanee, processi di backup e latenza di archiviazione.
- Monitoraggio dell’hypervisor.
- Indica se la versione del firewall specifica requisiti di memoria aggiuntivi.
- Se il disco virtuale può essere ampliato online o se un reimage con restore è la strada più pulita.
Se il disco è fondamentalmente troppo piccolo, l’eliminazione dei report è solo un sollievo a breve termine. La piattaforma virtuale dovrebbe quindi essere adeguatamente adattata e protetta con un backup, una finestra di manutenzione e un piano di ripristino.
Prima di SFOS 22 questo punto è particolarmente importante: se la firewall mostra un avviso di spazio o un upgrade blocker relativo al disco virtuale, va prima completato lo SFOS 22 Upgrade Check. Lì sono collegati gli avvisi ufficiali Sophos sul disco virtuale. L’estensione deve avvenire in una finestra di manutenzione pianificata con backup, storage hypervisor verificato e successiva validazione delle partizioni.
Per le appliance hardware, invece, l’estensione del disco non è il percorso normale. Vanno controllati consumo di spazio, Reports, log, quarantena e stato SSD e, in caso di sospetto hardware, va preparato un processo di supporto o RMA.
Lista di controllo
Controllare immediatamente
- Messaggio di avviso, ora e firewall interessato documentati.
system diagnostics show diskeseguito nella Console dispositivo.df -hkmcontrollato in Advanced Shell.- Notata partizione insolita.
- Disk-Usage-Graph nel WebAdmin verificato per una classificazione iniziale.
- Rapporti, registri, coda di posta, quarantena e disco virtuale valutati come possibili cause.
- Packet Capture e Debug-Logging controllati come fonti di spazio a breve termine.
Prima di eliminare o disattivare
- Report e registri richiesti sottoposti a backup.
- Reporting centrale, syslog o altro archivio centrale controllati.
- Percorso di backup e ripristino disponibile.
- Finestra di manutenzione definita quando vengono interessati i servizi produttivi.
- In HA entrambi i nodi vengono controllati separatamente.
- Periodo e motivo della pulizia dei report documentati.
Dopo la pulizia
- La memoria libera è stata nuovamente controllata.
- Rapporti e Log Viewer testati.
- Central Reporting o Syslog hanno controllato i dati correnti.
- Causa dell’aumento della memoria documentata.
- Periodo di conservazione, impostazioni del registro e processo di revisione modificati.
- Notifiche per futuri avvisi di spazio verificate.
Domande frequenti
Quando lo spazio di archiviazione su Sophos Firewall è critico?
È possibile eliminare semplicemente i report?
Conviene disattivare gli On-Box Reports?
È possibile disattivare gli On-Box Reports solo per singoli moduli?
Perché /var è spesso rilevante?
/var si trovano molti dati operativi locali. Se quest’area cresce in modo significativo, possono essere coinvolti report, file di log, dati di database, file di supporto o dati di posta/quarantena.