Vai al contenuto
Avanet

Sophos Firewall: controllare la salute SSD con SMART

L’SSD interno di un Sophos Firewall memorizza, tra le altre cose, log, report, dati in quarantena, file temporanei e dati di sistema. In ambienti con molti log, report on-box, protezione della posta o elevato carico di sistema, può essere utile controllare occasionalmente lo stato dell’SSD.

Questo controllo non sostituisce un monitoraggio hardware ufficiale né una diagnosi di supporto. Tuttavia, aiuta a riconoscere precocemente un valore di usura anomalo e a preparare tempestivamente backup, casi di supporto o sostituzioni hardware.

⚠️ Importante: La Advanced Shell offre accesso diretto al sistema. I comandi mostrati qui leggono solo informazioni. Non dovrebbero essere cancellati file, modificate partizioni, avviati SMART self-test o sostituiti supporti senza essere certi dell’impatto su supporto, garanzia e operatività.

Quando controllare l’SSD

Un controllo dell’SSD è particolarmente utile se si verifica uno di questi punti:

  • Il firewall genera molti log o report locali.
  • Ci sono stati avvisi di elevato consumo di memoria.
  • I report on-box, la coda di posta, la quarantena o i log locali crescono notevolmente.
  • L’appliance è in funzione da diversi anni.
  • Prima di un importante aggiornamento firmware, si desidera documentare lo stato del sistema.
  • Un cluster HA deve essere monitorato meglio a livello hardware.

Per problemi di spazio di archiviazione, è inoltre rilevante Controllare lo spazio di archiviazione di Sophos Firewall e gestire i report. Per la conservazione centralizzata dei log, è utile Attivare il Central Firewall Reporting, in modo che ogni analisi non dipenda dai dati locali on-box.

Cosa copre questo check

Il controllo SMART è una verifica tecnica puntuale direttamente sull’appliance. Non risponde a tutte le domande hardware, ma aiuta a classificare usura SSD e valori disco anomali.

  • Il valore SSD Endurance è anomalo o cresce rapidamente: documentare valore SMART e andamento.
  • /var è pieno o i report si fermano: controllare spazio di archiviazione e report.
  • Sono visibili allarmi temperatura, ventole o alimentatori: controllare SNMP Hardware Monitoring e WebAdmin/monitoring.
  • Rischi di configurazione o finding Health Check sono aperti: valutare Sophos Firewall Health Check.
  • Sostituzione hardware o RMA probabile: preparare numero di serie, stato supporto, backup e dati RMA.

Il Sophos Firewall Health Check valuta rischi di configurazione. Non sostituisce controllo disco né monitoraggio hardware. Viceversa, un valore SMART non anomalo non prova che report, log, quarantena o database funzionino correttamente.

Prerequisiti

Per il controllo è necessario:

  • Accesso all’utente admin.
  • Accesso SSH o accesso alla Advanced Shell.
  • Accesso SSH strettamente limitato da una rete di amministrazione fidata.
  • Una finestra di manutenzione o diagnosi pianificata, se il firewall è molto carico.
  • In caso di HA: accesso a entrambe le appliance.

Come preparare l’accesso è descritto in Collegarsi a Sophos Firewall tramite SSH. Dopo il login, si apre la Advanced Shell tramite 5 Device Management > 3 Advanced Shell. Dopo il controllo, l’accesso dovrebbe essere nuovamente ridotto al minimo necessario.

Leggere l’endurance dell’SSD

Su molte appliance hardware di Sophos Firewall, l’SSD interno è visibile come /dev/sda. Il seguente comando legge le informazioni SMART e filtra l’output per il valore di endurance:

smartctl -x /dev/sda | grep Endurance
Sophos Firewall Advanced Shell con output smartctl per il valore di endurance dell'SSD
Sophos Firewall - Verificare l’endurance dell’SSD con smartctl nella Advanced Shell

Il comando è una diagnosi di sola lettura dalla Advanced Shell, non un normale indicatore di stato SFOS nel WebAdmin. A seconda di appliance, disco e firmware, l’output può avere un aspetto diverso o il nome dell’attributo atteso può mancare. Non bisogna indovinare, ma documentare l’output completo e i sintomi associati.

Nell’output, il valore prima di Percentage Used Endurance Indicator è particolarmente interessante. Un valore basso è generalmente positivo. Nell’immagine, il valore è 1, il che non è critico.

Interpretare correttamente il valore

I valori SMART sono valori diagnostici del supporto. Tali valori sono utili, ma non sono normati in modo identico per ogni SSD e produttore. Pertanto, non si dovrebbe considerare il valore isolatamente.

  • Valore molto basso: normalmente non problematico.
  • Valore che aumenta notevolmente nel tempo: monitorare lo sviluppo e pianificare la manutenzione.
  • Valore molto più alto rispetto alle misurazioni precedenti: preparare un caso di supporto e verificare la sostituibilità.
  • Errori I/O aggiuntivi o problemi di sistema: non controllare solo l’endurance SSD, ma includere anche log e diagnostica di supporto.

È importante la tendenza. Un singolo valore è meno significativo di un controllo ripetuto in più finestre di manutenzione. Se il valore aumenta rapidamente o si verificano contemporaneamente problemi di memoria, database o report, si dovrebbe preparare un caso di supporto Sophos.

Un valore alto da solo non è ancora una diagnosi pulita. Il quadro diventa più significativo quando si sommano più indizi:

  • Il valore Endurance cresce più rapidamente del previsto.
  • /var o i dati report si comportano in modo anomalo.
  • I log mostrano errori I/O, database o filesystem.
  • WebAdmin, report o servizi diventano instabili senza una chiara modifica di configurazione.
  • Un’appliance nel cluster HA mostra valori molto diversi dal partner.

Documentare i valori misurati

Per rendere tracciabile un valore di endurance in aumento, si dovrebbe documentare brevemente ogni controllo. Questo è particolarmente utile prima degli aggiornamenti firmware, nei cluster HA e nelle appliance che sono operative da diversi anni.

Una documentazione semplice è generalmente sufficiente:

  • Data e ora: 2026-06-20 10:30
  • Firewall o sede: XGS 2100 - HQ
  • Nodo: Primary o Auxiliary
  • Versione firmware: SFOS 22.0.1 MR1
  • Valore SSD Endurance: 1
  • Sintomi accompagnatori: nessuno, avviso storage, errori I/O, problemi report
  • Prossima azione: monitorare, preparare caso di supporto, pianificare sostituzione

In un caso di supporto, questa cronologia è più utile di un singolo screenshot. Si può vedere se il valore invecchia lentamente, salta improvvisamente o si verifica insieme a problemi di memoria e database.

Inoltre, il punto di misura dovrebbe restare stabile. Se possibile, documentare sempre lo stesso comando, lo stesso percorso dispositivo e lo stesso nodo. Nei cluster HA, l’output non dovrebbe essere salvato solo come screenshot, ma collegato a numero di serie o ruolo del nodo. Altrimenti, più tardi non sarà chiaro se i valori provengono da Primary, Auxiliary o da un dispositivo già sostituito.

Se non appare alcun output di endurance

Se il comando filtrato non produce output, si può visualizzare l’output SMART senza filtro:

smartctl -x /dev/sda

Successivamente, cercare termini come Endurance, Percentage Used, Wear o attributi SMART specifici del produttore. Se l’output non è chiaro, non dovrebbe essere interpretato, ma verificato con il supporto Sophos o Avanet.

Il percorso del dispositivo può variare a seconda della piattaforma. Pertanto, non si dovrebbero testare o scrivere ciecamente altri percorsi di supporto. Per i firewall virtuali, la salute del supporto è principalmente un compito della piattaforma di virtualizzazione e del sistema di archiviazione.

Se smartctl non fornisce valori utilizzabili, non è una prova di disco sano o difettoso. Il risultato dovrebbe essere documentato come “non leggibile in modo univoco” e combinato con altri indizi: spazio disponibile, log di sistema, monitoraggio hypervisor, valori hardware SNMP, diagnostica di supporto e sintomi osservati. Test di scrittura, SMART self-test o tentativi di riparazione dovrebbero essere eseguiti solo se Sophos Support o un chiaro piano di manutenzione lo richiede esplicitamente.

Tradurre il risultato in misure concrete

Dopo la misurazione, il valore non dovrebbe essere valutato isolatamente, ma tradotto in una decisione operativa concreta.

  • Valore basso, nessun sintomo: documentare la misurazione e verificarla di nuovo alla prossima finestra di manutenzione.
  • Il valore cresce rapidamente o cambia in modo evidente: salvare backup, SSMK, numero di serie, versione firmware e andamento. Preparare quindi un caso di supporto.
  • In più avvisi di spazio o problemi con i report: controllare prima spazio, report, log e quarantena. Un elevato consumo di spazio non indica automaticamente un difetto SSD.
  • Errori I/O, database o filesystem nei log: salvare insieme output SMART, log pertinenti e andamento temporale, senza sperimentare cancellazioni manuali.
  • Nodi HA con valori molto diversi: documentare separatamente numeri di serie, ruoli, versioni firmware e valori misurati di entrambi i nodi. Per RMA o sostituzione deve essere chiaro quale nodo è interessato.
  • Firewall virtuale: non interpretare il risultato come su hardware fisico. Sono decisivi hypervisor, storage, datastore, latenza I/O e monitoraggio della piattaforma.

Questa classificazione evita due errori tipici: drammatizzare un singolo valore SMART o liquidare sintomi reali come “solo un problema di spazio”. Conta la combinazione di trend, sintomi, log, piattaforma e stato del supporto.

Controllare separatamente i cluster HA

In un cluster HA di Sophos Firewall, ogni appliance ha il proprio SSD. Lo stato dei supporti non viene sincronizzato tramite HA.

Pertanto, si dovrebbe controllare:

  • Appliance primaria.
  • Appliance ausiliaria.
  • Numero di serie o nome host del rispettivo nodo.
  • Data, versione firmware e valore di endurance misurato.
  • Se su un nodo sono visibili anche anomalie di spazio o I/O.

Per il funzionamento HA e i ruoli, si adatta Sophos Firewall HA-Cluster: Active-Passive, Active-Active e Auxiliary Appliance.

In caso di possibile sostituzione, il ruolo HA è importante. Prima di una RMA dovrebbe essere chiaro quale dispositivo viene sostituito, quale versione firmware e build gira sul dispositivo sano e se serve una finestra di manutenzione. Sophos descrive i processi RMA per scenari HA separatamente per ruolo; nella pratica, quindi, non si dovrebbe chiarire solo all’arrivo del dispositivo sostitutivo quale nodo sia davvero interessato.

Non sostituire senza supporto

Un SSD non dovrebbe essere sostituito autonomamente solo perché un valore SMART appare anomalo. Un intervento hardware può influenzare supporto, garanzia, gestione RMA e sicurezza operativa.

Prima di una sostituzione, dovrebbero essere preparati questi punti:

  • Backup della configurazione attuale.
  • Secure Storage Master Key.
  • Numero di serie e modello dell’appliance.
  • Versione firmware e build.
  • Ruolo HA, se si usa un cluster.
  • Screenshot o estratto di testo dell’output SMART.
  • Descrizione dei sintomi e del decorso temporale.
  • Stato di spazio e report, se anche questi sono anomali.
  • Stato della licenza e del supporto.

Le basi della garanzia e del supporto sono descritte nell’articolo Per quanto tempo ricevo garanzia sull’hardware Sophos?. Se un’appliance deve essere reinstallata, Reinstallare Sophos Firewall OS: Reimage con USB-Stick è l’articolo di recupero appropriato.

Lista di controllo

  • Accesso SSH consentito solo da reti amministrative fidate.
  • Advanced Shell aperta.
  • Eseguito smartctl -x /dev/sda | grep Endurance.
  • Documentati valore, data, versione firmware e numero di serie.
  • In caso di HA, controllati entrambi i nodi separatamente.
  • In caso di anomalie, controllati anche spazio e report locali.
  • Allarmi SNMP o di monitoring controllati in caso di sospetto hardware.
  • Versione firmware, build, modello e stato supporto annotati per un caso di supporto.
  • Preparato caso di supporto per valori elevati o in rapido aumento.
  • Nessuna sostituzione hardware effettuata senza chiarimento di supporto e garanzia.

FAQ

Un valore di endurance basso è positivo?

Sì. Un valore basso indica che l’SSD ha consumato ancora poco della sua durata di scrittura prevista.

A partire da quale valore si dovrebbe reagire?

Non esiste un valore limite universale che funzioni in modo pulito per ogni SSD e ogni modello. Bisogna reagire in caso di valori in forte aumento, salti anomali o sintomi aggiuntivi come errori I/O, problemi database, problemi report o consumo storage insolito.

Un valore SMART non anomalo basta come via libera?

No. Un valore SMART non anomalo è un buon segnale, ma non sostituisce il controllo di spazio, log, report, stato HA, valori hardware SNMP e sintomi osservati.

Con quale frequenza si dovrebbe controllare la salute dell'SSD?

Per ambienti normali, il controllo è generalmente sufficiente nell’ambito della manutenzione, preparazione del firmware o inventario hardware. Si dovrebbe controllare più frequentemente in caso di avvisi di memoria, molti report locali, log anomali o appliance più vecchie.

Il comando è valido anche per i Sophos Firewall virtuali?

Non nello stesso senso. Nei firewall virtuali, la salute del supporto dipende dall’hypervisor e dallo storage sottostante. Lì si dovrebbero utilizzare gli strumenti di monitoraggio della piattaforma di virtualizzazione.

Il Sophos Firewall Health Check controlla l'SSD?

No. L’Health Check valuta i rischi di configurazione. Lo stato dell’hardware, l’usura dell’SSD o gli errori del supporto devono essere monitorati separatamente.