Zum Inhalt springen
Avanet

Sophos Firewall SSD-Gesundheit per SMART prüfen

Die interne SSD einer Sophos Firewall speichert unter anderem Logs, Reports, Quarantäne-Daten, temporäre Dateien und Systemdaten. In Umgebungen mit viel Logging, On-Box Reporting, Mail Protection oder hoher Systemlast kann es deshalb sinnvoll sein, den Zustand der SSD gelegentlich zu prüfen.

Diese Prüfung ersetzt kein offizielles Hardware-Monitoring und keine Supportdiagnose. Der Check hilft aber, einen auffälligen Verschleisswert früh zu erkennen und rechtzeitig Backup, Supportfall oder Hardwareaustausch vorzubereiten.

⚠️ Wichtig: Die Advanced Shell bietet direkten Systemzugriff. Die hier gezeigten Befehle lesen nur Informationen aus. Es sollten keine Dateien gelöscht, Partitionen geändert, SMART-Selbsttests gestartet oder Datenträger getauscht werden, wenn nicht klar ist, was die Auswirkung auf Support, Garantie und Betrieb ist.

Wann die SSD geprüft werden sollte

Eine SSD-Prüfung ist besonders sinnvoll, wenn einer dieser Punkte zutrifft:

  • Die Firewall erzeugt sehr viele lokale Logs oder Reports.
  • Es gab Warnungen zu hohem Speicherverbrauch.
  • On-Box Reports, Mailqueue, Quarantäne oder lokale Logs wachsen stark.
  • Die Appliance ist mehrere Jahre im Betrieb.
  • Vor einem grösseren Firmware-Upgrade soll der Systemzustand dokumentiert werden.
  • Ein HA-Cluster soll hardwareseitig besser überwacht werden.

Für Speicherplatzprobleme ist zusätzlich Sophos Firewall Speicherplatz prüfen und Reports verwalten relevant. Für zentrale Logaufbewahrung passt Central Firewall Reporting aktivieren, damit nicht jede Analyse von lokalen On-Box-Daten abhängt.

Was dieser Check leistet

Der SMART-Check ist eine technische Stichprobe direkt auf der Appliance. Er beantwortet nicht alle Hardwarefragen, hilft aber beim Einordnen von SSD-Verschleiss und auffälligen Datenträgerwerten.

  • SSD-Endurance-Wert ist auffällig oder steigt schnell: SMART-Wert dokumentieren und Verlauf prüfen.
  • /var ist voll oder Reports stoppen: Speicherplatz und Reports prüfen.
  • Temperatur-, Lüfter- oder Netzteilalarme sind sichtbar: SNMP Hardware Monitoring und WebAdmin/Monitoring prüfen.
  • Konfigurationsrisiken oder Health-Check-Findings sind offen: Sophos Firewall Health Check auswerten.
  • Hardwaretausch oder RMA wird wahrscheinlich: Seriennummer, Supportstatus, Backup und RMA-Daten vorbereiten.

Der Sophos Firewall Health Check bewertet Konfigurationsrisiken. Er ersetzt keine Datenträgerprüfung und kein Hardwaremonitoring. Umgekehrt beweist ein unauffälliger SMART-Wert nicht, dass Reporting, Logs, Quarantäne oder Datenbanken sauber arbeiten.

Voraussetzungen

Für die Prüfung benötigt man:

  • Zugriff auf den Benutzer admin.
  • SSH-Zugriff oder Zugriff auf die Advanced Shell.
  • Eng begrenzten SSH-Zugriff aus einem vertrauenswürdigen Admin-Netz.
  • Ein geplantes Wartungs- oder Diagnosefenster, wenn die Firewall stark ausgelastet ist.
  • Bei HA: Zugriff auf beide Appliances.

Wie man den Zugang vorbereitet, steht in Sophos Firewall per SSH verbinden. Nach dem Login öffnet man die Advanced Shell über 5 Device Management > 3 Advanced Shell. Der Zugriff sollte nach der Prüfung wieder auf das notwendige Minimum begrenzt werden.

SSD-Endurance auslesen

Auf vielen Sophos Firewall Hardware-Appliances ist die interne SSD als /dev/sda sichtbar. Der folgende Befehl liest die SMART-Informationen aus und filtert die Ausgabe auf den Endurance-Wert:

smartctl -x /dev/sda | grep Endurance
Sophos Firewall Advanced Shell mit smartctl-Ausgabe zum SSD-Endurance-Wert
Sophos Firewall - SSD-Endurance mit smartctl in der Advanced Shell prüfen

Der Befehl ist eine lesende Diagnose aus der Advanced Shell, keine normale SFOS-Statusanzeige im WebAdmin. Je nach Appliance, Datenträger und Firmware kann die Ausgabe anders aussehen oder der erwartete Attributname fehlen. Dann sollte man nicht raten, sondern die vollständige Ausgabe und begleitende Symptome dokumentieren.

In der Ausgabe ist vor allem der Wert vor Percentage Used Endurance Indicator interessant. Ein niedriger Wert ist grundsätzlich gut. Im Screenshot liegt der Wert bei 1, was unkritisch ist.

Wert richtig einordnen

SMART-Werte sind Diagnosewerte des Datenträgers. Solche Werte sind nützlich, aber nicht bei jeder SSD und jedem Hersteller identisch normiert. Deshalb sollte man den Wert nicht isoliert betrachten.

  • Sehr niedriger Wert: normalerweise unauffällig.
  • Wert steigt über die Zeit deutlich: Entwicklung beobachten und Wartung planen.
  • Wert liegt deutlich höher als frühere Messungen: Supportfall vorbereiten und Austauschfähigkeit prüfen.
  • Zusätzliche I/O-Fehler oder Systemprobleme: nicht nur SSD-Endurance prüfen, sondern Logs und Supportdiagnose einbeziehen.

Wichtig ist der Trend. Ein einzelner Wert ist weniger aussagekräftig als eine wiederholte Prüfung über mehrere Wartungsfenster. Wenn der Wert schnell steigt oder gleichzeitig Speicher-, Datenbank- oder Reportprobleme auftreten, sollte ein Sophos Support Case vorbereitet werden.

Ein hoher Wert allein ist noch keine saubere Diagnose. Aussagekräftiger wird der Befund, wenn mehrere Hinweise zusammenkommen:

  • Endurance-Wert steigt schneller als erwartet.
  • /var oder Reportdaten verhalten sich auffällig.
  • Logs zeigen I/O-, Datenbank- oder Dateisystemfehler.
  • WebAdmin, Reports oder Dienste werden ohne klare Konfigurationsänderung instabil.
  • Eine Appliance im HA-Cluster zeigt deutlich andere Werte als der Partner.

Messwerte dokumentieren

Damit ein steigender Endurance-Wert später nachvollziehbar ist, sollte man jede Prüfung kurz dokumentieren. Das ist besonders hilfreich vor Firmware-Upgrades, in HA-Clustern und bei Appliances, die schon mehrere Jahre produktiv laufen.

Eine einfache Dokumentation reicht meistens:

  • Datum und Uhrzeit: 2026-06-20 10:30
  • Firewall oder Standort: XGS 2100 - HQ
  • Node: Primary oder Auxiliary
  • Firmware-Version: SFOS 22.0.1 MR1
  • SSD-Endurance-Wert: 1
  • Begleitende Symptome: keine, Speicherwarnung, I/O-Fehler, Reportprobleme
  • Nächste Massnahme: beobachten, Supportfall vorbereiten, Austausch planen

Bei einem Supportfall hilft diese Historie mehr als ein einzelner Screenshot. Man sieht, ob der Wert langsam altert, plötzlich springt oder zusammen mit Speicher- und Datenbankproblemen auftritt.

Zusätzlich sollte man den Messpunkt stabil halten. Wenn möglich, immer denselben Befehl, denselben Gerätepfad und denselben Node dokumentieren. Bei HA-Clustern sollte die Ausgabe nicht nur als Screenshot gespeichert werden, sondern mit Seriennummer oder Node-Rolle verbunden sein. Sonst ist später unklar, ob die Werte von Primary, Auxiliary oder einem bereits getauschten Gerät stammen.

Wenn keine Endurance-Ausgabe erscheint

Wenn der gefilterte Befehl keine Ausgabe liefert, kann man die SMART-Ausgabe zunächst ohne Filter anzeigen:

smartctl -x /dev/sda

Danach nach Begriffen wie Endurance, Percentage Used, Wear oder Hersteller-spezifischen SMART-Attributen suchen. Wenn die Ausgabe nicht eindeutig ist, sollte sie nicht geraten, sondern mit Sophos Support oder Avanet geprüft werden.

Der Gerätepfad kann je nach Plattform abweichen. Deshalb sollte man nicht blind andere Datenträgerpfade testen oder schreiben. Bei virtuellen Firewalls ist die Datenträgergesundheit zudem primär eine Aufgabe der Virtualisierungsplattform und des Storage-Systems.

Wenn smartctl keine verwertbaren Werte liefert, ist das kein Beweis für einen gesunden oder defekten Datenträger. Dann sollte man den Befund als “nicht eindeutig auslesbar” dokumentieren und mit anderen Indizien kombinieren: Speicherplatz, Systemlogs, Hypervisor-Monitoring, SNMP-Hardwarewerte, Supportdiagnose und beobachtete Symptome. Schreibende Tests, SMART-Selbsttests oder Reparaturversuche sollten nur erfolgen, wenn Sophos Support oder ein klarer Wartungsplan dies ausdrücklich vorsieht.

Befund in Massnahmen übersetzen

Nach der Messung sollte man den Wert nicht isoliert diskutieren, sondern in eine konkrete Betriebsentscheidung übersetzen.

  • Niedriger Wert, keine Symptome: Messung dokumentieren und beim nächsten Wartungsfenster erneut prüfen.
  • Wert steigt schnell oder springt auffällig: Backup, SSMK, Seriennummer, Firmware-Version und Verlauf sichern. Danach Supportfall vorbereiten.
  • Zusätzlich Speicherwarnungen oder Reportprobleme: Zuerst Speicherplatz, Reports, Logs und Quarantäne prüfen. Ein hoher Speicherverbrauch ist nicht automatisch ein SSD-Defekt.
  • I/O-, Datenbank- oder Dateisystemfehler in Logs: SMART-Ausgabe, relevante Logs und Zeitverlauf zusammen sichern und nicht mit manuellen Löschaktionen experimentieren.
  • HA-Nodes unterscheiden sich deutlich: Beide Seriennummern, Rollen, Firmwarestände und Messwerte getrennt dokumentieren. Für RMA oder Austausch muss klar sein, welcher Node betroffen ist.
  • Virtuelle Firewall: Den Befund nicht wie Hardware interpretieren. Entscheidend sind Hypervisor, Storage, Datastore, I/O-Latenz und Plattformmonitoring.

Diese Einordnung verhindert zwei typische Fehler: einen einzelnen SMART-Wert zu dramatisieren oder echte Symptome als “nur ein Speicherproblem” abzutun. Entscheidend ist die Kombination aus Trend, Symptomen, Logs, Plattform und Supportstatus.

HA-Cluster separat prüfen

In einem Sophos Firewall HA-Cluster hat jede Appliance ihre eigene SSD. Der Zustand der Datenträger wird nicht durch HA synchronisiert.

Deshalb sollte man prüfen:

  • Primary Appliance.
  • Auxiliary Appliance.
  • Seriennummer oder Hostname des jeweiligen Nodes.
  • Datum, Firmware-Version und gemessener Endurance-Wert.
  • Ob auf einem Node zusätzlich Speicherplatz- oder I/O-Auffälligkeiten sichtbar sind.

Für HA-Betrieb und Rollen passt Sophos Firewall HA-Cluster: Active-Passive, Active-Active und Auxiliary Appliance.

Bei einem möglichen Austausch ist die HA-Rolle wichtig. Vor einer RMA sollte klar sein, welches Gerät ersetzt wird, welche Firmware-Version und welcher Build auf dem gesunden Gerät laufen und ob ein Wartungsfenster nötig ist. Sophos beschreibt RMA-Abläufe für HA-Szenarien getrennt nach Rollen; in der Praxis sollte deshalb nicht erst beim Paket mit dem Ersatzgerät geklärt werden, welcher Node tatsächlich betroffen ist.

Nicht ohne Support tauschen

Eine SSD sollte nicht eigenständig ersetzt werden, nur weil ein SMART-Wert auffällig wirkt. Ein Hardwareeingriff kann Support, Garantie, RMA-Abwicklung und Betriebssicherheit beeinflussen.

Vor einem Austausch sollten diese Punkte vorbereitet werden:

  • Aktuelles Konfigurationsbackup.
  • Secure Storage Master Key.
  • Seriennummer und Appliance-Modell.
  • Firmware-Version und Build.
  • HA-Rolle, falls ein Cluster verwendet wird.
  • Screenshot oder Textauszug der SMART-Ausgabe.
  • Beschreibung der Symptome und des Zeitverlaufs.
  • Speicherplatz- und Reportstatus, falls diese ebenfalls auffällig sind.
  • Lizenz- und Supportstatus.

Die Garantie- und Supportgrundlagen sind im Artikel Wie lange bekomme ich Garantie auf Sophos Hardware? beschrieben. Wenn eine Appliance neu installiert werden muss, ist Sophos Firewall OS neu installieren: Reimage mit USB-Stick der passende Recovery-Artikel.

Checkliste

  • SSH-Zugriff nur aus vertrauenswürdigen Admin-Netzen erlaubt.
  • Advanced Shell geöffnet.
  • smartctl -x /dev/sda | grep Endurance ausgeführt.
  • Wert, Datum, Firmware-Version und Seriennummer dokumentiert.
  • Befund einer Massnahme zugeordnet: beobachten, Speicher prüfen, Supportfall vorbereiten oder RMA planen.
  • Bei HA beide Nodes separat geprüft.
  • Speicherplatz und lokale Reports bei Auffälligkeiten zusätzlich geprüft.
  • SNMP- oder Monitoring-Alarme bei Hardwareverdacht geprüft.
  • Firmware-Version, Build, Modell und Supportstatus für einen Supportfall notiert.
  • Bei hohen oder stark steigenden Werten Supportfall vorbereitet.
  • Kein Hardwaretausch ohne Klärung von Support und Garantie durchgeführt.

FAQ

Ist ein niedriger Endurance-Wert gut?

Ja. Ein niedriger Wert deutet darauf hin, dass die SSD noch wenig von ihrer erwarteten Schreib-Lebensdauer verbraucht hat.

Ab welchem Wert sollte man reagieren?

Es gibt keinen universellen Grenzwert, der für jede SSD und jedes Modell gleich sauber funktioniert. Reagieren sollte man bei deutlich steigenden Werten, auffälligen Sprüngen oder zusätzlichen Symptomen wie I/O-Fehlern, Datenbankproblemen, Reportproblemen oder ungewöhnlichem Speicherverbrauch.

Reicht ein unauffälliger SMART-Wert als Entwarnung?

Nein. Ein unauffälliger SMART-Wert ist ein gutes Signal, ersetzt aber keine Prüfung von Speicherplatz, Logs, Reports, HA-Status, SNMP-Hardwarewerten und beobachteten Symptomen.

Wie oft sollte man die SSD-Gesundheit prüfen?

Für normale Umgebungen reicht die Prüfung meist im Rahmen von Wartung, Firmware-Vorbereitung oder Hardwareinventar. Häufiger prüfen sollte man bei Speicherwarnungen, vielen lokalen Reports, auffälligen Logs oder älteren Appliances.

Gilt der Befehl auch für virtuelle Sophos Firewalls?

Nicht im gleichen Sinn. Bei virtuellen Firewalls hängt die Datenträgergesundheit vom Hypervisor und vom darunterliegenden Storage ab. Dort sollte man die Monitoring-Werkzeuge der Virtualisierungsplattform verwenden.

Prüft der Sophos Firewall Health Check die SSD?

Nein. Der Health Check bewertet Konfigurationsrisiken. Hardwarezustand, SSD-Verschleiss oder Datenträgerfehler müssen separat überwacht werden.