Zum Inhalt springen
Avanet

Sophos Firewall Secure Heartbeat Datenbank im Supportfall bereinigen

Dieser Ablauf ist kein allgemeiner Tuning-Tipp für Sophos Firewall. Er beschreibt einen eng begrenzten Supportfall: Die Firewall hat zu wenig freien Speicherplatz und Sophos Support bestätigt, dass bestimmte Tabellen rund um Secure Heartbeat in der Datenbank corporate ungewöhnlich gross geworden sind.

In diesem Fall kann eine gezielte Wartung mit VACUUM FULL Speicherplatz zurückgewinnen. Weil dabei direkt auf die interne PostgreSQL-Datenbank der Firewall zugegriffen wird, sollte der Ablauf nur nach aktueller Bestätigung durch Sophos Support und mit Wartungsfenster durchgeführt werden.

Wann diese Anleitung relevant ist

Der Ablauf ist relevant, wenn auf der Sophos Firewall der Speicherplatz knapp wird und der Verdacht besteht, dass Datenbanktabellen rund um Secure Heartbeat ungewöhnlich viel Platz belegen.

Typische Hinweise können sein:

  • Warnungen wegen hohem Speicherverbrauch
  • Stark belegte Partitionen auf der Firewall
  • Probleme mit Reports, Logs oder Diensten aufgrund knapper Disk-Kapazität
  • Ein Hinweis von Sophos Support, dass die Secure Heartbeat Datenbank zu gross geworden ist

Wenn nur unklar ist, warum die Disk voll wird, sollte zuerst die allgemeine Analyse aus Sophos Firewall Speicherplatz prüfen und Reports verwalten durchgeführt werden. Diese Datenbankwartung ist erst sinnvoll, wenn Reports, Logs, Mailqueue, Quarantäne, virtuelle Disk-Grösse und andere naheliegende Ursachen nicht die eigentliche Erklärung sind oder Sophos Support den Datenbankpfad ausdrücklich nennt.

Voraussetzungen

Für diese Wartung benötigt man:

  • Administrativen Zugriff auf die Sophos Firewall
  • Zugriff auf die Advanced Shell
  • Eine konkrete Empfehlung oder Bestätigung durch Sophos Support
  • Ein Wartungsfenster
  • Eine aktuelle Konfigurationssicherung der Firewall
  • Gesicherte Logs, falls der Fall später weiter analysiert werden muss
  • Genügend freien Speicherplatz, damit die Datenbankwartung abgeschlossen werden kann

Falls der Zugriff auf die Shell noch nicht eingerichtet ist, erklärt die Anleitung Sophos Firewall per SSH verbinden, wie man eine SSH-Verbindung zur Firewall herstellt. Wenn ein Supportfall vorbereitet wird, helfen zusätzlich Sophos Firewall Logs für externe Analyse sichern und Sophos Supportticket eröffnen.

⚠️ Diese Befehle greifen direkt auf die interne PostgreSQL-Datenbank der Sophos Firewall zu. Eine Ausführung sollte nur gezielt und nach aktueller Bestätigung durch Sophos Support für den konkreten Supportfall erfolgen. VACUUM FULL kann Tabellen während der Ausführung sperren und je nach Grösse der Datenbank einige Zeit dauern.

Wann man die Befehle nicht ausführen sollte

Die Befehle sollten nicht ausgeführt werden, wenn nur eine allgemeine Speicherwarnung vorliegt und die Ursache noch nicht eingegrenzt wurde. Häufiger liegen Speicherprobleme an Reports, Debug-Logs, Supportdateien, Mail Protection, Quarantäne, zu kleiner virtueller Disk oder einer allgemeinen Logaufbewahrung.

Klare Stoppsignale sind:

  • Sophos Support hat die beiden Tabellen nicht konkret bestätigt: Dann wäre der Datenbankeingriff nur geraten und nicht fallbezogen freigegeben.
  • Kein aktuelles Backup oder kein Wartungsfenster: Bei einem Fehler fehlt der saubere Rückweg oder die Auswirkung trifft den laufenden Betrieb.
  • SSH oder Advanced Shell ist instabil: Ein abgebrochener Datenbankbefehl erschwert die weitere Analyse.
  • HA-Rolle, Seriennummer oder betroffener Node ist unklar: Der Befehl kann auf dem falschen Gerät wirkungslos sein oder die Diagnose verfälschen.
  • Parallel werden Reports, Logs oder Supportarchive gelöscht: Danach ist nicht mehr klar, welche Massnahme Speicherplatz freigegeben hat.
  • Die Firewall verliert bereits kritische Dienste: Dann sollte zuerst der aktuelle Zustand gesichert und mit Sophos Support bewertet werden.

Ebenfalls ungeeignet ist der Ablauf als regelmässige Wartung, Cronjob oder vorsorgliche Bereinigung. Wenn die Tabellen nach kurzer Zeit wieder stark wachsen, ist das ein Symptom, kein normaler Betriebszustand. Dann sollte der Supportfall mit aktuellen Logs, Disk-Ausgaben und Zeitverlauf weitergeführt werden.

Supportfreigabe und Abbruchkriterien

Vor der Ausführung sollte nicht nur ein Backup vorhanden sein. Es sollte auch klar sein, wer den Schritt freigegeben hat, welches Fehlerbild damit behandelt wird und wann der Ablauf abgebrochen wird.

Sinnvolle Mindestangaben:

  • Supportfreigabe: Ticketnummer, Ansprechpartner und konkrete Empfehlung.
  • Betroffene Firewall: Seriennummer, Modell, Firmwareversion und HA-Rolle.
  • Fehlerbild: Speicherwarnung, betroffene Partition und betroffene Dienste.
  • Startzeit: Zeitpunkt vor dem ersten Befehl.
  • Vorher-Werte: Ausgabe von df -h, df -hkm und system diagnostics show disk.
  • Abbruchkriterium: Fehlermeldung, ungewöhnlich lange Laufzeit, instabile SSH-Sitzung oder neue Systemfehler.

Wenn die SSH-Verbindung instabil ist, die Firewall bereits kritische Dienste verliert oder Sophos Support die Tabellen nicht konkret bestätigt hat, sollte nicht mit Datenbankbefehlen experimentiert werden. In solchen Fällen sind aktuelle Disk-Ausgaben, Logs und ein sauberer Supportfall wertvoller als ein halb ausgeführter Wartungsversuch.

Speicherplatz vor der Wartung prüfen

Vor der Datenbankwartung sollte geprüft werden, wie stark die Partitionen belegt sind:

df -h

Für eine genauere Anzeige in Megabyte kann auch folgender Befehl verwendet werden:

df -hkm

Die Ausgabe sollte vor der Wartung dokumentiert werden, damit man nachher vergleichen kann, ob Speicherplatz freigegeben wurde. Zusätzlich ist der Sophos-spezifische Disk-Status aus der Device Console hilfreich:

system diagnostics show disk

Bei HA-Clustern sollten beide Nodes separat geprüft werden. Lokale Datenbanken, Logs und freier Speicher können sich zwischen Primary und Auxiliary unterscheiden.

Vor der Wartung sollte ausserdem klar sein, ob parallel noch andere Ursachen Speicher belegen. Dazu gehören alte Supportarchive, grosse Reportdatenbanken, Mailqueue, Quarantäne, Debug-Logs oder manuell abgelegte Dateien. Wenn diese Punkte nicht geprüft wurden, ist die Secure-Heartbeat-Datenbank nur eine Vermutung.

Datenbankwartung ausführen

Die folgenden Befehle führt man in der Advanced Shell aus. Während der Ausführung sollte die SSH-Sitzung stabil bleiben. Die Firewall sollte nicht neu gestartet werden, solange ein Befehl läuft.

Zuerst wird die Tabelle tbleacappcache bereinigt:

psql -U pgroot -d corporate -c "VACUUM FULL tbleacappcache"

Anschliessend wird die Tabelle tblappstoeps bereinigt:

psql -U pgroot -d corporate -c "VACUUM FULL tblappstoeps"

Die Befehle melden nach erfolgreicher Ausführung üblicherweise VACUUM zurück. Wenn ein Befehl eine Fehlermeldung ausgibt oder ungewöhnlich lange hängt, sollte nicht mit weiteren experimentellen Datenbankbefehlen fortgefahren werden. In diesem Fall sind Ausgabe, Zeitpunkt und aktueller Disk-Status für Sophos Support relevant.

Während der Ausführung sollte keine zweite Person parallel Speicherplatz, Reports oder Datenbankdateien bereinigen. Sonst ist später nicht mehr klar, welche Massnahme welchen Effekt hatte. Bei produktiven Firewalls ist ein kurzer Change-Eintrag mit Startzeit, Befehl und Ergebnis sinnvoll.

Speicherplatz nach der Wartung prüfen

Nach Abschluss der Befehle sollte der Speicherplatz erneut geprüft werden:

df -h

Wenn die Secure Heartbeat Datenbank tatsächlich die Ursache war, sollte sich die Belegung der betroffenen Partition reduzieren. Wie stark der Effekt ausfällt, hängt davon ab, wie gross die Tabellen vorher waren und wie viele Daten PostgreSQL freigeben konnte.

Nach der Wartung sollte man zusätzlich prüfen:

  • Zeigt system diagnostics show disk wieder plausible Werte?
  • Sind Log Viewer, Reports und betroffene Dienste wieder nutzbar?
  • Gibt es neue Fehler in den relevanten Services und Logs?
  • Wächst der Speicherverbrauch in den nächsten Stunden oder Tagen erneut stark an?
  • Sind die ausgeführten Schritte im Ticket oder Change dokumentiert?

Für die Nachkontrolle reicht ein einzelner erfolgreicher df -h-Vergleich nicht immer aus. Wenn die Partition nur kurz entlastet ist und danach wieder schnell vollläuft, ist die Wartung kein Abschluss, sondern ein Diagnosehinweis. Dann sollte der Zeitverlauf mit frischen Disk-Ausgaben, Logzeitraum und betroffenen Diensten an Sophos Support zurückgespielt werden.

Wichtige Hinweise

  • Diese Wartung behebt nicht automatisch die Ursache, warum die Tabellen gewachsen sind.
  • Wenn der Speicherplatz danach erneut schnell ansteigt, sollte ein Sophos-Supportfall eröffnet werden.
  • VACUUM FULL ist intensiver als ein normales VACUUM, weil Tabellen neu geschrieben werden.
  • Die Befehle sollten nicht als regelmässiger Cronjob oder Routine ohne Diagnose verwendet werden.
  • Bei produktiven Firewalls empfiehlt sich ein Wartungsfenster, da einzelne Funktionen während der Datenbankwartung verzögert reagieren können.
  • Bei HA-Clustern muss klar sein, auf welchem Node die Wartung nötig ist.
  • Vor weiteren Datenbankbefehlen sollte Sophos Support erneut eingebunden werden.

Häufige Fehler

Befehle ohne Diagnose ausführen

Eine volle Partition bedeutet nicht automatisch, dass Secure Heartbeat die Ursache ist. Vor Datenbankbefehlen sollten Disk-Ausgaben, Logs und naheliegende Speicherverbraucher geprüft werden.

Kein Wartungsfenster einplanen

VACUUM FULL kann je nach Tabellengrösse dauern und Tabellen sperren. Auf produktiven Firewalls sollte der Schritt nicht nebenbei während einer kritischen Betriebsphase laufen.

Nach der Bereinigung nicht weiter beobachten

Wenn der Speicherplatz nur kurz frei wird und danach erneut stark wächst, ist die Ursache nicht behoben. Dann braucht es eine weitere Analyse mit Sophos Support.

HA-Node verwechselt

In HA-Umgebungen kann die lokale Speicherlage pro Node unterschiedlich sein. Deshalb sollte vor jedem Befehl klar sein, ob man auf Primary oder Auxiliary arbeitet und welche Seriennummer betroffen ist. Ein Befehl auf dem falschen Node kann wirkungslos sein und die spätere Analyse unnötig erschweren.

Einordnung des Falls

Im konkreten Supportfall war die Ursache eine zu grosse Secure Heartbeat-Datenbank. Die beiden genannten VACUUM FULL-Befehle dienen dazu, die betroffenen Tabellen gezielt zu bereinigen und nicht mehr benötigten Speicherplatz wieder freizugeben. Daraus sollte man aber keine allgemeine Datenbankwartung für Sophos Firewall ableiten.

Der Artikel behandelt nur diesen engen Speicherplatzfall. Wenn Security Heartbeat nicht funktioniert, Endpoints keinen Heartbeat-Status melden, Central-Synchronisation ausfällt oder Firewall-Regeln mit Heartbeat-Bedingungen nicht wie erwartet greifen, ist das ein anderes Fehlerbild. Dann sind Sophos Central Verbindung, Endpoint-Status, Firewall-Regel, Log Viewer und passende Service-Logs wichtiger als ein direkter Datenbankeingriff.

Für allgemeine Speicherprobleme bleibt der erste Einstieg die systematische Prüfung von Speicherplatz, Logs, Reports und Supportdaten. Für den Betrieb rund um Sophos Central passt zusätzlich Sophos Firewall mit Sophos Central verbinden, für Logdateien Sophos Firewall Troubleshooting: Services und Logs.

FAQ

Sollte man die Secure-Heartbeat-Datenbank regelmässig bereinigen?

Nein. Dieser Ablauf ist keine Routinewartung. Wenn die Tabellen wiederholt stark wachsen, sollte die Ursache mit Sophos Support geklärt werden.

Reicht eine Speicherwarnung als Grund für diese Befehle?

Nein. Vorher sollten normale Speicherursachen wie Reports, Logs, Mailqueue, Quarantäne, Supportarchive und virtuelle Disk-Grösse geprüft werden. Die Befehle passen erst, wenn Sophos Support den Datenbankpfad für den konkreten Fall bestätigt.

Was sollte man vor VACUUM FULL sichern?

Mindestens ein aktuelles Konfigurationsbackup, relevante Logs, Vorher-Ausgaben von df -h und system diagnostics show disk, Ticketnummer, Seriennummer, Firmwareversion und HA-Rolle.