Sophos Firewall opslagruimte controleren en reports beheren
Wanneer een Sophos Firewall waarschuwt voor weinig opslagruimte, moet men niet meteen bestanden verwijderen of reports uitschakelen. Eerst moet duidelijk zijn welke partitie geraakt is en of lokale reports, logs, mailqueue, quarantaine, supportbestanden of een te kleine virtuele disk de oorzaak zijn.
Dit artikel legt uit hoe men de opslagstatus op de Sophos Firewall controleert, lokale reports gecontroleerd beheert en On-Box Reporting alleen deactiveert wanneer de gevolgen duidelijk zijn. Voor langdurige logbewaring is Central Firewall Reporting vaak de betere aanvulling, omdat men dan niet uitsluitend afhankelijk is van lokale reportgegevens op de appliance.
⚠️ Belangrijk: Het verwijderen van reports of het deactiveren van On-Box Reports kan lokale reports en loggegevens onherroepelijk verwijderen. Vóór zulke stappen moet worden gecontroleerd of de benodigde gegevens zijn geexporteerd, centraal opgeslagen of niet langer nodig voor support- en auditdoeleinden.
Wanneer opslagruimte kritiek wordt
Opslagproblemen tonen zich niet altijd op dezelfde manier. Typische signalen zijn:
- Waarschuwingsmail of Control-Center-melding over hoog opslagverbruik.
- Reports laden traag, blijven leeg of tonen geen actuele gegevens.
- Lokale logbestanden groeien sterk.
- Report- of databaseservices veroorzaken fouten.
- Firmware-upgrade of hotfix-installatie meldt te weinig vrije opslag.
- Virtuele firewall is met een te kleine disk uitgerold.
- Mail Protection, quarantaine of veel web-/Application-traffic veroorzaken veel lokale gegevens.
Als tegelijk ook I/O-fouten, ongebruikelijke herstarts of databaseproblemen optreden, moet men niet alleen opslagruimte vrijmaken. Dan past aanvullend de controle van de SSD-gezondheid via SMART en de relevante Services en Logs.
Bij reports is er een belangrijke drempel: standaard waarschuwt de firewall bij 70 procent gebruik van de relevante partitie. Vanaf 80 procent stopt het genereren van reports. Als reporting daardoor stopt, is het niet genoeg om net onder 80 procent te komen; het gebruik moet weer onder de waarschuwingsdrempel zakken, zodat reports weer betrouwbaar worden gegenereerd.
Bij zeer kleine appliances moet ook worden gecontroleerd of lokale reports überhaupt worden ondersteund. Sophos noemt XGS 87/87w en XGS 88/88w als modellen zonder On-Appliance Reporting. In zulke omgevingen is centrale bewaring via Sophos Central of Syslog niet alleen gemak, maar onderdeel van het ontwerp.
Wat opslag op de firewall gebruikt
Veel lokale bedrijfsgegevens staan in /var. Daar bewaart de firewall onder andere reports, Event Logs, Troubleshooting Logs en gegevens van andere componenten. De afzonderlijke gebieden hebben afhankelijk van appliance-model en functie eigen quota. Een kleine branch-firewall gedraagt zich daarom anders dan een grote appliance met meer lokale capaciteit.
Belangrijk is het onderscheid:
- Reports: Reports worden niet meer netjes opgeslagen of moeten worden ingekort of verwijderd. Het risico is een kortere lokale historie en ontbrekende analyses.
- Event Logs: Oudere logs worden verwijderd, nieuwe events kunnen verder worden geschreven. De historische analyse wordt daardoor korter.
- Troubleshooting Logs: Oudere gecomprimeerde logbestanden worden verwijderd. Voor supportanalyses kan daardoor een belangrijk tijdvenster ontbreken.
- E-mailquarantaine: Oudere quarantainemails kunnen worden verwijderd. Traceerbaarheid en vrijgaveprocessen lijden daaronder.
- Tijdelijke bestanden of handmatig gekopieerde bestanden: Zulke bestanden kunnen opslag onnodig blokkeren. De oorzaak blijft verborgen wanneer alleen reports worden verwijderd.
De Disk-Usage-Graph in WebAdmin helpt bij de eerste beoordeling. Daar worden signatures, configuratiegegevens, reports en tijdelijke opslag gescheiden weergegeven. Dat vervangt geen detailanalyse, maar toont wel of eerder reports, tijdelijke data of andere gebieden opvallen.
De belangrijkste denkfout is het mengen van reports en logs. Reportbewaring onder Reports > Show Reports settings > Data management betreft reports. Event Logs voor Log Viewer, Sophos Central en Syslog worden daarentegen onder System services > Log settings gestuurd. Als men alleen de reportbewaring inkort, worden lokale Event Logs daardoor niet automatisch kleiner.
Na upgrades is nog een punt belangrijk: sinds SFOS 21.0 kan de firewall reports voor en na een upgrade in gescheiden reportdatabases behandelen. Bij het analyseren van een upgradedag kan daarom een keuze verschijnen tussen data van voor en na de migratie. Als men na een upgrade terugrolt naar oudere firmware, kunnen reports verloren gaan die sinds de upgrade zijn aangemaakt. Vóór firmwarewerkzaamheden moeten relevante lokale reports daarom worden geexporteerd of centraal beschikbaar zijn.
Opslagruimte in de Device Console controleren
Voor een snel overzicht kan men de gebruikte opslag in de Device Console controleren. Het commando toont de relevante opslaggebieden van de Sophos Firewall:
system diagnostics show disk

De Device Console is bedoeld voor Sophos-specifieke commando’s. Als toegang via SSH moet worden voorbereid, helpt Sophos Firewall via SSH verbinden. Daar staat ook beschreven waarom SSH alleen vanuit vertrouwde beheernetwerken toegestaan moet worden.
Opslagruimte in de Advanced Shell controleren
In de Advanced Shell kan men de bestandssystemen nauwkeuriger bekijken. Dit commando toont grootte, gebruikte opslag, vrije opslag en procentueel gebruik:
df -hkm

Als onduidelijk is of de volledige uitvoer te breed is, kan men gericht naar /var kijken, omdat daar veel lokale bedrijfsgegevens staan:
df -h /var
Het commando is alleen-lezen. Er mogen geen bestanden in systeemmappen handmatig worden verwijderd alleen omdat een partitie vol lijkt. Eerst moet de oorzaak worden ingeperkt.
Als /var opvalt, moet men eerst de voorziene Sophos-gebieden controleren in plaats van willekeurig directories te verwijderen. Voor een grove beoordeling zijn vooral Reports, Event Logs en Troubleshooting Logs relevant. Daarnaast moet men controleren of Packet Capture, Debug-Logging, supportbestanden of handmatig gekopieerde bestanden opslag gebruiken.
Voor de drie typische opslagblokken noemt Sophos deze leescommando’s in de Advanced Shell:
du -kh reportdb_16
du -kh eventlogs
du -kh tslog
Deze commando’s zijn bedoeld voor beoordeling. Ze vervangen geen ondersteunde opschoning via WebAdmin, Device Console of de daarvoor bedoelde diagnosefuncties.
Oorzaak inperken
Een volle disk kan meerdere oorzaken hebben. De juiste volgende stap hangt af van welke gegevens groeien.
- Reports gebruiken veel opslag: Bewaartermijn onder Reports > Show Reports settings > Data management controleren, reports exporteren of Central Reporting gebruiken.
- Lokale logs groeien sterk: Log settings, Debug-Logging en betrokken services controleren.
- Troubleshooting Logs groeien sterk: Debug-Logging, actieve supportanalyse of terugkerende servicefouten controleren.
/varis opvallend vol: Reports, logs, database, supportbestanden of mailqueue controleren.- Disk Graph toont veel tijdelijke opslag: Lopende captures, supportbestanden of tijdelijke processen controleren.
- E-mailquarantaine of Mail Spool groeit: Email > Quarantine settings en Email > Mail spool controleren. Vastgelopen berichten moeten gecontroleerd opnieuw worden afgeleverd of verwijderd.
- Virtuele firewall is te krap gedimensioneerd: Diskgrootte en platformrichtlijnen in de hypervisor controleren.
- Voor firmware-upgrade verschijnt een opslagwaarschuwing: Upgrade niet blind starten, eerst SFOS 22 Upgrade Check uitvoeren.
- HA-cluster getroffen: Beide nodes apart controleren, omdat lokale logs en reports niet identiek hoeven te zijn.
Bij actieve storingen moet men eerst logs veiligstellen zolang de fout vers is. Het artikel Sophos Firewall logs voor support en analyse veiligstellen beschrijft de export van lokale loggegevens.
Als Event Logs lokale opslag belasten, is reportretentie niet de juiste hefboom. Dan controleert men onder System services > Log settings welke modules lokaal worden opgeslagen, naar Sophos Central worden gestuurd of naar Syslog worden doorgestuurd. Log Suppression kan helpen om onnodige herhalingen te verminderen. Daarbij mogen echter geen security-relevante events verdwijnen die later nodig zijn voor Incident Response, support of compliance.
Niet handmatig in het bestandssysteem verwijderen
Ook wanneer de Advanced Shell vrije opslag en directories toont, mag men niet direct in /var, /log of databasedirectories bestanden verwijderen. Handmatige verwijderacties kunnen reports, services, databases of supportanalyses beschadigen en maken latere oorzaakanalyse moeilijker.
Beter proces:
- Opslagstatus en getroffen partitie documenteren.
- Relevante logs of CTR veiligstellen als een supportcase waarschijnlijk is.
- Controleren of Packet Capture of Debug-Logging nog actief is.
- Reportbewaring via WebAdmin controleren.
- Reports alleen via het voorziene consolepunt leegmaken wanneer duidelijk is dat lokale data mogen vervallen.
- Bij verder groeiend verbruik de oorzaak controleren: Debug-Logging, mailqueue, quarantaine, database, virtuele disk of ongewoon veel lokale traffic.
Als onduidelijk is welke gegevens de opslag gebruiken, moet men niet met rm werken. Dan is het veiliger om logs veilig te stellen en support of Avanet met de actuele bevinding te betrekken.
Voor Troubleshooting Logs zijn er aparte Device Console-commando’s voor purging. Deze vervangen geen oorzaakanalyse en mogen pas worden gebruikt wanneer benodigde logs zijn veiliggesteld. Grofweg verwijdert system diagnostics purge-old-logs oudere gecomprimeerde logs, terwijl system diagnostics purge-all-logs alle Troubleshooting Logs verwijdert. Voor afzonderlijke subsystemen bestaan specifieke varianten. Bij twijfel is een gerichte export onder Diagnostics > Tools schoner dan een algemene purge.
Reportbewaring in WebAdmin aanpassen
Als lokale reports de oorzaak zijn, moet eerst de bewaartermijn worden gecontroleerd. In veel omgevingen lopen On-Box Reports historisch mee, hoewel de eigenlijke analyse inmiddels centraal gebeurt.
Het Sophos-pad voor lokale reportbewaring is:
Reports > Show Reports settings > Data management
Daar kan men de bewaartermijn per reportmodule aanpassen en met Apply opslaan. De wijziging werkt op reports, niet op Event Logs. Sophos wijst er bovendien op dat wijzigingen aan de reportbewaring pas om 00:00 uur actief worden.

Zinvolle vragen vóór een wijziging:
- Worden lokale reports echt nog gebruikt?
- Is er al Central Reporting, syslog of een SIEM?
- Hoe lang moeten log- en reportgegevens intern worden bewaard?
- Zijn er compliance- of supportvereisten?
- Is een kortere lokale bewaring voldoende als centrale opslag actief is?
Als logs en reports in Sophos Central nodig zijn, moet aanvullend worden gecontroleerd welke logtypes onder System services > Log settings naar Central worden verzonden. De activering staat beschreven in Central Firewall Reporting activeren.
Reports alleen gecontroleerd verwijderen
Als services door volle opslag niet meer netjes werken, kan handmatig opschonen van reports nodig zijn. Dat moet een gecontroleerde recoverymaatregel zijn, niet het normale bedrijfsproces.
Vooraf controleren:
- actueel configuratiebackup beschikbaar
- benodigde reports geexporteerd of centraal beschikbaar
- getroffen tijdvensters gedocumenteerd
- reden voor de opslaggroei begrepen
- onderhoudsvenster of supportcase voorbereid als de firewall al instabiel is
De eerste weg moet WebAdmin zijn:
Reports > Show Reports settings > Manual purge
Daarmee kan men reports gericht per module en periode verwijderen. Dit proces kan langzaam zijn, omdat de firewall reports bewust gecontroleerd purget om systeembronnen te sparen.
Als dat niet volstaat of de firewall al in een recoverytoestand is, is er het consolepunt:
5. Device Management > 4. Flush Device Reports

Na het verwijderen moet men niet zomaar terugkeren naar de dagelijkse operatie. Belangrijk is de controle of de vrije opslag echt stijgt en of Reports, Log Viewer, Central Reporting en betrokken services daarna weer plausibel werken.
Flush Device Reports verwijdert de op de firewall opgeslagen reports en start de firewall opnieuw. Gedurende die tijd is deze ongeveer tien minuten niet via het netwerk bereikbaar. Daarom hoort deze stap in een onderhoudsvenster of een gedocumenteerd recoveryproces.
Als de firewall door volle opslag al services raakt, moet vóór het verwijderen duidelijk zijn welke gegevens daarna ontbreken. Lokale reports zijn vaak nuttig voor Change Reviews, gebruikersanalyse, security-traceerbaarheid of supportvragen. Wie ze verwijdert, heeft een korte notitie nodig met tijdvenster, reden en aanwezige vervangende bron, bijvoorbeeld Central Reporting of syslog.
On-Box Reports controleren of deactiveren
On-Box Reports slaan rapporten lokaal op de firewall op. Dat is praktisch, maar kan bij kleine appliances, veel traffic of lange bewaring opslag gebruiken.
De status controleert men in de Device Console:
show on-box-reports
Dit commando beantwoordt niet dezelfde vraag als system diagnostics show disk: show on-box-reports toont of lokale reports in principe actief zijn, terwijl system diagnostics show disk het actuele storageverbruik van de afzonderlijke gebieden toont. Voor een nette diagnose zijn meestal beide weergaven nodig.
Als lokale reports niet nodig zijn en een andere bewaring aanwezig is, kan men On-Box Reports deactiveren:
set on-box-reports off
Dat moet alleen bewust gebeuren. Reports zijn belangrijk voor analyse, support en beheer. In veel productieve omgevingen is het beter om lokale bewaring te verkorten en parallel Central Reporting, syslog of een SIEM te gebruiken. Als langere centrale bewaring nodig is, is Sophos Central Firewall Reporting Advanced een mogelijke optie.
Belangrijk: On-Box Reports kunnen alleen volledig aan of uit worden gezet, niet selectief per module. Als alleen afzonderlijke reportgebieden veel opslag gebruiken, is kortere bewaring of gericht purging meestal beter dan On-Box Reporting volledig uitschakelen.
Als On-Box Reports worden uitgeschakeld, moet daarna niet alleen de opslag worden gecontroleerd. Ook interne processen veranderen: lokale reportweergaven, geplande reports, security-analyses en snelle ad-hocanalyses op de firewall kunnen wegvallen of minder nuttig worden. Daarom hoort deze stap bij een bedrijfsbeslissing, niet bij spontane opslagopschoning.
Waarschuwingsdrempels en alerts beoordelen
De Sophos Firewall kan bij hoge /var-belasting Control-Center-alerts en Event Logs genereren. De waarschuwingsdrempel kan via de Device Console met set var-partition-usage watermark worden ingesteld. Dat is echter geen opslagfix. Een lagere of hogere drempel verandert alleen wanneer een waarschuwing verschijnt, niet waarom opslag wordt verbruikt.
Het toegestane bereik ligt tussen 50 en 75 procent, standaard is 70 procent. Reporting stopt bij 80 procent en die stop is niet de eigenlijke bedrijfsgrens, maar al een fouttoestand. Een hogere waarschuwingsdrempel maakt de firewall dus niet stabieler, maar verkort alleen de reactietijd.
Voor beheer is meestal zinvoller:
- E-mail- of SNMP-meldingen voor opslagwaarschuwingen activeren.
- Opslagwaarschuwingen niet pas in het volgende onderhoudsvenster controleren.
- Bij terugkerende waarschuwingen bewaring, Debug-Logging en lokale reportnutzung aanpassen.
- Vóór firmware-upgrades vrije opslag bewust controleren.
Als het gebruik duidelijk stijgt of reports al stoppen, moet eerst opslag worden vrijgemaakt en de oorzaak worden opgehelderd. Een gewijzigde waarschuwingsdrempel mag niet dienen om een echt capaciteitsprobleem te verbergen.
Let op virtuele firewalls
Bij virtuele Sophos Firewalls ligt de oorzaak niet altijd in reports of logs. Soms is de virtuele appliance met te weinig disk uitgerold of over meerdere jaren gegroeid zonder de platformvereisten opnieuw te controleren.
In virtuele omgevingen moet men aanvullend controleren:
- Grootte van de virtuele disk.
- Vrije opslag op de datastore.
- Snapshots, back-uptaken en storage-latency.
- Monitoring van de hypervisor.
- Of de firewallversie aanvullende opslagvereisten noemt.
- Of de virtuele disk online mag worden uitgebreid of een reimage met restore de nettere weg is.
Als de disk fundamenteel te klein is, is het verwijderen van reports alleen een kortetermijnontlasting. Dan moet het virtuele platform netjes worden aangepast en met back-up, onderhoudsvenster en restoreplan worden beveiligd.
Vóór SFOS 22 is dit punt bijzonder belangrijk: als de firewall een opslagwaarschuwing of upgradeblocker voor de virtuele disk toont, moet eerst de SFOS 22 Upgrade Check worden afgewerkt. Daar zijn de officiele Sophos-aanwijzingen voor de virtuele disk gelinkt. De uitbreiding hoort in een gepland onderhoudsvenster met back-up, gecontroleerde hypervisoropslag en aansluitende validatie van de partities.
Bij hardware-appliances is diskuitbreiding daarentegen niet de normale weg. Daar moet men opslagverbruik, reports, logs, quarantaine en SSD-status controleren en bij hardwareverdacht een support- of RMA-proces voorbereiden.
Checklist
Direct controleren
- Waarschuwing, tijdstip en getroffen firewall gedocumenteerd.
system diagnostics show diskin de Device Console uitgevoerd.df -hkmin de Advanced Shell gecontroleerd.- Opvallende partitie genoteerd.
- Disk-Usage-Graph in WebAdmin voor grove beoordeling gecontroleerd.
- Reports, logs, mailqueue, quarantaine en virtuele disk als mogelijke oorzaken beoordeeld.
- Packet Capture en Debug-Logging als kortetermijnbronnen van opslag gecontroleerd.
Vóór verwijderen of deactiveren
- Benodigde reports en logs veiliggesteld.
- Central Reporting, syslog of andere centrale bewaring gecontroleerd.
- Back-up en recoverypad aanwezig.
- Onderhoudsvenster gedefinieerd als productieve services geraakt zijn.
- Bij HA beide nodes apart gecontroleerd.
- Tijdvenster en reden voor reportopschoning gedocumenteerd.
Na de opschoning
- Vrije opslag opnieuw gecontroleerd.
- Reports en Log Viewer getest.
- Central Reporting of syslog op actuele gegevens gecontroleerd.
- Oorzaak van de opslaggroei gedocumenteerd.
- Bewaartermijn, Log settings en reviewproces aangepast.
- Meldingen voor toekomstige opslagwaarschuwingen gecontroleerd.
FAQ
Wanneer is opslagruimte op de Sophos Firewall kritiek?
Kan men reports gewoon verwijderen?
Moet men On-Box Reports deactiveren?
Kan men On-Box Reports alleen voor afzonderlijke modules deactiveren?
Waarom is /var vaak relevant?
/var staan veel lokale bedrijfsgegevens. Als dit gebied sterk groeit, kunnen reports, logbestanden, databasegegevens, supportbestanden of mail-/quarantainegegevens betrokken zijn.