Naar de inhoud
Avanet

Sophos Firewall Secure Heartbeat-database opschonen in geval van ondersteuning

Deze procedure is geen algemene tuning-tip voor Sophos Firewall. Het beschrijft een strikt beperkt ondersteuningsgeval: De firewall heeft te weinig vrije schijfruimte en Sophos Support bevestigt dat bepaalde tabellen met betrekking tot Secure Heartbeat in de database corporate ongewoon groot zijn geworden.

In dit geval kan gericht onderhoud met VACUUM FULL schijfruimte terugwinnen. Omdat hierbij direct toegang wordt verkregen tot de interne PostgreSQL-database van de firewall, moet de procedure alleen worden uitgevoerd na actuele bevestiging door Sophos Support en binnen een onderhoudsvenster.

Wanneer deze handleiding relevant is

De procedure is relevant wanneer de schijfruimte op de Sophos Firewall schaars wordt en er een vermoeden bestaat dat databasetabellen met betrekking tot Secure Heartbeat ongewoon veel ruimte innemen.

Typische aanwijzingen kunnen zijn:

  • Waarschuwingen vanwege hoog schijfgebruik
  • Sterk bezette partities op de firewall
  • Problemen met rapporten, logs of diensten vanwege beperkte schijfcapaciteit
  • Een melding van Sophos Support dat de Secure Heartbeat-database te groot is geworden

Als het onduidelijk is waarom de schijf vol raakt, moet eerst de algemene analyse uit Sophos Firewall schijfruimte controleren en rapporten beheren worden uitgevoerd. Dit databaseonderhoud is pas zinvol als rapporten, logs, mailwachtrij, quarantaine, virtuele schijfgrootte en andere voor de hand liggende oorzaken niet de werkelijke verklaring zijn of als Sophos Support het databasepad uitdrukkelijk noemt.

Vereisten

Voor dit onderhoud heeft men nodig:

  • Administratieve toegang tot de Sophos Firewall
  • Toegang tot de Advanced Shell
  • Een specifieke aanbeveling of bevestiging door Sophos Support
  • Een onderhoudsvenster
  • Een actuele configuratieback-up van de firewall
  • Veilige logs, voor het geval de situatie later verder moet worden geanalyseerd
  • Voldoende vrije schijfruimte om het databaseonderhoud te voltooien

Als de toegang tot de shell nog niet is ingesteld, legt de handleiding Sophos Firewall verbinden via SSH uit hoe een SSH-verbinding met de firewall tot stand kan worden gebracht. Bij de voorbereiding van een ondersteuningsgeval helpen ook Sophos Firewall-logs voor externe analyse opslaan en Sophos Supportticket openen.

⚠️ Deze commando’s hebben direct toegang tot de interne PostgreSQL-database van de Sophos Firewall. Uitvoering moet alleen gericht en na actuele bevestiging door Sophos Support voor het specifieke ondersteuningsgeval plaatsvinden. VACUUM FULL kan tabellen vergrendelen tijdens de uitvoering en kan, afhankelijk van de grootte van de database, enige tijd duren.

Wanneer de commando’s niet moeten worden uitgevoerd

De commando’s moeten niet worden uitgevoerd als er alleen een algemene schijfruimtewaarschuwing is en de oorzaak nog niet is ingeperkt. Vaak liggen schijfruimteproblemen aan rapporten, debug-logs, ondersteuningsbestanden, mailbescherming, quarantaine, te kleine virtuele schijf of algemene logbewaring.

Duidelijke stoptekens zijn:

  • Sophos Support heeft de twee tabellen niet specifiek bevestigd: Dan zou de database-ingreep alleen op basis van een vermoeden zijn en niet specifiek zijn goedgekeurd.
  • Geen actuele back-up of geen onderhoudsvenster: Bij een fout ontbreekt de veilige terugweg of de impact treft de lopende operatie.
  • SSH of Advanced Shell is instabiel: Een afgebroken databasecommando bemoeilijkt verdere analyse.
  • HA-rol, serienummer of getroffen node is onduidelijk: Het commando kan op het verkeerde apparaat geen effect hebben of de diagnose vervalsen.
  • Parallel worden rapporten, logs of ondersteuningsarchieven verwijderd: Daarna is niet meer duidelijk welke maatregel schijfruimte heeft vrijgemaakt.
  • De firewall verliest al kritieke diensten: Dan moet eerst de huidige toestand worden veiliggesteld en met Sophos Support worden beoordeeld.

De procedure is ook ongeschikt als regelmatige onderhoudsmaatregel, cronjob of voorzorgsmaatregel. Als de tabellen na korte tijd weer sterk groeien, is dat een symptoom, geen normale bedrijfsomstandigheid. Dan moet het ondersteuningsgeval met actuele logs, schijfuitvoer en tijdsverloop worden voortgezet.

Ondersteuningsgoedkeuring en afbreekcriteria

Voor de uitvoering moet niet alleen een back-up beschikbaar zijn. Het moet ook duidelijk zijn wie de stap heeft goedgekeurd, welk foutbeeld ermee wordt behandeld en wanneer de procedure moet worden afgebroken.

Zinvolle minimale gegevens:

  • Ondersteuningsgoedkeuring: Ticketnummer, contactpersoon en specifieke aanbeveling.
  • Betreffende firewall: Serienummer, model, firmwareversie, HA-rol.
  • Foutbeeld: Schijfruimtewaarschuwing, getroffen partitie, getroffen diensten.
  • Starttijd: Tijdstip voor het eerste commando.
  • Voorafwaarden: Uitvoer van df -h, df -hkm en system diagnostics show disk.
  • Afbreekcriterium: Foutmelding, ongewoon lange looptijd, instabiele SSH-sessie of nieuwe systeemfouten.

Als de SSH-verbinding instabiel is, de firewall al kritieke diensten verliest of Sophos Support de tabellen niet specifiek heeft bevestigd, moet niet met databasecommando’s worden geëxperimenteerd. In dergelijke gevallen zijn actuele schijfuitvoer, logs en een goed ondersteuningsgeval waardevoller dan een half uitgevoerde onderhoudspoging.

Schijfruimte voor het onderhoud controleren

Voor het databaseonderhoud moet worden gecontroleerd hoe sterk de partities bezet zijn:

df -h

Voor een nauwkeurigere weergave in megabytes kan ook het volgende commando worden gebruikt:

df -hkm

De uitvoer moet voor het onderhoud worden gedocumenteerd, zodat men later kan vergelijken of schijfruimte is vrijgemaakt. Daarnaast is de Sophos-specifieke schijfstatus uit de Device Console nuttig:

system diagnostics show disk

Bij HA-clusters moeten beide nodes afzonderlijk worden gecontroleerd. Lokale databases, logs en vrije schijfruimte kunnen verschillen tussen Primary en Auxiliary.

Voor het onderhoud moet ook duidelijk zijn of er parallel nog andere oorzaken zijn die schijfruimte innemen. Dit omvat oude ondersteuningsarchieven, grote rapportdatabases, mailwachtrij, quarantaine, debug-logs of handmatig opgeslagen bestanden. Als deze punten niet zijn gecontroleerd, is de Secure Heartbeat-database slechts een vermoeden.

Databaseonderhoud uitvoeren

De volgende commando’s worden uitgevoerd in de Advanced Shell. Tijdens de uitvoering moet de SSH-sessie stabiel blijven. De firewall mag niet opnieuw worden opgestart zolang een commando wordt uitgevoerd.

Eerst wordt de tabel tbleacappcache opgeschoond:

psql -U pgroot -d corporate -c "VACUUM FULL tbleacappcache"

Vervolgens wordt de tabel tblappstoeps opgeschoond:

psql -U pgroot -d corporate -c "VACUUM FULL tblappstoeps"

De commando’s geven na succesvolle uitvoering meestal VACUUM terug. Als een commando een foutmelding geeft of ongewoon lang duurt, moet niet met verdere experimentele databasecommando’s worden doorgegaan. In dat geval zijn de uitvoer, het tijdstip en de actuele schijfstatus relevant voor Sophos Support.

Tijdens de uitvoering mag geen tweede persoon parallel schijfruimte, rapporten of databasebestanden opschonen. Anders is later niet meer duidelijk welke maatregel welk effect had. Bij productieve firewalls is een korte wijzigingsinvoer met starttijd, commando en resultaat zinvol.

Schijfruimte na het onderhoud controleren

Na voltooiing van de commando’s moet de schijfruimte opnieuw worden gecontroleerd:

df -h

Als de Secure Heartbeat-database daadwerkelijk de oorzaak was, zou de bezetting van de getroffen partitie moeten afnemen. Hoe sterk het effect is, hangt af van hoe groot de tabellen eerder waren en hoeveel gegevens PostgreSQL kon vrijgeven.

Na het onderhoud moet men ook controleren:

  • Geeft system diagnostics show disk weer plausibele waarden?
  • Zijn Log Viewer, rapporten en getroffen diensten weer bruikbaar?
  • Zijn er nieuwe fouten in de relevante diensten en logs?
  • Neemt het schijfgebruik in de komende uren of dagen opnieuw sterk toe?
  • Zijn de uitgevoerde stappen in het ticket of de wijziging gedocumenteerd?

Voor de nacontrole is een enkele succesvolle df -h-vergelijking niet altijd voldoende. Als de partitie slechts kort wordt ontlast en daarna weer snel volloopt, is het onderhoud geen afsluiting, maar een diagnose-indicatie. Dan moet het tijdsverloop met verse schijfuitvoer, logperiode en getroffen diensten aan Sophos Support worden teruggekoppeld.

Belangrijke aanwijzingen

  • Dit onderhoud lost niet automatisch de oorzaak op waarom de tabellen zijn gegroeid.
  • Als de schijfruimte daarna opnieuw snel toeneemt, moet een Sophos-ondersteuningsgeval worden geopend.
  • VACUUM FULL is intensiever dan een normaal VACUUM, omdat tabellen opnieuw worden geschreven.
  • De commando’s moeten niet als regelmatige cronjob of routine zonder diagnose worden gebruikt.
  • Bij productieve firewalls is een onderhoudsvenster aan te raden, omdat sommige functies tijdens het databaseonderhoud vertraagd kunnen reageren.
  • Bij HA-clusters moet duidelijk zijn op welke node het onderhoud nodig is.
  • Voor verdere databasecommando’s moet Sophos Support opnieuw worden betrokken.

Veelvoorkomende fouten

Commando’s zonder diagnose uitvoeren

Een volle partitie betekent niet automatisch dat Secure Heartbeat de oorzaak is. Voor databasecommando’s moeten schijfuitvoer, logs en voor de hand liggende schijfgebruikers worden gecontroleerd.

Geen onderhoudsvenster inplannen

VACUUM FULL kan afhankelijk van de tabelgrootte duren en tabellen vergrendelen. Op productieve firewalls moet de stap niet terloops tijdens een kritieke bedrijfsfase worden uitgevoerd.

Na de opschoning niet verder observeren

Als de schijfruimte slechts kort vrij wordt en daarna opnieuw sterk toeneemt, is de oorzaak niet opgelost. Dan is verdere analyse met Sophos Support nodig.

HA-node verwisseld

In HA-omgevingen kan de lokale schijfsituatie per node verschillend zijn. Daarom moet voor elk commando duidelijk zijn of men op Primary of Auxiliary werkt en welk serienummer is getroffen. Een commando op de verkeerde node kan geen effect hebben en de latere analyse onnodig bemoeilijken.

Indeling van het geval

In het specifieke ondersteuningsgeval was de oorzaak een te grote Secure Heartbeat-database. De genoemde VACUUM FULL-commando’s dienen om de getroffen tabellen gericht op te schonen en niet meer benodigde schijfruimte vrij te geven. Hieruit moet men echter geen algemeen databaseonderhoud voor Sophos Firewall afleiden.

Het artikel behandelt alleen dit beperkte schijfruimtegeval. Als Secure Heartbeat niet werkt, endpoints geen Heartbeat-status melden, Central-synchronisatie uitvalt of firewallregels met Heartbeat-voorwaarden niet zoals verwacht werken, is dat een ander foutbeeld. Dan zijn Sophos Central-verbinding, endpointstatus, firewallregel, Log Viewer en passende servicelogs belangrijker dan een directe database-ingreep.

Voor algemene schijfruimteproblemen blijft de eerste stap de systematische controle van schijfruimte, logs, rapporten en ondersteuningsgegevens. Voor de werking rond Sophos Central past daarnaast Sophos Firewall verbinden met Sophos Central, voor logbestanden Sophos Firewall Troubleshooting: Services en Logs.

FAQ

Moet men de Secure Heartbeat-database regelmatig opschonen?

Nee. Deze procedure is geen routineonderhoud. Als de tabellen herhaaldelijk sterk groeien, moet de oorzaak met Sophos Support worden opgehelderd.

Is een schijfruimtewaarschuwing voldoende reden voor deze commando's?

Nee. Eerst moeten normale schijfruimteoorzaken zoals rapporten, logs, mailwachtrij, quarantaine, ondersteuningsarchieven en virtuele schijfgrootte worden gecontroleerd. De commando’s zijn pas geschikt als Sophos Support het databasepad voor het specifieke geval bevestigt.

Wat moet men voor VACUUM FULL veiligstellen?

Ten minste een actuele configuratieback-up, relevante logs, vooraf-uitvoer van df -h en system diagnostics show disk, ticketnummer, serienummer, firmwareversie en HA-rol.