Sophos Firewall Secure Heartbeat-database opschonen in geval van ondersteuning
Deze procedure is geen algemene tuning-tip voor Sophos Firewall. Het beschrijft een strikt beperkt ondersteuningsgeval: De firewall heeft te weinig vrije schijfruimte en Sophos Support bevestigt dat bepaalde tabellen met betrekking tot Secure Heartbeat in de database corporate ongewoon groot zijn geworden.
In dit geval kan gericht onderhoud met VACUUM FULL schijfruimte terugwinnen. Omdat hierbij direct toegang wordt verkregen tot de interne PostgreSQL-database van de firewall, moet de procedure alleen worden uitgevoerd na actuele bevestiging door Sophos Support en binnen een onderhoudsvenster.
Wanneer deze handleiding relevant is
De procedure is relevant wanneer de schijfruimte op de Sophos Firewall schaars wordt en er een vermoeden bestaat dat databasetabellen met betrekking tot Secure Heartbeat ongewoon veel ruimte innemen.
Typische aanwijzingen kunnen zijn:
- Waarschuwingen vanwege hoog schijfgebruik
- Sterk bezette partities op de firewall
- Problemen met rapporten, logs of diensten vanwege beperkte schijfcapaciteit
- Een melding van Sophos Support dat de Secure Heartbeat-database te groot is geworden
Als het onduidelijk is waarom de schijf vol raakt, moet eerst de algemene analyse uit Sophos Firewall schijfruimte controleren en rapporten beheren worden uitgevoerd. Dit databaseonderhoud is pas zinvol als rapporten, logs, mailwachtrij, quarantaine, virtuele schijfgrootte en andere voor de hand liggende oorzaken niet de werkelijke verklaring zijn of als Sophos Support het databasepad uitdrukkelijk noemt.
Vereisten
Voor dit onderhoud heeft men nodig:
- Administratieve toegang tot de Sophos Firewall
- Toegang tot de Advanced Shell
- Een specifieke aanbeveling of bevestiging door Sophos Support
- Een onderhoudsvenster
- Een actuele configuratieback-up van de firewall
- Veilige logs, voor het geval de situatie later verder moet worden geanalyseerd
- Voldoende vrije schijfruimte om het databaseonderhoud te voltooien
Als de toegang tot de shell nog niet is ingesteld, legt de handleiding Sophos Firewall verbinden via SSH uit hoe een SSH-verbinding met de firewall tot stand kan worden gebracht. Bij de voorbereiding van een ondersteuningsgeval helpen ook Sophos Firewall-logs voor externe analyse opslaan en Sophos Supportticket openen.
⚠️ Deze commando’s hebben direct toegang tot de interne PostgreSQL-database van de Sophos Firewall. Uitvoering moet alleen gericht en na actuele bevestiging door Sophos Support voor het specifieke ondersteuningsgeval plaatsvinden.
VACUUM FULLkan tabellen vergrendelen tijdens de uitvoering en kan, afhankelijk van de grootte van de database, enige tijd duren.
Wanneer de commando’s niet moeten worden uitgevoerd
De commando’s moeten niet worden uitgevoerd als er alleen een algemene schijfruimtewaarschuwing is en de oorzaak nog niet is ingeperkt. Vaak liggen schijfruimteproblemen aan rapporten, debug-logs, ondersteuningsbestanden, mailbescherming, quarantaine, te kleine virtuele schijf of algemene logbewaring.
Duidelijke stoptekens zijn:
- Sophos Support heeft de twee tabellen niet specifiek bevestigd: Dan zou de database-ingreep alleen op basis van een vermoeden zijn en niet specifiek zijn goedgekeurd.
- Geen actuele back-up of geen onderhoudsvenster: Bij een fout ontbreekt de veilige terugweg of de impact treft de lopende operatie.
- SSH of Advanced Shell is instabiel: Een afgebroken databasecommando bemoeilijkt verdere analyse.
- HA-rol, serienummer of getroffen node is onduidelijk: Het commando kan op het verkeerde apparaat geen effect hebben of de diagnose vervalsen.
- Parallel worden rapporten, logs of ondersteuningsarchieven verwijderd: Daarna is niet meer duidelijk welke maatregel schijfruimte heeft vrijgemaakt.
- De firewall verliest al kritieke diensten: Dan moet eerst de huidige toestand worden veiliggesteld en met Sophos Support worden beoordeeld.
De procedure is ook ongeschikt als regelmatige onderhoudsmaatregel, cronjob of voorzorgsmaatregel. Als de tabellen na korte tijd weer sterk groeien, is dat een symptoom, geen normale bedrijfsomstandigheid. Dan moet het ondersteuningsgeval met actuele logs, schijfuitvoer en tijdsverloop worden voortgezet.
Ondersteuningsgoedkeuring en afbreekcriteria
Voor de uitvoering moet niet alleen een back-up beschikbaar zijn. Het moet ook duidelijk zijn wie de stap heeft goedgekeurd, welk foutbeeld ermee wordt behandeld en wanneer de procedure moet worden afgebroken.
Zinvolle minimale gegevens:
- Ondersteuningsgoedkeuring: Ticketnummer, contactpersoon en specifieke aanbeveling.
- Betreffende firewall: Serienummer, model, firmwareversie, HA-rol.
- Foutbeeld: Schijfruimtewaarschuwing, getroffen partitie, getroffen diensten.
- Starttijd: Tijdstip voor het eerste commando.
- Voorafwaarden: Uitvoer van
df -h,df -hkmensystem diagnostics show disk. - Afbreekcriterium: Foutmelding, ongewoon lange looptijd, instabiele SSH-sessie of nieuwe systeemfouten.
Als de SSH-verbinding instabiel is, de firewall al kritieke diensten verliest of Sophos Support de tabellen niet specifiek heeft bevestigd, moet niet met databasecommando’s worden geëxperimenteerd. In dergelijke gevallen zijn actuele schijfuitvoer, logs en een goed ondersteuningsgeval waardevoller dan een half uitgevoerde onderhoudspoging.
Schijfruimte voor het onderhoud controleren
Voor het databaseonderhoud moet worden gecontroleerd hoe sterk de partities bezet zijn:
df -h
Voor een nauwkeurigere weergave in megabytes kan ook het volgende commando worden gebruikt:
df -hkm
De uitvoer moet voor het onderhoud worden gedocumenteerd, zodat men later kan vergelijken of schijfruimte is vrijgemaakt. Daarnaast is de Sophos-specifieke schijfstatus uit de Device Console nuttig:
system diagnostics show disk
Bij HA-clusters moeten beide nodes afzonderlijk worden gecontroleerd. Lokale databases, logs en vrije schijfruimte kunnen verschillen tussen Primary en Auxiliary.
Voor het onderhoud moet ook duidelijk zijn of er parallel nog andere oorzaken zijn die schijfruimte innemen. Dit omvat oude ondersteuningsarchieven, grote rapportdatabases, mailwachtrij, quarantaine, debug-logs of handmatig opgeslagen bestanden. Als deze punten niet zijn gecontroleerd, is de Secure Heartbeat-database slechts een vermoeden.
Databaseonderhoud uitvoeren
De volgende commando’s worden uitgevoerd in de Advanced Shell. Tijdens de uitvoering moet de SSH-sessie stabiel blijven. De firewall mag niet opnieuw worden opgestart zolang een commando wordt uitgevoerd.
Eerst wordt de tabel tbleacappcache opgeschoond:
psql -U pgroot -d corporate -c "VACUUM FULL tbleacappcache"
Vervolgens wordt de tabel tblappstoeps opgeschoond:
psql -U pgroot -d corporate -c "VACUUM FULL tblappstoeps"
De commando’s geven na succesvolle uitvoering meestal VACUUM terug. Als een commando een foutmelding geeft of ongewoon lang duurt, moet niet met verdere experimentele databasecommando’s worden doorgegaan. In dat geval zijn de uitvoer, het tijdstip en de actuele schijfstatus relevant voor Sophos Support.
Tijdens de uitvoering mag geen tweede persoon parallel schijfruimte, rapporten of databasebestanden opschonen. Anders is later niet meer duidelijk welke maatregel welk effect had. Bij productieve firewalls is een korte wijzigingsinvoer met starttijd, commando en resultaat zinvol.
Schijfruimte na het onderhoud controleren
Na voltooiing van de commando’s moet de schijfruimte opnieuw worden gecontroleerd:
df -h
Als de Secure Heartbeat-database daadwerkelijk de oorzaak was, zou de bezetting van de getroffen partitie moeten afnemen. Hoe sterk het effect is, hangt af van hoe groot de tabellen eerder waren en hoeveel gegevens PostgreSQL kon vrijgeven.
Na het onderhoud moet men ook controleren:
- Geeft
system diagnostics show diskweer plausibele waarden? - Zijn Log Viewer, rapporten en getroffen diensten weer bruikbaar?
- Zijn er nieuwe fouten in de relevante diensten en logs?
- Neemt het schijfgebruik in de komende uren of dagen opnieuw sterk toe?
- Zijn de uitgevoerde stappen in het ticket of de wijziging gedocumenteerd?
Voor de nacontrole is een enkele succesvolle df -h-vergelijking niet altijd voldoende. Als de partitie slechts kort wordt ontlast en daarna weer snel volloopt, is het onderhoud geen afsluiting, maar een diagnose-indicatie. Dan moet het tijdsverloop met verse schijfuitvoer, logperiode en getroffen diensten aan Sophos Support worden teruggekoppeld.
Belangrijke aanwijzingen
- Dit onderhoud lost niet automatisch de oorzaak op waarom de tabellen zijn gegroeid.
- Als de schijfruimte daarna opnieuw snel toeneemt, moet een Sophos-ondersteuningsgeval worden geopend.
VACUUM FULLis intensiever dan een normaalVACUUM, omdat tabellen opnieuw worden geschreven.- De commando’s moeten niet als regelmatige cronjob of routine zonder diagnose worden gebruikt.
- Bij productieve firewalls is een onderhoudsvenster aan te raden, omdat sommige functies tijdens het databaseonderhoud vertraagd kunnen reageren.
- Bij HA-clusters moet duidelijk zijn op welke node het onderhoud nodig is.
- Voor verdere databasecommando’s moet Sophos Support opnieuw worden betrokken.
Veelvoorkomende fouten
Commando’s zonder diagnose uitvoeren
Een volle partitie betekent niet automatisch dat Secure Heartbeat de oorzaak is. Voor databasecommando’s moeten schijfuitvoer, logs en voor de hand liggende schijfgebruikers worden gecontroleerd.
Geen onderhoudsvenster inplannen
VACUUM FULL kan afhankelijk van de tabelgrootte duren en tabellen vergrendelen. Op productieve firewalls moet de stap niet terloops tijdens een kritieke bedrijfsfase worden uitgevoerd.
Na de opschoning niet verder observeren
Als de schijfruimte slechts kort vrij wordt en daarna opnieuw sterk toeneemt, is de oorzaak niet opgelost. Dan is verdere analyse met Sophos Support nodig.
HA-node verwisseld
In HA-omgevingen kan de lokale schijfsituatie per node verschillend zijn. Daarom moet voor elk commando duidelijk zijn of men op Primary of Auxiliary werkt en welk serienummer is getroffen. Een commando op de verkeerde node kan geen effect hebben en de latere analyse onnodig bemoeilijken.
Indeling van het geval
In het specifieke ondersteuningsgeval was de oorzaak een te grote Secure Heartbeat-database. De genoemde VACUUM FULL-commando’s dienen om de getroffen tabellen gericht op te schonen en niet meer benodigde schijfruimte vrij te geven. Hieruit moet men echter geen algemeen databaseonderhoud voor Sophos Firewall afleiden.
Het artikel behandelt alleen dit beperkte schijfruimtegeval. Als Secure Heartbeat niet werkt, endpoints geen Heartbeat-status melden, Central-synchronisatie uitvalt of firewallregels met Heartbeat-voorwaarden niet zoals verwacht werken, is dat een ander foutbeeld. Dan zijn Sophos Central-verbinding, endpointstatus, firewallregel, Log Viewer en passende servicelogs belangrijker dan een directe database-ingreep.
Voor algemene schijfruimteproblemen blijft de eerste stap de systematische controle van schijfruimte, logs, rapporten en ondersteuningsgegevens. Voor de werking rond Sophos Central past daarnaast Sophos Firewall verbinden met Sophos Central, voor logbestanden Sophos Firewall Troubleshooting: Services en Logs.
FAQ
Moet men de Secure Heartbeat-database regelmatig opschonen?
Is een schijfruimtewaarschuwing voldoende reden voor deze commando's?
Wat moet men voor VACUUM FULL veiligstellen?
df -h en system diagnostics show disk, ticketnummer, serienummer, firmwareversie en HA-rol.