/opt/pancfg 分区上的高磁盘空间使用率以及如何清除

/opt/pancfg 分区上的高磁盘空间使用率以及如何清除

208591
Created On 04/08/19 13:54 PM - Last Modified 02/16/24 15:54 PM


Symptom


  • 无法登录 Web UI
  • 无法下载PAN-OS发布图像(设备>软件更新)
  • 无法下载动态Wildfire, 内容图片 (设备>动态更新)
WebGUI_错误
  • /opt/pancfg 分区大于 90%
> show system disk-space 

Filesystem            Size  Used Avail Use% Mounted on
/dev/sda3             7.6G  2.8G  4.4G  40% /
/dev/sda5              23G   21G  1.4G  94% /opt/pancfg         <------ Over 90%
/dev/sda6              16G   13G  1.5G  91% /opt/panrepo
tmpfs                 7.9G  110M  7.8G   2% /dev/shm
cgroup_root           7.9G     0  7.9G   0% /cgroup
/dev/sda8              56G   17G   37G  32% /opt/panlogs
/dev/loop0             16G  173M   15G   2% /opt/logbuffer


Environment


  • PAN-OS
  • 帕洛阿尔托 Firewall
  • Panorama

Cause


/opt/pancfg 填满的一些常见原因是:
  • 大量保存的配置
  • 大量下载PAN-OS软件镜像文件
  • 在Panorama, 大量下载PAN-OS下托管设备的软件映像文件Panorama> 设备部署
  • 尽管 /opt/pancfg 分区中仍有 1.4GB 可用空间,但下载仍然会失败。 这PAN-OS对 /opt/pancfg 上的磁盘空间进行严格检查。 如果它是 90% 或以上,则无论可用磁盘空间如何,下载都会失败。

关于Panorama:
每当候选配置保存在firewall由管理Panorama,或者通过网络界面(设备>设置>操作>节省命名配置快照)或通过CLI(“保存配置到 <文件名>”),同样的文件也保存在Panorama在目录 /opt/pancfg/mgmt/devices/<SN >/. 在这种情况下,<SN > 是序列号firewall.

每当在firewall被删除(“删除配置saved <filename>”), 配置文件是NOT自动删除Panorama. 通过让多个防火墙由同一个管理Panorama,其中一些具有较大配置文件的文件最终会导致 /opt/pancfg/ 分区上的可用磁盘空间耗尽。

Resolution


来自CLI
1. 使用检查哪个 pancfg 子目录使用率高CLI可用开始PAN-OS10.2:

 show system pancfg-directory-usage

2.删除软件和动态更新图像使用CLI:

delete software version <version-number>
delete config saved <file-name>
delete config repo <Named snapshot>
delete content cache old-content
delete wildfire update <value>
delete anti-virus update <value>
3.从特定设备删除保存的配置文件(Panorama仅)使用CLI:
Panorama> delete config repo device <device SN> file <Named snapshot>​​​​​​
笔记:无法通过 Web 界面进行批量删除,或者CLI.
4.降低最大图像数量以保持使用CLI以下。默认设置为 5。
> show max-num-images
Maximum images to keep is set to 5

To change the number stored to a minimum of 2.
> set max-num-images count 2
5.限制默认设置为6GB的设备监控分配使用CLI:
> debug management-server device-monitoring disk-quota set force yes size 2048

6.限制报告存储的大小为了Panorama使用CLI:

> request report-storage-size set size <0-4>


来自网络-GUI

  1. 删除任何未使用的软件图片 (设备>软件)
  2. 删除任何未使用的内容图片 (设备>动态更新)

如果上述补救步骤均无法解决问题,建议收集以下信息故障排除数据并打开一个支持案例。
  1. 收集技术支持文件(GUI : 设备 > 支持点击生成技术支持文件)
  2. 收集的输出CLI显示系统磁盘空间

Additional Information


对于虚拟Panorama传统模式下的设备请参阅KB下面增加磁盘空间

HIGH DISK UTILIZATION ON /OPT /PANCFG PARTITION ON VIRTUAL PANORAMA


以下是一些与动态更新失败相关的其他有用文章:
单击“立即检查”按钮后动态更新显示错误
动态更新失败并显示图像文件身份验证错误消息
无法使用 updates.paloaltonetworks.com 执行动态更新FQDN地址对象
防病毒动态更新失败
应用程序和威胁的动态更新不会安装
无法从中安排动态更新Panorama对于防火墙
动态更新错误无法从设备服务器获得响应
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLSJCA4&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language