コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=logs-reports-storage

ログおよびレポート用のディスク容量

レポート、イベントログ、およびトラブルシューティングのログは /var フォルダに保存されます。

このフォルダには、他のファイアウォールコンポーネントに関連するデータも格納されます。これらのコンポーネントには、機能に応じてそれぞれ容量が割り当てられます。

/var フォルダ内で使用可能なディスク容量は、以下の要因に基づいて決まります。

  • アプライアンスのモデルによって、一定のディスク容量がフォルダに割り当てられます。
  • レポートとログがどの程度の容量を使用するかは、ネットワークイベントの頻度と、指定した設定 (レポートの保持期間やトラブルシューティングのログのデバッグモードステータスなど) によって異なります。時間が経過するにしたがってディスクの使用率が増え、ローエンドのアプライアンスモデルではディスク容量が不足する場合があります。

ディスクがほぼいっぱいになった場合

レポートやログへの容量の割り当て方法と、ディスクがほぼいっぱいになったときの処理方法は以下のとおりです。

コンポーネントとフォルダ名 空きディスク容量 容量がほぼいっぱいになった場合 アラート
レポート (reportdb_16) /var フォルダ内の利用可能なディスク容量を使用する。 レポートの保存を停止する。詳細は、レポートを参照してください。 デフォルトでアラートを生成。
イベントログ (eventlogs) /var フォルダ内の一定の割合が割り当てられる (割合はアプライアンスモデルによって異なります)。 古いログを削除して、新しいイベントを記録し続ける。詳細は、ログを参照してください。 アラートなし。
トラブルシューティングのログ (tslog) コンポーネントごとに一定のディスク容量が割り当てられる (割り当てられる容量はアプライアンスモデルによって異なります)。重要なコンポーネントに、より多くの容量が割り当てられます。 古い圧縮ログファイルを削除し、新しいログを生成し続ける。詳細は、トラブルシューティングログを参照してください。 アラートなし。
メールの隔離エリア (quarantine) Web 管理コンソールの「隔離エリアの設定」でディスク容量を選択する。 古いメールを削除し、新しいメールを隔離し続ける。詳細は、隔離エリアを参照してください。 アラートなし。

ディスクがいっぱいになった原因の特定

ディスク容量を占有しているものを特定するには、次の手順を実行します。

  • パケットキャプチャが実行されていないことを確認します。パケットキャプチャは、ディスク容量を消費します。
  • /var フォルダに何らかのファイルをコピーした場合は、削除します。

  • 以下のコマンドを使って、各コンポーネントが使用している容量を確認します。

    • レポート:du -kh reportdb_16
    • イベントログ:du -kh eventlogs
    • トラブルシューティングのログ:du -kh tslog

  • メールコンポーネントについて以下の点を確認します。

    • メール > 隔離エリアの設定」に移動し、「メールの隔離エリア」で最も少ないディスク領域を選択します。
    • メール > メールスプール」に移動し、「再試行」または「削除」をクリックして、メールを消去します。

ディスク容量の管理方法

レポート

ディスクがいっぱいになるのを回避するため、ベストプラクティスに従ってください。

ディスク容量を解放する

アラートを監視し、ディスクがいっぱいになった場合はレポートを消去します。

  • 以下のいずれかの方法で、アラートを監視します。

    • コントロールセンターまたはログビューアでアラートを監視します。
    • システムサービス > 通知リスト」に移動し、メールおよび SNMP の通知を設定します。

  • レポート > レポート設定を表示」に移動し、以下の操作のいずれかまたは両方を実行します。

    • データ管理」をクリックし、一部またはすべてのモジュールのレポート保持期間を短く設定します。
    • 手動消去」をクリックして、一定期間のレポートを適宜消去します。詳細は、手動消去を参照してください。

推奨の方法

/var フォルダに十分なディスク容量を確保するためのベストプラクティスに従ってください。

  • Sophos Central のファイアウォールレポートを以下のように設定します。

    1. Sophos Central のファイアウォール管理に登録します。詳細は、Sophos Central サービスの概要を参照してください。

    2. システムサービス > ログ設定」に移動し、ファイアウォールモジュールに対して「Central レポート」を選択します。

      ファイアウォールから Sophos Central にイベントログが送信され、これらのログに基づき、Sophos Central でレポートの生成、保存が行われるようになります。詳細は、ログ設定を参照してください。

    3. データストレージの見積もりツールを使ってストレージ要件を確認し、Sophos Central レポートライセンスの容量プランを検討します。ファイアウォールの機種別の Firewall Reporting のストレージを参照してください。

  • ファイアウォール内のレポート保持期間を短くするには、次の手順を実行します。

    1. レポート > レポート設定を表示 > データ管理」に移動します。
    2. ネットワークおよびコンプライアンスの要件を考慮しながら、モジュールごとに期間を選択します。詳細は、データ管理を参照してください。
    3. 適用」をクリックします。

    指定した期間はレポートにのみ適用されます。ログには適用されません。

  • (任意) アプライアンスのレポートをオフにします。そうすると、ファイアウォール内のすべてのレポートがオフになります。詳細は、on-box-reportsを参照してください。

イベントログ

ログビューアにはイベントログが表示されます。イベントログによって消費されるディスク容量を最小に抑えるには、ログを外部の Syslog サーバーに送信して、ファイアウォールのログストレージをオフにします。

システムサービス > ログ設定」に移動し、以下の操作を適宜実行します。

  • ログの送信先の Syslog サーバーを設定します。

    ネットワークおよびコンプライアンスの要件に応じて、イベントログを長期間保持できます。

  • 一部またはすべてのモジュールのローカルログをオフにします。

  • ログ抑制機能を使って、ディスク使用量を減らします。

詳細は、ログ設定を参照してください。

トラブルシューティングログ

デバッグモードはオフにしてください。トラブルシューティングを行う場合は、必要なログファイルをダウンロードしたうえで、以下の手順に従ってトラブルシューティングのログを消去します。

  • 診断 > ツール」に移動し、以下のいずれかのオプションを使ってログをダウンロードします。

    • トラブルシューティングログ
    • 統合型トラブルシューティングレポート (CTR)

    詳細は、トラブルシューティングログを参照してください。

  • デバッグモードをオンにしているコンポーネントがある場合は、オフにします。詳細は、トラブルシューティングのログの確認を参照してください。

    デバッグモードは、トラブルシューティングのログにかなりの容量を使用するため、トラブルシューティング中のみオンにしてください。必要なログを取得したらすぐにオフに戻してください。

  • 診断 > パケットキャプチャ」に移動し、オフになっていることを確認します。

    トラブルシューティング中のみオンにしてください。

  • トラブルシューティングのログに関連して、容量の問題が引き続き発生する場合は、すべてのログ、圧縮ログ、または特定のコンポーネントのログを消去してください。詳細は、トラブルシューティングログを参照してください。