page-brochureware.php

QRadar サポート – ディスク・スペース 101

QRadar サポート・チームは、高ディスク容量および全ディスク容量の使用、トラブルシューティング、および QRadar パーティションで発生した問題に関する一般的な問題に対する技術的な解決策を示します。


高いディスク使用量またはディスクがいっぱいですか?

QRadar には、QRadar バージョン 7.2.x と 7.3.x に基づいて、2 つの異なるパーティション・テーブルがあり、これらがトラブルシューティング・プロセスの開始点を決定します。デフォルトでは、QRadar ディスク監視チェックは、60 秒ごとに実行され、QRadar 区画での高いディスク使用量を探します。これらのパーティションのいずれかが使用率の 90 %を超えると、警告通知が UI に送信されます。システムの機能にとって重要なパーティションの場合、パーティションの使用率が 95 %を超えると、パーティションがいっぱいになってさらに問題が発生するのを防ぐために、システムサービスが停止します。最もスペースをとるファイルを見つける方法の詳細については、以下の technote を参照してください。

 

パーティションの要件と推奨事項

パーティションの要件と推奨事項は、パーティションのサイズ変更に影響を与える 2 つの主要トピックに分けられますされます。ご使用のハードウェアに QRadar をインストールし(いわゆる「ソフトウェア・インストール」)、システムを再区画し、7.2.x から 7.3.x にアップグレードします。QRadar アプライアンスへの QRadar インストールの場合、インストール・スクリプトは自動的にスペースを分割し、ユーザー入力は不要です。

 

ディスクスペース使用量の問題を解決する方法…

“opt” パーティション

/opt パーティションには、tomcat、QRM、QVM などのアドオン・アプリケーション・データが格納されています。このパーティションの最も一般的な問題は、アップグレード中のパーティションのサイズ変更、logrotate の実行失敗、コアファイル、その他削除可能なさまざまなファイルに集中しています。

“var/log” パーティション

var/log パーティションは、QRadar およびシステム・ログ・ファイル用の記憶域です。このパーティションのログには、qradar.log、qradar.error、qradar-ha.log、messages、httpd.log があります。最も一般的な問題は、var/log/qradar.old/ ディレクトリ内のローテートされていないファイルと、logrotate の実行失敗によって引き起こされます。

“transient” または “store/transient” パーティション

/transient(7.3.x)または /store/transient(7.2.8)パーティションは、検索および生成されたレポート・データのための areal カーソルを格納する場所です。最も一般的な問題は /transient/ariel_proxy.ariel_proxy_server/data/ ディレクトリがいくつかの大きいファイル、またはたくさんの小さい search_id.data ファイルのためにいっぱいになることです。

“storetmp” または “store/tmp” パーティション

/storetmp(7.3.xの場合)または /store/tmp(7.2.8の場合)パーティションは、構成ファイルを保管するために使用される一時的な場所であり、QRadar のさまざまなプロセスによって使用されます。このパーティションは、アップグレード SFS ファイルを QRadar システムにコピーするときに使用することをお勧めしています。

ルートのパーティション

“/” パーティションがいっぱいになる最も一般的な原因は、ファイル(バックアップファイルなど)への書き込みが必要なときに、特定のファイルシステム(たとえば、フルまたは使用不可のリモート nfs パーティション)が使用できない場合です。つまり、”/” ディレクトリに書き込まれることになり、パーティション・スペースがしきい値の 95 %を超え、重要なサービスが停止する可能性があります。

“store” パーティション

/store パーティションは、システム上のすべてのイベントとフローデータ、およびバックアップのデフォルトの場所です。/store の最も一般的な問題は、バックアップファイルまたは保存ポリシーに関するものです。

保守 QRadar 101 オープン・マイクを見る

このセッションでは、QRadar 全体の保守、システム通知、トラブルシューティングのヒントについて説明し、プレゼンテーションの 5 分目以降に、このトピックに関するスペース使用量の毎日のレビュー、トラブルシューティング、およびヒントについて説明します。以前のオープン・マイクセッションのリストについては、こちらのフル・オープン・マイク・リストを参照してください。.

IBM は、高いスキルとお客様志向で、ワールドクラスのソフトウェアサポートを提供することに誇りを持っています。QRadar サポートは、重大度が高いすべての問題に対して 24 時間 365 日ご利用いただけます。QRadar のリソース、技術的なヘルプ、手引き、および情報については、QRadar サポート 101 ページを参照してください。