IBM Support

QRadar: QRadar PostgreSQL データベースを VACUUM して REINDEX するには?

How To


Summary

QRadar は、PostgreSQL データベースをデータ・ストアとして使用します。自動での Vacuum および Reindex は、QRadar が最適に機能するために役立つ定期的なデータベース・メンテナンス・アクティビティですが、場合によってはこれらのプロセスを手動で実行する必要があります。

Steps

Vacuum を実行することで不要なタプルが占有していた領域が回収されます。通常の PostgreSQL の動作では、更新によって削除または廃止されたタプルはテーブルから削除されません( Vacuum が実行されるまでそのタプルは存在し続けます )。また、Vacuum によって PostgreSQL のクエリ・プランナーで使用されるデータ統計と可視性マップが更新されるため、インデックスのみのスキャンが高速化されます。頻繁に更新されるテーブルについては定期的な Vacuum の実行を推奨します。
 
PostgreSQL には、テーブルで Vacuum を定期的に実行する自動 Vacuum 機能があります。しかし、何千ものオフェンスがある負荷の高い環境や、多くのエレメントを持つリファレンス・セットなど、状況によっては手動で Vacuum を行うことが有益です
 
PostgreSQL インデックスは肥大化する傾向があり、空のページ、またはそれに近いページが多く含まれていますこの肥大化は、QRadar が大きなテーブルで多数の行を削除または更新した場合に発生し、Reindex によりインデックスが再構築され行の検索がより高速になります
始める前に
手動で Vacuum Reindex を実行する場合は、システムのパフォーマンスを向上させるために、tomcat キャッシュもクリアすることを検討してください。まず tomcat キャッシュをクリアし、tomcat を再起動する前に、以下の Vacuum Reindex  の手順を実行します。

重要: QRadar サポートは、診断に基づいてご利用の環境で Vacuum、もしくは Reindex が必要かどうかをアドバイスします。Vacuum と Reindex はどちらも QRadar コンソールで実行され、これらのアクティビティーを行う場合、QRadar コンソール上のすべてのサービスを停止する必要があります。そのため、QRadar GUI のダウン、オフェンスの生成が停止、レポートの生成が停止、コンソールに関連付けられたログ・ソースについてログ収集が停止、といった事象が発生します。このアクティビティーを実行する際は、メンテナンス期間を設けることを推奨します。

手順

  1. tomcat サービスを停止します 
    systemctl stop tomcat
  2. HTTPD サービスと tomcat サービスが停止していることを確認します。
    systemctl status tomcat
systemctl status httpd
  3. hostcontext サービスを停止します 
    systemctl stop hostcontext
  4. hostcontext によって管理されるすべてのサービスが停止していることを確認します ( ecs-ec-ingress を除く )。
    /opt/qradar/upgrade/util/setup/upgrades/wait_for_start.sh
  5. サービスが停止したら Ctrl-C を使用してスクリプトを終了します。
  6. ecs-ec-ingress サービスを停止します( このコマンドの後、コンソール上のログ収集が停止します )。 
    systemctl stop ecs-ec-ingress
  7. hostservices サービスを再起動します 
    systemctl restart hostservices
  8. hostservices サービスが起動していることを確認します 
    systemctl status hostservices
  9. ーブルを Vacuum するには次の各コマンドを実行します。※直近に実行したコマンドが終了したことを確認後に次のコマンドを実行してください。 
    1. psql -U qradar
    2. vacuum full verbose;
    3. reindex database qradar;

    4. \q
      \q に続けて改行を入力すると、psql のコマンドラインを終了します
  10. hostcontext サービスを開始します。 
    systemctl start hostcontext
  11. hostcontext サービスによって管理されるすべてのサービスが起動していることを確認します。 
    /opt/qradar/upgrade/util/setup/upgrades/wait_for_start.sh
  12. Ctrl-C を使用してスクリプトを終了します。ログの収集が再開されたことを確認します
  13. tomcat サービスを開始します。 
    systemctl start tomcat
  14. HTTPD サービスと tomcat サービスが起動していることを確認します。
    systemctl status tomcat
systemctl status httpd
  15. tomcat への接続を確認します
    /opt/qradar/bin/test_tomcat_connection.sh

    結果
    tomcat起動には時間がかかります。tomcat 接続コマンドのステータスが Connected と表示されたら、QRadar GUI に接続し、他の機能が期待どおりに動作しているか確認してください。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
12 June 2023

UID

ibm16486693

Page Feedback