How To
Summary
QRadar は、PostgreSQL データベースをデータ・ストアとして使用します。自動での Vacuum および Reindex は、QRadar が最適に機能するために役立つ定期的なデータベース・メンテナンス・アクティビティですが、場合によってはこれらのプロセスを手動で実行する必要があります。
Steps
Vacuum を実行することで不要なタプルが占有していた領域が回収されます。通常の PostgreSQL の動作では、更新によって削除または廃止されたタプルはテーブルから削除されません( Vacuum が実行されるまでそのタプルは存在し続けます )。また、Vacuum によって PostgreSQL のクエリ・プランナーで使用されるデータ統計と可視性マップが更新されるため、インデックスのみのスキャンが高速化されます。頻繁に更新されるテーブルについては定期的な Vacuum の実行を推奨します。
PostgreSQL には、テーブルで Vacuum を定期的に実行する自動 Vacuum 機能があります。しかし、何千ものオフェンスがある負荷の高い環境や、多くのエレメントを持つリファレンス・セットなど、状況によっては手動で Vacuum を行うことが有益です。
PostgreSQL インデックスは肥大化する傾向があり、空のページ、またはそれに近いページが多く含まれています。この肥大化は、QRadar が大きなテーブルで多数の行を削除または更新した場合に発生し、Reindex によりインデックスが再構築され行の検索がより高速になります。
始める前に
手動で Vacuum と Reindex を実行する場合は、システムのパフォーマンスを向上させるために、tomcat キャッシュもクリアすることを検討してください。まず tomcat キャッシュをクリアし、tomcat を再起動する前に、以下の Vacuum と Reindex の手順を実行します。
重要: QRadar サポートは、診断に基づいてご利用の環境で Vacuum、もしくは Reindex が必要かどうかをアドバイスします。Vacuum と Reindex はどちらも QRadar コンソールで実行され、これらのアクティビティーを行う場合、QRadar コンソール上のすべてのサービスを停止する必要があります。そのため、QRadar GUI のダウン、オフェンスの生成が停止、レポートの生成が停止、コンソールに関連付けられたログ・ソースについてログ収集が停止、といった事象が発生します。このアクティビティーを実行する際は、メンテナンス期間を設けることを推奨します。
手順
- tomcat サービスを停止します。
systemctl stop tomcat
-
HTTPD サービスと tomcat サービスが停止していることを確認します。
systemctl status tomcat systemctl status httpd
- hostcontext サービスを停止します。
systemctl stop hostcontext
-
hostcontext によって管理されるすべてのサービスが停止していることを確認します ( ecs-ec-ingress を除く )。
/opt/qradar/upgrade/util/setup/upgrades/wait_for_start.sh
-
サービスが停止したら Ctrl-C を使用してスクリプトを終了します。
- ecs-ec-ingress サービスを停止します( このコマンドの後、コンソール上のログ収集が停止します )。
systemctl stop ecs-ec-ingress
- hostservices サービスを再起動します。
systemctl restart hostservices
-
hostservices サービスが起動していることを確認します。
systemctl status hostservices
- テーブルを Vacuum するには次の各コマンドを実行します。※直近に実行したコマンドが終了したことを確認後に次のコマンドを実行してください。
-
psql -U qradar
-
vacuum full verbose;
-
reindex database qradar;
-
\q
\q に続けて改行を入力すると、psql のコマンドラインを終了します。
-
- hostcontext サービスを開始します。
systemctl start hostcontext
- hostcontext サービスによって管理されるすべてのサービスが起動していることを確認します。
/opt/qradar/upgrade/util/setup/upgrades/wait_for_start.sh
-
Ctrl-C を使用してスクリプトを終了します。ログの収集が再開されたことを確認します。
- tomcat サービスを開始します。
systemctl start tomcat
-
HTTPD サービスと tomcat サービスが起動していることを確認します。
systemctl status tomcat systemctl status httpd
-
tomcat への接続を確認します。
/opt/qradar/bin/test_tomcat_connection.sh
結果tomcat の起動には時間がかかります。tomcat 接続コマンドのステータスが Connected と表示されたら、QRadar GUI に接続し、他の機能が期待どおりに動作しているか確認してください。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
12 June 2023
UID
ibm16486693