Troubleshooting
Problem
QRadar の /transient に十分なスペースがない場合、QRadar® SIEM の通常の機能に影響を与える可能性があります。 この技術情報の目的は、/transient パーティションに十分な空きディスク容量がない場合に、管理者がファイルとディレクトリーを削除できるようにすることです。
Symptom
/transient パーティションで使用可能なスペースが不足していると、次の問題が発生する可能性があります:
- " プロセス・モニター・アプリケーションの開始に複数回失敗する " に関するアラート。
- I/O エラーのレポート を検索する。
- サービスが開始されない。
- 重要なディスク容量のため、構成のデプロイが変更される。
[tomcat.tomcat] /console/JSON-RPC/QRadar.scheduleDeployment QRadar.scheduleDeployment] com.q1labs.configservices.util.ConfigServicesUtil: [INFO] [-/--] Deployment is blocked due to critical disk space issue
- ソフトウェア・アップデート実行時のディスク容量チェックに失敗する。
-
[INFO](testmode) Checking Disk Space... [ERROR](testmode) /transient has 153417728 Kb needed and only 124856540 Kb available [ERROR](testmode) Usage Report: =-= DiskSpace Report for Mountpoint '/transient' =-= =-= Available: 124856540 Kb, Required: 153417728 KB =-=
Cause
デフォルトでは、QRadar ディスク監視チェックは 60 秒ごとに実行され、パーティション全体で高いディスク使用率を探します。 パーティションが重大な警告の閾値を超えると、管理者が調査するためのアラートがトリガーされます。
Diagnosing The Problem
両方の診断セクションに従い、競合するアプライアンスで確認された問題について、Resolving The Problem の手順を完了します。
サイズの小さいディスクを搭載したアプライアンス
/transient パーティションが存在せず、そのコンテンツが代わりにルート " / " パーティション内に配置されている場合、アプライアンスのディスクのサイズが小さくなる可能性があります。 この症状が発生する理由について詳しくは、 QRadar: 複数のディスクを備えたアプライアンスへの QRadar のインストール を参照してください。
- コンソールに SSH 接続します。 該当する場合は、管理対象ホストに SSH で接続します。
- lsblk コマンドを使用して、ディスク サイズが 256 GB 未満であり、/transient パーティションが存在しないかどうかを調べます。
lsblk
この例では、/transient パーティションは存在しません。これは、" / " パーティション内にあることを意味します。
/transient パーティションにある大きなディレクトリーやファイルを特定して削除します。
アプライアンスのストレージ要件 を満たすディスク割り当てがあり、/transient が別のパーティションとしてマウントされている場合、管理者は ディスクスペース使用問題のトラブルシューティング の手順に従って、最大のディレクトリーとファイルを特定することができます。
これらの大きなディレクトリーが特定されたら、Resolving The Problem の指示に従って削除します。
Resolving The Problem
Diagnosing The Problem の手順に従って、「サイズの小さいディスクを搭載したアプライアンス」または「/transient パーティション内の大きなディレクトリーとファイルを特定して削除する」の手順を完了する必要があるかどうかを判断します。両方の問題がアプライアンスに表示された場合、両方のセクションに従います。
サイズの小さいディスクを搭載したアプライアンス
ストレージ要件を満たさないディスクを使用する管理者は、QRadar の手順に従ってシステムを再インストールする必要があります。QRadar: ファイルやディレクトリーを削除して、/transient パーティションに空き容量を確保する。
/transient パーティション内の大きなディレクトリーとファイルを特定して削除する
次の手順を使用して、安全にファイルを削除し、スペースを回復できることを確認します。
診断中に報告されたディレクトリに応じて、提示された提案に対応してください。 必要に応じて、提案の一部またはすべてに対応してください。
- /transient/ariel_proxy.ariel_proxy_server/data を検索します。
- パーティションを埋めている検索を削除します。
- 検索結果の表示期間を短くする。
重要: 保存された検索結果は、検索結果の保存期間の設定の対象にはならず、無限に保持されます。 それらは手動で削除する必要があります。 - 不必要な大量検索を避けるため、より明確な検索が行えるようユーザーをトレーニングします。
- /transient/spillover 内のデータ。
- イベント・レートを下げて、ライセンス制限を一貫して超えないようにします。 イベントとフローが QRadar でどのようにバーストするかについて詳しくは、 QRadar: イベントとフローのバースト処理 ( バッファー ) を参照してください。
- マニュアル・ユーザー・ファイル
- バックアップ・ディレクトリーとして /transient を使用している配置ファイルを削除します。
結果
/transient パーティションには、ディスク容量の制約がなくなりました。 パーティションが重要なサービス停止のポイントに達した場合は、次のコマンドで適切な順序でサービスを再起動後、 5 分間待機します。
重要: QRadar コア・サービスを再起動すると、QRadar UI、イベント処理、およびデータベースがすべてのユーザで利用できなくなります。 厳格な停止ポリシーを持つ管理者は、組織のスケジュールされたメンテナンス期間中に次の手順を完了することをお勧めします。
systemctl stop hostcontext
systemctl stop tomcat
systemctl restart hostservices
systemctl start tomcat
systemctl start hostcontext
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
14 November 2022
UID
ibm16828479