IBM Support

QRadar: /opt パーティションの高ディスク使用率の解消方法

Question & Answer


Question

/opt パーティションでの高ディスク使用率を解決するためにはどのようなトラブルシューティングの手順が利用できますか?

Cause

 /opt パーティションには、tomcat、QRM、QVM などのアドオン・アプリケーション・データが格納されます。

パーティションのサイズとタイプは、アプライアンス・タイプ ( コンソール、イベント・プロセッサーなど ) 、モデル ( より新しいコンソール・モデルのストレージがより大きい ) 、ハードウェア、ソフトウェア・インストール ( カスタマー・アプライアンス ) 、または  VM、QRadar バージョンによって異なります。

デフォルトでは、QRadar ディスク監視は 60 秒ごとに実行され、 /opt パーティションのディスク使用量が多くないかを確認します。/opt  パーティションが 95 % の容量に達すると、 QRadar はサービスを停止します。 

/opt パーティションにどのファイルまたはディレクトリーがいっぱいになっているかを調べるには、ディスク・スペースの問題に関するトラブルシューティングを参照してください。

Technote 0881013 - QRadar: Troubleshooting Disk Space Problems

   

Answer

クイック・リンク

   

1. /opt スペースの問題のトラブルシューティング

これらは、/opt が一杯になる主な問題です。 /opt スペースの問題のトラブルシューティングに関する具体的な情報については、以下の技術情報を参照してください。

Technote 10716207 - QRadar: Upgrades from v7.2.8 to v7.3.1 can result in the /opt partition being less than 13 GB

管理者が QRadar バージョン 7.2.8 から 7.3.1 にアップグレードした後、パーティションのサイズが変更され、/opt は 7  GB から 13 GB に変換されない可能性があります。

Technote 21661859 - Reduce filesystem utilization on /opt

この技術情報では、/opt パーティションがフルになる理由として、ファームウェア・バックアップ、サポート・ツール・バンドル、および Pure Data ホスト・スナップショットの 3 つの原因 ( および解決策 ) が記載されています。

Technote 21994799 - QRadar: Core files using disk space

/ パーティションでディスク・スペースの問題を調査すると、/opt/qradar/dca ディレクトリー内のコア・ファイルの数が多すぎるために、ディスク・スペースが過剰に使用されている場合があります。 これらのコア・ファイルは、X-Force のプレミアム・フィード更新によって作成されます。

Technote 10738895 - QRadar: v7.3.1 patch 6 - Logrotate fails, /var/log and /opt partition prematurely run out of free space

QRadar 7.3.1 パッチ 6 で logrotate に加えられた変更により、/var/log または /opt パーティションにおいて空き領域の不足が早まることが確認されました。

   

2. /opt パーティションの周囲の障害

以下は、/opt パーティションで検出された障害の要約リストです。 :

IJ03438: /OPT/QRADAR/SUPPORT CAN RUN OUT OF FREE SPACE AFTER UPGRADE DUE TO A LARGE NUMBER OF FAILED REPLICATION FILES

モニター対象パーティション /opt/qradar/support は、そのロケーション ( デフォルトのストレージ・ロケーション ) に失敗したレプリケーション・ファイルが大量に存在する場合に、アップグレード後に空き領域が不足する可能性があることが確認されました。 /opt/qradar/ パーティションのファイル・スペース・サイズは 7.3.x で縮小され、システムの問題が原因で複数のレプリケーション・ファイルが連続して失敗した場合、ファイル・スペース・サイズが予想より早く満たされることがあります。

  

3. /opt パーティションのサイジングに関する一般情報

アップグレード時のパーティションの要件と推奨事項:

ソフトウェアのアップグレード中 ( インストールのみ ) 、パーティションの要件と推奨事項が生成され、 /root/partition_ instructions. txt ファイルに保管されます。 このファイルは、新規オペレーティング・システム上の「 QRadar® 」セットアップ時に削除されます。 パーティションの推奨情報を使用しないことを選択した場合は、これらのパーティション要件を満たしていることを確認してください。

QRadar 7.3.1 Partition requirements and recommendations documentation

注:  ここでのアップグレードは、基本オペレーティング・システムもアップグレードするため、7.2.8 から 7.3.x にアップグレードする場合です。 7.3.0 にアップグレードする場合は、上記の IBM Knowledge Center のドロップダウンを使用して、7.3.0 バージョンに変更することができます。

ご使用のハードウェア上の QRadar インストール済み環境の Linux オペレーティング・システムパーティションプロパティー:

独自のアプライアンス・ハードウェアを使用する場合は、デフォルトのパーティションを変更するのではなく、Red Hat Enterprise Linux オペレーティング・システム上でパーティションを削除および再作成することができます。

QRadar 7.3.2 Linux operating system partition properties for QRadar installations on your own hardware documentation

注:  7.3.2 以外の バージョンを使用している場合は、上の IBM Knowledge Center のドロップダウン・リンクを適切なバージョンに変更することができます。

  

QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF043","label":"Red Hat"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
18 June 2019

UID

ibm10886137

Page Feedback