Troubleshooting
Problem
QRadar 7.3.2 から、一時ディレクトリーのファイルが削除されるように実装されています。 以前の QRadar 7.3.0および7.3.1のバージョンでは、diskmaintd.pl ユーティリティーの問題により、/storetmp ディレクトリー内のファイルを除去できませんでした。
ファイル除去の問題は QRadar 7.3.2 で解決されました。/storetmp 内にファイルを保持したり、エクスポートしていた管理者は、これらを安全な場所に移動する必要が あります。ディスク・メンテナンスは、毎晩 2 時に実行され、6 時間より古いファイルを /storetmp ディレクトリーから削除します。
Cause
diskmaintd.pl の動作は、スクリプトの実行時 6 時間以上経過している場合に /storetmp のそのファイルをクリアすることです。 デフォルトでは、diskmaintd.pl を毎日午前 2 時に実行する cronjob が存在します。 7.3.0および7.3.1では問題があるため、/store/tmp が /storetmp へ synbolic link となっているが、ディレクトリ・トラバーサルが再帰的に呼び出されないため、6時間を経過したファイルが、 /storetmp に残ってしまいます。
Environment
QRadar 7.3.2 へのアップグレードに関わり、/storetmp ディレクトリー内の重要なファイルを使用している QRadar 管理者。
Resolving The Problem
QRadar 7.3.2 では、/storetmp に常駐する 6 時間を超えるファイルは、毎日午前 2 時に diskmaintd.pl によって削除されます。 QRadar 7.3.2 に更新する前に、管理者がファイル、エクスポート、またはユーティリティーを使用して、 /store の別のディレクトリーにバックアップすることが重要です。 これらのファイルの移動に失敗すると、diskmaintd.pl は、すべてのエージング・ファイルを /storetmp ディレクトリーから削除します。
重要なファイルをどこに保存しますか ?
管理者は、/store/save/ 、/store/ または /store/keep/など、エクスポート、ユーティリティー、または重要なファイルの場所として作成できます。 ファイルを保持するためにカスタマイズされた場所を作成し、この場所はディスク保守スクリプトの影響を受けません。
使用を避けるべき一時ディレクトリーは他にどれですか ?
重要なファイルをどこに保存しますか ?
管理者は、/store/save/ 、/store/ または /store/keep/など、エクスポート、ユーティリティー、または重要なファイルの場所として作成できます。 ファイルを保持するためにカスタマイズされた場所を作成し、この場所はディスク保守スクリプトの影響を受けません。
使用を避けるべき一時ディレクトリーは他にどれですか ?
/storetmp 、/tmp 、および /transient は、システム上の重要なファイルを保持するために使用しないでください。 これらのロケーションは、QRadarによって一時的にデータを保管するために使用され、定期的にクリーンアップされます。
特定のディレクトリーを除外するように diskmaintd を変更できますか ?
はい。ただし、これは QRadar サポートでは推奨されません。 ユーザーが行った変更をオーバーライドされる可能性があるため、通常、管理者が自分のファイルのために、/store 内に固有のディレクトリーを作成する方が安全です。特定のファイルまたはディレクトリーを除外リストに追加して、ディスク・メンテナンスによって除去しない必要がある場合は、/opt/qradar/conf/diskmaintd.conf ファイルを編集して、そのファイル / ディレクトリーを組み込むことができます。 構文にエラーがあれば、ファイルが削除される可能性があります。
このファイルを編集して、保護されたファイル / ディレクトリーを追加する場合は、別の拡張子を持つコピーを作成することにより、diskmaintd.conf を編集する前にファイルをバックアップすることをお勧めします。 例えば、以下のコマンドは、ファイル名 diskmaintd.conf.sav を使用して元のファイルを同じロケーションに戻します :
特定のディレクトリーを除外するように diskmaintd を変更できますか ?
はい。ただし、これは QRadar サポートでは推奨されません。 ユーザーが行った変更をオーバーライドされる可能性があるため、通常、管理者が自分のファイルのために、/store 内に固有のディレクトリーを作成する方が安全です。特定のファイルまたはディレクトリーを除外リストに追加して、ディスク・メンテナンスによって除去しない必要がある場合は、/opt/qradar/conf/diskmaintd.conf ファイルを編集して、そのファイル / ディレクトリーを組み込むことができます。 構文にエラーがあれば、ファイルが削除される可能性があります。
このファイルを編集して、保護されたファイル / ディレクトリーを追加する場合は、別の拡張子を持つコピーを作成することにより、diskmaintd.conf を編集する前にファイルをバックアップすることをお勧めします。 例えば、以下のコマンドは、ファイル名 diskmaintd.conf.sav を使用して元のファイルを同じロケーションに戻します :
cp /opt/qradar/conf/diskmaintd.conf /opt/qradar/conf/diskmaintd.conf.sav
この記事についてさらに質問するには
この記事に関する質問または懸念事項がある場合は、以下の "IBM Security QRadar Forums" を使用してください。そこでは、この記事に関するフォーラムの投稿を開いたり、この記事の一部として表示することができます。 オプションで、管理者は QRadar Support を使用して Case をオープンすることができます。
Related Information
Document Location
Worldwide
QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"Disk Maintenance","Platform":[{"code":"PF043","label":"Red Hat"}],"Version":"7.3.2;7.3.1;7.3.0","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
19 June 2019
UID
ibm10886417