IBM Support

QRadar:/storetmpまたは /store/tmp パーティションのディスクスペース使用量の問題を解決する方法

Question & Answer


Question

/storetmp パーティションでディスク使用量が多い状況を解決するためにどのようなトラブルシューティング手順を使用できますか?

Cause

この記事では、 /storetmp または /store/tmp パーティションは、異なるQRadarバージョン上の同じパーティションを表すため、同じ意味で使用されています。  

/storetmp(7.3.Xの場合)または /store/tmp (7.2.8)にパーティションはQRadarにおける様々なプロセスで使用される構成ファイルを格納するために使用される一時的な場所です。このパーティションは、アップグレードSFSファイルをQRadarシステムにコピーするときに使用することをお勧めする最初のオプションです。

ISOのアップグレードに /tmp、 /store/tmp 、または /store/transient を使用しないでください。これらのディレクトリはアップグレードの一部としてパーティション化されています。ISOファイルの保存場所やマウントポイントとして使用することはできません

このパーティションは、定期的に Disk Maintenance スクリプトによってクリーンアップされます。 

パーティションのサイズとタイプは、アプライアンスのタイプ(コンソール、イベントプロセッサーなど)、モデル(新しいコンソールモデルのストレージが大きい)、ハードウェア、ソフトウェアのインストール(カスタマーアプライアンス)、またはVM、およびQRadarのバージョンによって異なります。

デフォルトでは、QRadarディスク監視チェックは60秒ごとに実行され、 /storetmp パーティション全体でディスク使用量が多いかどうかを調べますパーティションが95%を超えると、QRadarの重要なサービスが停止します。 

どのファイルまたはディレクトリが /storetmp パーティションを一杯にしているかを調べるには、「ディスク容量の問題のトラブルシューティング」テクニカルノートを参照してください。
Technote 0881013 - QRadar: Troubleshooting Disk Space Problems

   

Answer

クイックリンク

  

1. トラブルシューティング /storetmpスペースの問題

これは /storetmp の空きが無くなる原因となる最も一般的な問題です。 
/storetmp スペースの問題に関する特定の情報については、以下の技術文書を参照してください。

QRadar 7.3.2では、ファイルが一時ディレクトリーから確実に削除されるように変更が行われました。以前のQRadar 7.3.0および7.3.1バージョンでは、問題により diskmaintd.pl ユーティリティーが/storetmpディレクトリー内のファイルを削除できませんでした。

QRadarがスキャンを実行しているとき、またはサード・パーティーのスキャナーからスキャン結果をインポートしているときは、/store/tmp/visディレクトリーがスキャナー・ファイルが書き込まれるデフォルトの場所として使用されます。

2. /storetmp パーティション関連の問題

これは /storetmp パーティションで発生した問題のサマリーリストです。

コンソールの /storetmp パーティションに十分な空きスペースがないと、QRadarデータベース複製ファイルが破損する可能性があることが判明しています。

   

3.  /storetmp パーティションのサイズに関する一般情報

アップグレード時のパーティション要件と推奨事項:

アップグレードプロセス中に、パーティションの要件と推奨事項が生成され、/root/partition_instructions.txt ファイルに保存されます。このファイルは、新しいオペレーティング・システムでのQRadar®セットアップ中に削除されます。パーティションの推奨事項を使用しないことを選択した場合は、必ずこれらのパーティション要件を満たしていることを確認してください。

注: IBM Knowledge Centerにアクセスするとドロップダウンより、7.2.8 / 7.3.0 / 7.3.2 へバージョンを変更できます。


ユーザーのハードウェアへの QRadar インストール済み環境に対する Linux オペレーティング・システムのパーティション・プロパティー

独自のアプライアンスハードウェアを使用している場合は、デフォルトのパーティションを変更するのではなく、Red Hat Enterprise Linuxオペレーティングシステムでパーティションを削除して再作成することができます。

注: IBM Knowledge Centerにアクセスするとドロップダウンより、7.2.8 / 7.3.0 / 7.3.2 へバージョンを変更できます。


RHEL V7.3 のインストールおよびパーティションの構成

カスタムRHEL区画が構成されているホストでIBM®SecurityQRadar®のアップグレードを開始すると、RHELソフトウェアのインストールが存在することを示すメッセージが表示されます。  

注: IBM Knowledge Centerにアクセスするとドロップダウンより、7.2.8 / 7.3.0 / 7.3.2 へバージョンを変更できます。

  

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF043","label":"Red Hat"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
13 April 2020

UID

ibm10887307