IBM Support

QRadar: "/" (ルート) パーティションのディスク・スペース使用量の問題を解決する方法

Question & Answer


Question

"/" ( ルート  )パーティーションでの高いディスク使用状況を解決するために、どのようなトラブルシューティング・ステップを使用することができますか?

Cause

"/" パーティションは、ファイル・システムのルート・ディレクトリーです。 この区画の大部分は、/usr ディレクトリーおよび /etc ディレクトリーにあります。
デフォルトでは、QRadar disk sentry チェックは 60 秒ごとに実行され、"/"パーティション全体でのディスク使用量が多いかどうかを調べます。 "/"パーティションが95%を超えると、QRadar クリティカル・サービスは停止されます。 

現行区画の使用状況を検査するには、df -h コマンドを使用します。
 
[root@hostname ~]# df -h
Filesystem                         Size Used Avail Use% Mounted on
/dev/mapper/rootrhel-root           20G  20G 258M 99% /

"/" パーティションが一杯になる最も一般的な原因は、特定のファイル・システム(例えば、リモートnfs区画がフルまたは使用不可)がファイル(例えば、バックアップ・ファイル)の書き込みを必要としている場合には使用できない場合、"/" ディレクトリーへの書き込みとなり、パーティション・スペースが95%のしきい値を超え、クリティカル・サービスを停止する場合があります。

他のパーティションがマウントされる前にマウント・ポイントにファイルが書き込まれることがあります。例えば、ファイルが /store、/store/transient 、/store/backups に書き込まれるが、パーティションがまだマウントされていない場合、それらのディレクトリーは "/" パーティション配下の/nfs/backups 、/store/transient 、/store/backups ディレクトリーの下のに書き込まれます。
どのファイルまたはディレクトリーがパーティションに入力されているかを調べるには、ディスク・スペースの問題のトラブルシューティングについての技術情報を参照してください。

Technote 0881013 - QRadar: Troubleshooting Disk Space Problems

Answer

クリックリンク

     

1. トラブルシューティング/ スペースの問題

"/"パーティションのフリー・スペースに影響を与える最も一般的な問題は、使用不可の区画またはディレクトリーの元の宛先ではなくその区画に書き込まれたファイルです。 

アンマウントされたディレクトリー内の隠しファイルが原因で、"/" パーティション上のディスク・スペース使用量を解決します。

すべてのサービスを停止し、すべてのパーティションをアンマウントする必要はなく、ルート「 / 」パーティションの下にあるすべての非表示ファイルを確認できます。 非表示のファイルは、-a ではなく、du または ls コマンドおよびスイッチを使用する場合には表示されない場合があります。 基礎となるディレクトリーの内容を調べるには、ルート(/)区画を、--bind オプションを指定した別のマウント・ポイントに再度マウントする必要があります。

以下の説明では、使用不可の区画の内容を検査することができます。この内容は、アンマウントされているか、いっぱいであるためです。

  1. 一時マウント・ポイントとして使用されるディレクトリーを作成します。
    mkdir /root/root_tmp

  2. df -hコマンドを使用して、「 / 」のブロック・デバイスを見つけます。

    [root@hostname ~]# df -h
    Filesystem                         Size Used Avail Use% Mounted on
    /dev/mapper/rootrhel-root           20G  20G 258M 99%  /  

    通常、"/" のブロック・デバイスはQRadar 7.3.x用は/dev/mapper/rootrhel-root ( QRadar 7.2.8の場合は/dev/sda7 )です。

  3. 新規に作成された一時ディレクトリーにルート・パーティションをマウントします。
    mount -o --bind <block_device for "/"> /root/root_tmp
    例:

    • QRadar 7.3.x Versions:

      mount -o --bind /dev/mapper/rootrhel-root /root/root_tmp

    • QRadar 7.2.8 Versions:

      mount -o --bind /dev/sda7 /root/root_tmp

  4. 以下のディレクトリーにナビゲートし
    cd /root/root_tmp/

  5. 以下のコマンドは、これらのディレクトリーの内容またはディスク使用量をリストします。 
    du -xch /root/root_tmp/ | sort -h

  6. 元のマウント・ポイントでは表示されなかった、バインド・マウント上の特定のファイルを識別した場合、スペースを解放するためにこれらのファイルをオフにすることができます。 あるいは、ファイルが必要なくなった場合は、削除することもできます。 この場合も、この状況は、NFS マウントが何らかの理由で使用できない場合に、/store/backup NFS マウントの場合に最も一般的に発生します。

  7. バインド・マウントが完了したら、以下のコマンドを使用して、マウントがアンマウントされていることを確認してください。 アンマウントの際には、この区画内にいないことを確認してください。そうでない場合は、区画が使用中であるということがあります。

    umount /root/root_tmp/

重要:

  • バインド・マウントに対する変更は、元のマウントのファイル (上記の例では "/") にも影響を与えます。

  • 必要がないことが確実でない限り、"/" からファイルを削除しないでください。 ファイルの削除が安全であるかどうかについて質問がある場合は、テクニカル・サポートに連絡して、詳しいガイダンスを確認してください

メモ:

  • 他のパーティション上にあるはずのファイルがルート・パーティーション内で見つかった場合は、これらのファイルを移動してディスク・スペースを解放する必要があります。

  • これは、他のパーティションおよびマウント・ポイントにも適用できます。

        

2. /パーティーション関連の障害

これは、/opt パーティションで検出された障害の要約リストです。

  • 現在、/区画に関する既知の問題はありません。
     

3. / パーティーションの一般的なサイジング情報

アップグレード時のパーティションの要件と推奨事項:

アップグレード・プロセス中に、パーティションの要件と推奨事項が生成され、/root/partition_instructions.txt ファイルに保管されます。 このファイルは、新規オペレーティング・システム上の QRadar® セットアップ時に削除されます。 区画の推奨情報を使用しないことを選択した場合は、これらの区画要件を満たしていることを確認してください。

注: IBM Knowledge Center では、バージョン 7.2.8/7.3.0/7.3.2のドロップダウンからバージョンを変更できます。


ご使用のハードウェア上の QRadar インストール済み環境の Linux オペレーティング・システム区画プロパティー:

アプライアンス・ハードウェアを使用する場合は、デフォルトの区画を変更するのではなく、Red Hat Enterprise Linux オペレーティング・システム上で区画を削除して再作成することができます。

注: IBM Knowledge Center では、バージョン 7.2.8/7.3.0/7.3.2 のドロップダウンからバージョンを変更できます。

この技術情報は、パーティションの変更に関して RHEL 7 の変更を詳細に説明します。

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF043","label":"Red Hat"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
13 April 2020

UID

ibm10959367