IBM Support

QRadar: 多くのディスク領域を使用しているファイルを見つける方法

Question & Answer


Question

QRadar で最も多くのディスク領域を使用しているファイルを素早く見つける方法を教えてください。

Answer

パーティションの領域が不足していることや、ファイルサイズが急速に増加していることを確認できます。
問題を特定し対処するために最も多くの領域を使用しているファイルを特定することが重要です。 最も多くの領域を使用しているファイルを見つけるには、次の手順に従います。

重要:以下の手順で最大のファイルを見つけることが可能ですが、サポートによって指示されていない限り、最大のファイルは削除しないでください。 最大のファイルを処理するためのガイダンスについては、 テクニカルサポートにお問い合わせください 。

  1.     SSH を使用して、 root ユーザーで QRadar コンソールにログインします。
  2.     オプション。 管理対象ホスト上のディスク領域を確認するには、コンソールアプライアンスから管理対象ホストに SSH セッションを開きます
  3.     次のコマンドを実行し、各ファイルシステムで使用可能なディスク容量を確認し、空きスペースの問題があるパーティションを特定します。:
      df -h
  4.     空きスペースに問題があるパーティションに対し、パーティションパスを用いた次のコマンドを実行し、サイズの大きい順にファイルを並べ替え表示します。:
    find /partition/with_space_issues/ -type f -ls | sort -k 7 -r -n | head -20
    例: /var/log にある最大のファイルを検索するには、次のコマンドを実行します。: find /var/log -type f -ls | sort -k 7 -r -n | head -20
    image-20180913133830-1

  上記では、 /var/log/qradar.log が29,722,776バイト(または29,026KB、7番目の列から取得)で存在し、見つかったファイルで最も大きいことがわかります。

 

その他の有用なディスクスペースを確認するためのコマンド:

  1. すべての管理対象ホスト上のディスク使用状況を確認するには、次のコマンドを使用します。 : /opt/qradar/support/all_servers.sh -C "df -Th"
  2. ストアパーティションを除いたディレクトリを見つけるには、次のコマンドを使用します。 : /du -sh /* --exclude=store | sort -h
  3. 与えられたディレクトリ内の指定されたサイズ以上のすべてのファイルを一覧表示するには次のコマンドを使用します。: /find /your_directory -xdev -type f -size +500M

    例1:ルートディレクトリ内で 100MB を超えるファイルを一覧表示する: find / -xdev -type f -size +100M
    例2:/var/log 内で 50MB を超えるのファイルを一覧表示する: find /var/log/ -xdev -type f -size +50M

     
  4. ディレクトリ内で最大のファイルを検索し、降順で並べ替え一覧表示するには次のコマンドを使用します。:
    find /your_directory/ -xdev -type f -size +100MB -exec du -sh {} ';' | sort -rh | head -n

    例:
    find /var/log/ -xdev -type f -size +100M -exec du -sh {} ';' | sort -rh | head -n50
    find / -xdev -type f -size +100M -exec du -sh {} ';' | sort -rh | head -n50
    find /store/ -xdev -type f -size +100M -exec du -sh {} ';' | sort -rh | head -n50


最上位ディレクトリのディスクスペース使用量表示
管理者のもう1つの選択肢は、QRadarのトップレベルのディレクトリが多くのディスク容量を使用していることを確認することです。
  1. SSH を使用して、root ユーザーとしてコンソールにログインします。
  2. SSHを使用して、管理対象ホストへのセッションを開きます。
  3. 次のコマンドを使用します。:du -Pshx /* 2>/dev/null

    このコマンドは、トップレベルのディレクトリとディスクの使用状況を一覧表示します。
    image-20180913142105-2


 

QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。


[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
28 February 2019

UID

ibm10731119