IBM Support

QRadar: /store パーティションのディスクスペース使用量の問題を解決する方法

Question & Answer


Question

/store パーティションでディスク使用量が多い状況を解決するためにどのようなトラブルシューティング手順を使用できますか?

Cause

/store パーティションは、バックアップのためのデフォルトのロケーションであるとともに、システム上の全てのイベントとフローのデータを保持しています。

パーティションのサイズとタイプは、アプライアンスのタイプ(コンソール、イベントプロセッサーなど)、モデル(新しいコンソールモデルのストレージが大きい)、ハードウェア、ソフトウェアのインストール(カスタマーアプライアンス)、または VM 、および QRadar のバージョンによって異なります。

デフォルトでは、 QRadar ディスク監視チェックは 60 秒ごとに実行され、 /store パーティション全体でディスク使用量が多いかどうかを調べます。パーティションが 95 %を超えると、 QRadar の重要なサービスが停止します。

どのファイルまたはディレクトリが /store パーティションを一杯にしているかを調べるには、ディスク・スペース使用の問題に関するトラブルシューティングのTechnoteを参照してください。

 

   

Answer

Quick Links

    

1. トラブルシューティング /store スペースの問題

これらは、/store の空きが無くなる原因となる最も一般的な問題です。/store スペースの問題に関する特定の情報については、以下の技術文書を参照してください。

この文書では、ディレクトリー /store/ariel 配下の各ディレクトリーの一覧と説明を提供しています。


この文書では、データ・ストレージ容量の使用率に関する懸念を解決する2つの可能なアプローチについて説明しています。


この文書では、/store パーティションのサイズ変更の可能性について述べています。


分散環境では、ecs-ep プロセスが停止している場合イベント・プロセッサー (EP) はログを送信できません。ディスクの使用率が高すぎると、EP が使用不能になる恐れがあります。

  

2. /store パーティション関連の問題

/store パーティションで発生した問題のサマリーリストです。

HA セカンダリー機で /var/log/systemStabMon ディレクトリーがローテーションされないために/var/log/ が一杯になる恐れがあることが判明しています。


プロセッサー・アプライアンス上の /store/persistent_queue/ecs-ec.ecs-ec のファイルが存在しないインスタンス中にて、アプライアンス上の全てのイベント処理と保管処理が修正されるまで失敗することが判明しています。


ISCSI 上に /store を構成した高可用性 (HA) のフェールオーバー中に、ISCSI マウントが自動的にプライマリーとセカンダリーの両方の /store をマウントしてしまうことが判明しています。この問題が発生した場合は、ISCSI 環境の /store パーティションが破損する恐れがあります。


/store がスタンドアロン・サーバーの複数のデバイスにマウントされると、QRadar のアップグレードのプレテストの「30-checkpartitions.sh」という処理が失敗することが判明しています。

  

3. /store パーティションのサイズに関する一般問題

アップグレード時のパーティション要件と推奨事項:

ソフトウェアのアップグレードとインストール中のみ、パーティションの要件と推奨事項が生成され、/root/partition_instructions.txt ファイルに保存されます。このファイルは、新しいオペレーティング・システムでのQRadar®セットアップ中に削除されます。パーティションの推奨事項を使用しないことを選択した場合は、必ずこれらのパーティション要件を満たしていることを確認してください。

注: IBM Knowledge Centerにアクセスするとドロップダウンより、7.2.8 / 7.3.0 / 7.3.2 へバージョンを変更できます。


ユーザーのハードウェアへの QRadar インストール済み環境に対する Linux オペレーティング・システムのパーティション・プロパティー :

独自のアプライアンスハードウェアを使用している場合は、デフォルトのパーティションを変更するのではなく、Red Hat Enterprise Linuxオペレーティングシステムでパーティションを削除して再作成することができます。

Note:  IBM Knowledge Centerにアクセスするとドロップダウンより、7.2.8 / 7.3.0 / 7.3.2 へバージョンを変更できます。


高可用性 (HA) クラスターの追加前に正しい /store パーティションを適切なサイズにするためのアプライアンスのアップグレード:

アプライアンスに高可用性 (HA) クラスターを追加する前に、セカンダリー HA ホストの/store および /transient パーティションの合計サイズがプライマリー HA ホストの /store パーティションと同じかそれ以上の大きさがあるかを確認する必要があります。

Note:  IBM Knowledge Centerにアクセスするとドロップダウンより、7.2.8 / 7.3.0 / 7.3.2 へバージョンを変更できます。  


ストレージを外部ストレージへ拡張するガイド:

このガイドは、/store または /store/ariel ファイルシステムを IBM Security QRadar  製品用拡張ストレージ装置への移動する方法を説明しています。


/store 上のディスク使用率を下げる文書:

データの保持期間の設定が高すぎるか、 IBM Security QRadar データを受信するのに必要な使用可能なストレージの割合が十分でない場合、ファイル・システムが 95% に達します。保存バケット・ストレージ設定を再構成すると、 QRadar のデプロイメント全体にわたってストレージが影響を受けます。


QRadar テナントが割り当てられたとき、どのようにイベント / フローの保持データは扱われるか:

この技術文書は、テナントが QRadar に割り当てられたときにどのようにイベント / フローのデータが保持されるかを説明しています。この技術文書は FAQ 形式で書かれていて、 QRadar の環境で大規模なテナントを使用しているユーザーからの共通の質問に答えています。

  

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF043","label":"Red Hat"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
13 April 2020

UID

ibm10888191