IBM Support

QRadar: /transient または /store/transient パーティションの高ディスク使用量問題の解決

Question & Answer


Question

/transient パーティションでディスク使用量が多い状況を解決するたにどのようなトラブルシューティング手順が利用できますか?

Cause

/transient (7.3.x) または /store/transient(7.2.8) パーティションは、検索および生成されたレポートデータのための専用カーソルを格納する領域です。

この記事では、 /transient または /store/transient パーティションは、異なる QRadar バージョン上の同じパーティションを表すため、互換的に使用されています。

ISOを使用したアップグレード時に /tmp 、 /store/tmp 、または /store/transient を使用しないでください。 これらのディレクトリはアップグレード時にパーティション化されます。 これらをファイルの保管場所やファイルのマウントポイントとして使用することはできません

パーティションのサイズとタイプは、アプライアンスのタイプ(コンソール、イベントプロセッサーなど)、モデル(新しいコンソールモデルのストレージが大きい)、ハードウェア、ソフトウェアのインストール(お客様のアプライアンス)、または VM 、および QRadar のバージョンによって異なります。

デフォルトでは、 QRadar ディスク監視ユニットの検査が 60 秒ごとに実行され、 /transient パーティション全体で高いディスク使用量を調査しています。 パーティションの使用率が 95% を超えると、 QRadar の重要なサービスが停止します。どのファイルまたはディレクトリが /transient パーティションをいっぱいにしているかを調べるには、ディスク・スペース使用の問題に関するトラブルシューティングのTechnoteを参照してください。

   

Answer

クイックリンク

     

1. /transient の領域の問題に関するトラブルシューティング

これらは、/transient が埋まる原因としてよく遭遇する問題です。 /transient のディスク領域の問題に関するトラブルシューティングの情報については、以下のTechnoteを参照してください。:

このTechnoteでは、 /transient パーティションが埋まる原因となっている大きな検索データファイルを特定して削除する手順について詳しく説明しています。


この Technote では、 QRadar が検索、攻撃、レポートによって使用されるこのデータにどのようにアクセスするか、およびコンソールによってどのように使用されるか QRadar 分散構成に関する情報について詳しく説明しています。

   

2. /transient パーティションの不具合

/transient パーティションで発生した問題の要約の一覧です。:



この事象は、QRadar ホストがリカバリパーティションから再構築され、 /store と /store/transient がマージされなかったことが原因で、 /store/transient を正しくマウントしない HA スタンバイの管理対象ホストにて発生します。

    

3. General Information about the sizing of /transient partition

アップグレード時のパーティション要件と推奨事項:

アップグレードプロセス中に、パーティションの要件と推奨事項が生成され、 /root/partition_instructions.txt に保存されます。 このファイルは、新しい OS での QRadar セットアップ中に削除されます。パーティションの推奨事項を使用しないことを選択した場合は、必ず下記のパーティション要件を満たしていることを確認してください。

注:  IBM Knowledge Centerにアクセスすると、7.2.8/7.3.0/7.3.2のドロップダウンからバージョンを変更できます。


ご使用のハードウェアに QRadar をインストールする場合の Linux OS 区画プロパティ:

独自のアプライアンスハードウェアを使用している場合は、デフォルトのパーティションを変更するのではなく、Red Hat Enterprise Linuxオペレーティングシステムでパーティションを削除して再作成することができます。

注:  IBM Knowledge Centerにアクセスすると、7.2.8/7.3.0/7.3.1のドロップダウンからバージョンを変更できます。


  

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
08 April 2020

UID

ibm10888187