IBM Support

QRadar: /var/log パーティションのディスク使用量問題を解決する

Question & Answer


Question

/var/log/ パーティション問題を解決するために、どのようなトラブルシューティング手順を使用できますか?

Cause

/var/log パーティションは、QRadar およびシステムのログファイルのストレージ領域です。 このパーティションには、例えば以下のようなログがあります。

例:qradar.log、qradar.error、qradar-ha.log、messages、および httpd.log

パーティションのサイズとタイプは、アプライアンス・タイプ(コンソール、イベント・プロセッサーなど)、モデル(より新しいコンソール・モデルのストレージ容量が大きい)、ハードウェア、ソフトウェア・インストール(お客様のアプライアンス)、VM、QRadarバージョンによって異なります。

デフォルトでは、QRadar のディスク監視プロセスが60秒ごとに実行され、/var/log パーティション全体でのディスク使用量を確認します。/var/log パーティションは、クリティカル・レベル(95%)までいっぱいになると、他のパーティションのように、QRadar のクリティカル・サービスは停止されません。

どのファイルまたはディレクトリーが /var/log パーティションを逼迫しているかを調べるには、

どのファイルまたはディレクトリが /store パーティションを一杯にしているかを調べるには、ディスク・スペース使用の問題に関するトラブルシューティングのTechnoteを参照してください。

Answer

Quick Links

      

1. /var/log のスペース問題を解決する

これらは、/var/log が満杯になる原因となる最も一般的な問題です。 /var/log のスペース問題のトラブルシューティングに関する具体的な情報については、以下の技術情報をご参照ください。

ログ・ローテートのスクリプトが、/var/log/ から /var/log/qradar.old/ にローテートさせる必要のある 「*.1」拡張子を持つファイルを移動するのに失敗する問題です。この問題は「*.1」拡張子を持つ未圧縮のファイルが既にそれらのフォルダーに存在するためです。


QRadar 7.3.1 Patch 6 で、ログ・ローテートに加えられた変更により、ログ・ローテートファイルが /etc/cron.hourly/ から欠落しているため、/var/log の空きスペースが使い切ってしまう可能性があることが確認されました。


パーティションが最大しきい値を超えると、変更のデプロイが開始できず、「Error performing deployment. See logs for details」というメッセージがポップアップ・ウィンドウで表示される。

   

2. /var/log パーティションに関する不具合情報

以下は、/var/logパーティションで検出された一般的な障害の要約リストです。

HA 環境のセカンダリー・アプライアンスで、/var/log/systemStabMon ディレクトリーがローテートされないため、/var/log/ が満杯になる可能性があることが確認されました。







   

3. /var/log パーティションのサイジングに関する一般的な情報

アップグレード時のパーティションの要件と推奨事項:

ソフトウェア・アップグレード中に(ソフトウェア・インストールの場合のみ)、パーティションの要件と推奨事項が生成され、/root/partition_instructions.txt ファイルに保管されます。 このファイルは、新しいオペレーティング・システム上のQRadarのセットアップ時に削除されます。 パーティションの推奨情報を使用しないことを選択した場合は、これらのパーティション要件を満たしていることを確認してください。

注:ここでのアップグレードは、基本オペレーティング・システムもアップグレードするため、7.2.8 から 7.3.x にアップグレードする場合です。 7.3.0 にアップグレードする場合は、上記の IBM Knowledge Center のドロップダウンを使用して、7.3.0 バージョンに変更することができます。


独自のハードウェアに QRadar ソフトウェアをインストールするための Linux オペレーション・システムのパーティションプロパティー情報:

独自のアプライアンス・ハードウェアを使用する場合は、デフォルトのパーティションを変更するのではなく、Red Hat Enterprise Linux オペレーティング・システム上でパーティションを削除および再作成することができます。

注: IBM Knowledge Centerでは、ドロップダウンから 7.2.8/7.3.0/7.3.1 のバージョン変更ができます。

  

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
13 April 2020

UID

ibm10888227