ユーザーのシステムの QRadar インストール済み環境のための Linux オペレーティング・システムのパーティション・プロパティー
独自のアプライアンス・ハードウェアを使用する場合、Red Hat® Enterprise Linux® オペレーティング・システムでデフォルトのパーティションを変更するのではなく、パーティションを削除して再作成できます。
Red Hat Enterprise Linux オペレーティング・システムでパーティションを再作成するとき、次の表の値を指針として使用してください。 パーティションにはここに示す名前を使用する必要があります。 他のパーティション名を使用すると、インストールが失敗したりその他の問題が発生したりする可能性があります。
各パーティションのファイル・システムは XFS です。
マウント・パス | LVM サポートあり | ソフトウェア・インストールに存在 | サイズ |
---|---|---|---|
/boot | No | Yes | 1 GB |
/boot/efi | No | Yes | 200 MB |
/recovery | No | No | 8 GB |
/var | Yes | Yes | 5 GB |
/var/log | Yes | Yes | 15 GB |
/var/log/audit | Yes | Yes | 3 GB |
/opt | Yes | Yes | 13 GB |
/home | Yes | Yes | 1 GB |
/storetmp | Yes | Yes | 15 GB |
/tmp | Yes | Yes | 3 GB |
swap | N/A | Yes | スワップの式: スワップ・パーティションのサイズは RAM の 75% となるように構成します (最小値は 12 GiB、最大値は 24 GiB)。 |
/ | Yes | Yes | 最大 15 GB |
/store | Yes | Yes | 残りのスペースの 80% |
/transient | Yes | Yes | 残りのスペースの 20% |
スワップ・パーティションについて詳しくは、https://www.ibm.com/support/pages/node/6348712 (https://www.ibm.com/support/pages/node/6348712) を参照してください。
複数ディスク・デプロイメント用のコンソール・パーティション構成
複数のディスクがあるシステムの場合は、QRadar® 用に以下のパーティションを構成します。
- ディスク 1
- ブート、スワップ、OS、QRadar 一時ファイル、およびログ・ファイル
- 残りのディスク
-
- 使用する RAID タイプを決定するための指針として、QRadar アプライアンス用のデフォルトのストレージ構成を使用します。
- /store としてマウント済み
- QRadar データを保管します。
以下の表に、QRadar アプライアンス用のデフォルトのストレージ構成を示します。
QRadar ホストのロール | 記憶装置構成 |
---|---|
フロー・コレクター QRadar Network Insights (QNI) |
RAID1 |
データ・ノード イベント・プロセッサー フロー・プロセッサー イベント・プロセッサーおよびフロー・プロセッサー オールインワン・コンソール |
RAID6 |
イベント・コレクター |
RAID10 |