ユーザーのシステムの QRadar インストール済み環境のための Linux オペレーティング・システムのパーティション・プロパティー
独自のアプライアンス・ハードウェアを使用する場合、Red Hat® Enterprise Linux® オペレーティング・システムでデフォルトのパーティションを変更するのではなく、パーティションを削除して再作成できます。
Red Hat Enterprise Linux オペレーティング・システムでパーティションを再作成するとき、次の表の値を指針として使用してください。 パーティションにはここに示す名前を使用する必要があります。 他のパーティション名を使用すると、インストールが失敗したりその他の問題が発生したりする可能性があります。
各パーティションのファイル・システムは XFS です。
| マウント・パス | LVM サポートあり | ソフトウェア・インストールに存在 | サイズ |
|---|---|---|---|
| /boot | No | Yes | 1 GB |
| /boot/efi | No | Yes | 200 MB |
| /recovery | No | No | 8 GB |
| /var | Yes | Yes | 5 GB |
| /var/log | Yes | Yes | 15 GB |
| /var/log/audit | Yes | Yes | 3 GB |
| /opt | Yes | Yes | 13 GB |
| /home | Yes | Yes | 1 GB |
| /storetmp | Yes | Yes | 15 GB |
| /tmp | Yes | Yes | 3 GB |
| swap | N/A | Yes | スワップの式: スワップ・パーティションのサイズは RAM の 75% となるように構成します (最小値は 12 GiB、最大値は 24 GiB)。 |
| / | Yes | Yes | 最大 15 GB |
| /store | Yes | Yes | 残りのスペースの 80% |
| /transient | Yes | Yes | 残りのスペースの 20% |
スワップ・パーティションについて詳しくは、https://www.ibm.com/support/pages/node/6348712 (https://www.ibm.com/support/pages/node/6348712) を参照してください。
複数ディスク・デプロイメント用のコンソール・パーティション構成
複数のディスクがあるシステムの場合は、QRadar® 用に以下のパーティションを構成します。
- ディスク 1
- ブート、スワップ、OS、QRadar 一時ファイル、およびログ・ファイル
- 残りのディスク
-
- 使用する RAID タイプを決定するための指針として、QRadar アプライアンス用のデフォルトのストレージ構成を使用します。
- /store としてマウント済み
- QRadar データを保管します。
以下の表に、QRadar アプライアンス用のデフォルトのストレージ構成を示します。
| QRadar ホストのロール | 記憶装置構成 |
|---|---|
|
フロー・コレクター QRadar Network Insights (QNI) |
RAID1 |
|
データ・ノード イベント・プロセッサー フロー・プロセッサー イベント・プロセッサーおよびフロー・プロセッサー オールインワン・コンソール |
RAID6 |
|
イベント・コレクター |
RAID10 |