IBM Support

QRadar: ファイルまたはディレクトリーを削除して、/opt パーティションのスペースを確保する

Troubleshooting


Problem

QRadar® SIEM のルート /opt パーティションに十分なスペースがない場合、QRadar の通常の機能に影響を与える可能性があります。 この技術書の目的は、/opt パーティションに十分な空きディスク容量がない場合に、管理者がファイルとディレクトリーを削除できるようにすることです。

Symptom

/opt パーティションに使用可能なスペースが不足していると、次の問題が発生する可能性があります:
  •  " プロセス・モニター・アプリケーションの開始に複数回失敗する " に関するアラート。
  •   I/O エラーのレポート の検索。
  • サービスが開始されない。
  • ディスク容量の限界に伴う構成のデプロイの変更
    [tomcat.tomcat] /console/JSON-RPC/QRadar.scheduleDeployment QRadar.scheduleDeployment] com.q1labs.configservices.util.ConfigServicesUtil: 
    [INFO] [-/--] Deployment is blocked due to critical disk space issue
  • ソフトウェア更新の実行時、ディスク容量チェックの失敗。
    =-= DiskSpace Report for Mountpoint '/opt' =-=
    
    =-= Available: 1735980 Kb,  Required: 1932367.2 KB =-=
    =-= Total Patch Files: 3524 Kb =-=
    =-= Total RPM Files: 1159000 Kb =-=
    =-= Directories over 1G on mountpoint /opt to a depth of 3: /opt =-=
    
    Size (MB)     Directory
    10109         /opt
    7572          /opt/qradar
    4780          /opt/qradar/bin
    4597          /opt/qradar/bin/ca_jail
    2071          /opt/ibm
    1656          /opt/ibm/si
    1640          /opt/ibm/si/services
    1163          /opt/qradar/conf
    
    =-= Files on mountpoint /opt over 1G =-=
    
    =-= Disk Space Report Complete for '/opt'
    <Hostname>:  patch test failed.

Cause

デフォルトでは、QRadar ディスク監視チェックは 60 秒ごとに実行され、パーティション全体で高いディスク使用率を探します。 パーティションが重大な警告のしきい値を超えると、管理者が調査するためのアラートがトリガーされます。

Diagnosing The Problem

まず、 "ディスク・スペースの使用に関する問題のトラブルシューティング" の手順を実行して、パーティション内の大きなディレクトリーとファイルを特定し、それらを削除します。

特定できたら、以下の手順を実行して、/opt パーティションが一杯になる具体的な原因を特定し、「Resolving the Problem」のセクションを使用して解決することができます。

残りの複製ファイル
  1. 失敗した複製ファイルが /opt/qradar/support/ に存在するかどうかを確認します。 残りのファイルが存在しない場合、このコマンドからの出力は期待できません。
    ls -lah /opt/qradar/support/failed_tx*
ecs-ec-ingress、ecs-ec、および ecs-ep サービス構成ファイルの残り
  1. QRadar ビルド バージョンを取得する。
    /opt/qradar/bin/myver -b
    出力例:
    2021.6.2.20220527130137
  2. サービスのバージョンがビルドのバージョンと一致することを確認します。:
    for service in ecs-ec-ingress ecs-ec ecs-ep; do echo -e $service && siemctl list-versions $service ; done
    出力例:
    ecs-ec-ingress
    7.3.2.20190410024210
    2020.11.0.20210517144015
    2021.6.2.20220527130137 (active)
    ecs-ec
    7.3.2.20190410024210
    2020.11.0.20210517144015
    2021.6.2.20220527130137 (active)
    ecs-ep
    7.3.2.20190410024210
    2020.11.0.20210517144015
    2021.6.2.20220527130137 (active)
    
    前の出力では、2021.6.2.20220527130137 がアクティブなバージョンです。 他のエントリーは、システム内の以前のバージョンからの残りです。
  3. 前の出力が、 /opt/ibm/si/services/<ecs service>/ 内のディレクトリーと一致することを確認します。
    find /opt/ibm/si/services/<ecs service>/ -mindepth 1 -maxdepth 1 -type d -not -name current -prune -not -name eventgnosis -prune -print
    ecs-ec を使用した出力例。ecs-ec-ingress、ecs-ep についても同様です。
    find /opt/ibm/si/services/ecs-ec/ -mindepth 1 -maxdepth 1 -type d -not -name current -prune -not -name eventgnosis -prune -print
    
    /opt/ibm/si/services/ecs-ec/2021.6.2.20220527130137      <- Active
    /opt/ibm/si/services/ecs-ec/7.3.2.20190410024210         <- Leftover
    /opt/ibm/si/services/ecs-ec/2020.11.0.20210517144015     <- Leftover
    前の出力では、2021.6.2.20220527130137 がアクティブバージョンで、これは前のステップの出力と一致します。他の2行は残り物です。
PID が停止し、システムが正確な値を提供できない。
  1. /opt パーティション内の競合するディレクトリーを特定します。
    du -xch -d 3 /opt | sort -h | tail -n 10
    出力例:
    795M    /opt/ibm/si/services
    802M    /opt/ibm/si
    866M    /opt/qradar/conf
    991M    /opt/ibm/forensics/decapper
    1.4G    /opt/ibm/forensics
    2.5G    /opt/ibm
    7.2G    /opt/qradar/support
    8.8G    /opt/qradar
    13G     /opt
    13G     total
    
    先の例では、/opt/qradar/support/ が最大のディレクトリーであり、原因であると思われます。
  2. 競合するディレクトリーに停止したファイルがあることを確認します。 それらは削除されたものとして表示されます。
    lsof +L1 /opt/ | grep <directory name>
    出力例:
    lsof +L1 /opt/ | grep /opt/qradar/support
    
    root       5403     root  166r   REG  253,4   187138     1   18911400 /opt/qradar/support/testfile.zip (deleted)
    
手動自動更新の残りのファイル
/opt/qradar/www/autoupdates/ が存在するが、/storetmp/ へのリンクがないことを確認します。 この手順の詳細については、QRadar の毎週の自動更新バンドルを手動でインストールする方法 を参照してください。
悪い出力例:  リンクが存在しないことを示す " -> /storetmp/ " の部分に注意してください。 
 
[root@qradar ~]# ls -lad /opt/qradar/www/autoupdates
drwxr-xr-x 2 root root 6 Oct 11 13:48 /opt/qradar/www/autoupdates
良い出力: リンクが存在することを示す " -> /storetmp/ " 部分に注意してください。
 
[root@qradar ~]# ls -lad /opt/qradar/www/autoupdates
lrwxrwxrwx 1 root root 10 Oct 11 13:45 /opt/qradar/www/autoupdates -> /storetmp/
システムにインストールされているサード・パーティー・ソフトウェア
重要: /opt パーティションにログを書き込むことができる監視エージェント、アンチウイルスなどの特定のサード・パーティー・ソフトウェア。QRadarは、従来のアンチウイルスやマルウェアエージェントを必要としたり、サードパーティ製のパッケージやプログラムのインストールをサポートしません。

Resolving The Problem

管理者は、「Diagnosing The Problem」セクションのすべての手順を実行して、スペースを取り戻すために解決する必要があるパーティション固有の問題を特定する必要があります。 残りのファイルまたは別の問題が見つかったセクションごとに、ここの対応するセクションを使用して問題を解決します。
ecs-ec-ingress、ecs-ec、および ecs-ep サービス構成ファイルの残り
  1. 競合するディレクトリーをより大きなパーティションに移動または削除します。 この例では、/store/IBM_Support ディレクトリーが使用されます。
    • 競合するディレクトリーを移動するには、次を実行します。:
       
      for service in ecs-ec-ingress ecs-ec ecs-ep; \
       do mkdir -pv /store/IBM_Support/$service; \
       mv -v $(find /opt/ibm/si/services/$service/ -mindepth 1 -maxdepth 1 -type d -not -name current -not -name eventgnosis -not -path $(readlink -f /opt/ibm/si/services/$service/current) -prune -print) /store/IBM_Support/$service; \
      done
      出力例:
      mkdir: created directory ‘/store/IBM_Support/ecs-ec-ingress’
      ‘/opt/ibm/si/services/ecs-ec-ingress/2021.6.2.20220527130123’ -> ‘/store/IBM_Support/ecs-ec-ingress/2021.6.2.20220527130123’
      removed directory: ‘/opt/ibm/si/services/ecs-ec-ingress/2021.6.2.20220527130123’
      
      mkdir: created directory ‘/store/IBM_Support/ecs-ec’
      ‘/opt/ibm/si/services/ecs-ec/2021.6.2.20220527130123’ -> ‘/store/IBM_Support/ecs-ec/2021.6.2.20220527130123’
      removed directory: ‘/opt/ibm/si/services/ecs-ec/2021.6.2.20220527130123’
      
      mkdir: created directory ‘/store/IBM_Support/ecs-ep’
      ‘/opt/ibm/si/services/ecs-ep/2021.6.2.20220527130123’ -> ‘/store/IBM_Support/ecs-ep/2021.6.2.20220527130123’
      removed directory: ‘/opt/ibm/si/services/ecs-ep/2021.6.2.20220527130123’
    • 競合するディレクトリーを削除するには、次を実行します。:
       
      for service in ecs-ec-ingress ecs-ec ecs-ep; \
       do rm -rfv $(find /opt/ibm/si/services/$service/ -mindepth 1 -maxdepth 1 -type d -not -name current -not -name eventgnosis -not -path $(readlink -f /opt/ibm/si/services/$service/current) -prune -print); \
      done
      出力例:
      removed directory: ‘/opt/ibm/si/services/ecs-ec-ingress/2021.6.2.20220527130123’
      removed directory: ‘/opt/ibm/si/services/ecs-ec/2021.6.2.20220527130123’
      removed directory: ‘/opt/ibm/si/services/ecs-ep/2021.6.2.20220527130123’
      
  2. 残されたディレクトリーだけが削除され、現在のバージョン、eventgnosis、active バージョンがシステム上に残っていることを確認します。:
    ll /opt/ibm/si/services/*/
    出力例:
    /opt/ibm/si/services/ecs-ec/:
    drwxr-xr-x 5 root root 59 Jun  9 21:55 2021.6.2.20220527130137
    lrwxrwxrwx 1 root root 51 Jun  9 22:20 current -> /opt/ibm/si/services/ecs-ec/2021.6.2.20220527130137
    drwxr-xr-x 2 root root  6 Sep 25 18:25 eventgnosis
    
    /opt/ibm/si/services/ecs-ec-ingress/:
    drwxr-xr-x 5 root root 59 Jun  9 21:54 2021.6.2.20220527130137
    lrwxrwxrwx 1 root root 59 Jun  9 22:51 current -> /opt/ibm/si/services/ecs-ec-ingress/2021.6.2.20220527130137
    drwxr-xr-x 3 root root 17 Aug  7  2019 eventgnosis
    
    /opt/ibm/si/services/ecs-ep/:
    drwxr-xr-x 5 root root 59 Jun  9 21:55 2021.6.2.20220527130137
    lrwxrwxrwx 1 root root 51 Jun  9 22:20 current -> /opt/ibm/si/services/ecs-ep/2021.6.2.20220527130137
  3. /opt パーティションの使用量が減少したことを確認します。
    df -Th /opt
PID が停止しているため、システムが正確な値を提供できない。
停止した PID を強制終了します。

重要: 管理者は、強制終了されるプロセスを確認し、それがコア・プロセスでないことを検証する必要があります。コア・プロセスが強制終了されると、コア・サービスを再起動する必要があり、ユーザー・インターフェイスの中断、ギャップの発生、イベント・プロセスの遅延、およびオフェンスの生成を引き起こす可能性があります。このコマンドからの出力は生成されません。
lsof +L1 /<directory_name> | grep 'deleted' | awk '{print $2}' | xargs kill -9
例:
lsof + L1 /opt/qradar/support | grep 'deleted' | awk '{print $2}' | xargs kill -9
手動自動更新の残りのファイル
/opt/qradar/www/autoupdates/ およびそのサブディレクトリー内のファイルを削除します。 
rm -rfv /opt/qradar/www/autoupdates/*
システムにインストールされているサード・パーティー・ソフトウェア
管理者は、サード・パーティーのアプリケーション資料を参照して、QRadar アプライアンスからソフトウェアを削除する必要があります。
結果
/opt パーティションには、ディスク容量の制約がなくなりました。 パーティションが重要なサービス停止のポイントに達した場合、管理者は適切な順序でサービスを再起動し、次のコマンドで 5 分間待機する必要があります。:
 
重要: QRadar コア・サービスが再起動すると、すべてのユーザーが QRadar UI、イベント処理、およびデータベースを使用できるわけではありません。 厳格な停止ポリシーを持つ管理者は、組織のスケジュールされたメンテナンス期間中に次の手順を完了することをお勧めします。
 
systemctl stop hostcontext
systemctl stop tomcat
systemctl restart hostservices
systemctl start tomcat
systemctl start hostcontext
パーティションの使用量が減らない場合、またはサービスが適切に開始されない場合は、 QRadar サポート に連絡してサポートを受けてください。

QRadar 7.3.0 および 7.3.1 のみの解決策

管理者は、partitionDiagnostic.sh script を実行できます。 このユーティリティーは、7.3.2 以降のバージョンでは実行されません。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Document Information

Modified date:
28 December 2022

UID

ibm16832394