IBM Support

QRadar: var/log/audit パーティションについて

Question & Answer


Question

QRadar の /var/log/audit パーティションの目的は何ですか? また、/var/log/audit パーティションがいっぱいになる問題をトラブルシューティングするにはどうすればよいですか?

Answer

/var/log/audit パーティションは、システム、検索、API 呼び出しの監査ログを含むパーティションです。

デフォルトでは、 QRadar ディスク監視 チェックは 60 秒ごとに実行され、/var/log/audit パーティション全体で高いディスク使用率を探します。 /var/log/audit パーティションがいっぱいになると、QRadar ディスク監視チェックはアラートを出しますが、QRadar コア・サービスは停止しません。

/var/log/audit パーティションがいっぱいになる最も一般的な原因は、ログ・ローテーションの失敗です。 ログ・ローテーションで圧縮または削除できる速度よりも速くログ・ファイルが大きくなると、/var/log/audit に影響を与える可能性があります。

アップデート失敗のエラー
ソフトウェアの更新が実行されると、/var/log/audit パーティションのヘルス・チェック が実行され、ディスク領域に更新用の十分な領域があることが確認されます。 パーティションに十分なスペースがない場合、 "patch test failed"というエラーが出て失敗します。QRadar: 管理者向けソフトウェア更新チェックリスト で提案されているように、更新を実行する前に、ディスク・スペースの問題を修正することをお勧めします。 
Available Space Checks
  Checks if /var/log has enough space
     [FAILURE]
         Not enough space in /var/log/audit: Available Space: 94 MB - File:
         /var/log/audit/auditd.log.5 2800 MB. This will cause logrotate to
         fail.
        [REMEDIATION]
         Free up space in /var/log/audit. You need at least 3000 MB free.

[SUMMARY]  7 successful checkups
[SUMMARY]  1 failed checkup
[SUMMARY]  0 invalid files
[SUMMARY] 15 skipped files

[ERROR](testmode) Cliniq checkup with mode patch has found errors.
[ERROR](testmode) Cliniq has detected unresolved patch-sensitive issues. You must resolve these issues before continuing.
 [INFO](testmode) Set <Hostname> status to 'Patch Test Failed'
[ERROR](testmode) Patching can not continue

Status Summary of Hosts
+---------------------------+-------------------+
|Hostname                   |Status             |
|---------------------------+-------------------|
|<Hostname>                 |Patch Test Failed  |
+---------------------------+-------------------+



Patch Report for <Host IP>, appliance type: 3105
<Hostname> :  patch test failed.

Press enter to continue...
ディスク容量の問題のトラブルシューティング
/var/log/audit パーティションをいっぱいにしているファイルまたはディレクトリーを特定し、スペースを安全に解放する方法を確認するには、次の記事の手順に従ってください。

7.2.x to 7.3.x からのアップデート

7.3.1 以降、QRadar は LVM を使用し、論理ボリューム /dev/mapper/rootrhel-varlogaudit は /var/log/audit パーティションのみに指定され、 /var 及び /var/log 内にあるにもかかわらず、独自の容量を使用します。

[root@qradar ~]# df -Th /var/log/audit
Filesystem                       Type  Size  Used Avail Use% Mounted on
/dev/mapper/rootrhel-varlogaudit xfs   3.0G  167M  2.9G   6% /var/log/audit

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Document Information

Modified date:
27 December 2022

UID

ibm16839683

Page Feedback