Troubleshooting
Problem
QRadar SIEMのルート・パーティション「/」がいっぱい、もしくはほぼいっぱいです。
Symptom
df -h /
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/rootrhel-root 13G 11G 1.7G 87% /
Cause
- 「transient」パーティションが作成されなかった
- カスタマイズが原因でいっぱいになっている
- 誰かが高負荷のコマンドを実行している
- 高負荷の検索が実行されている、あるいは保存されている
Resolving The Problem
- 「transient」パーティションが作成されていないことを確認します。
df -h /transient注: パーティションが何も返されない場合、「transient」パーティションが作成されていません。推奨される方法は、ソフトウェア・インストールで再インストールすることです。アプライアンス・インストールの場合、ホストがイベント・コレクターであれば可能です。 - バックアップを作成します。
mkdir -p /store/ibm_support/7160856/store cp -p /transient/spillover/queue/ecs-ec-ingress.ecs-ec-ingress/* /store/ibm_support/7160856/ cp -p /store/transient /store/ibm_support/7160856/store - サービスを停止します。
systemctl stop hostcontext ecs-ec-ingress /opt/qradar/systemd/bin/manual.sh hostcontext enable - 下記の通り、新規に「transient」ディレクトリーを作成してリンクします。
mkdir /store/transient2 mv /transient /store/transient2 rm /store/transient mv /store/transient2 /store/transient ln -s /store/transient /transient - サービスを再開します。
/opt/qradar/systemd/bin/manual.sh hostcontext disable systemctl start hostcontext ecs-ec-ingress
ルート・パーティションにおけるスペースの問題が解決されました。
df -h /
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"},{"code":"a8m0z000000cwtcAAA","label":"Hardware"},{"code":"a8m0z000000cwszAAA","label":"Install"},{"code":"a8m0z000000cwtdAAA","label":"Upgrade"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
27 August 2024
UID
ibm17162164