IBM Support

QRadar: ファイルやディレクトリーを削除して、/ パーティションの空き容量を確保する

Troubleshooting


Problem

QRadar のルート " / " パーティションに十分なスペースがない場合、QRadar® SIEM の通常の機能に影響を与える可能性があります。 この技術情報の目的は、" / " パーティションに十分な空きディスク容量がない場合に、管理者がファイルとディレクトリーを削除できるようにすることです。

Symptom

" / " パーティションに空き領域がない場合、次の問題が発生する可能性があります。
  •  " プロセス・モニター・アプリケーションの開始に複数回失敗する " に関するアラート。
  •   I/O エラーのレポート が検索される。
  • サービスが開始されない。
  • 重要なディスク容量のため、構成のデプロイが変更される。   
    [tomcat.tomcat] /console/JSON-RPC/QRadar.scheduleDeployment QRadar.scheduleDeployment] com.q1labs.configservices.util.ConfigServicesUtil: 
[INFO] [-/--] Deployment is blocked due to critical disk space issue
  • ソフトウェア更新の実行時にディスク容量チェックに失敗する。
      
    =-= Disk Space Report Complete for '/'

[ERROR](testmode) - Mountpoint: / has 924140 Kb available and requires 1396312.8 Kb
[ERROR](testmode) Pretest had 1 failed checks for free space;
 - Mountpoint: / has 924140 Kb available and requires 1396312.8 Kb

Patch Report for <QRadar host IP>, appliance type: <QRadar appliance type>
=-= DiskSpace Report for Mountpoint '/' =-=
=-= Available: 924140 Kb,  Required: 1396312.8 KB =-=
=-= Total RPM Files: 87436 Kb =-=

=-= Disk Space Report Complete for '/'
<Hostname> :  patch test failed.

Cause

デフォルトでは、QRadar ディスク監視チェックは 60 秒ごとに実行され、パーティション全体で高いディスク使用率を検知します。 パーティションが重大な警告のしきい値を超えると、管理者が調査するためのアラートがトリガーされます。

Diagnosing The Problem

下記の診断を参照の上、お使いのアプライアンスが抱えている問題を確認後、Resolving The Problem の手順を完了してください。
アプライアンスのディスクサイズ
256 GB ( 最小ディスク・ストレージ ) 未満のアプライアンスに QRadar をインストールすると、 一部のパーティションがデフォルトで " / "  パーティションになる可能性があります。 ディスク要件が満たされていない場合、サイズの小さいアプライアンスの " / " パーティションが下記のディレクトリーでいっぱいになる可能性があります。
  • /store/backup/
  • /store/persistent_queue/
  • /store/transient/
  • /transient/spillover/
  • /transient/ariel_proxy.ariel_proxy_server/
lsblk コマンドを使用して、ディスク サイズが 256GB 未満であり、システムに /store および /transient パーティションが存在するかどうかを調べます。
Figure01
ルート "/" パーティション内の最大のディレクトリーとファイル
下位ディレクトリーの内容を調査するために、ルート" / " パーティションを --bind オプションで別のマウント・ポイントに再度マウントする必要があります。 
重要: この手順は、サービスを停止したり、パーティションをアンマウントすることなく実行することができます。
  1. QRadar コンソールに SSH 接続します。
  2. 一時的なマウント・ポイントとして使用するディレクトリーを作成します。 
    mkdir -p /root/root_tmp/
  3. 新しく作成した一時ディレクトリーにルート・パーティションをマウントします。
     
    QRadar 7.3 以降のバージョンの場合: 
    mount -o --bind /dev/mapper/rootrhel-root /root/root_tmp
  4. 最大のディレクトリーとファイルを調査して、絶対(フル)パスを記録する。
    1. ディレクトリーに移動します。 
      cd /root/root_tmp/
    2. QRadar: ディスク・スペースの使用に関する問題のトラブルシューティング の手順に従って、最大のディレクトリーとファイルを特定します。 
       du -xch /root/root_tmp/ | sort -h
  5. ディレクトリーとファイルが特定されたら、バインド・マウントをアンマウントします。 
    cd; umount /root/root_tmp/

Resolving The Problem

Diagnosing The Problem の手順に従って、サイズの小さいディスクを搭載したアプライアンスの指示を完了する必要があるかどうか、または " / " パーティション内の大きなディレクトリーとファイルを特定して削除する必要があるかどうかを判断します。 両方の問題がアプライアンスに表示される場合は、両方のセクションに従ってください。
サイズの小さいディスクを搭載したアプライアンス
管理者は QRadar サポート に連絡して、一時的な支援を受けることができます。 ただし、恒久的な解決策として、ディスク・スペース要件を満たす ことによって、QRadar を再インストールする必要があります。
  1. 管理対象ホストをデプロイメントから削除します。
  2. 仮想マシンを停止し、ハード・ディスク領域の割り当てを増やします。 この操作を行うには、管理者はそれぞれのハイパーバイザーのドキュメントを参照する必要があります。
  3. QRadar を再インストールします。
    1. 検索バーで ISO キーワードを使用して、  QRadar ソフトウェア・リスト 101 から ISO ファイルを収集します。
      Figure02
    2. ISO を仮想マシンにマウントします。 この操作を行うには、管理者はそれぞれのハイパーバイザーのドキュメントを参照する必要があります。
    3. 仮想マシンをパワー・オンして、以前と同じアプライアンス・タイプを選択します。 段階的な説明については、 QRadar インストール・ガイド を参照してください。
  4. コンソールのバージョンと一致するようにソフトウェアの更新を行います。
    1.  QRadar ソフトウェア・リスト 101 からSFSファイルを収集します。
      Figure03
    2. SFS の "リリース ノート" の記事の手順に従って、ソフトウェア・アップデートを実行します。
  5. 管理対象ホストをデプロイメントに追加します。
結果
/store および /transient パーティションは別のパーティションになりました。これにより、これらのパーティション内のディレクトリーとファイルが " / " パーティションをいっぱいにすることを防ぎます。
/ パーティション内の安全に削除できるファイル
/root または /home ディレクトリーが最大のディレクトリーである場合、ユーザーが忘れたファイルがパーティションをいっぱいにしている可能性があります。 管理者は、ディレクトリー内のファイルを移動または削除できます。 その他の考えられるファイルまたはシナリオについては、  / パーティションについて を参照してください。
  1. ファイルを移動または削除します。
    • ファイルを移動します。 
      mkdir -p /store/IBM_Support/
mv -v /full/path/to/<file> /store/IBM_Support/
      注: STANDBY 状態のホストで" / " パーティションがいっぱいの場合、QRadar HA クラスターで /store/IBM_Support/ を使用することはできません。 これらのアプライアンスでは、代わりに /storetmp/ パーティションを使用してください。

      出力例: 
      ‘/root/scripts/test_file.zip’ -> ‘/store/IBM_Support/test_file.zip’
removed ‘/root/scripts/test_file.zip’
    • ファイルを削除します。
      rm -fv /full/path/to/<file>
      出力例: 
      removed ‘/root/scripts/test_file.zip’
  2. パーティションのスペースが増えたことを確認します。 
    df -Th /
    出力例: 
    Filesystem                Type  Size  Used Avail Use% Mounted on
/dev/mapper/rootrhel-root xfs    13G  4.1G  8.5G  33% /
結果
" / " パーティションには、ディスク容量の制約がなくなりました。 パーティションが重要なサービス停止のポイントに達した場合は、次のコマンドで適切な順序でサービスを再起動した上で、5 分間待機します。
重要: QRadar コア・サービスを再起動すると、QRadar UI、イベント処理、およびデータベースがすべてのユーザで利用できなくなります。 厳格な停止ポリシーを持つ管理者は、メンテナンス期間中に次の手順を完了することをお勧めします。
  
systemctl stop hostcontext
systemctl stop tomcat
systemctl restart hostservices
systemctl start tomcat
systemctl start hostcontext
パーティションの使用量が減らない場合、またはサービスが適切に開始されない場合、管理者は  QRadar サポート に連絡してサポートをリクエストしてください。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtNAAQ","label":"Deployment"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Document Information

Modified date:
15 November 2022

UID

ibm16829837

Page Feedback