Question & Answer
Question
QRadar コンソールからメモリー不足エラーが通知された場合、どのような情報を収集する必要がありますか?
Cause
メモリー不足エラーは、あるプロセスが、そのプロセスに対して定義された最大メモリー割り当て量を超えるメモリーを要求または割り当てようとしたときに発生します。
事象
メモリー不足エラーが発生すると、次のメッセージが受信されます。
GUI
Event processor
[main] com.q1labs.frameworks.core.ThreadExceptionHandler: [ERROR] [NOT:0030003100][IPADDRESS/- -] [-/- -]Out of memory discovered
|
注
太字の IPADDRESS は、メモリー不足エラーが発生しているホストです。 |
/var/log/qradar.log のログ内にてOutOfMemoryMonitor[12345]: Starting out-of-memory monitoring (enabled: yes)…
OutOfMemoryMonitor[12345]: Discovered out-of-memory error for [servicename] process.
OutOfMemoryMonitor[12345]: out-of-memory TYPE: [servicename], PID: 123456
OutOfMemoryMonitor[12345]: Discovered out-of-memory error for [servicename](type: [servicename], pid: 123456).
[servicename][123456]: JVMDUMP030E Cannot write dump to file /store/jheap/[servicename]/[servicename].*.dmp: File exists注太字の [servicename] は、メモリー不足エラーが発生したプロセスです。 |
Answer
メモリ不足エラーのよくある原因として、以下の点を確認してください。
メモリー不足のエラーが解決しない場合は、該当するサービスを再起動する前に、以下の情報を収集し、サポート Case を起票してください。
- /var/log/qradar.log で見つかったエラー。
- store/jheap/[servicename]/で、報告されたメモリー不足のエラーと同じ日時にダンプ・ファイル名:"[servicename].system.dmp" または "[servicename].javacore.dmp" が作成されていないか確認してください。
# cd /store/jheap/[servicename]/
# ls -lh
- ダンプ・ファイルが日時と一致せず、次の例のようなエラー・メッセージが /var/log/qradar.log にある場合:
[servicename][123456]: JVMDUMP030E Cannot write dump to file /store/jheap/[servicename]/[servicename].*.dmp: File exists
次のコマンドを使用して古いダンプ・ファイルを消去し、新しいダンプ・ファイルを作成できるようにします。:# rm -r /store/jheap/[servicename]/[servicename].*.dmp
- ダンプ・ファイルが作成され、日時が一致している場合は、以下のフォルダーを作成します。:
# mkdir /store/ibm_support/[servicename-date] - gzip ツールを使用してファイルを圧縮し、ファイルを移動します。:
# gzip [servicename].*.dmp]
# mv /store/jhead/[servicename]/file.gz /store/ibm_support/[servicename-date
- ダンプ・ファイルが日時と一致せず、次の例のようなエラー・メッセージが /var/log/qradar.log にある場合:
- ダンプによって同じディレクトリー /store/jheap/[servicename]/ に core.[pid] ファイルが作成された場合、タイムスタンプとファイル・サイズを記録しますが、収集する必要はありません。
- コンソールおよび影響を受ける管理対象ホストから get_logs を収集します。 詳しくは次の資料を参照してください。
How to collect log files for QRadar support from the user interface - サポート・チームへのログの提供に関するセキュリティー・ ポリシーがある場合は、ログをサポート Case にアップロードする前に sanitize できます。 詳細については、次の資料を参照してください。 QRadar: Sanitizing logs before you open a support case.
- メモリー不足エラーが発生している特定のサービスをサポートする Case を作成し、収集した情報を提供します。
Related Information
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
28 April 2023
UID
ibm16965192