IBM Support

QRadar: NFSを使用した夜間の構成バックアップが完了できません

Troubleshooting


Problem

ログに「Partition containing directory: '/nfs' above warning threshold, disallowing backup」というエラーが表示され、ダッシュボードに「ディスク監視機能: ディスク使用量が警告しきい値を超えました。」という警告が表示され、容量が不足しているためにバックアップが失敗します。

Symptom

ダッシュボード通知は「ディスク監視機能: ディスク使用量が警告しきい値を超えました。」という警告を報告します。 次のようなエラーが/var/log/qradar.error に表示されます: 
[hostcontext.hostcontext] [Scheduled Backup] com.q1labs.hostcontext.backup.BackupRecoveryEngine:
 [ERROR] [NOT:0150023103][x.x.x.x/- -] [-/- -]Partition containing directory: '/nfs' above warning threshold, 
  disallowing backup
[hostcontext.hostcontext] [Scheduled Backup] com.q1labs.hostcontext.backup.BackupRecoveryEngine:
 [WARN] [NOT:0000004000][x.x.x.x/- -] [-/- -]Unable to complete backup: config
[hostcontext.hostcontext] [Scheduled Backup] com.q1labs.hostcontext.backup.BackupRecoveryEngine:
 [WARN] [NOT:0000004000][x.x.x.x/- -] [-/- -]Unable to complete backup: data

Cause

ディスクの空き容量が最後のバックアップのサイズの2倍以上あるのに、バックアップが失敗します。デフォルトでは、バックアップの動作を停止する閾値はパーティションの90%(0.90)です。

Diagnosing The Problem

NFS ストアへの接続を確認し、次にそのディスク領域の使用状況を確認します。
  1. SSH を使用して、QRadar コンソールに root ユーザーとしてログインします。
  2. NFS ストアをマウントして接続をテストします。 NFS 共有はまだマウント解除しないでください。
  3. NFS 共有のディスク領域の使用状況を確認します。オフボード・ストレージ・ガイド では、NFS をマウントするディレクトリとして/store/backup を使用しています。 
    du /store/backup -sh

    結果
    使用率が90% 以上の場合はResolving the Problem に進み、使用率を下げる方法を確認してください。共有からファイルを削除する場合は、ストアをマウントしたままにします。そうでない場合は、アンマウントしてください。

Resolving The Problem

以下のいずれかの方法で、空き容量を確保してください。
  • 不要なファイルを削除します。
  • NFS 共有から古いバックアップを別のストレージ デバイスにコピーするか、必要な保持ポリシーに従って削除して、古いバックアップをクリーンアップします。
  • QRadar UI を使用してバックアップを管理します。
    1. 管理者ユーザーとして QRadar にログインします。
    2. 管理 の設定を開きます。
    3. バックアップ/リカバリー アイコンをクリックします。
    4. バックアップ保存期間を変更します。
      1. 構成をクリックします。
      2. バックアップ保存期間(日) を短い間隔に変更します。
    5. バックアップを削除します。
      1. 削除するバックアップを選択します。
      2. 削除をクリックします。

    結果
    1つまたは複数の方法を使用した後、NFS 共有の領域が 90% 未満であることを確認します。削除できるファイルを特定するためのサポートが必要な場合は、サポートにお問い合わせください

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Document Information

Modified date:
31 January 2023

UID

ibm16855333

Page Feedback