Question & Answer
Question
QRadar の /var/log/audit パーティションの目的は何ですか? また、/var/log/audit パーティションがいっぱいになる問題をトラブルシューティングするにはどうすればよいですか?
Answer
/var/log/audit パーティションは、システム、検索、API 呼び出しの監査ログを含むパーティションです。
デフォルトでは、 QRadar ディスク監視 チェックは 60 秒ごとに実行され、/var/log/audit パーティション全体で高いディスク使用率を探します。 /var/log/audit パーティションがいっぱいになると、QRadar ディスク監視チェックはアラートを出しますが、QRadar コア・サービスは停止しません。
/var/log/audit パーティションがいっぱいになる最も一般的な原因は、ログ・ローテーションの失敗です。 ログ・ローテーションで圧縮または削除できる速度よりも速くログ・ファイルが大きくなると、/var/log/audit に影響を与える可能性があります。
アップデート失敗のエラー
ソフトウェアの更新が実行されると、/var/log/audit パーティションのヘルス・チェック が実行され、ディスク領域に更新用の十分な領域があることが確認されます。 パーティションに十分なスペースがない場合、 "patch test failed"というエラーが出て失敗します。QRadar: 管理者向けソフトウェア更新チェックリスト で提案されているように、更新を実行する前に、ディスク・スペースの問題を修正することをお勧めします。
Available Space Checks
Checks if /var/log has enough space
[FAILURE]
Not enough space in /var/log/audit: Available Space: 94 MB - File:
/var/log/audit/auditd.log.5 2800 MB. This will cause logrotate to
fail.
[REMEDIATION]
Free up space in /var/log/audit. You need at least 3000 MB free.
[SUMMARY] 7 successful checkups
[SUMMARY] 1 failed checkup
[SUMMARY] 0 invalid files
[SUMMARY] 15 skipped files
[ERROR](testmode) Cliniq checkup with mode patch has found errors.
[ERROR](testmode) Cliniq has detected unresolved patch-sensitive issues. You must resolve these issues before continuing.
[INFO](testmode) Set <Hostname> status to 'Patch Test Failed'
[ERROR](testmode) Patching can not continue
Status Summary of Hosts
+---------------------------+-------------------+
|Hostname |Status |
|---------------------------+-------------------|
|<Hostname> |Patch Test Failed |
+---------------------------+-------------------+
Patch Report for <Host IP>, appliance type: 3105
<Hostname> : patch test failed.
Press enter to continue...
ディスク容量の問題のトラブルシューティング
/var/log/audit パーティションをいっぱいにしているファイルまたはディレクトリーを特定し、スペースを安全に解放する方法を確認するには、次の記事の手順に従ってください。
7.2.x to 7.3.x からのアップデート
Related Information
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
27 December 2022
UID
ibm16839683