No hay suficiente espacio en disco:
Si el problema no es suficiente en el disco, verá las siguientes alertas antes de que aparezca el mensaje de error:
Healthmon: V=1, AID=53, S=2, MSG='The partition is at least 96% full.'
Healthmon: V=1, AID=53, S=2, MSG='The partition is at least 100% full.'
Otros síntomas son:
- Identificar una partición completa en la df -h salida.
- Las entradas como se muestra a continuación en /var/log/RunESnode-*.log .
Caused by: java.nio.file.FileSystemException: /els_storage/name_20210101000000/els/<guid>/node-0/data/siem-es-cluster-0/nodes/0/_state/node-<id>.st.tmp: No space left on device
Se ha agotado el espacio de almacenamiento que daña el nodo y no se recupera. Debe agregar más espacio al dispositivo de almacenamiento para evitar este problema en el futuro.
Para volver a poner en funcionamiento el sistema, elimine todos los datos actuales mediante el siguiente comando:
rm -r /els_storage/name_20210101000000/els
RAM insuficiente:
Si el problema está relacionado con menos capacidad RAM, puede ver Entradas similares como se muestra a continuación en
/var/log/RunESnode-*.log.
java.lang.OutOfMemoryError: Java heap space
Para resolver este problema, debe reducir el espacio de almacenamiento asignado al ELS o ajustar la configuración de RAM. Si la configuración de la RAM no se ha ajustado antes, siga los pasos que se indican a continuación para ajustarla:
- Identifique la capacidad total de RAM del appliance.
- Calcule el 60% de la RAM total y divida el valor equitativamente por el número de nodos configurados en /etc/els/cluster.json y redondee este valor hacia abajo al entero completo más cercano de GB de RAM.
- Edite /etc/els/cluster.json e introduzca la cifra para cada nodo como el valor del montón de "".
Por ejemplo:
Según el siguiente archivo de clúster .json :
{
"indexerInstances": 1,
"name": "siem-es-cluster-0",
"nodes": [
{
"heap": 1,
"httpPort": 9200,
"mode": "MD",
"name": "node-0",
"processors": 1,
"transportPort": 9300
},
{
"heap": 1,
"httpPort": 9201,
"mode": "MD",
"name": "node-1",
"processors": 1,
"transportPort": 9301
},
{
"heap": 1,
"httpPort": 9202,
"mode": "MD",
"name": "node-2",
"processors": 1,
"transportPort": 9302
}
]
}
And 16GB total RAM.
16GB * 0.6 = 9.2GB
9.2GB / 3 nodes = 3.066 GB/node
So the heap value is 3. The resulting configuration file is now:
{
"indexerInstances": 1,
"name": "siem-es-cluster-0",
"nodes": [
{
"heap": 3,
"httpPort": 9200,
"mode": "MD",
"name": "node-0",
"processors": 1,
"transportPort": 9300
},
{
"heap": 3,
"httpPort": 9201,
"mode": "MD",
"name": "node-1",
"processors": 1,
"transportPort": 9301
},
{
"heap": 3,
"httpPort": 9202,
"mode": "MD",
"name": "node-2",
"processors": 1,
"transportPort": 9302
}
]
}
Una vez actualizado el archivo de configuración, reinicie los servicios de ELS con el siguiente comando:
NitroRestart --nod
