Espace disque insuffisant :
Si le problème est insuffisant sur l’espace disque, les alertes ci-dessous s’affichent avant que le message d’erreur ne s’affiche :
Healthmon: V=1, AID=53, S=2, MSG='The partition is at least 96% full.'
Healthmon: V=1, AID=53, S=2, MSG='The partition is at least 100% full.'
Les autres symptômes sont les suivants :
- Identification d’une partition complète dans la df -h sortie.
- Entrées comme indiqué ci-dessous dans /var/log/RunESnode-*.log .
Caused by: java.nio.file.FileSystemException: /els_storage/name_20210101000000/els/<guid>/node-0/data/siem-es-cluster-0/nodes/0/_state/node-<id>.st.tmp: No space left on device
L’espace de stockage est insuffisant, ce qui corrompt le nœud et peut être irrécupérable. Vous devez ajouter de l’espace à l’équipement de stockage pour éviter ce problème à l’avenir.
Pour faire fonctionner le système à nouveau, supprimez toutes les données actuelles à l’aide de la commande suivante :
rm -r /els_storage/name_20210101000000/els
Mémoire RAM insuffisante :
Si le problème est d’une capacité de mémoire RAM inférieure, vous pouvez voir des entrées similaires, comme indiqué ci-dessous.
/var/log/RunESnode-*.log.
java.lang.OutOfMemoryError: Java heap space
Pour résoudre ce problème, vous devez soit réduire l’espace de stockage alloué à l’ELS, soit ajuster la configuration de la RAM. Si la configuration de la mémoire RAM n’a pas été configurée auparavant, suivez les étapes ci-dessous pour la régler :
- Identifiez la capacité RAM totale du appliance.
- Calculez 60% de la RAM totale et divisez la valeur équitablement par le nombre de nœuds configurés dans /etc/els/cluster.json et arrondissez cette valeur à l’entier entier le plus proche de Go de RAM.
- Modifiez /etc/els/cluster.json et entrez la valeur de chaque nœud en tant que valeur de "du tas".
Par exemple :
En fonction du fichier de cluster .json suivant :
{
"indexerInstances": 1,
"name": "siem-es-cluster-0",
"nodes": [
{
"heap": 1,
"httpPort": 9200,
"mode": "MD",
"name": "node-0",
"processors": 1,
"transportPort": 9300
},
{
"heap": 1,
"httpPort": 9201,
"mode": "MD",
"name": "node-1",
"processors": 1,
"transportPort": 9301
},
{
"heap": 1,
"httpPort": 9202,
"mode": "MD",
"name": "node-2",
"processors": 1,
"transportPort": 9302
}
]
}
And 16GB total RAM.
16GB * 0.6 = 9.2GB
9.2GB / 3 nodes = 3.066 GB/node
So the heap value is 3. The resulting configuration file is now:
{
"indexerInstances": 1,
"name": "siem-es-cluster-0",
"nodes": [
{
"heap": 3,
"httpPort": 9200,
"mode": "MD",
"name": "node-0",
"processors": 1,
"transportPort": 9300
},
{
"heap": 3,
"httpPort": 9201,
"mode": "MD",
"name": "node-1",
"processors": 1,
"transportPort": 9301
},
{
"heap": 3,
"httpPort": 9202,
"mode": "MD",
"name": "node-2",
"processors": 1,
"transportPort": 9302
}
]
}
Une fois le fichier de configuration mis à jour, redémarrez les services ELS à l’aide de la commande suivante :
NitroRestart --nod
