El clúster de ElasticSearch no está en buen estado
Última modificación: 2023-07-21 16:32:25 Etc/GMT
Descargo de responsabilidad
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas:
Découvrez comment un écosystème XDR qui s'adapte en permanence peut dynamiser votre entreprise.
Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.
Descargue el informe Magic Quadrant, que evalúa a los 19 proveedores en función de su amplitud de visión y capacidad de ejecución.
Según Gartner, "XDR es una tecnología emergente que ofrece funciones mejoradas de prevención, detección y respuesta a amenazas.".
¿A qué amenazas de ciberseguridad deberían prestar atención las empresas durante 2022?
En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
Dos líderes reconocidos del mercado de la ciberseguridad han unido fuerzas para crear un mundo digital resiliente.
Bryan Palma, CEO de Trellix, explica la imperiosa necesidad de contar con una seguridad que aprenda y evolucione.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
El clúster de ElasticSearch no está en buen estado
Artículos técnicos ID:
KB94893
Última modificación: 2023-07-21 16:32:25 Etc/GMT Entorno
Búsqueda de registros empresariales SIEM (ELS) 11.5.x, 11.4.x
Problema
A veces, ELS muestra una bandera roja y muestra el siguiente mensaje de error: Este mensaje de error muestra que no hay recursos suficientes para iniciar la configuración de ELS que aplicó. Las razones típicas del problema incluyen:
Solución
No hay suficiente espacio en el disco:
Si el problema es espacio en disco inadecuado, verá las alertas a continuación antes de que aparezca el mensaje de error:
Healthmon: V=1, AID=53, S=2, MSG='The partition is at least 100% full.' Otros síntomas incluyen:
El almacenamiento se ha quedado sin espacio, lo que corrompe el nodo y es irrecuperable. Debe agregar más espacio al dispositivo de almacenamiento para evitar este problema en el futuro. Para que el sistema vuelva a funcionar, elimine todos los datos actuales con el siguiente comando:
RAM insuficiente: Si el problema se trata de una menor capacidad de RAM, puede ver entradas similares a las que se muestran a continuación en
Para resolver este problema, debe reducir el espacio de almacenamiento asignado al ELS o ajustar la configuración de RAM. Si la configuración de RAM no se ha ajustado antes, siga los pasos a continuación para ajustarla:
Por ejemplo:
Basado en el siguiente archivo de clúster.json : "indexerInstances": 1, "name": "siem-es-cluster-0", "nodes": [ { "heap": 1, "httpPort": 9200, "mode": "MD", "name": "node-0", "processors": 1, "transportPort": 9300 }, { "heap": 1, "httpPort": 9201, "mode": "MD", "name": "node-1", "processors": 1, "transportPort": 9301 }, { "heap": 1, "httpPort": 9202, "mode": "MD", "name": "node-2", "processors": 1, "transportPort": 9302 } ] } And 16GB total RAM. 16GB * 0.6 = 9.2GB 9.2GB / 3 nodes = 3.066 GB/node So the heap value is 3. The resulting configuration file is now: { "indexerInstances": 1, "name": "siem-es-cluster-0", "nodes": [ { "heap": 3, "httpPort": 9200, "mode": "MD", "name": "node-0", "processors": 1, "transportPort": 9300 }, { "heap": 3, "httpPort": 9201, "mode": "MD", "name": "node-1", "processors": 1, "transportPort": 9301 }, { "heap": 3, "httpPort": 9202, "mode": "MD", "name": "node-2", "processors": 1, "transportPort": 9302 } ] } Después de actualizar el archivo de configuración, reinicie los servicios de ELS con el siguiente comando: Descargo de responsabilidadEl contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicadosIdiomas:Este artículo se encuentra disponible en los siguientes idiomas: |
|