Le cluster ElasticSearch n'est pas en bon état
Date de la dernière modification : 2023-07-21 16:32:22 Etc/GMT
Clause d'exclusion de responsabilité
Langues :
Cet article est disponible dans les langues suivantes :
Découvrez comment un écosystème XDR qui s'adapte en permanence peut dynamiser votre entreprise.
Bryan Palma, PDG de Trellix, explique qu'une sécurité qui apprend et évolue en permanence est aujourd'hui indispensable.
Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
Quelles sont les cybermenaces dont les entreprises doivent se méfier en 2022?
Le secteur de la cybersécurité est en constante effervescence. N'attendez plus pour en tirer parti et dynamiser votre entreprise.
Deux leaders du marché de la cybersécurité unissent leurs forces pour créer un monde numérique résilient.
Bryan Palma, PDG de Trellix, explique qu'une sécurité qui apprend et évolue en permanence est aujourd'hui indispensable.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Le cluster ElasticSearch n'est pas en bon état
Articles techniques ID:
KB94893
Date de la dernière modification : 2023-07-21 16:32:22 Etc/GMT Environnement
Recherche de journal d'entreprise SIEM (ELS) 11.5.x, 11.4.x
Problème
Parfois, l'ELS affiche un drapeau rouge et affiche le message d'erreur suivant : Ce message d'erreur indique que les ressources sont insuffisantes pour démarrer la configuration ELS que vous avez appliquée. Les raisons typiques du problème incluent :
Solution
Pas assez d'espace disque:
Si le problème est un espace disque insuffisant, les alertes ci-dessous s'affichent avant l'affichage du message d'erreur :
Healthmon: V=1, AID=53, S=2, MSG='The partition is at least 100% full.' D'autres symptômes incluent:
Le stockage est à court d'espace, ce qui corrompt le nœud et est irrécupérable. Vous devez ajouter plus d'espace au périphérique de stockage pour éviter ce problème à l'avenir. Pour remettre le système en marche, supprimez toutes les données actuelles à l'aide de la commande suivante :
RAM insuffisante : Si le problème concerne une capacité de RAM moindre, vous pouvez voir des entrées similaires, comme indiqué ci-dessous dans
Pour résoudre ce problème, vous devez soit réduire l'espace de stockage alloué à l'ELS, soit ajuster la configuration de la RAM. Si la configuration de la RAM n'a pas été réglée auparavant, suivez les étapes ci-dessous pour la régler :
Par exemple :
Basé sur le fichier de cluster.json suivant : "indexerInstances": 1, "name": "siem-es-cluster-0", "nodes": [ { "heap": 1, "httpPort": 9200, "mode": "MD", "name": "node-0", "processors": 1, "transportPort": 9300 }, { "heap": 1, "httpPort": 9201, "mode": "MD", "name": "node-1", "processors": 1, "transportPort": 9301 }, { "heap": 1, "httpPort": 9202, "mode": "MD", "name": "node-2", "processors": 1, "transportPort": 9302 } ] } And 16GB total RAM. 16GB * 0.6 = 9.2GB 9.2GB / 3 nodes = 3.066 GB/node So the heap value is 3. The resulting configuration file is now: { "indexerInstances": 1, "name": "siem-es-cluster-0", "nodes": [ { "heap": 3, "httpPort": 9200, "mode": "MD", "name": "node-0", "processors": 1, "transportPort": 9300 }, { "heap": 3, "httpPort": 9201, "mode": "MD", "name": "node-1", "processors": 1, "transportPort": 9301 }, { "heap": 3, "httpPort": 9202, "mode": "MD", "name": "node-2", "processors": 1, "transportPort": 9302 } ] } Une fois le fichier de configuration mis à jour, redémarrez les services ELS avec la commande suivante : Clause d'exclusion de responsabilitéLe contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Langues :Cet article est disponible dans les langues suivantes : |
|