Il cluster ElasticSearch non è in buono stato
Last Modified: 2023-07-21 16:32:19 Etc/GMT
Disclaimer
Languages:
This article is available in the following languages:
Trellix CEO, Bryan Palma, explains the critical need for security that’s always learning.
As per Gartner, "XDR is an emerging technology that can offer improved threat prevention, detection and response."
Trellix announced the establishment of the Trellix Advanced Research Center to advance global threat intelligence.
Trellix Advanced Research Center analyzes threat data on ransomware, nation-states, sectors, vectors, LotL, MITRE ATT&CK techniques, and emails.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Il cluster ElasticSearch non è in buono stato
Technical Articles ID:
KB94893
Last Modified: 2023-07-21 16:32:19 Etc/GMT Environment
Ricerca log aziendale SIEM (ELS) 11.5.x, 11.4.x
Problem
A volte, ELS mostra una bandiera rossa e visualizza il seguente messaggio di errore: Questo messaggio di errore mostra che non ci sono risorse sufficienti per avviare la configurazione ELS che hai applicato. I motivi tipici del problema includono:
Solution
Non c'è abbastanza spazio sul disco:
Se il problema è lo spazio su disco inadeguato, vengono visualizzati gli avvisi di seguito prima che venga visualizzato il messaggio di errore:
Healthmon: V=1, AID=53, S=2, MSG='The partition is at least 100% full.' Altri sintomi includono:
L'archiviazione ha esaurito lo spazio che danneggia il nodo ed è irrecuperabile. È necessario aggiungere più spazio al dispositivo di archiviazione per evitare questo problema in futuro. Per far funzionare nuovamente il sistema, eliminare tutti i dati correnti utilizzando il seguente comando:
RAM insufficiente: Se il problema riguarda una minore capacità della RAM, puoi vedere voci simili come mostrato di seguito in
Per risolvere questo problema, è necessario ridurre lo spazio di archiviazione assegnato all'ELS o modificare la configurazione della RAM. Se la configurazione della RAM non è stata ottimizzata in precedenza, seguire i passaggi seguenti per ottimizzarla:
Ad esempio:
In base al seguente cluster.json file: "indexerInstances": 1, "name": "siem-es-cluster-0", "nodes": [ { "heap": 1, "httpPort": 9200, "mode": "MD", "name": "node-0", "processors": 1, "transportPort": 9300 }, { "heap": 1, "httpPort": 9201, "mode": "MD", "name": "node-1", "processors": 1, "transportPort": 9301 }, { "heap": 1, "httpPort": 9202, "mode": "MD", "name": "node-2", "processors": 1, "transportPort": 9302 } ] } And 16GB total RAM. 16GB * 0.6 = 9.2GB 9.2GB / 3 nodes = 3.066 GB/node So the heap value is 3. The resulting configuration file is now: { "indexerInstances": 1, "name": "siem-es-cluster-0", "nodes": [ { "heap": 3, "httpPort": 9200, "mode": "MD", "name": "node-0", "processors": 1, "transportPort": 9300 }, { "heap": 3, "httpPort": 9201, "mode": "MD", "name": "node-1", "processors": 1, "transportPort": 9301 }, { "heap": 3, "httpPort": 9202, "mode": "MD", "name": "node-2", "processors": 1, "transportPort": 9302 } ] } Dopo che il file di configurazione è stato aggiornato, riavviare i servizi ELS con il seguente comando: DisclaimerThe content of this article originated in English. If there are differences between the English content and its translation, the English content is always the most accurate. Some of this content has been provided using Machine Translation translated by Microsoft.
Languages:This article is available in the following languages: |
|