Carbon Black EDR 環境において、/var/cb/data 配下のディスク使用率が 100% に達すると、 Solr が新しいイベントデータ（CB Event）を取り込めなくなる場合があります。

Carbon Black EDR Server

この事象は、以下のような要因により発生することがあります。

• EDR センサー台数の増加
• 収集されるプロセスイベント量の増加
• 保持期間（retention）設定の延長
• /var/cb/data に割り当てられたディスク容量不足

Carbon Black EDR では、Solr のイベント保存先として cbevents で始まる名前のディレクトリ（cbevents*）を自動的に検出・利用します。 この仕組みを利用し、シンボリックリンクを用いてイベント保存領域を拡張する方法を 本 KB では説明します。

前提条件・注意事項

• 本手順は、イベント保存領域を一時的に拡張するための回避策（stop-gap）です。
• /dev/sdb1 は追加ディスクデバイスの例です。実際のデバイス名は環境により異なります。
• /cbdata はマウントポイントの例です。任意のディレクトリ名を使用できます。
• マウントポイントとなるディレクトリは、マウント前に作成する必要があります。
• シンボリックリンク自体はディスク容量を消費しません。
• Solr は、シンボリックリンクの参照先ディレクトリにデータを書き込みます。
• 本手順実施後も、EDR サーバーコンソール上に表示される ディスク空き容量の数値は変化しません。 これは、コンソールが元のファイルシステムの容量を表示しているためであり、 想定された動作です。

デフォルトのイベント保存先

Solr の CB Event データは、デフォルトでは以下のディレクトリに保存されます。

/var/cb/data/solr/cbevents

手順

1. マウントポイントの作成とディスクのマウント

追加したディスクをマウントするためのディレクトリを作成し、ディスクをマウントします。

mkdir /cbdata
mount /dev/sdb1 /cbdata

※ 追加ディスクは、事前にパーティション作成およびファイルシステムの作成が 完了している必要があります。

2. 追加の cbevents ディレクトリ用シンボリックリンクの作成

シンボリックリンク名は、必ず cbevents で始まり、末尾に数字を付けてください。

ln -s /cbdata /var/cb/data/solr/cbevents2

Carbon Black EDR（Solr）は、cbevents* という命名規則に従ったディレクトリを 自動的に検出し、新しいイベントデータの保存先として使用します。

3. 参照先ディレクトリの所有者および権限設定

重要：

権限設定は、シンボリックリンクではなく、 参照先の実体ディレクトリに対して行ってください。

chown cb:cb /cbdata
chmod 755 /cbdata

※ シンボリックリンク （/var/cb/data/solr/cbevents2）に対して chmod を実行しても、権限が変更されない場合があります。 これは Linux の仕様によるものであり、異常ではありません。

4. ディレクトリ構成の確認

以下のコマンドを実行し、cbevents および cbevents2 が存在することを確認します。

ls -latr /var/cb/data/solr

表示例：

cbevents
cbevents2 -> /cbdata