PowerScale: Cómo aumentar el rendimiento de las exportaciones del registro del sistema para el rendimiento de la auditoría de PowerScale Isilon

El trabajo pendiente de exportación de la auditoría del registro del sistema nunca se termina. No hay una forma sencilla de ver esto debido a la naturaleza distribuida de las bases de datos de auditoría y la carga de trabajo de OneFS. 

Un método para hacerlo es el siguiente:

1. Revise los registros de fecha y hora más recientes en los mensajes del registro del sistema de auditoría recibidos.
2. Si las fechas de registro de la auditoría son posteriores a su fecha en tiempo real, está atrasado.
3. Si cada día los registros parecen tener un retraso coherente, o a veces se retrasan y otras se ponen al día, significa que la configuración del clúster y del registro del sistema está en una paridad relativa. Por lo general, esto es aceptable. El nivel de “atraso” aceptable depende del entorno.
4. Si el rendimiento se reduce cada día más y nunca se pone al día, puede que sea necesario reducir las cargas de trabajo de auditoría locales en el lado de Isilon. 

La auditoría funciona en una cola FIFO (primero en entrar, primero en salir) en todos los nodos.
Si los datos de auditoría se exportan más rápido de lo que se ingieren, la cola está actualizada.

Si el nodo n.º 1 recopila y registra 1000 eventos de auditoría por segundo, pero solo puede exportar 500 eventos por segundo desde ese nodo y esa tasa se mantiene durante todo el año, significa que, para ese único nodo de Isilon:

• Después de 1 s, hay un trabajo pendiente de 500 elementos
• Después de 1 minuto, 30 000 elementos
• Después de 1 hora, 1 800 000 elementos
• Después de 1 día, 43 200 000 elementos

Sin embargo, si incluso durante la mitad de las horas del día el sistema puede ingerir la mitad de la tasa o exportar al doble, el retraso se reduciría a la mitad.

Con la implementación del registro del sistema que se utilizó antes de la versión 9.4, los casos informados de clientes con trabajos pendientes de auditoría graves son relativamente poco frecuentes.

Incluso con la alternativa CEE, que es más eficiente que el registro del sistema anterior a 9.4, a veces hay informes de trabajos pendientes debido al “diseño de la auditoría” local y las tasas de recopilación.

Puede ser difícil saber cuánto volumen hay hasta que se ejecuta la auditoría. Con el CEE más eficiente, también puede implementar máquinas CEE de destino adicionales y, a continuación, trabajar con su proveedor externo que “recopila” esos datos para el escrutinio de registros de auditoría.

Los CEE adicionales permiten que el lado de Isilon se exporte de manera más eficiente. Cada nodo de Isilon individual puede conectarse a un máximo de tres (3) máquinas CEE únicas simultáneamente.

El registro del sistema es diferente. Cada destino del registro del sistema definido en la configuración de auditoría recibe cada evento de auditoría registrado que se exporta.
Imagine que se envía un único evento de auditoría registrado desde la cola. Si hubiera un único servidor de registro del sistema de destino, el nodo de Isilon con ese elemento de cola enviaría ese registro a través del puerto UDP 514, en una proporción de 1:1, a ese único servidor de registro del sistema de destino.
Si se añadiera otro servidor de registro del sistema de destino, lo que sumaría un total de dos, ese nodo de Isilon debería enviar ese mismo elemento de cola a ambos servidores de registro del sistema de destino. Esto duplica de manera efectiva parte de la carga de trabajo dentro del nodo de Isilon. Tres destinos de registro del sistema triplicarían parte del trabajo y así sucesivamente.

Además, no hay configuraciones ajustables relevantes para OneFS anteriores a la versión 9.4 en el registro del sistema en lo que respecta a la auditoría.

Con CEE, podría reducir el trabajo pendiente si realiza menos auditorías o si agrega más CEE de destino y más capacidad de proveedores externos más allá de esos CEE.

Con el registro del sistema, solo se podía reducir el trabajo pendiente si realizaba menos auditorías a lo largo del tiempo.

Actualice a OneFS 9.4 o una versión posterior.

En pruebas de laboratorio óptimas y controladas, la exportación del registro del sistema para la auditoría con la versión de OneFS 9.4 ha mostrado mejoras de rendimiento de aproximadamente un 300 %.

Es probable que la actualización a una versión de OneFS 9.4+ mejore el rendimiento de la exportación del registro del sistema de auditoría.

El rendimiento puede variar según el entorno, la implementación, el diseño, las redes, los flujos de trabajo y los factores de comportamiento humano que generan actividad de auditoría. 
 

Si el rendimiento del registro del sistema para las exportaciones es incapaz de superar una cola persistente o aparentemente inviable varias semanas después de la actualización, incluso en OneFS 9.4+, comuníquese con el equipo de soporte para su revisión.
La única manera de reducir la cantidad de eventos auditados por segundo y por nodo es ajustar cómo y qué se audita.

Cuando las exportaciones del registro del sistema “fluyen” correctamente desde el clúster de Isilon, la optimización adicional está fuera del alcance del soporte de Isilon:

• Revise el diseño de su auditoría con los ingenieros de sistemas de Dell. Considere cómo los usuarios finales (humanos o automatizados) acceden al clúster en primer lugar para realizar las actividades registradas en la auditoría.
• Equilibre los flujos de trabajo y el volumen de actividades registradas en todos los nodos de Isilon de forma más equitativa: Todas las acciones registradas solo se registran para la auditoría y se exportan fuera del nodo al que está conectado el usuario.
• Si tiene veinte nodos en su Isilon, pero solo cinco aceptan conexiones de protocolos, entonces el 100 % de esas actividades de auditoría solo ocurrirá en esos cinco nodos.
• Considere la posibilidad de revisar toda la implementación para asegurarse de que el volumen total de todas las actividades de los protocolos se distribuya entre tantos nodos físicos como sea posible. De este modo, la carga de trabajo total de la auditoría se distribuye entre tantos nodos como sea posible.
• Considere una solución basada en CEE como alternativa.
• Considere la posibilidad de reducir el volumen y el alcance de lo que se audita. No vaya más allá de los requisitos normativos u organizativos. 
• Comuníquese con el equipo de ingeniería de sistemas de Dell para obtener más información.