PowerScale : comment augmenter les performances d’exportation syslog pour les performances d’audit PowerScale Isilon

Le backlog d’exportation d’audit syslog est irrattrapable. La nature distribuée des bases de données d’audit et de la charge applicative OneFS empêche de s’en rendre compte. 

Pour résoudre le problème, procédez comme suit :

1. Passez en revue les horodatages les plus récents sur les messages syslog d’audit reçus.
2. Si les dates d’enregistrements d’audit sont décalées par rapport à la date réelle, cela signifie qu’il y a un retard.
3. Si les enregistrements semblent avoir chaque jour un temps de retard constant, ou s’il y a parfois du retard et que ce retard est parfois rattrapé, cela signifie que le cluster et la configuration syslog se trouvent à une parité relative. En règle générale, cette situation est acceptable. L’étendue du « retard » acceptable dépend de l’environnement.
4. Si vous constatez chaque jour un peu plus de retard et que vous ne parvenez jamais à le rattraper, il peut être nécessaire de réduire les charges applicatives d’audit locales côté Isilon. 

L’audit fonctionne selon le principe d’une file d’attente FIFO (premier entré, premier sorti) sur tous les nœuds.
Si les données d’audit sont exportées plus rapidement qu’elles ne sont acquises, la file d’attente est à jour.

Si le nœud n° 1 reçoit et enregistre 1 000 événements d’audit par seconde, mais qu’il est en mesure d’exporter seulement 500 événements par seconde à partir de ce nœud et que ce taux d’exportation s’applique 24 h/24, 7 j/7, 365 j/an, cela signifie que, pour ce nœud Isilon spécifique :

• après 1 seconde, il y a un backlog de 500 éléments ;
• après 1 minute, ce backlog atteint 30 000 éléments ;
• après 1 heure, il atteint 1 800 000 éléments ;
• après 1 jour, il atteint 43 200 000 éléments.

Si toutefois, même pendant la moitié des heures de la journée, le système ingérait deux fois moins de données ou exportait deux fois plus de données, le backlog serait réduit de moitié.

Avec le déploiement syslog utilisé avant la version 9.4, les cas de clients qui signalent de graves backlogs d’audit sont relativement rares.

Même avec le CEE (Common Event Enabler) alternatif, qui est plus efficace qu’une version de syslog antérieure à 9.4, des backlogs sont parfois signalés en raison de la « conception d’audit » locale et des taux d’ingestion.

Il peut être difficile d’en déterminer le volume tant que l’audit n’a pas été exécuté. Avec la version plus efficace du CEE, vous pouvez également déployer d’autres machines CEE cibles, puis demander à votre fournisseur tiers qui « collecte » ces données de surveiller les enregistrements d’audit.

Des CEE supplémentaires garantissent une exportation plus efficace côté Isilon. Chaque nœud Isilon peut se connecter simultanément à un maximum de trois (3) machines CEE uniques.

Syslog est différent. Chaque cible syslog définie dans la configuration d’audit reçoit chaque événement d’audit consigné qui est exporté.
Imaginez qu’un seul événement d’audit consigné soit envoyé à partir de la file d’attente. S’il n’y avait qu’un seul serveur syslog cible, le nœud Isilon contenant cet élément de file d’attente enverrait cet enregistrement via le port UDP 514, sur une base 1:1, vers ce syslog cible spécifique.
Si une autre cible syslog était ajoutée (soit deux cibles au total), ce nœud Isilon devrait envoyer ce même élément de file d’attente aux deux cibles syslog. Cela permet de doubler une partie de la charge applicative au niveau du nœud Isilon. Trois cibles syslog tripleraient une partie de la charge de travail, et ainsi de suite.

En outre, il n’existe sur syslog aucune configuration personnalisable pertinente pour les versions de OneFS antérieures à 9.4 en ce qui concerne l’audit.

Avec CEE, vous pouvez réduire le backlog en limitant les audits et en ajoutant davantage de CEE cibles et en augmentant la capacité de votre fournisseur tiers au-delà de ces CEE.

Avec syslog, vous ne pouvez réduire le backlog qu’en réduisant les audits au fil du temps.

Procédez à une mise à niveau vers la version 9.4 ou supérieure de OneFS.

Au cours de tests en conditions optimales contrôlés en laboratoire, l’utilisation de syslog pour l’exportation d’audit avec la version 9.4 de OneFS a montré des améliorations de performances d’environ 300 %.

Une mise à niveau vers une version de OneFS supérieure à 9.4 est susceptible d’améliorer les performances des exportations d’audit syslog.

Les performances varient en fonction de l’environnement, du déploiement, de la conception, des réseaux, des workflows et des facteurs de comportement humain qui génèrent une activité d’audit. 
 

Si les performances syslog pour les exportations, même sur une version de OneFS supérieure à 9.4, ne parviennent pas à surmonter une file d’attente persistante ou qui semble inexploitable, contactez le support quelques semaines après la mise à niveau.
La seule façon de réduire le nombre d’événements audités par seconde et par nœud consiste à ajuster les modalités et le contenu des audits.

Lorsque les exportations syslog sont correctement « acheminées » à partir du cluster Isilon, le support Isilon ne fournit aucune optimisation supplémentaire :

• Passez en revue la conception de vos audits avec les ingénieurs système Dell. Réfléchissez à la façon dont vos utilisateurs finaux (humains ou automatisés) accèdent au cluster en premier lieu pour effectuer des activités consignées par audit.
• Équilibrez plus équitablement les workflows et le volume des activités consignées sur tous les nœuds Isilon : toutes les actions consignées sont uniquement enregistrées à des fins d’audit et exportées à partir du nœud auquel l’utilisateur est connecté.
• Si vous disposez de vingt nœuds dans votre système Isilon, mais que seulement cinq utilisent des connexions de protocoles, 100 % de ces activités d’audit interviendront uniquement sur ces cinq nœuds.
• Envisagez de passer en revue l’ensemble du déploiement pour vous assurer que le volume total de toutes les activités de protocoles est réparti sur autant de nœuds physiques que possible. Cela vous permettra de répartir la charge applicative d’audit totale sur un maximum de nœuds.
• Envisagez une solution basée sur CEE comme alternative.
• Envisagez de réduire le volume et le périmètre des audits. Ne dépassez pas outre mesure les exigences imposées par votre organisation ou par la réglementation. 
• Discutez avec les ingénieurs système Dell.