PowerScale: Jak zvýšit výkon exportu syslog pro výkon auditu úložiště PowerScale Isilon

Nevyřízeny k exportu auditu syslog nejsou nikdy zachyceny. Neexistuje jednoduchý způsob, jak to zjistit, vzhledem k distribuované povaze databází auditu a pracovního zatížení OneFS. 

To lze provést takto:

1. Zkontrolujte nejnovější časová razítka přijatých zpráv audit syslog.
2. Pokud data záznamu auditu stojí za vaším datem v reálném čase, je pozadu.
3. Pokud se zdá, že každý den mají záznamy konzistentní délku času za sebou nebo jsou někdy za ním a někdy jsou zachyceny, znamená to, že nastavení clusteru a syslogu je u relativní parity. To je obvykle přijatelné. Jak daleko "za" je přijatelné, závisí na prostředí.
4. Pokud se výkon každý den snižuje dále a více za sebou a nikdy se nezachytí, může být nutné snížit místní auditní úlohy na straně Isilon. 

Audit funguje na frontě FIFO (nejprve ve frontě, nejprve mimo) na všech uzlech.
Pokud jsou data auditu exportována rychleji, než se pojí, fronta je aktuální.

Pokud uzel č. 1 pojme a zaznamenává 1 000 událostí auditu za sekundu, ale je možné exportovat pouze 500 událostí z tohoto uzlu za sekundu, a ta hodnota platí 24x7x365, znamená to, že pro tento jeden uzel Isilon:

• Po uplynutí 1.2 je nevyřízených 500 položek
• Po 1 minutě, 30 000 položek
• Po 1 hodině, 1 800 000 položek
• Po 1 dni, 43 200 000 položek

I když i po dobu poloviny dne může systém využít poloviční sazbu nebo exportovat dvojnásobnou sazbu, bude počet nevyřízených položek snížit na polovinu.

S nasazením syslogu před verzí 9.4 jsou hlášené případy klientů s závažnými nevyřízenějšími audity relativně vzácné.

I s alternativou CEE, která je efektivnější než před 9,4 syslogem, jsou někdy hlášeny nevyřízených položek kvůli místnímu "návrhu auditu" a nejnižším sazbám.

Může být obtížné zjistit, kolik svazku existuje, dokud se audit neproběhne. Díky efektivnějšímu CEE můžete také nasadit další cílové počítače CEE a poté spolupracovat s dodavatelem třetí strany, který "shromažďuje" data pro záznam auditu.

Další CEE umožňují efektivnější export na straně Isilon. Každý jednotlivý uzel Isilon se může zároveň připojit až ke třem (3) jedinečným počítačům CEE.

Syslog je jiný. Každý definovaný cíl syslog v nastavení auditu přijme každou zaprotokolovanou událost auditu, která je exportována.
Představte si, že z fronty je odeslána jedna zaprotokolovaná událost auditu. Pokud by byl existovat jeden cílový server syslog, uzel Isilon s danou položkou fronty odešle tento záznam přes port UDP 514 na základě 1:1 do tohoto jediného cílového syslogu.
Pokud byl přidán jiný cíl syslog, který poskytuje dva celkem, musí uzel Isilon namísto toho odeslat stejnou jednu položku fronty do obou jedinečných cílů syslog. To efektivně zdvojnásobuje některé úlohy v uzlu Isilon. Tři cíle syslog by ztrojnásobily některé z těchto úkonů atd.

V syslogu nejsou navíc k dispozici žádné relevantní nastavitelné konfigurace pro systém OneFS před verzí 9.4, které se vztahují k auditu.

Se softwarem CEE můžete snížit počet nevyřízených položek tím, že budete méně auditovat, nebo přidat více cílových CEO a větší kapacitu jiných dodavatelů, než jsou tyto CEE.

Při použití syslogu bylo možné snížit počet nevyřízených položek pouze kontrolou kratšího času.

Proveďte upgrade na systém OneFS 9.4 nebo novější.

V optimálních a řízených laboratorních testech systém Syslog for Audit exporting pomocí verzí OneFS 9.4 vykazuje zlepšení výkonu přibližně o 300 %.

Upgrade na verzi systému OneFS verze 9.4+ pravděpodobně poskytne zlepšení výkonu pro výkon exportu syslog auditů.

Výkon se bude lišit v závislosti na prostředí, nasazení, návrhu, sítích, pracovních postupech a faktorech lidského chování, které vytvářejí auditní aktivitu. 
 

Pokud výkon syslogu pro exporty ani na systému OneFS 9.4+ nedokáže překonat trvalou nebo zdánlivě nepracovatelnou frontu několik týdnů po upgradu, kontaktujte podporu a požádejte o kontrolu.
Jediným způsobem, jak snížit počet auditovaných událostí za sekundu a na uzel, je upravit způsob a audit.

Pokud exporty syslog správně "plynou" z clusteru Isilon, další optimalizace je mimo rozsah podpory isilon:

• Kontrola návrhu auditu u systémových techniků Dell. Zvažte, jak se vaši koncoví uživatelé (lidé nebo automatizovaní) vůbec dostanou do clusteru a provádějí aktivity auditů.
• Vyvažte pracovní postupy a objem protokolovaných aktivit rovnoměrněji ve všech uzlech Isilon: Všechny zaznamenané akce se zaznamenají pouze do auditu a exportují se z uzlu, ke kterému je uživatel připojen.
• Pokud máte v řešení Isilon dvacet uzlů, ale pouze pět připojení k protokolům, pak 100 % těchto aktivit auditu proběhne pouze na těchto pěti uzlech.
• Zvažte kontrolu celého nasazení a ujistěte se, že je celkový objem všech aktivit protokolů distribuován v co nejvíce fyzických uzlech. Tak se celková úloha auditu distribuuje do co největšího počtu uzlů.
• Zvažte jako alternativu řešení založené na CEE.
• Zvažte snížení objemu a rozsahu auditů. Nesahejte daleko nad rámec organizačních nebo regulačních požadavků. 
• Zapojte se do systémového technického oddělení společnosti Dell a diskuzi.