PowerScale: Sådan øges syslog-eksportydeevnen for PowerScale Isilon Audit-ydeevne

Syslog Audit-eksport-restloggen bliver aldrig fanget. Det er ikke nogen nem måde at se dette på grund af den distribuerede karakter af overvågningsdatabaserne og OneFS-arbejdsbelastningen. 

En metode til at gøre dette er:

1. Gennemse de nyeste tidsstempler for modtagne overvågnings-syslog-meddelelser.
2. Hvis datoerne for overvågningsposten ligger bag din realtidsdato, ligger den bag.
3. Hvis posterne hver dag ser ud til at være en konsistent tidsperiode bagud, eller nogle gange er bagefter og nogle gange fanget, betyder det, at klyngen og syslog-opsætningen er i relativ paritet. Normalt er dette acceptabelt. Hvor langt "bag" er acceptabel afhænger af miljøet.
4. Hvis ydeevnen hver dag falder yderligere og længere bagud og aldrig indhenter sig, kan det være nødvendigt at reducere arbejdsbelastningerne for den lokale Isilon-siderevision. 

Overvågning fungerer på en FIFO-kø (første ind, første ud) på alle noder.
Hvis overvågningsdata eksporteres hurtigere, end de er placeret, er køen opdateret.

Hvis node nr. 1 indtager og registrerer 1.000 overvågningshændelser pr. sekund, men kun er i stand til at eksportere fra den pågældende node, 500 hændelser pr. sekund, og denne hastighed gælder for 24x7x365, betyder det, at for den enkelte Isilon-node:

• Efter 1 sek. er der en rest med 500 elementer
• Efter 1 minut, 30.000 varer
• Efter 1 time, 1.800.000 varer
• Efter 1 dag, 43.200.000 varer

Hvis systemet selv i halvdelen af dagens timer kan inddeles med halvdelen af hastigheden eller eksporten med dobbelt så mange hastigheder, vil resteringen blive reduceret i halv tid.

Med syslog-implementeringen brugt før 9.4 er rapporterede tilfælde af klienter med alvorlige revisions-backlogs relativt sjældne.

Selv med CEE-alternativet, som er mere effektivt end før 9.4 syslog, findes der nogle gange rapporter om efterslæb på grund af det lokale "revisionsdesign" og de højeste hastigheder.

Det kan være svært at vide, hvor meget diskenhed der er, indtil revisionen kører. Med den mere effektive CEE kan du også implementere yderligere CEE-målcomputere og derefter arbejde sammen med din tredjepartsleverandør, der "indsamler" disse data til Audit Record.

Yderligere CEE'er gør det muligt for Isilon-siden at eksportere mere effektivt. Hver enkelt Isilon-node kan oprette forbindelse til op til tre (3) unikke CEE-maskiner samtidigt.

Syslog er anderledes. Hvert defineret syslog-mål i overvågningsopsætningen modtager hver logført overvågningshændelse, der eksporteres.
Du kan se, at en enkelt logget overvågningshændelse sendes fra køen. Hvis der var en enkelt syslog-destinationsserver, ville Isilon-noden med det køelement sende denne post via UDP-port 514 på en 1:1-basis til den pågældende mål-syslog.
Hvis der blev tilføjet et andet syslog-mål, der giver to totaler, skal isilon-noden i stedet sende det samme element for en enkelt kø til begge unikke syslog-mål. Dette fordobler effektivt noget af arbejdsbelastningen i Isilon-noden. Tre syslog-mål vil tredobbelte noget af arbejdet osv.

Der er desuden ingen relevante justerbare konfigurationer for pre-9.4 OneFS på syslog som relateret til revision.

Med CEE kan du reducere efterslæb ved at overvåge mindre og eller tilføje flere mål-CEE'er og mere tredjepartsleverandørkapacitet ud over disse CEE'er.

Med syslog kan du kun reducere efterslæb ved at overvåge mindre over tid.

Opgrader til OneFS 9.4 eller nyere.

I optimale og kontrollerede test har Syslog til revisionseksport med OneFS 9.4-udgivelser vist forbedringer af ydeevnen på ~300 %.

Opgradering til en version af OneFS på 9.4+, vil sandsynligvis give forbedringer af ydeevnen for audit af syslog-eksportydeevnen.

Ydeevnen varierer afhængigt af miljø, implementering, design, netværk, workflows og menneskelige adfærdsfaktorer, der genererer overvågningsaktivitet. 
 

Hvis syslog-ydeevnen for eksporter selv på OneFS 9.4+ ikke kan overvinde en vedvarende eller uafbrudt kø, der ikke kan arbejdes, flere uger efter opgraderingen, skal du kontakte Support for gennemgang.
Den eneste måde at reducere antallet af overvågede hændelser pr. sekund og pr. node er at justere hvordan og hvad der overvåges.

Hvor syslog-eksporter er korrekt "strømmer" fra Isilon-klyngen, er yderligere optimering uden for isilon-supportens omfang:

• Gennemgå designet af, hvordan du overvåger med Dells systemteknikere. Overvej, hvordan dine slutbrugere (menneskeligt eller automatiseret) kommer ind i klyngen for at udføre overvågningslogførte aktiviteter.
• Balancer arbejdsgange og mængden af loggede aktiviteter på tværs af alle Isilon-noder mere ligeligt: Alle loggede handlinger registreres kun for overvågning og eksporteres ud af den node, som brugeren er tilsluttet.
• Hvis du har tyve noder i din Isilon, men kun fem modtager protokoller-forbindelser, vil 100 % af disse overvågningsaktiviteter kun ske på disse fem noder.
• Overvej at gennemgå hele implementeringen for at sikre, at den samlede mængde af alle protokollers aktiviteter er fordelt over så mange fysiske noder som muligt. Dermed fordeles den samlede overvågningsbelastning over så mange noder, som det er muligt.
• Overvej en CEE-baseret løsning som et alternativ.
• Overvej at reducere mængden og omfanget af det, der er overvåget. Gå ikke langt ud over organisations- eller lovgivningsmæssige krav. 
• Kontakt Dells systemteknikere for at drøfte yderligere.