PowerScale: Erhöhen der Syslog-Exportperformance für PowerScale Isilon-Audits

Der Syslog-Audit-Exportrückstand wird nie aufgeholt. Aufgrund der Verteilung von Audit-Datenbanken und der OneFS-Workload lässt sich dies nicht so einfach erkennen. 

Eine Methode hierfür ist:

1. Überprüfen Sie die letzten Zeitstempel der empfangenen Audit-Syslog-Meldungen.
2. Wenn die Daten des Audit-Datensatzes hinter Ihrem Echtzeitdatum liegen, liegt ein Rückstand vor.
3. Wenn die Datensätze jeden Tag einen konsistenten Rückstand aufweisen oder manchmal ein Rückstand vorliegt und manchmal nicht, bedeutet dies, dass das Cluster und das Syslog-Setup ungefähren Gleichstand haben. In der Regel ist dies akzeptabel. Welcher Rückstand akzeptabel ist, hängt jedoch von der Umgebung ab.
4. Wenn die Performance jeden Tag immer weiter zurückfällt und nie aufholt, kann es erforderlich sein, die lokalen Isilon-seitigen Audit-Workloads zu reduzieren. 

Der Auditprozess verarbeitet eine FIFO-Warteschlange (First in, First out) auf allen Nodes.
Wenn Auditdaten schneller exportiert, als sie aufgenommen werden, ist die Warteschlange auf dem aktuellen Stand.

Wenn Node 1 beispielsweise 1.000 Auditereignisse pro Sekunde aufzeichnet, aber nur 500 Ereignisse pro Sekunde exportieren kann und diese Rate 24x7x365 aufrechterhalten wird, bedeutet dies für diesen einzelnen Isilon-Node:

• Nach 1 Sekunde einen Rückstand von 500 Elementen
• Nach 1 Minute von 30.000 Elementen
• Nach 1 Stunde von 1.800.000 Elementen
• Nach 1 Tag von 43.200.000 Elementen

Wenn das System jedoch selbst nur für die Hälfte der Stunden des Tages mit halber Rate aufnehmen oder mit doppelter Rate exportieren könnte, würde der Rückstand um die Hälfte reduziert werden.

Mit der Syslog-Bereitstellung vor 9.4 sind Fälle von Clients mit schwerwiegenden Auditrückständen relativ selten.

Selbst mit der CEE-Alternative, die effizienter als Syslog vor 9.4 ist, treten manchmal Rückstände aufgrund des lokalen „Auditdesigns“ und der Aufnahmeraten auf.

Es kann schwierig sein, zu erkennen, wie hoch das Volumen ist, bis der Audit ausgeführt wird. Mit dem effizienteren CEE können Sie auch zusätzliche CEE-Zielmaschinen bereitstellen und dann mit Ihrem Drittanbieter zusammenarbeiten, der diese Daten für die Überprüfung der Auditdaten „erfasst“.

Zusätzliche CEEs ermöglichen es, von Isilon-Seite effizienter zu exportieren. Jeder einzelne Isilon-Node kann mit bis zu drei (3) individuellen CEE-Maschinen gleichzeitig verbunden werden.

Syslog funktioniert anders. Jedes im Audit-Setup definierte Syslog-Ziel empfängt jedes protokollierte Auditereignis, das exportiert wird.
Stellen Sie sich vor, ein einzelnes protokolliertes Auditereignis wird aus der Warteschlange gesendet. Wenn es einen einzigen Syslog-Zielserver gäbe, würde der Isilon-Node mit diesem Warteschlangenelement den Datensatz über UDP-Port 514 auf 1:1-Basis an dieses einzelne Syslog-Ziel senden.
Wenn ein weiteres Syslog-Ziel hinzugefügt wird, also insgesamt nun zwei, muss dieser Isilon-Node stattdessen dasselbe einzelne Warteschlangenelement an beide Syslog-Ziele senden. Dadurch wird ein Teil der Workload innerhalb des Isilon-Nodes effektiv verdoppelt. Drei Syslog-Ziele würden einen Teil der Arbeit verdreifachen usw.

Darüber hinaus gibt es keine relevanten konfigurierbaren Optionen für OneFS auf Syslog vor Version 9.4 in Bezug auf Audits.

Mit CEE können Sie den Rückstand für Audits reduzieren, indem Sie weniger prüfen und/oder mehr Ziel-CEEs und mehr Drittanbieterkapazität über diese CEEs hinaus hinzufügen.

Mit Syslog können Sie den Rückstand nur reduzieren, indem Sie im Laufe der Zeit weniger Audits durchführen.

Führen Sie ein Upgrade auf OneFS 9.4 oder höher durch.

Bei kontrollierten Labortests unter optimalen Bedingungen hat das Syslog-Exportieren für Audits mit den OneFS-9.4-Versionen Leistungsverbesserungen von ca. 300 % gezeigt.

Durch ein Upgrade auf OneFS-Version 9.4 und höher wird die Performance des Audit-Syslog-Exports sehr wahrscheinlich verbessert.

Die Performance variiert je nach Umgebung, Bereitstellung, Design, Netzwerken, Workflows und menschlichen Verhaltensfaktoren, wodurch Auditaktivitäten erzeugt werden. 
 

Wenn die Syslog-Performance für Exporte selbst bei OneFS 9.4 oder höher mehrere Wochen nach dem Upgrade nicht in der Lage ist, eine dauerhafte oder scheinbar nicht abzuarbeitende Warteschlange zu verarbeiten, wenden Sie sich an den Support, um dies zu überprüfen.
Die einzige Möglichkeit, die Anzahl der Audit-Ereignisse pro Sekunde und pro Node zu reduzieren, besteht darin, anzupassen, wie und was überwacht wird.

Wenn Syslog-Exporte korrekt vom Isilon-Cluster „fließen“, liegt die weitere Optimierung außerhalb des Umfangs des Isilon-Supports:

• Überprüfen Sie das Design Ihrer Audits mit SystemtechnikerInnen von Dell. Überlegen Sie, wie Ihre (menschlichen oder automatisierten) EndnutzerInnen überhaupt in das Cluster gelangen, um Audit-protokollierte Aktivitäten auszuführen.
• Verteilen Sie Workflows und das Volumen protokollierter Aktivitäten gleichmäßiger auf alle Isilon-Nodes: Alle protokollierten Aktionen werden nur für Audits aufgezeichnet und aus dem Node exportiert, mit dem der/die NutzerIn verbunden ist.
• Wenn Sie 20 Nodes in Ihrem Isilon haben, aber nur fünf davon Protokollverbindungen nutzen, werden 100 % dieser Audit-Aktivitäten nur auf diesen fünf Nodes ausgeführt.
• Erwägen Sie eine Überprüfung der gesamten Bereitstellung, um sicherzustellen, dass das Gesamtvolumen aller Protokollaktivitäten über so viele physische Nodes wie möglich verteilt ist. Dadurch wird die gesamte Audit-Workload auf so viele Nodes wie möglich verteilt.
• Ziehen Sie eine CEE-basierte Lösung als Alternative in Betracht.
• Erwägen Sie, das Volumen und den Umfang der geprüften Daten zu reduzieren. Gehen Sie nicht zu weit über die organisatorischen oder behördlichen Anforderungen hinaus. 
• Wenden Sie sich an die SystemtechnikerInnen von Dell, um dies zu besprechen.