PowerScale: come aumentare le prestazioni di esportazione syslog per le prestazioni di audit di PowerScale Isilon

Il backlog dell'esportazione di audit syslog non viene mai rilevato. Non esiste un modo semplice per farlo, a causa della natura distribuita dei database di audit e del carico di lavoro OneFS. 

Un metodo possibile viene indicato di seguito:

1. Esaminare i timestamp più recenti sui messaggi syslog di audit ricevuti.
2. Se le date dei record di audit sono in ritardo rispetto alla data in tempo reale, sono in ritardo.
3. Se ogni giorno i record sembrano riportare un ritardo costante o a volte sono in ritardo e a volte vengono acquisiti, significa che il cluster e la configurazione di syslog sono relativamente in parità. In genere, questo è accettabile. Il livello di "ritardo" accettabile dipende dall'ambiente.
4. Se ogni giorno le prestazioni mostrano un costante ritardo crescente senza recupero, potrebbe essere necessario ridurre i carici di lavoro di audit del lato Isilon locale. 

L'audit funziona su una coda FIFO (first in, first out) su tutti i nodi.
Se i dati di audit vengono esportati più velocemente di quanto non vengano acquisiti, la coda è aggiornata.

Se il nodo n. 1 acquisisce e registra 1.000 eventi di audit al secondo, ma è in grado di esportare solo 500 eventi al secondo e tale velocità vale 24 ore su 24, 7 giorni su 7, 365 giorni all'anno, ciò significa che, per un solo nodo Isilon:

• Dopo 1 s, c'è un backlog di 500 elementi
• Dopo 1 minuto, 30.000 elementi
• Dopo 1 ora, 1.800.000 elementi
• Dopo 1 giorno, 43.200.000 elementi

Se però anche per metà delle ore del giorno, il sistema riesce ad acquisire a metà della velocità o esportare a una velocità doppia, il backlog viene dimezzato.

Con l'implementazione di syslog utilizzata prima della versione 9.4, i casi segnalati di client con backlog di audit severi sono relativamente rari.

Anche con l'alternativa CEE, che è più efficiente rispetto al syslog precedente alla 9.4, a volte sono presenti segnalazioni di backlog a causa della "progettazione dell'audit" locale e delle velocità di acquisizione.

Può essere difficile sapere la quantità di volume disponibile fino all'esecuzione dell'audit. Con il più efficiente CEE, è anche possibile implementare computer CEE di destinazione aggiuntive e collaborare con il vendor di terze parti che "raccoglie" tali dati per l'esame dei record di audit.

CEE aggiuntivi consentono al lato Isilon di esportare in modo più efficiente. Ogni singolo nodo Isilon può connettersi contemporaneamente a un massimo di tre (3) macchine CEE univoche.

Syslog è diverso. Ogni destinazione syslog definita nella configurazione di audit riceve ogni evento di audit registrato esportato.
Si immagini che dalla coda venga inviato un singolo evento di audit registrato. Se fosse presente un solo server syslog di destinazione, il nodo Isilon con tale elemento di coda invierebbe tale record sulla porta UDP 514, su base 1:1, a quel singolo syslog di destinazione.
Se è stata aggiunta un'altra destinazione syslog, che in totale fanno due, il nodo Isilon deve inviare lo stesso elemento coda singolo a entrambe le destinazioni syslog univoche. Questo di fatto raddoppia parte del carico di lavoro all'interno del nodo Isilon. Tre destinazioni syslog triplicano parte del lavoro e così via.

Inoltre, non sono disponibili configurazioni regolabili rilevanti per OneFS precedente alla versione 9.4 su syslog in relazione all'audit.

Con CEE, è possibile ridurre il backlog riducendo l'audit e/o aggiungendo più CEE di destinazione e più capacità di vendor di terze parti oltre a tali CEE.

Con syslog, è possibile ridurre solo il backlog effettuando meno audit nel tempo.

Eseguire l'upgrade a OneFS 9.4 o versione successiva.

Nei test di laboratorio ottimali e controllati, l'esportazione di Syslog for Audit con le release OneFS 9.4 ha mostrato un miglioramento delle prestazioni di circa il 300%.

È probabile che l'upgrade a OneFS 9.4 o versione successiva migliori le prestazioni dell'esportazione syslog di audit.

Le prestazioni variano in base all'ambiente, al deployment, alla progettazione, alle reti, ai flussi di lavoro e ai fattori di comportamento umano che generano l'attività di audit. 
 

Se le prestazioni di syslog per le esportazioni, anche in OneFS 9.4 o versione successiva, non sono in grado di superare una coda persistente o apparentemente inutilizzabile alcune settimane dopo l'upgrade, contattare il supporto per la revisione.
L'unico modo per ridurre il numero di eventi sottoposti ad audit al secondo e per nodo è regolare le modalità e gli elementi sottoposti ad audit.

In caso di corretto "flusso" delle esportazioni syslog da Isilon Cluster, un'ulteriore ottimizzazione non rientra nell'ambito del supporto Isilon:

• Rivedere la progettazione delle modalità di audit con i Systems Engineer Dell. Considerare innanzitutto il modo in cui gli utenti finali (umani o automatizzati) entrano nel cluster per eseguire le attività registrate di audit.
• Bilanciare i flussi di lavoro e il volume delle attività registrate su tutti i nodi Isilon in modo più equo: tutte le azioni registrate vengono registrate solo per l'audit ed esportate dal nodo a cui l'utente è connesso.
• Se si dispone di venti nodi in Isilon, ma solo cinque accettano connessioni Protocolli, il 100% di tali attività di audit avverrà solo su questi cinque nodi.
• Prendere in considerazione l'esame dell'intero deployment per assicurarsi che il volume totale di tutte le attività dei protocolli sia distribuito su il numero più elevato di nodi fisici possibile. In questo modo si distribuisce il carico di lavoro di audit totale su tutti i nodi possibili.
• Considerare una soluzione basata su CEE come alternativa.
• Considerare la riduzione del volume e dell'ambito degli elementi sottoposti ad audit. Non superare i requisiti organizzativi o normativi. 
• Contattare il team Dell System Engineering per ulteriori discussioni.