PowerScale: Como aumentar o desempenho da exportação do Syslog para o desempenho da auditoria do PowerScale Isilon

O acúmulo de exportação da auditoria do Syslog nunca é detectado. Não há uma maneira simples de ver isso, devido à natureza distribuída dos bancos de dados de auditoria e da carga de trabalho do OneFS. 

Um método para fazer isso é:

1. Analisar os registros de data e hora mais recentes nas mensagens do Syslog de auditoria recebidas.
2. Se as datas de registro de auditoria estiverem atrás de sua data em tempo real, ela está atrasada.
3. Se, a cada dia, os registros parecem estar com um tempo de atraso consistente ou, às vezes, estão atrasados e, às vezes, atualizados, isso significa que o cluster e a configuração do Syslog estão com paridade relativa. Geralmente, isso é aceitável. Até que ponto o "atraso" é aceitável depende do ambiente.
4. Se, a cada dia, o desempenho for ficando cada vez mais para trás e nunca se recuperar, talvez seja necessário reduzir as cargas de trabalho locais de auditoria do Isilon. 

A auditoria funciona em uma fila FIFO (FIRST IN, FIRST OUT, ordem de chegada) em todos os nós.
Se os dados de auditoria forem exportados de modo mais rápido do que são incluídos, a fila será atualizada.

Se o nó n.º 1 inclui e registra 1.000 eventos de auditoria por segundo, mas só é capaz de exportar desse nó 500 eventos por segundo, e essa taxa se aplica a 24x7x365, isso significa que, para esse único nó do Isilon:

• Após 1 segundo, há um acúmulo de 500 itens
• Após 1 minuto, 30.000 itens
• Após 1 hora, 1.800.000 itens
• Após 1 dia, 43.200.000 itens

No entanto, se mesmo durante metade das horas do dia o sistema puder ingerir a metade da taxa ou exportar o dobro da taxa, o acúmulo será reduzido pela metade.

Com a implementação do Syslog usada antes da versão 9.4, os casos relatados de clients com pendências de auditoria graves são relativamente raros.

Mesmo com a alternativa do CEE, que é mais eficiente do que o Syslog anterior à versão 9.4, às vezes há relatórios de acúmulos devido ao "projeto de auditoria" local e às taxas de inclusão.

Pode ser difícil saber quanto volume há até que a auditoria seja executada. Com CEE mais eficiente, você também pode implementar máquinas CEE de destino adicionais e, em seguida, trabalhar com seu fornecedor terceirizado que "coleta" esses dados para análise de registro de auditoria.

CEEs adicionais permitem que o Isilon exporte com mais eficiência. Cada nó individual do Isilon pode se conectar a até três (3) máquinas CEE exclusivas simultaneamente.

O Syslog é diferente. Cada destino de Syslog definido na configuração de auditoria recebe cada evento de auditoria registrado que é exportado.
Imagine que um único evento de auditoria registrado seja enviado da fila. Se houvesse um único servidor Syslog de destino, o nó do Isilon com esse item de fila enviaria esse registro pela porta UDP 514, em uma base de 1:1, para esse Syslog de destino único.
Se outro Syslog de destino fosse adicionado, totalizando dois, esse nó do Isilon, em vez disso, deveria enviar esse mesmo item de fila único para os dois destinos exclusivos do Syslog. Isso efetivamente dobra parte da carga de trabalho no nó do Isilon. Três destinos de Syslog triplicariam parte do trabalho e assim por diante.

Além disso, não há configurações ajustáveis relevantes para o OneFS anterior à versão 9.4 no Syslog em relação à auditoria.

Com o CEE, você pode reduzir o acúmulo auditando menos e/ou adicionando mais CEEs de destino e mais capacidade de fornecedor de terceiros além desses CEEs.

Com o Syslog, você só poderia reduzir o acúmulo auditando menos ao longo do tempo.

Faça upgrade para o OneFS 9.4 ou posterior.

Em testes de laboratório ideais e controlados, a exportação do Syslog para auditoria com as versões 9.4 do OneFS mostrou melhorias de desempenho de aproximadamente 300%.

É provável que o upgrade para uma versão do OneFS superior a 9.4 ofereça melhorias de desempenho à exportação do Syslog de auditoria.

O desempenho varia de acordo com o ambiente, a implementação, o projeto, as redes, os fluxos de trabalho e os fatores de comportamento humano que geram a atividade de auditoria. 
 

Se o desempenho do Syslog para exportações, mesmo no OneFS 9.4 e posteriores não conseguir superar uma fila persistente ou aparentemente inviável, várias semanas após o upgrade, entre em contato com o suporte para análise.
A única maneira de reduzir o número de eventos auditados por segundo e por nó é ajustar como e o que é auditado.

Quando as exportações do Syslog estão "fluindo" corretamente do cluster do Isilon, a otimização adicional está fora do escopo do suporte do Isilon:

• Analise a maneira como você audita com os engenheiros de sistemas da Dell. Em primeiro lugar, considere como seus usuários finais (humanos ou automatizados) entrarão no cluster para realizar atividades registradas de auditoria.
• Equilibre os fluxos de trabalho e o volume de atividades registradas em todos os nós do Isilon de modo mais equitativo: Todas as ações registradas são gravadas somente para Auditoria e exportadas para fora do nó ao qual o usuário está conectado.
• Se você tiver 20 nós no Isilon, mas apenas cinco tiverem conexões de protocolos, 100% dessas atividades de auditoria só ocorrerão nesses cinco nós.
• Considere analisar toda a implementação para garantir que o volume total de todas as atividades de protocolos seja distribuído pelo máximo de nós físicos possível. Isso distribui a carga de trabalho total de auditoria pelo máximo possível de nós.
• Considere uma solução baseada em CEE como uma alternativa.
• Considere reduzir o volume e o escopo do que é auditado. Não vá muito além dos requisitos regulamentares ou organizacionais. 
• Interaja com a engenharia de sistemas da Dell para mais discussões.