PowerScale: Så här ökar du syslog-exportprestandan för PowerScale Isilon-granskningsprestanda

Kvarvarande uppgifter om syslog-granskningsexporten fastnar aldrig. Det finns inget enkelt sätt att se detta, på grund av den distribuerade karaktären hos granskningsdatabaserna och OneFS-arbetsbelastningen. 

En metod för att göra detta är:

1. Granska de senaste tidsstämplarna för mottagna syslogmeddelanden för granskning.
2. Om granskningspostdatumen ligger bakom realtidsdatumet finns det bakom det.
3. Om posterna verkar vara en konsekvent tidslängd för varje dag, eller ibland ligger bakom och ibland fastnar, innebär det att klustret och syslog-konfigurationen har relativ paritet. Vanligtvis är detta acceptabelt. Hur långt "bakom" som är acceptabelt beror på miljön.
4. Om prestandan hamnar längre och längre efter varje dag och aldrig kommer ikapp kan det vara nödvändigt att minska de lokala arbetsbelastningarna för Isilon-granskning. 

Revisionen fungerar i en FIFO-kö (först in, först ut) på alla noder.
Om granskningsdata exporteras snabbare än de matas in är kön uppdaterad.

Om nod nr 1 matar in och registrerar 1 000 granskningshändelser per sekund, men bara kan exportera från den noden 500 händelser per sekund, och den frekvensen gäller för 24 x 7 x 365, innebär det att för den enda Isilon-noden:

• Efter 1 s finns det ett antal kvarvarande artiklar
• Efter 1 minut, 30 000 artiklar
• Efter 1 timme, 1 800 000 artiklar
• Efter 1 dag 43 200 000 artiklar

Om systemet ens under hälften av dagen tar in halvhastigheten eller exporterar dubbelt så mycket skulle antalet kvarvarande uppgifter minskas till hälften.

Med syslog-distributionen som användes före 9.4 är rapporterade fall av klienter med allvarliga granskningsbakloggar relativt sällsynta.

Även med CEE-alternativet, som är effektivare än syslog före 9.4, finns det ibland rapporter om kvarvarande uppgifter på grund av lokal "granskningsdesign" och intagshastigheter.

Det kan vara svårt att veta hur mycket volym det finns tills granskningen körs. Med en effektivare CEE kan du även installera ytterligare CEE-måldatorer och sedan arbeta med tredjepartsleverantören som "samlar in" dessa data för granskningsregister.

Ytterligare cee gör det möjligt för Isilon-sidan att exportera effektivare. Varje enskild Isilon-nod kan ansluta till upp till tre (3) unika CEE-maskiner samtidigt.

Syslog är annorlunda. Varje definierat syslog-mål i revisionskonfigurationen tar emot varje loggad granskningshändelse som exporteras.
Föreställ dig att en enda loggad granskningshändelse skickas från kön. Om det fanns en enda syslogserver för mål skulle Isilon-noden med det köobjektet skicka den posten över UDP-port 514, på 1:1-basis, till den syslogen med ett mål.
Om ett annat syslog-mål lades till, vilket ger totalt två, måste Isilon-noden istället skicka samma enskilda köobjekt till båda unika syslog-mål. Detta fördubblar effektivt en del av arbetsbelastningen inom Isilon-noden. Tre syslog-mål skulle tredubbla en del av arbetet och så vidare.

Dessutom finns det inga relevanta konfigurationer som är tillgängliga före 9.4 OneFS i syslog i samband med granskning.

Med CEE kan du minska kvarvarande uppgifter genom att granska mindre och lägga till fler mål-CE och mer leverantörskapacitet från tredje part utöver dessa cee.

Med syslog kan du bara minska antalet kvarvarande uppgifter genom att granska mindre över tid.

Uppgradera till OneFS 9.4 eller senare.

I optimala och kontrollerade labbtester har Syslog för granskningsexporter med OneFS 9.4-versionerna visat prestandaförbättringar på ~300 %.

Uppgradering till en version av OneFS på 9.4+ är troligtvis att ge prestandaförbättringar för granskning av syslog-exportprestanda.

Prestandan kan variera beroende på miljön, distribution, design, nätverk, arbetsflöden och faktorer för mänskligt beteende som genererar granskningsaktivitet. 
 

Om syslog-prestanda för exporter inte ens på OneFS 9.4+ kan övervinna en beständig eller ogenomförbar kö flera veckor efter uppgraderingen kontaktar du supporten för granskning.
Det enda sättet att minska antalet granskade händelser per sekund och per nod är att justera hur och vad som granskas.

Om syslog-exporter "flödar" korrekt från Isilon-klustret omfattas inte ytterligare optimering av Isilon-supporten:

• Granska utformningen av hur du granskar med Dells systemtekniker. Fundera över hur slutanvändarna (mänskliga eller automatiserade) kommer in i klustret och utför granskningsloggade aktiviteter.
• Balansera arbetsflöden och volymer för loggade aktiviteter över alla Isilon-noder mer jämnt: Alla loggade åtgärder registreras endast för granskning och exporteras från den nod som användaren är ansluten till.
• Om du har tjugo noder i Isilon, men bara fem har protokollanslutningar, sker 100 % av dessa granskningsaktiviteter bara på dessa fem noder.
• Överväg att gå igenom hela distributionen för att se till att den totala volymen för alla protokollaktiviteter distribueras över så många fysiska noder som möjligt. Detta distribuerar den totala granskningsarbetsbelastningen över så många noder som möjligt.
• Överväg en CEE-baserad lösning som ett alternativ.
• Överväg att minska volymen och omfattningen av det som granskas. Gå inte långt utöver organisationens eller regelefterlevnadskraven. 
• Ta kontakt med Dells systemtekniker för vidare diskussioner.