PowerScale：如何提高 PowerScale Isilon 审核性能的系统日志导出性能

系统日志审核导出积压永远不会被捕获。由于审核数据库和 OneFS 工作负载的分布式特性，因此没有简单的方法可以查看这一点。

执行此操作的方法是：

1. 查看收到的审核系统日志消息的最新时间戳。
2. 如果审核记录日期早于您的实时日期，则会落后。
3. 如果每天的记录似乎都落后一致的时间长度，或者有时会落后，有时会被捕获，则表示群集和系统日志设置处于相对奇偶校验状态。通常，这是可接受的。“落后”的可接受程度取决于环境。
4. 如果每天性能进一步下降，并且无法跟上，则可能需要减少本地 Isilon 端审核工作负载。 

审核适用于所有节点上的 FIFO（先入即出）队列。
如果审核数据导出速度快于接收速度，则队列是最新的。

如果节点 1 接收并记录每秒 1，000 个审核事件，但只能从该节点导出 500 个事件/秒，并且该速率为 24x7x365，则表示对于 该单个 Isilon 节点：

• 1 秒后，积压 500 个项目
• 1 分钟后，30，000 个项目
• 1 小时后，1，800，000 个项目
• 1 天后，43，200，000 个项目

但是，即使一天中的一半时间，系统也可以接收一半速率或以两倍的速率导出，则积压将减少一半。

在 9.4 之前使用的系统日志部署中，报告的具有严重审核积压的客户端案例相对较少。

即使 CEE 替代方案比 9.4 之前的系统日志更高效，有时也会由于本地“审核设计”和接收率而报告积压。

在审核运行之前，可能很难知道有多少卷。借助更高效的 CEE，您还可以部署更多目标 CEE 计算机，然后与您的第三方供应商合作，后者“收集”这些数据以进行审核记录审查。

其他 CE 允许 Isilon 端更高效地导出。每个 Isilon 节点可以同时连接多达三 （3） 台唯一的 CEE 计算机。

系统日志不同。审核设置中的每个定义的系统日志目标都会接收导出的每个已记录的审核事件。
想象一下，从队列发送一个记录的审核事件。如果有单个目标 syslog 服务器，则具有该队列项目的 Isilon 节点将以 1：1 为单位通过 UDP 端口 514 将该记录发送到该单个目标系统日志。
如果添加了另一个系统日志目标（总共两个），则 Isilon 节点必须将同一个队列项目发送到两个唯一的 syslog 目标。这实际上会使 Isilon 节点中的某些工作负载翻倍。三个系统日志目标会使部分工作增加三倍，等等。

此外，系统日志上 9.4 之前的 OneFS 没有相关的可调配置，与审核相关。

借助 CEE，您可以减少积压，方法是减少审核数量，或者添加更多目标 CE 和更多第三方供应商容量，从而超越这些 CEE。

使用系统日志时，您只能通过随着时间的推移减少审核来减少积压。

升级到 OneFS 9.4 或更高版本。

在优化和受控实验测试中，使用 OneFS 9.4 版本导出的 Syslog for Audit 显示性能改进约 300%。

升级到 9.4+ 的 OneFS 版本可能会对审核系统日志导出性能进行性能改进。

性能将因环境、部署、设计、网络、工作流和产生审核活动的人为行为因素而异。 
 

如果导出的系统日志性能（即使在 OneFS 9.4+ 上）无法克服持续或看似无法工作的队列（升级几周后），请联系支持部门进行审查。
减少每秒和每个节点的已审核事件数的唯一方法是调整审核方式和内容。

如果系统日志导出正确地从 Isilon 群集中“流动”，则进一步优化不在 Isilon 支持范围之内：

• 查看如何与戴尔系统工程师一起审核的设计。首先考虑您的终端用户（人工或自动化）如何进入群集，以执行审核记录的活动。
• 在所有 Isilon 节点之间更均衡地平衡工作流和记录的活动量：所有记录的操作仅记录在审核中，并导出用户连接到的节点。
• 如果您的 Isilon 中有二十个节点，但只有五个节点采用协议连接，则 100% 的审核活动仅发生在这五个节点上。
• 考虑查看整个部署，以确保所有协议活动的总数量分布在尽可能多的物理节点上。这将在尽可能多的节点上分配总审核工作负载。
• 将基于 CEE 的解决方案视为替代方案。
• 考虑减少已审核内容的数量和范围。不要远远超出组织或法规要求。 
• 与戴尔系统工程部门接洽，以进行进一步的讨论。