PowerScale：PowerScale Isilon監査のSyslogエクスポート パフォーマンスを向上させる方法

Syslog監査エクスポートのバックログが間に合いません。監査データベースとOneFSワークロードが分散されている特性により、これを確認する簡単な方法はありません。

これを確認する方法は次のとおりです。

1. 受信した監査Syslogメッセージの最新のタイムスタンプを確認します。
2. 監査レコードの日付がリアルタイムの日付より後の場合は、遅れていることを確認できます。
3. 毎日、レコードが一定の時間遅れているように見える場合、または遅れたり追いついたりする場合は、クラスターとSyslogのセットアップが相対的なパリティーであることを意味します。通常、これは許容可能です。どの程度の「遅れ」が許容されるかは、環境によって異なります。
4. 毎日、パフォーマンスがさらに低下し、さらに遅れて追いつかない場合は、ローカルのIsilon側の監査ワークロードを削減することが必要な場合があります。 

監査は、すべてのノードのFIFO（ファースト イン/ファースト アウト）キューで機能します。
監査データのエクスポート レートが、その取得レートよりも速い場合、キューは最新の状態と言えます。

ノード#1が1秒あたり1,000件の監査イベントを取得して記録するが、そのノードから1秒あたり500件のイベントのみをエクスポートでき、そのレートが24時間365日に当てはまる場合は、その単一のIsilonノードについて次のことが言えます。

• 1秒後に、500アイテムのバックログがある
• 1分後、30,000アイテム
• 1時間後、1,800,000アイテム
• 1日後、43,200,000アイテム

ただし、1日の半分の時間であっても、システムが半分のレートで取得できるか、2倍のレートでエクスポートできる場合、バックログは半分に削減されます。

Syslog導入で9.4より前が使用されている場合、クライアントで重大な監査バックログが報告されるケースは比較的まれです。

9.4より前のSyslogよりも効率的なCEEの代替機能を使用した場合でも、ローカルの「監査設計」と取得レートが原因でバックログが報告されることがあります。

監査が実行されるまで、ボリュームの量を把握するのは困難な場合があります。より効率的なCEEを使用すると、追加のターゲットCEEマシンを導入し、監査レコードの精査のためにそのデータを「収集」するサード パーティ ベンダーと連携することもできます。

CEEを追加すると、Isilon側でより効率的にエクスポートできるようになります。各Isilonノードは、最大3台の固有CEEマシンに同時に接続できます。

Syslogは異なります。監査セットアップで定義された各Syslogターゲットは、エクスポートされたログ記録済み監査イベントを受信します。
ログ記録された1つの監査イベントがキューから送信されるとします。ターゲットSyslogサーバーが1台ある場合、そのキュー アイテムがあるIsilonノードは、UDPポート514を介して1対1ベースでその単一のターゲットSyslogにレコードを送信します。
別のSyslogターゲットが追加され、合計で2つある場合、そのIsilonノードは同じ1つのキュー アイテムを両方の個別のSyslogターゲットに送信する必要があります。これにより、Isilonノード内のワークロードの一部が実質的に2倍になります。3つのSyslogターゲットでは、作業の一部が3倍になります。

監査に関して、9.4より前のOneFSのSyslogで調整可能な構成はありません。

CEEを使用する場合は、監査を減らすか、またはターゲットCEEとこれらのCEEを上回るサード パーティ ベンダーの機能を追加することで、バックログを削減できます。

Syslogを使用すると、徐々に監査を減らすことによってバックログを削減することしかできません。

OneFS 9.4以降にアップグレードします。

最適に制御されたLabテストでは、OneFS 9.4リリースを使用して監査をエクスポートしたSyslogでは、パフォーマンスが最大300%向上しました。

OneFSのバージョン9.4以降にアップグレードすると、監査のSyslogエクスポート パフォーマンスが向上する可能性があります。

パフォーマンスは、環境、導入、設計、ネットワーク、ワークフロー、監査アクティビティーを生成するユーザーの行動要因によって異なります。 
 

OneFS 9.4以降でもSyslogのエクスポート パフォーマンスが永続的なキューまたは一見実行不可能なキューを超えない場合は、アップグレードから数週間後に、サポートにレビューを要請してください。
1秒あたりの監査イベント数とノードあたりの監査イベント数を減らす唯一の方法は、監査の方法と対象を調整することです。

SyslogエクスポートがIsilonクラスターから正しく「フロー」している場合、これ以上の最適化はIsilonサポートの範囲外です。

• Dellシステム エンジニアと監査方法の設計をレビューします。エンド ユーザー（人間または自動化）が最初にクラスターにアクセスして、監査ログ アクティビティーを実行する方法を検討してください。
• すべてのIsilonノード間で、ワークフローとログ記録されたアクティビティーのボリュームを均等化します。ログに記録されたすべてのアクションのみが監査用に記録され、ユーザーが接続しているノードからエクスポートされます。
• Isilonに20個のノードがあるが、プロトコル接続を利用できるのが5個しかない場合、監査アクティビティーの100%がこれら5つのノードでのみ実行されます。
• 導入環境全体をレビューして、すべてのプロトコル アクティビティーの合計ボリュームが可能な限り多くの物理ノードに分散されているか確認することを検討してください。これにより、監査ワークロードの全体が可能な限り多くのノードに分散されます。
• 代替機能としてCEEベースのソリューションを検討してください。
• 監査対象のボリュームと範囲を減らすことを検討してください。組織や規制の要件を大幅に超えないようにしてください。 
• 詳細については、Dellシステム エンジニアリングにお問い合わせください。