PowerScale：如何提高 PowerScale Isilon 稽核效能的 syslog 匯出效能

永不發生 syslog 稽核匯出的待辦事項。由於稽核資料庫和 OneFS 工作負載的分散式特性，因此沒有簡單的方式可以看到此問題。

執行此操作的方法包括：

1. 檢閱最近收到的 Audit syslog 訊息的時間戳記。
2. 如果稽核記錄日期晚于您的即時日期，就落後了。
3. 如果每天的記錄似乎都是一致的落後時間長度，或有時落後，有時甚至是擷上，則表示叢集和 syslog 設定處於相對同位檢查狀態。這通常是可以接受的。「背後」可接受的程度取決於環境。
4. 如果效能每天都會進一步下降，而且永遠無法追上，則可能需要減少本機 Isilon 端的稽核工作負載。 

稽核可在所有節點上的 FIFO （先輸入、先出） 佇列上運作。
如果稽核資料匯出速度比內嵌速度更快，佇列會是最新的。

如果節點 #1 內含並每秒記錄 1，000 個稽核事件，但只能從該節點每秒匯出 500 個事件，且該比率為 24x7x365，則表示該單一Isilon 節點適用：

• 1 秒後，有 500 個專案的待辦事項
• 1 分鐘後，30，000 個專案
• 1 小時後，1，800，000 個品項
• 1 天后，43，200，000 個專案

即使一天中有半個小時，系統也能以一半的速率內含，或以兩倍的速率匯出，則會將待辦事項減少一半。

隨著 syslog 部署在 9.4 前使用，報告的嚴重稽核待辦事項用戶端案例相對較少見。

即使 CEE 替代方案比 9.4 syslog 前更有效率，有時也會因為本機「稽核設計」和內含速率而產生待辦事項報告。

在稽核執行之前，可能難以知道有多少磁片區。有了更有效率的 CEE，您也可以部署其他的目標 CEE 機器，然後與協力廠商廠商合作，這些廠商會將這些資料「收集」以供稽核記錄使用。

其他 CEE 讓 Isilon 端能更有效率地匯出。每個 Isilon 節點最多可同時連接三 （3） 台唯一的 CEE 機器。

Syslog 不同。在稽核設定中，每個定義的 syslog 目標都會收到匯出的每個記錄稽核事件。
想像一下，系統會從佇列中傳送單一記錄的稽核事件。如果有單一目標 syslog 伺服器，則含該佇列專案的 Isilon 節點會以 1：1 的基礎，透過 UDP 埠 514 將該記錄傳送至該單一目標 syslog。
如果新增了另一個 syslog 目標，並且總共提供兩個，則 Isilon 節點必須將相同的單一佇列專案傳送至兩個唯一的 syslog 目標。這可有效加倍 Isilon 節點內的部分工作負載。三個 syslog 目標會是部分工作的三倍，依此類而定。

針對 syslog 上的 9.4 前 OneFS，沒有額外的相關可調式組態，與稽核有關。

透過 CEE，您可以減少稽核，或新增更多目標 CE，以及超過這些 CEE 的協力廠商廠商容量，以減少待辦事項。

透過 syslog，您只能透過減少一段時間的稽核來減少待辦事項。

升級至 OneFS 9.4 或更新版本。

在最佳且受控的實作測試中，使用 OneFS 9.4 版本匯出的「Audit」Syslog 效能改善約 300%。

升級至 9.4+的 OneFS 版本，可能會改善 Audit syslog 匯出效能的效能。

效能將因產生稽核活動的環境、部署、設計、網路、工作流程和人類行為因素而有所不同。 
 

如果匯出的 syslog 效能，即使是 OneFS 9.4+ 也無法克服持續性或似乎無法作業的佇列，在升級數周後，請聯絡支援以進行檢閱。
每秒和每個節點減少稽核事件數目的唯一方法是調整稽核的方式和內容。

如果 syslog 匯出正確地從 Isilon 叢集「流動」，則進一步優化不在 Isilon 支援的範圍範圍內：

• 與 Dell 系統工程師一起審查您的稽核方式設計。考慮您的終端使用者 （人類或自動化） 如何在第一個位置進入叢集執行稽核記錄活動。
• 更平均地平衡所有 Isilon 節點的工作流程和記錄活動量：所有記錄的動作僅會記錄在稽核中，並從使用者所連接的節點匯出。
• 如果您的 Isilon 中有二十個節點，但只有五個節點採用通訊協定連線，則這些稽核活動中，100% 只會發生在這五個節點。
• 請考慮檢閱整個部署，確定所有通訊協定活動的總磁片區會盡可能分散在數量的實體節點上。這會盡可能將總稽核工作負載分散在多個節點上。
• 將 CEE 型解決方案視為替代方案。
• 考慮降低稽核內容的磁片區和範圍。請勿超越組織或法規要求。 
• 與 Dell 系統工程部門互動以進行進一步討論。