Considérations relatives à l'utilisation d'un serveur syslog externe
Suggérer des modifications
PDF
Un serveur syslog externe est un serveur extérieur à StorageGRID que vous pouvez utiliser pour collecter des informations d'audit système dans un seul emplacement. L'utilisation d'un serveur syslog externe vous permet de réduire le trafic réseau sur vos nœuds d'administration et de gérer les informations plus efficacement. Pour StorageGRID, le format du paquet de messages syslog sortant est conforme à la RFC 3164.
Les types d’informations d’audit que vous pouvez envoyer au serveur syslog externe incluent :
-
Journaux d'audit contenant les messages d'audit générés pendant le fonctionnement normal du système
-
Événements liés à la sécurité tels que les connexions et les escalades vers la racine
-
Journaux d'application qui pourraient être demandés s'il est nécessaire d'ouvrir un dossier d'assistance pour résoudre un problème que vous avez rencontré
Quand utiliser un serveur syslog externe
Un serveur syslog externe est particulièrement utile si vous disposez d'une grande grille, utilisez plusieurs types d'applications S3 ou souhaitez conserver toutes les données d'audit. L'envoi d'informations d'audit à un serveur syslog externe vous permet de :
-
Collectez et gérez plus efficacement les informations d'audit telles que les messages d'audit, les journaux d'application et les événements de sécurité.
-
Réduisez le trafic réseau sur vos nœuds d'administration, car les informations d'audit sont transférées directement des différents nœuds de stockage vers le serveur syslog externe, sans avoir à passer par un nœud d'administration.
Lorsque les journaux sont envoyés à un serveur syslog externe, les journaux uniques supérieurs à 8 192 octets sont tronqués à la fin du message pour se conformer aux limitations courantes dans les implémentations de serveur syslog externe. 
Pour maximiser les options de récupération complète des données en cas de défaillance du serveur syslog externe, jusqu'à 20 Go de journaux locaux d'enregistrements d'audit( localaudit.log) sont maintenus sur chaque nœud.
Comment configurer un serveur syslog externe
Pour savoir comment configurer un serveur syslog externe, consultez"Configurer les messages d'audit et le serveur syslog externe" .
Si vous prévoyez de configurer l'utilisation du protocole TLS ou RELP/TLS, vous devez disposer des certificats suivants :
-
Certificats CA du serveur : un ou plusieurs certificats CA approuvés pour vérifier le serveur syslog externe dans le codage PEM. Si omis, le certificat Grid CA par défaut sera utilisé.
-
Certificat client : Le certificat client pour l'authentification auprès du serveur syslog externe en codage PEM.
-
Clé privée client : Clé privée pour le certificat client en codage PEM.
Si vous utilisez un certificat client, vous devez également utiliser une clé privée client. Si vous fournissez une clé privée chiffrée, vous devez également fournir la phrase secrète. L’utilisation d’une clé privée chiffrée ne présente aucun avantage significatif en termes de sécurité, car la clé et la phrase secrète doivent être stockées. L’utilisation d’une clé privée non chiffrée, si disponible, est recommandée pour plus de simplicité.
Comment estimer la taille du serveur syslog externe
Normalement, votre grille est dimensionnée pour atteindre un débit requis, défini en termes d'opérations S3 par seconde ou d'octets par seconde. Par exemple, vous pouvez avoir besoin que votre grille gère 1 000 opérations S3 par seconde, ou 2 000 Mo par seconde, d’ingestions et de récupérations d’objets. Vous devez dimensionner votre serveur syslog externe en fonction des besoins en données de votre grille.
Cette section fournit quelques formules heuristiques qui vous aident à estimer le taux et la taille moyenne des messages de journal de différents types que votre serveur syslog externe doit être capable de gérer, exprimés en termes de caractéristiques de performances connues ou souhaitées de la grille (opérations S3 par seconde).
Utiliser S3 opérations par seconde dans les formules d'estimation
Si votre grille a été dimensionnée pour un débit exprimé en octets par seconde, vous devez convertir ce dimensionnement en opérations S3 par seconde pour utiliser les formules d'estimation. Pour convertir le débit de la grille, vous devez d'abord déterminer la taille moyenne de votre objet, ce que vous pouvez faire en utilisant les informations des journaux d'audit et des mesures existants (le cas échéant), ou en utilisant vos connaissances des applications qui utiliseront StorageGRID. Par exemple, si votre grille a été dimensionnée pour atteindre un débit de 2 000 Mo/seconde et que la taille moyenne de votre objet est de 2 Mo, alors votre grille a été dimensionnée pour pouvoir gérer 1 000 opérations S3 par seconde (2 000 Mo / 2 Mo).
|
|
Les formules de dimensionnement du serveur syslog externe dans les sections suivantes fournissent des estimations de cas courants (plutôt que des estimations de cas les plus défavorables). Selon votre configuration et votre charge de travail, vous pouvez constater un taux de messages syslog ou un volume de données syslog supérieur ou inférieur à celui prévu par les formules. Les formules sont destinées à être utilisées uniquement à titre indicatif. |
Formules d'estimation pour les journaux d'audit
Si vous ne disposez d'aucune information sur votre charge de travail S3 autre que le nombre d'opérations S3 par seconde que votre grille est censée prendre en charge, vous pouvez estimer le volume de journaux d'audit que votre serveur syslog externe devra gérer à l'aide des formules suivantes, en supposant que vous laissiez les niveaux d'audit définis sur les valeurs par défaut (toutes les catégories définies sur Normal, à l'exception du stockage, qui est défini sur Erreur) :
Audit Log Rate = 2 x S3 Operations Rate Audit Log Average Size = 800 bytes
Par exemple, si votre grille est dimensionnée pour 1 000 opérations S3 par seconde, votre serveur Syslog externe doit être dimensionné pour prendre en charge 2 000 messages Syslog par seconde et doit être capable de recevoir (et généralement de stocker) des données de journal d'audit à un débit de 1,6 Mo par seconde.
Si vous en savez plus sur votre charge de travail, des estimations plus précises sont possibles. Pour les journaux d'audit, les variables supplémentaires les plus importantes sont le pourcentage d'opérations S3 qui sont des PUT (par rapport aux GETS) et la taille moyenne, en octets, des champs S3 suivants (les abréviations à 4 caractères utilisées dans le tableau sont les noms des champs du journal d'audit) :
| Code | Champ | Description |
|---|---|---|
SACC |
Nom du compte locataire S3 (expéditeur de la demande) |
Le nom du compte locataire de l'utilisateur qui a envoyé la demande. Vide pour les demandes anonymes. |
SBAC |
Nom du compte locataire S3 (propriétaire du bucket) |
Le nom du compte locataire pour le propriétaire du bucket. Utilisé pour identifier l'accès inter-comptes ou anonyme. |
S3BK |
Godet S3 |
Le nom du bucket S3. |
S3KY |
touche S3 |
Le nom de la clé S3, sans inclure le nom du bucket. Les opérations sur les buckets n'incluent pas ce champ. |
Utilisons P pour représenter le pourcentage d'opérations S3 qui sont des PUT, où 0 ≤ P ≤ 1 (donc pour une charge de travail PUT de 100 %, P = 1, et pour une charge de travail GET de 100 %, P = 0).
Utilisons K pour représenter la taille moyenne de la somme des noms de compte S3, du bucket S3 et de la clé S3. Supposons que le nom du compte S3 soit toujours my-s3-account (13 octets), que les buckets aient des noms de longueur fixe comme /my/application/bucket-12345 (28 octets) et que les objets aient des clés de longueur fixe comme 5733a5d7-f069-41ef-8fbd-13247494c69c (36 octets). La valeur de K est alors 90 (13+13+28+36).
Si vous pouvez déterminer les valeurs de P et K, vous pouvez estimer le volume de journaux d'audit que votre serveur syslog externe devra gérer à l'aide des formules suivantes, en supposant que vous laissez les niveaux d'audit définis sur les valeurs par défaut (toutes les catégories définies sur Normal, à l'exception du stockage, qui est défini sur Erreur) :
Audit Log Rate = ((2 x P) + (1 - P)) x S3 Operations Rate Audit Log Average Size = (570 + K) bytes
Par exemple, si votre grille est dimensionnée pour 1 000 opérations S3 par seconde, que votre charge de travail est composée à 50 % de PUT et que vos noms de compte S3, noms de bucket et noms d'objet font en moyenne 90 octets, votre serveur Syslog externe doit être dimensionné pour prendre en charge 1 500 messages Syslog par seconde et doit être capable de recevoir (et généralement de stocker) des données de journal d'audit à un débit d'environ 1 Mo par seconde.
Formules d'estimation pour les niveaux d'audit non par défaut
Les formules fournies pour les journaux d'audit supposent l'utilisation des paramètres de niveau d'audit par défaut (toutes les catégories définies sur Normal, à l'exception de Stockage, qui est défini sur Erreur). Les formules détaillées permettant d'estimer le taux et la taille moyenne des messages d'audit pour les paramètres de niveau d'audit non par défaut ne sont pas disponibles. Cependant, le tableau suivant peut être utilisé pour faire une estimation approximative du taux ; vous pouvez utiliser la formule de taille moyenne fournie pour les journaux d'audit, mais sachez qu'elle est susceptible d'entraîner une surestimation car les messages d'audit « supplémentaires » sont, en moyenne, plus petits que les messages d'audit par défaut.
| Condition | Formule |
|---|---|
Réplication : tous les niveaux d'audit sont définis sur Débogage ou Normal |
Taux de journal d'audit = 8 x taux d'opérations S3 |
Codage d'effacement : niveaux d'audit tous définis sur Débogage ou Normal |
Utiliser la même formule que pour les paramètres par défaut |
Formules d'estimation des événements de sécurité
Les événements de sécurité ne sont pas corrélés aux opérations S3 et produisent généralement un volume négligeable de journaux et de données. Pour ces raisons, aucune formule d’estimation n’est fournie.
Formules d'estimation pour les journaux d'application
Si vous ne disposez d'aucune information sur votre charge de travail S3 autre que le nombre d'opérations S3 par seconde que votre grille est censée prendre en charge, vous pouvez estimer le volume de journaux d'applications que votre serveur syslog externe devra gérer à l'aide des formules suivantes :
Application Log Rate = 3.3 x S3 Operations Rate Application Log Average Size = 350 bytes
Ainsi, par exemple, si votre grille est dimensionnée pour 1 000 opérations S3 par seconde, votre serveur syslog externe doit être dimensionné pour prendre en charge 3 300 journaux d'application par seconde et être capable de recevoir (et de stocker) des données de journal d'application à un débit d'environ 1,2 Mo par seconde.
Si vous en savez plus sur votre charge de travail, des estimations plus précises sont possibles. Pour les journaux d'application, les variables supplémentaires les plus importantes sont la stratégie de protection des données (réplication ou codage d'effacement), le pourcentage d'opérations S3 qui sont des PUT (par rapport aux GET/autres) et la taille moyenne, en octets, des champs S3 suivants (les abréviations à 4 caractères utilisées dans le tableau sont les noms des champs du journal d'audit) :
| Code | Champ | Description |
|---|---|---|
SACC |
Nom du compte locataire S3 (expéditeur de la demande) |
Le nom du compte locataire de l'utilisateur qui a envoyé la demande. Vide pour les demandes anonymes. |
SBAC |
Nom du compte locataire S3 (propriétaire du bucket) |
Le nom du compte locataire pour le propriétaire du bucket. Utilisé pour identifier l'accès inter-comptes ou anonyme. |
S3BK |
Godet S3 |
Le nom du bucket S3. |
S3KY |
touche S3 |
Le nom de la clé S3, sans inclure le nom du bucket. Les opérations sur les buckets n'incluent pas ce champ. |
Exemples d'estimations de dimensionnement
Cette section explique des exemples de cas d'utilisation des formules d'estimation pour les grilles avec les méthodes de protection des données suivantes :
-
Réplication
-
Codage d'effacement
Si vous utilisez la réplication pour la protection des données
Soit P représente le pourcentage d'opérations S3 qui sont des PUT, où 0 ≤ P ≤ 1 (donc pour une charge de travail PUT de 100 %, P = 1, et pour une charge de travail GET de 100 %, P = 0).
Laissez K représenter la taille moyenne de la somme des noms de compte S3, du bucket S3 et de la clé S3. Supposons que le nom du compte S3 soit toujours my-s3-account (13 octets), que les buckets aient des noms de longueur fixe comme /my/application/bucket-12345 (28 octets) et que les objets aient des clés de longueur fixe comme 5733a5d7-f069-41ef-8fbd-13247494c69c (36 octets). Alors K a une valeur de 90 (13+13+28+36).
Si vous pouvez déterminer les valeurs de P et K, vous pouvez estimer le volume de journaux d’application que votre serveur syslog externe devra être capable de gérer à l’aide des formules suivantes.
Application Log Rate = ((1.1 x P) + (2.5 x (1 - P))) x S3 Operations Rate Application Log Average Size = (P x (220 + K)) + ((1 - P) x (240 + (0.2 x K))) Bytes
Ainsi, par exemple, si votre grille est dimensionnée pour 1 000 opérations S3 par seconde, que votre charge de travail est composée à 50 % de PUT et que vos noms de compte S3, noms de bucket et noms d'objet font en moyenne 90 octets, votre serveur syslog externe doit être dimensionné pour prendre en charge 1 800 journaux d'application par seconde et recevra (et stockera généralement) les données d'application à un débit de 0,5 Mo par seconde.
Si vous utilisez le codage d'effacement pour la protection des données
Soit P représente le pourcentage d'opérations S3 qui sont des PUT, où 0 ≤ P ≤ 1 (donc pour une charge de travail PUT de 100 %, P = 1, et pour une charge de travail GET de 100 %, P = 0).
Laissez K représenter la taille moyenne de la somme des noms de compte S3, du bucket S3 et de la clé S3. Supposons que le nom du compte S3 soit toujours my-s3-account (13 octets), que les buckets aient des noms de longueur fixe comme /my/application/bucket-12345 (28 octets) et que les objets aient des clés de longueur fixe comme 5733a5d7-f069-41ef-8fbd-13247494c69c (36 octets). Alors K a une valeur de 90 (13+13+28+36).
Si vous pouvez déterminer les valeurs de P et K, vous pouvez estimer le volume de journaux d’application que votre serveur syslog externe devra être capable de gérer à l’aide des formules suivantes.
Application Log Rate = ((3.2 x P) + (1.3 x (1 - P))) x S3 Operations Rate Application Log Average Size = (P x (240 + (0.4 x K))) + ((1 - P) x (185 + (0.9 x K))) Bytes
Ainsi, par exemple, si votre grille est dimensionnée pour 1 000 opérations S3 par seconde, que votre charge de travail est composée à 50 % de PUT et que vos noms de compte S3, noms de bucket et noms d'objet font en moyenne 90 octets, votre serveur syslog externe doit être dimensionné pour prendre en charge 2 250 journaux d'application par seconde et doit être capable de recevoir (et généralement de stocker) des données d'application à un débit de 0,6 Mo par seconde.