使用外部 Syslog 伺服器的考量事項
外部syslog伺服器是StorageGRID 指不屬於功能區的伺服器、可用來在單一位置收集系統稽核資訊。使用外部 Syslog 伺服器可減少管理節點上的網路流量、並更有效率地管理資訊。對於 StorageGRID 、輸出系統記錄訊息封包格式符合 RFC 3164 。
您可以傳送至外部syslog伺服器的稽核資訊類型包括:
-
稽核日誌包含正常系統作業期間所產生的稽核訊息
-
安全性相關事件、例如登入和升級至root
-
如果需要開啟支援案例來疑難排解您遇到的問題、可能會要求的應用程式記錄
何時使用外部 Syslog 伺服器
如果您有大型網格、使用多種 S3 應用程式、或想要保留所有稽核資料、外部 Syslog 伺服器就特別有用。將稽核資訊傳送至外部syslog伺服器、可讓您:
-
更有效率地收集和管理稽核資訊、例如稽核訊息、應用程式記錄和安全事件。
-
減少管理節點上的網路流量、因為稽核資訊會直接從各種儲存節點傳輸到外部 Syslog 伺服器、而無需透過管理節點。
當記錄傳送至外部 Syslog 伺服器時、訊息結尾處會截斷大於 8 、 192 位元組的單一記錄、以符合外部 Syslog 伺服器實作的一般限制。 為了在外部 Syslog 伺服器發生故障時最大化完整資料恢復選項、最多可有 20 GB 的稽核記錄本機記錄 ( localaudit.log
)會在每個節點上進行維護。
如何設定外部 Syslog 伺服器
若要瞭解如何設定外部 Syslog 伺服器、請參閱 "設定稽核訊息和外部 Syslog 伺服器"。
如果您打算設定使用 TLS 或 RELP/TLS 通訊協定、則必須擁有下列憑證:
-
* 伺服器 CA 憑證 * :一或多個信任的 CA 憑證、用於驗證以 PEM 編碼的外部 Syslog 伺服器。如果省略、則會使用預設的Grid CA憑證。
-
* 用戶端憑證 * :用戶端憑證、用於以 PEM 編碼驗證外部 Syslog 伺服器。
-
* 用戶端私密金鑰 * :用戶端憑證的私密金鑰、採用 PEM 編碼。
如果您使用用戶端憑證、也必須使用用戶端私密金鑰。如果您提供加密的私密金鑰、也必須提供密碼。使用加密的私密金鑰並無顯著的安全效益、因為必須儲存金鑰和通關密碼;建議使用未加密的私密金鑰(若有)、以簡化操作。
如何預估外部syslog伺服器的大小
一般而言、網格的大小可達到所需的處理量、定義為每秒S3作業量或每秒位元組數。例如、您可能需要網格處理每秒1、000次S3作業、或每秒2、000 MB的物件擷取和擷取作業。您應該根據網格的資料需求來調整外部syslog伺服器的大小。
本節提供一些啟發式公式、可協助您預估外部syslog伺服器需要處理的各種類型的記錄訊息速率和平均大小、以網格的已知或所需效能特性表示(每秒S3作業數)。
在預估公式中使用S3作業/秒
如果網格的處理量大小是以每秒位元組數表示、您必須將此規模轉換為每秒S3作業、才能使用估計公式。若要轉換網格處理量、您必須先判斷平均物件大小、以便使用現有稽核記錄和指標(如果有)中的資訊、或是運用您對StorageGRID 使用物件的應用程式所擁有的知識。例如、如果您的網格大小達到每秒2、000 MB的處理量、而且平均物件大小為2 MB、那麼您的網格大小就能處理每秒1、000次S3作業(2、000 MB / 2 MB)。
下列各節中的外部syslog伺服器規模調整公式提供一般案例預估(而非最糟案例預估)。視組態和工作負載而定、系統記錄訊息或系統記錄資料量的速率可能高於或低於公式所預測的速率。公式只能用作準則。 |
稽核記錄的估計公式
如果您沒有S3工作負載的相關資訊、而非預期網格支援的每秒S3作業數量、您可以使用下列公式來預估外部syslog伺服器需要處理的稽核記錄數量: 假設您將「稽核層級」設為預設值(所有類別均設為「正常」、但「儲存設備」設為「錯誤」除外):
Audit Log Rate = 2 x S3 Operations Rate Audit Log Average Size = 800 bytes
例如、如果您的網格大小為每秒1、000次S3作業、則外部syslog伺服器的大小應可支援每秒2、000個syslog訊息、而且應能以每秒1.6 MB的速率接收(及儲存)稽核記錄資料。
如果您對工作負載有更深入的瞭解、就有可能進行更精確的評估。在稽核記錄中、最重要的其他變數是S3作業所佔的百分比(相對於(表中使用的4個字元縮寫為稽核記錄欄位名稱)、以及下列S3欄位的平均大小(以位元組為單位):
程式碼 | 欄位 | 說明 |
---|---|---|
SACC |
S3租戶帳戶名稱(要求寄件者) |
傳送要求之使用者的租戶帳戶名稱。匿名要求為空白。 |
小型企業 |
S3租戶帳戶名稱(庫位擁有者) |
庫位擁有者的租戶帳戶名稱。用於識別跨帳戶或匿名存取。 |
S3BK |
S3 貯體 |
S3儲存區名稱。 |
S3KY |
S3 金鑰 |
S3金鑰名稱、不含儲存區名稱。貯體的作業不包括此欄位。 |
讓我們使用P來表示S3作業所佔的百分比、其中0≤P≤1(因此、對於100%負載工作負載、P = 1、對於100%取得工作負載、P = 0)。
讓我們使用 K 來代表 S3 帳戶名稱、 S3 儲存區和 S3 金鑰的平均大小。假設S3帳戶名稱一律為my-S3帳戶(13位元組)、儲存區具有固定長度的名稱、例如/my/application/bucke-12345(28位元組)、而且物件具有固定長度的金鑰、例如5733a5d7-f069-41ef-8fbd-13247494c69c(36位元組)。然後K值為90(13 + 13 + 28 + 36)。
如果您可以判斷P和K的值、您可以使用下列公式預估外部syslog伺服器需要處理的稽核記錄數量、前提是您將稽核層級設為預設值(所有類別均設為「正常」、儲存除外、 設定為「錯誤」):
Audit Log Rate = ((2 x P) + (1 - P)) x S3 Operations Rate Audit Log Average Size = (570 + K) bytes
例如、如果您的網格大小為每秒1、000次S3作業、則您的工作負載為50%、您的S3帳戶名稱、儲存區名稱、 而且物件名稱平均為90位元組、外部syslog伺服器的大小應可支援每秒1、500則syslog訊息、而且應能以每秒約1 MB的速率接收(及儲存)稽核記錄資料。
非預設稽核層級的估計公式
提供給稽核記錄的公式會假設使用預設的稽核層級設定(所有類別均設定為「正常」、但儲存區設為「錯誤」除外)。對於非預設稽核層級設定、無法使用估算稽核訊息速率和平均大小的詳細公式。不過、下表可用於粗略估計費率; 您可以使用提供給稽核記錄的平均大小公式、但請注意、這可能會導致預估過度、因為「額外」稽核訊息平均比預設稽核訊息小。
條件 | 公式 |
---|---|
複寫:稽核層級全部設為「偵錯」或「正常」 |
稽核記錄速率 = 8 x S3 作業率 |
銷毀編碼:稽核層級全部設為「除錯」或「正常」 |
使用與預設設定相同的公式 |
安全性事件的估計公式
安全事件與 S3 作業無關、通常會產生可忽略的記錄和資料量。因此、我們不會提供任何預估公式。
應用程式記錄的估計公式
如果您沒有S3工作負載的相關資訊、而不是預期網格支援的每秒S3作業數量、您可以使用下列公式來預估外部syslog伺服器需要處理的應用程式記錄數量:
Application Log Rate = 3.3 x S3 Operations Rate Application Log Average Size = 350 bytes
例如、如果您的網格大小為每秒1、000次S3作業、則外部syslog伺服器的大小應可支援每秒3、300個應用程式記錄、並能以每秒1.2 MB的速率接收(及儲存)應用程式記錄資料。
如果您對工作負載有更深入的瞭解、就有可能進行更精確的評估。對於應用程式記錄、最重要的其他變數是資料保護策略(複寫與銷毀編碼)、所放置S3作業的百分比(與獲得/其他)、以及下列S3欄位的平均大小(以位元組為單位)(表中使用的4個字元縮寫為稽核記錄欄位名稱):
程式碼 | 欄位 | 說明 |
---|---|---|
SACC |
S3租戶帳戶名稱(要求寄件者) |
傳送要求之使用者的租戶帳戶名稱。匿名要求為空白。 |
小型企業 |
S3租戶帳戶名稱(庫位擁有者) |
庫位擁有者的租戶帳戶名稱。用於識別跨帳戶或匿名存取。 |
S3BK |
S3 貯體 |
S3儲存區名稱。 |
S3KY |
S3 金鑰 |
S3金鑰名稱、不含儲存區名稱。貯體的作業不包括此欄位。 |
規模估算範例
本節說明如何使用下列資料保護方法來使用網格的估計公式範例:
-
複寫
-
銷毀編碼
如果您使用複寫來保護資料
讓P代表S3作業所放置的百分比、其中0≤P≤1(因此、對於100%投入工作負載、P = 1、對於100%取得工作負載、P = 0)。
讓 K 代表 S3 帳戶名稱、 S3 儲存區和 S3 金鑰的平均大小。假設S3帳戶名稱一律為my-S3帳戶(13位元組)、儲存區具有固定長度的名稱、例如/my/application/bucke-12345(28位元組)、而且物件具有固定長度的金鑰、例如5733a5d7-f069-41ef-8fbd-13247494c69c(36位元組)。然後K值為90(13 + 13 + 28 + 36)。
如果您可以判斷P和K的值、您可以預估外部syslog伺服器必須使用下列公式才能處理的應用程式記錄數量。
Application Log Rate = ((1.1 x P) + (2.5 x (1 - P))) x S3 Operations Rate Application Log Average Size = (P x (220 + K)) + ((1 - P) x (240 + (0.2 x K))) Bytes
例如、如果您的網格大小為每秒1、000次S3作業、工作負載為50%、S3帳戶名稱、儲存區名稱及物件名稱平均為90個位元組、則外部syslog伺服器的大小應可支援每秒1800個應用程式記錄、 並以每秒0.5 MB的速率接收(通常是儲存)應用程式資料。
如果您使用銷毀編碼來保護資料
讓P代表S3作業所放置的百分比、其中0≤P≤1(因此、對於100%投入工作負載、P = 1、對於100%取得工作負載、P = 0)。
讓 K 代表 S3 帳戶名稱、 S3 儲存區和 S3 金鑰的平均大小。假設S3帳戶名稱一律為my-S3帳戶(13位元組)、儲存區具有固定長度的名稱、例如/my/application/bucke-12345(28位元組)、而且物件具有固定長度的金鑰、例如5733a5d7-f069-41ef-8fbd-13247494c69c(36位元組)。然後K值為90(13 + 13 + 28 + 36)。
如果您可以判斷P和K的值、您可以預估外部syslog伺服器必須使用下列公式才能處理的應用程式記錄數量。
Application Log Rate = ((3.2 x P) + (1.3 x (1 - P))) x S3 Operations Rate Application Log Average Size = (P x (240 + (0.4 x K))) + ((1 - P) x (185 + (0.9 x K))) Bytes
舉例來說、如果您的網格大小為每秒 1 、 000 次 S3 作業、則您的工作負載為 50% 、而您的 S3 帳戶名稱、貯體名稱、 物件名稱平均 90 個位元組、外部 Syslog 伺服器的大小應可支援每秒 2 、 250 個應用程式記錄檔、而且應能以每秒 0.6 MB 的速度接收(通常是儲存)應用程式資料。