使用外部系統日誌伺服器的注意事項
建議變更
PDF
外部系統日誌伺服器是StorageGRID以外的伺服器,您可以使用它在單一位置收集系統稽核資訊。使用外部系統日誌伺服器可以減少管理節點上的網路流量並更有效地管理資訊。對於StorageGRID,出站 syslog 訊息包格式符合 RFC 3164。
您可以傳送到外部系統日誌伺服器的稽核資訊類型包括:
-
審計日誌包含系統正常運作期間產生的稽核訊息
-
與安全性相關的事件,例如登入和升級到 root
-
如果需要開啟支援案例來解決您遇到的問題,可能會要求應用程式日誌
何時使用外部系統日誌伺服器
如果您擁有大型網格、使用多種類型的 S3 應用程式或想要保留所有審計數據,則外部 syslog 伺服器特別有用。將審計資訊傳送到外部系統日誌伺服器使您能夠:
-
更有效率地收集和管理稽核訊息、應用程式日誌和安全事件等稽核資訊。
-
減少管理節點上的網路流量,因為稽核資訊直接從各個儲存節點傳輸到外部系統日誌伺服器,而無需透過管理節點。
當日誌傳送到外部系統日誌伺服器時,大於 8,192 位元組的單一日誌會在訊息末尾被截斷,以符合外部系統日誌伺服器實施中的常見限制。 
為了在外部系統日誌伺服器發生故障時最大限度地提供完整資料復原的選項,最多可儲存 20 GB 的本機稽核記錄日誌( localaudit.log) 在每個節點上進行維護。
如何設定外部系統日誌伺服器
若要了解如何設定外部 syslog 伺服器,請參閱"設定審計訊息和外部系統日誌伺服器"。
如果您打算設定使用 TLS 或 RELP/TLS 協議,則必須擁有以下憑證:
-
伺服器 CA 證書:一個或多個可信任 CA 證書,用於驗證 PEM 編碼的外部系統日誌伺服器。如果省略,則將使用預設的 Grid CA 憑證。
-
用戶端憑證:用於以 PEM 編碼向外部系統日誌伺服器進行身份驗證的用戶端憑證。
-
客戶端私鑰:PEM 編碼的客戶端憑證的私鑰。
如果您使用客戶端證書,您還必須使用客戶端私鑰。如果您提供加密的私鑰,您還必須提供密碼。使用加密私鑰沒有顯著的安全優勢,因為必須儲存金鑰和密碼;如果可用,建議使用未加密的私鑰以簡化操作。
如何估計外部系統日誌伺服器的大小
通常,您的網格大小會根據所需的吞吐量進行調整,以每秒 S3 操作數或每秒位元組數來定義。例如,您可能要求網格每秒處理 1,000 個 S3 操作,或每秒 2,000 MB 的物件提取和檢索。您應該根據網格的資料要求來確定外部系統日誌伺服器的大小。
本節提供了一些啟發式公式,可協助您估計外部系統日誌伺服器需要處理的各種類型日誌訊息的速率和平均大小,以網格已知或期望的效能特徵(每秒 S3 操作)表示。
在估算公式中使用每秒 S3 次操作
如果您的網格大小是根據每秒位元組數表示的吞吐量來確定的,則必須將此大小轉換為每秒 S3 操作數才能使用估算公式。要轉換網格吞吐量,您必須先確定平均物件大小,您可以使用現有審計日誌和指標(如果有)中的信息,或者利用您對將使用StorageGRID 的應用程式的了解來確定。例如,如果您的網格大小可實現 2,000 MB/秒的吞吐量,且您的平均物件大小為 2 MB,那麼您的網格大小可實現每秒處理 1,000 個 S3 操作(2,000 MB/2 MB)。
|
|
以下部分中的外部系統日誌伺服器大小公式提供了常見情況的估計值(而不是最壞情況的估計)。根據您的配置和工作負載,您可能會看到比公式預測的更高或更低的系統日誌訊息速率或系統日誌資料量。這些公式僅供參考。 |
審計日誌的估算公式
如果除了網格預計支援的每秒 S3 操作數之外,您沒有關於 S3 工作負載的任何信息,那麼您可以使用以下公式估算外部 syslog 伺服器需要處理的審計日誌量,假設您將審計級別保留為默認值(所有類別都設置為正常,存儲除外,設置為錯誤):
Audit Log Rate = 2 x S3 Operations Rate Audit Log Average Size = 800 bytes
例如,如果您的網格大小為每秒 1,000 個 S3 操作,那麼您的外部 syslog 伺服器的大小應支援每秒 2,000 個 syslog 訊息,並且應該能夠以每秒 1.6 MB 的速率接收(通常儲存)審計日誌資料。
如果您對自己的工作量了解更多,就可以做出更準確的估計。對於審計日誌,最重要的附加變數是 S3 操作中 PUT(相對於 GETS)的百分比,以及以下 S3 欄位的平均大小(以位元組為單位)(表中使用的 4 個字元的縮寫是審計日誌欄位名稱):
| 程式碼 | 場地 | 描述 |
|---|---|---|
南卡羅來納大學 |
S3 租用戶帳戶名稱(請求發送者) |
發送請求的使用者的租戶帳戶的名稱。對於匿名請求則為空。 |
SBAC |
S3 租用戶帳戶名稱(儲存桶擁有者) |
儲存桶擁有者的租用戶帳戶名稱。用於識別跨帳戶或匿名存取。 |
S3BK |
S3 儲存桶 |
S3 儲存桶名稱。 |
S3KY |
S3 鍵 |
S3 密鑰名稱,不包括儲存桶名稱。對 bucket 的操作不包含該欄位。 |
讓我們使用 P 來表示 S3 操作中 PUT 的百分比,其中 0 ≤ P ≤ 1(因此,對於 100% PUT 工作負載,P = 1,對於 100% GET 工作負載,P = 0)。
讓我們用 K 來表示 S3 帳戶名稱、S3 儲存桶和 S3 金鑰總和的平均大小。假設 S3 帳戶名稱始終為 my-s3-account(13 個位元組),儲存桶具有固定長度的名稱,如 /my/application/bucket-12345(28 個位元組),物件具有固定長度的鍵,如 5733a5d7-f069-41ef-894-13626ccfbc69-41ef-84-13626ccfbccfbc36c36c36c36c36c6cc3cc56cc56ccfbccfbc36c36cc36cc36cc3c)。那麼K的值為90(13+13+28+36)。
如果您可以確定 P 和 K 的值,則可以使用下列公式估算外部系統日誌伺服器需要處理的稽核日誌量,假設您將稽核等級保留為預設值(所有類別都設為正常,儲存除外,設定為錯誤):
Audit Log Rate = ((2 x P) + (1 - P)) x S3 Operations Rate Audit Log Average Size = (570 + K) bytes
例如,如果您的網格大小為每秒 1,000 個 S3 操作,您的工作負載為 50% PUT,並且您的 S3 帳戶名稱、儲存桶名稱和物件名稱平均為 90 個位元組,那麼您的外部系統日誌伺服器的大小應支援每秒 1,500 個系統日誌訊息,並且應該能夠以每秒 1 MB 的審計速率接收資料速率。
非違約審計水準的估計公式
為審計日誌提供的公式假定使用預設審計等級設定(所有類別均設定為正常,但儲存除外,設定為錯誤)。沒有用於估計非預設審計層級設定的審計訊息的速率和平均大小的詳細公式。但是,可以使用下表對速率進行粗略估計;您可以使用審計日誌提供的平均大小公式,但請注意,這可能會導致高估,因為「額外」審計訊息平均小於預設審計訊息。
| 狀態 | 公式 |
|---|---|
複製:審計等級全部設定為“調試”或“正常” |
審計日誌速率 = 8 x S3 操作率 |
擦除編碼:審計等級全部設定為“調試”或“正常” |
使用與預設值相同的公式 |
安全事件的估計公式
安全事件與 S3 操作無關,通常只產生極少量的日誌和資料。由於這些原因,沒有提供估算公式。
應用日誌的估算公式
如果除了網格預計支援的每秒 S3 操作數之外,您沒有關於 S3 工作負載的任何信息,那麼您可以使用以下公式估算外部 syslog 伺服器需要處理的應用程式日誌量:
Application Log Rate = 3.3 x S3 Operations Rate Application Log Average Size = 350 bytes
因此,例如,如果您的網格大小為每秒 1,000 個 S3 操作,那麼您的外部 syslog 伺服器的大小應該支援每秒 3,300 個應用程式日誌,並且能夠以每秒約 1.2 MB 的速率接收(和儲存)應用程式日誌資料。
如果您對自己的工作量了解更多,就可以做出更準確的估計。對於應用程式日誌,最重要的附加變數是資料保護策略(複製與擦除編碼)、PUT 的 S3 操作百分比(與 GET/其他相比)以及以下 S3 欄位的平均大小(以位元組為單位)(表中使用的 4 個字元的縮寫是審計日誌欄位名稱):
| 程式碼 | 場地 | 描述 |
|---|---|---|
南卡羅來納大學 |
S3 租用戶帳戶名稱(請求發送者) |
發送請求的使用者的租戶帳戶的名稱。對於匿名請求則為空。 |
SBAC |
S3 租用戶帳戶名稱(儲存桶擁有者) |
儲存桶擁有者的租用戶帳戶名稱。用於識別跨帳戶或匿名存取。 |
S3BK |
S3 儲存桶 |
S3 儲存桶名稱。 |
S3KY |
S3 鍵 |
S3 密鑰名稱,不包括儲存桶名稱。對 bucket 的操作不包含該欄位。 |
尺寸估算範例
本節透過範例案例來說明如何使用具有以下資料保護方法的電網估算公式:
-
複製
-
擦除編碼
如果您使用複製來保護數據
令 P 表示 S3 操作中 PUT 的百分比,其中 0 ≤ P ≤ 1(因此,對於 100% PUT 工作負載,P = 1,對於 100% GET 工作負載,P = 0)。
設 K 表示 S3 帳號名稱、S3 儲存桶和 S3 金鑰總和的平均大小。假設 S3 帳戶名稱始終為 my-s3-account(13 個位元組),儲存桶具有固定長度的名稱,如 /my/application/bucket-12345(28 個位元組),物件具有固定長度的鍵,如 5733a5d7-f069-41ef-894-13626ccfbc69-41ef-84-13626ccfbccfbc36c36c36c36c36c6cc3cc56cc56ccfbccfbc36c36cc36cc36cc3c)。那麼 K 的值為 90(13+13+28+36)。
如果您可以確定 P 和 K 的值,您就可以使用下列公式估算外部 syslog 伺服器必須能夠處理的應用程式日誌量。
Application Log Rate = ((1.1 x P) + (2.5 x (1 - P))) x S3 Operations Rate Application Log Average Size = (P x (220 + K)) + ((1 - P) x (240 + (0.2 x K))) Bytes
因此,例如,如果您的網格大小為每秒 1,000 個 S3 操作,您的工作負載為 50% PUT,並且您的 S3 帳戶名稱、儲存桶名稱和物件名稱平均為 90 位元組,那麼您的外部 syslog 伺服器的大小應支援每秒 1800 個應用程式,並且將資料以儲存速率 0.55 的 MB(5.5 應用程式)。
如果您使用擦除編碼來保護數據
令 P 表示 S3 操作中 PUT 的百分比,其中 0 ≤ P ≤ 1(因此,對於 100% PUT 工作負載,P = 1,對於 100% GET 工作負載,P = 0)。
設 K 表示 S3 帳號名稱、S3 儲存桶和 S3 金鑰總和的平均大小。假設 S3 帳戶名稱始終為 my-s3-account(13 個位元組),儲存桶具有固定長度的名稱,如 /my/application/bucket-12345(28 個位元組),物件具有固定長度的鍵,如 5733a5d7-f069-41ef-894-13626ccfbc69-41ef-84-13626ccfbccfbc36c36c36c36c36c6cc3cc56cc56ccfbccfbc36c36cc36cc36cc3c)。那麼 K 的值為 90(13+13+28+36)。
如果您可以確定 P 和 K 的值,您就可以使用下列公式估算外部 syslog 伺服器必須能夠處理的應用程式日誌量。
Application Log Rate = ((3.2 x P) + (1.3 x (1 - P))) x S3 Operations Rate Application Log Average Size = (P x (240 + (0.4 x K))) + ((1 - P) x (185 + (0.9 x K))) Bytes
因此,例如,如果您的網格大小為每秒 1,000 個 S3 操作,您的工作負載為 50% PUT,並且您的 S3 帳戶名稱、存儲桶名稱和對象名稱平均為 90 字節,那麼您的外部 syslog 伺服器的大小應支援每秒 2,250 個應用程式記錄日誌,並且應該能夠以 MB 0.66)應用程式的記錄.6.66)。