Novell Sentinel Log Manager wird auf 64-Bit-Intel Xeon und AMD Opteron-Prozessoren unterstützt. Auf Itanium-Prozessoren besteht hingegen keine Unterstützung.
Die folgende Tabelle enthält die empfohlenen Hardwareanforderungen für ein Produktionssystem, das 90 Tage Online-Daten speichert. Die empfohlenen Anforderungen beziehen sich auf eine durchschnittliche Ereignisgröße von 300 Byte.
Tabelle 2-1 Hardwareanforderungen für Sentinel Log Manager
|
Anforderungen |
Sentinel Log Manager (500 EPS) |
Sentinel Log Manager (2500 EPS) |
Sentinel Log Manager (7500 EPS) |
|---|---|---|---|
|
Komprimierung |
Bis zu 10:1 |
Bis zu 10:1 |
Bis zu 10:1 |
|
Maximale Ereignisquellen |
Bis 1000 |
Bis 1000 |
Bis 2000 |
|
Maximale Ereignisrate |
500 |
2500 |
7500 |
|
Prozessor |
1 Intel Xeon E5450 3 GHz (4 Core)-CPU oder 2 Intel Xeon L5240 3 (2 Core)-CPUs (insgesamt 4 Cores) |
1 Intel Xeon E5450 3 GHz (4 Core)-CPU oder 2 Intel Xeon L5240 3 (2 Core)-CPUs (insgesamt 4 Cores) |
2 Intel Xeon X5470 3,33 GHz (4 Core)-CPUs (insgesamt 8 Cores) |
|
RAM |
4 GB |
4 GB |
8 GB |
|
Lokaler Speicher (30 Tage) |
2 x 500 GB, 7200-RPM-Laufwerke (Hardware-RAID mit 256 MB Cache, RAID 1) |
4 x 10 TB, 7200-RPM-Laufwerke (Hardware-RAID mit 256 MB Cache, RAID 1) |
16 x 600 GB, 15000-RPM-Laufwerke (Hardware-RAID mit 512 MB Cache, RAID 10) oder ein gleichwertiges Storage Area Network (SAN) |
|
Netzwerkspeicher (90 Tage) |
600 GB |
2 TB |
5,8 TB |
Beachten Sie für eine optimale Systemleistung folgende Richtlinien:
Im lokalen Speicher muss mindestens ausreichend Speicherplatz für Daten der 5 letzten Tage vorhanden sein. Dies umfasst sowohl Ereignisdaten als auch Rohdaten. Weitere Details zur Berechnung der Datenspeicheranforderungen finden Sie unter Abschnitt 2.1.3, Schätzung der Datenspeicheranforderung.
Der Netzwerkspeicher enthält die Daten der gesamten 90 Tage, einschließlich einer komprimierten Kopie der Ereignisdaten aus dem lokalen Speicher. Aus Gründen der Such- und Berichterstellungsleistung enthält der lokale Speicher eine Kopie der Ereignisdaten. Bei Bedarf kann die Größe des lokalen Speichers reduziert werden. Dies führt jedoch aufgrund des Dekomprimierungs-Overheads zu schätzungsweise 70 % geringerer Leistung bei Suchvorgängen und bei der Berichterstellung mit Daten, die sonst im lokalen Speicher enthalten wären.
Der Netzwerkspeicherort muss als externes SAN mit mehreren Laufwerken oder als NAS (Network Attached Storage) eingerichtet werden.
Ein Computer kann mehr als eine Ereignisquelle enthalten. Ein Windows-Server kann z. B. zwei Sentinel-Ereignisquellen enthalten, wenn Sie Daten aus dem Windows-Betriebssystem und Daten aus der auf dem Computer gehosteten SQL Server-Datenbank erfassen möchten..
Das empfohlene stationäre Speichervolumen beträgt 80 Prozent der maximal lizenzierten EPS. Novell empfiehlt, zusätzliche Sentinel Log Manager-Instanzen zu erwerben, wenn diese Grenze erreicht wird.
Die maximalen Ereignisquellengrenzen stellen keine festen Grenzen dar. Es sind lediglich Empfehlungen, die auf den von Novell durchgeführten Leistungstests beruhen und von einer niedrigen durchschnittlichen Ereignisrate pro Sekunde und Ereignisquelle (weniger als 3 EPS) ausgehen. Höhere EPS-Raten führen zu einem niedrigeren dauerhaften Maximum an Ereignisquellen. Mit der folgenden Gleichung können Sie die ungefähren Grenzen für Ihre spezifische durchschnittliche EPS-Rate oder die Anzahl der Ereignisquellen ermitteln, sofern die maximale Anzahl der Ereignisquellen die oben angegebene Grenze nicht überschreitet: (maximale Ereignisquellen) x (durchschnittliche EPS pro Ereignisquelle) = maximale Ereignisrate.
Ein Intel Xeon X5570 2,93 GHz (4 CPU-Kerne)
4 GB RAM
10 GB freier Festplattenspeicher
Mit Sentinel Log Manager werden Rohdaten über einen längeren Zeitraum aufbewahrt, um rechtliche sowie andere Vorschriften zu erfüllen. Sentinel Log Manager unterstützt Sie durch die Komprimierung der Daten dabei, den lokalen und vernetzten Speicherplatz effizient zu nutzen. Speicheranforderungen können jedoch über einen langen Zeitraum gesehen zu einem wichtigen Faktor werden.
Um Beschränkungen aufgrund von Kostenfaktoren zu überwinden, verwenden Sie kosteneffiziente Datenspeichersysteme zur langfristigen Speicherung von Daten. Bandbasierte Speichersysteme stellen die gängigste und kosteneffizienteste Lösung dar. Bänder ermöglichen jedoch keinen wahlfreien Zugriff auf gespeicherte Daten, der für schnelle Suchen erforderlich ist. Daher ist ein Hybridansatz zur langfristigen Datenspeicherung wünschenswert, bei dem die Daten für die Suche auf einem Speichersystem mit wahlfreiem Zugriff abgelegt werden und die Daten, die nur aufbewahrt und nicht gesucht werden müssen, auf einer kosteneffizienteren Alternative wie einem Band gespeichert werden. Anweisungen zur Bereitstellung dieses Hybridansatzes finden Sie unter Using Sequential-Access Storage for Long Term Data Storage
(Verwendung der Speicherung mit sequenziellem Zugriff für die langfristige Datenaufbewahrung) im Sentinel Log Manager 1.2.2 Administration Guide (Sentinel Log Manager 1.2-Administrationshandbuch).
Um den für Sentinel Log Manager erforderlichen Speicherplatz mit wahlfreiem Zugriff zu bestimmen, schätzen Sie die Anzahl der Tage ab, für deren Daten Sie regelmäßig Suchen ausführen oder Berichte erstellen. Sie sollten entweder lokal auf dem Sentinel Log Manager-Computer oder remote im SMB (Server Message Block)-Protokoll oder CIFS-Protokoll, im NFS (Network File System) oder einem SAN über ausreichend Festplattenspeicher verfügen, der von Sentinel Log Manager zur Datenarchivierung verwendet werden kann.
Zusätzlich zu den Mindestanforderungen sollten Sie weiteren Festplattenspeicher für die folgenden Fälle bereithalten:
Zum Auffangen von Datenraten, die höher ausfallen als erwartet
Zum Zurückkopieren von auf Band archivierten Daten nach Sentinel Log Manager für die Suche und Berichterstellung auf Basis historischer Daten
Verwenden Sie die folgenden Formeln, um den zum Speichern der Daten erforderlichen Speicherplatz zu ermitteln:
Lokaler Ereignis-Speicher (teilweise komprimiert): {durchschnittliche Ereignisgröße in Byte} x {Anzahl der Tage} x {Ereignisanzahl pro Sekunde} x 0,00007 = erforderlicher Gesamtspeicherplatz in GB
Ereignisgrößen bewegen sich üblicherweise in einem Bereich von 300 bis 1000 Byte.
Netzwerk-Ereignis-Speicher (vollständig komprimiert): {durchschnittliche Ereignisgröße in Byte} x {Anzahl der Tage} x {Ereignisanzahl pro Sekunde} x 0,00002 = erforderlicher Gesamtspeicherplatz in GB
Rohdatenspeicher (vollständig komprimiert, sowohl im lokalen Speicher als auch im Netzwerkspeicher): {durchschnittliche Größe eines Rohdatensatzes in Byte} x {Anzahl der Tage} x {Ereignisanzahl pro Sekunde} x 0,000012 = erforderlicher Gesamtspeicherplatz in GB
Die durchschnittliche Rohdatengröße für Syslog-Meldungen beträgt in der Regel 200 Byte.
Gesamtgröße des lokalen Speichers (bei aktiviertem Netzwerkspeicher): {Größe des lokalen Ereignis-Speichers für die gewünschte Anzahl an Tagen} + {Größe des Rohdatenspeichers für einen Tag) = erforderlicher Gesamtspeicherplatz in GB
Bei aktiviertem Netzwerkspeicher werden Ereignisdaten zum Netzwerkspeicher verschoben, wenn der lokale Speicher voll ist. Rohdaten sind jedoch nur vorübergehend im lokalen Speicher enthalten, bevor sie zum Netzwerkspeicher verschoben werden. Rohdaten werden üblicherweise in weniger als einem Tag vom lokalen Speicher zum Netzwerkspeicher verschoben.
Gesamtgröße des lokalen Speichers (bei deaktiviertem Netzwerkspeicher): {Größe des lokalen Ereignis-Speichers für die Beibehaltungszeit} + {Größe des Rohdatenspeichers für die Beibehaltungszeit) = erforderlicher Gesamtspeicherplatz in GB
Gesamtgröße des Netzwerkspeichers: {Größe des Netzwerkspeichers für die Beibehaltungszeit} + {Größe des Rohdatenspeichers für die Beibehaltungszeit} = erforderliche Gesamtspeichergröße in GB
HINWEIS:
Die Koeffizienten in den Formeln ergeben sich aus ((Sekunden pro Tag) x (GB pro Byte) x Komprimierungsverhältnis).
Diese Zahlen stellen lediglich Schätzungen dar und hängen von der Größe der Ereignisdaten sowie von der Größe der komprimierten Daten ab.
„Teilweise komprimiert“ bedeutet, dass die Daten komprimiert sind, der Index der Daten jedoch nicht komprimiert ist. „Vollständig komprimiert“ bedeutet, dass sowohl die Ereignisdaten als auch die Indexdaten komprimiert sind. Das Komprimierungsverhältnis für Ereignisdaten ist üblicherweise 10:1. Das Komprimierungsverhältnis für Indexdaten ist üblicherweise 5:1. Der Index dient dem Optimieren der Suche in den Daten.
Anhand der oben genannten Formeln können Sie auch ermitteln, wie viel Speicherplatz für ein langfristiges Datenspeichersystem wie ein Band erforderlich ist.
Verwenden Sie die folgenden Formeln zur Schätzung der Datenträgernutzung auf dem Server bei unterschiedlichen EPS-Raten.
Auf den Datenträger geschriebene Daten (Kilobyte pro Sekunde): (durchschnittliche Ereignisgröße in Byte + durchschnittliche Rohdatengröße in Byte) x (Ereignisanzahl pro Sekunde) x 0,004 Kompressionsverhältnis = pro Sekunde auf den Datenträger geschriebene Daten
Bei beispielsweise 500 EPS, einer durchschnittlichen Ereignisgröße von 464 Byte und einer durchschnittlichen Rohdatengröße von 300 Byte in der Protokolldatei kann die Größe der auf den Datenträger geschriebenen Daten folgendermaßen ermittelt werden:
(464 Byte + 300 Byte) x 500 EPS x 0,004 = 1558 KB
Anzahl der E/A-Anforderungen an den Datenträger (Übertragungen pro Sekunde): (durchschnittliche Ereignisgröße in Byte + durchschnittliche Rohdatengröße in Byte) x (Ereignisanzahl pro Sekunde) x 0,00007 Kompressionsverhältnis = E/A-Anforderungen an Datenträger pro Sekunde
Bei beispielsweise 500 EPS, einer durchschnittlichen Ereignisgröße von 464 Byte und einer durchschnittlichen Rohdatengröße von 300 Byte in der Protokolldatei kann die Anzahl der E/A-Anforderungen an den Datenträger pro Sekunde folgendermaßen ermittelt werden:
(464 Byte + 300 Byte) x 500 EPS x 0,00007 = 26 Übertragungen pro Sekunde
Anzahl der pro Sekunde auf den Datenträger geschriebenen Blöcke: (durchschnittliche Ereignisgröße in Byte + durchschnittliche Rohdatengröße in Byte) x (Ereignisanzahl pro Sekunde) x 0,008 Kompressionsverhältnis = pro Sekunde auf den Datenträger geschriebene Blöcke
Bei beispielsweise 500 EPS, einer durchschnittlichen Ereignisgröße von 464 Byte und einer durchschnittlichen Rohdatengröße von 300 Byte in der Protokolldatei kann die Anzahl der pro Sekunde auf den Datenträger geschriebenen Blöcke folgendermaßen ermittelt werden:
(464 Byte + 300 Byte) x 500 EPS x 0,008 = 3056
Beim Ausführen eines Suchvorgangs pro Sekunde vom Datenträger gelesene Daten: (durchschnittliche Ereignisgröße in Byte + durchschnittliche Rohdatengröße n Byte) x (Anzahl der mit der Suchabfrage übereinstimmenden Ereignisse in Millionen) x 0,013 Kompressionsverhältnis = pro Sekunde vom Datenträger gelesene Kilobyte
Bei beispielsweise 3 Millionen Ereignissen, die mit der Suchabfrage übereinstimmen, einer durchschnittlichen Ereignisgröße von 464 Byte und einer durchschnittlichen Rohdatengröße von 300 Byte in der Protokolldatei kann die Größe der pro Sekunde vom Datenträger gelesenen Daten folgendermaßen ermittelt werden:
(464 Byte + 300 Byte) x 3 x 0,013 = 300 KB
Verwenden Sie die folgenden Formeln zur Schätzung der Netzwerkbandbreitennutzung auf dem Server bei unterschiedlichen EPS-Raten:
{durchschnittliche Ereignisgröße in Byte + durchschnittliche Rohdatengröße in Byte} x {Ereignisanzahl pro Sekunde} x 0,0003 Kompressionsverhältnis = Netzwerkbandbreite in KBit/s (Kilobit pro Sekunde)
Bei beispielsweise 500 EPS, einer durchschnittlichen Ereignisgröße von 464 Byte und einer durchschnittlichen Rohdatengröße von 300 Byte in der Protokolldatei kann die Netzwerkbandbreitennutzung folgendermaßen ermittelt werden:
(464 Byte + 300 Byte} x 500 EPS x 0,0003 = 115 KBit/s
Sentinel Log Manager ist eingehend getestet und wird auf einem VMware ESX-Server vollständig unterstützt. Um auf ESX oder in anderen virtuellen Umgebungen Ergebnisse zu erzielen, die mit den Testergebnissen auf physischen Computern vergleichbar sind, sollte die virtuelle Umgebung dieselben Anforderungen an Arbeitsspeicher, CPU, Speicherplatz und E/A erfüllen, die auch für physische Computer gelten.
Weitere Informationen zu Empfehlungen für physische Computer finden Sie unter Abschnitt 2.1, Hardwareanforderungen.