Novell Sentinel Log Manager は、64ビットのIntel XeonおよびAMD Opteronプロセッサではサポートされていますが、Itaniumプロセッサではサポートされていません。
次の表では、オンラインデータを90日間保持する本番システムに対して推奨されるハードウェア要件の一覧を示します。推奨される要件は、平均イベントサイズが300バイトの場合のものです。
表 2-1 Sentinel Log Managerのハードウェア要件
|
要件 |
Sentinel Log Manager (500EPS) |
Sentinel Log Manager (2500EPS) |
Sentinel Log Manager (7500EPS) |
|---|---|---|---|
|
圧縮 |
最大10:1 |
最大10:1 |
最大10:1 |
|
最大イベントソース |
最大1000 |
最大1000 |
最大2000 |
|
最大イベント数 |
500 |
2500 |
7500 |
|
CPU |
Intel Xeon E5450 3GHz (4コア) CPU x 1 または Intel Xeon L5240 3GHz (2コア) CPU x 2(合計4コア) |
Intel Xeon E5450 3GHz (4コア) CPU x 1 または Intel Xeon L5240 3GHz (2コア) CPU x 2(合計4コア) |
Intel Xeon X5470 3.33GHz (4コア) CPU x 2(合計8コア) |
|
Random Access Memory(RAM) |
4GB |
4GB |
8 GB |
|
ローカルストレージ(30日) |
500GB x 2、7.2k RPMドライブ(ハードウェアRAID、256MBキャッシュ、RAID 1) |
10TB x 4、7.2k RPMドライブ(ハードウェアRAID、256MBキャッシュ、RAID 1) |
16 x 600GB、15k RPMドライブ(ハードウェアRAID、512MBキャッシュ、RAID 10)、または同等のストレージエリアネットワーク(SAN) |
|
ネットワークストレージ(90日) |
600GB |
2TB |
5.8TB |
最適なシステムパフォーマンスのためには、以下のガイドラインに従ってください。
ローカルストレージには、イベントデータと生データの両方を含む、少なくとも5日分のデータを保持するのに十分な領域が必要です。データストレージの要件の計算の詳細については、セクション 2.1.3, データストレージ要件の概算を参照してください。
ネットワークストレージには、ローカルストレージのイベントデータの完全に圧縮されたコピーを含めて、90日分のデータが格納されます。検索とレポートのパフォーマンスを向上させるために、イベントデータのコピーがローカルストレージに保持されます。ストレージのサイズに不安がある場合は、ローカルストレージのサイズを減らすことができます。ただし、圧縮解除のオーバーヘッドが生じるため、データをローカルストレージに置いた場合と比べて、検索およびレポートのパフォーマンスが約70%低下します。
ネットワークストレージの場所は、外部の複数ドライブのSANまたはネットワーク接続ストレージ(NAS)に設定する必要があります。
1台のマシンに複数のイベントソースを含めることができます。たとえば、Windowsサーバにおいて、Windowsオペレーティングシステムとその上でホストされているSQL Serverデータベースからそれぞれデータを収集するのであれば、2つのSentinelイベントソースを含めます。
推奨される、安定した状態のボリュームは、ライセンスされた最大EPSの80%です。この制限に達した場合には、Sentinel Log Managerインスタンスを追加することをお勧めします。
最大イベントソースの制限はハード制限ではありませんが、Novellで実施したテストに基づいた推奨値を示すものであり、イベントソースごとの1秒当たりの平均イベント数が低いことが前提となっています(3EPS未満)。EPSが高いと、持続可能な最大イベントソースが少なくなります。最大イベントソース数が上で示した制限を超えていなければ、(最大イベントソース) x (イベントソースごとの平均EPS) = 最大イベント数という計算式を使用して、特定の平均EPSレートまたはイベントソース数に対する適切な制限を求めることができます。
Intel Xeon X5570 2.93-GHz (4 CPUコア)×1
4GB RAM
10GBの空きディスク容量
Sentinel Log Managerでは、法令やその他の要件に従って、生データを長期間保持することができます。その際、生データを圧縮することで、ローカルストレージやネットワークストレージのスペースを有効利用できます。それでも、時間が経過するにつれ、ストレージ必要量が大幅に増加する場合もあります。
予算に制約のある大規模なストレージシステムでは、データの長期保存には、コスト効果の高いデータストレージシステムを使用する必要があります。コスト効率の高さで言えば、第一に挙げられるのがテープベースのストレージシステムです。ただし、テープの場合、データへのランダムアクセスが不可能なため、高速検索は望めません。そのため、データを長期間にわたって保存する場合には、複数の手法を組み合わせて使用することが望ましいと言えます。つまり、検索する必要があるデータはランダムアクセスストレージシステムに保存し、保持する必要はあっても検索する必要のないデータは、テープなどのコスト効果の高いストレージに格納します。この複数の手法の組み合わせの使用については、『Sentinel Log Manager 1.2.2 Administration Guide』の「Using Sequential-Access Storage for Long Term Data Storage
」を参照してください。
Sentinel Log Managerに必要なランダムアクセスストレージの容量を確認するには、何日間のデータに対して定期的な検索またはレポートを実行する必要があるかを最初に見積もります。Sentinel Log Managerでデータのアーカイブに使用するための、十分な容量のあるハードドライブを用意する必要があります。そのためには、ローカルのSentinel Log Managerマシンを使用することも、Server Message Block (SMB)プロトコル、CIFS プロトコル、Network File System (NFS)、またはSANを使用してリモートのドライブに接続することもできます。
また、最低要件の容量に加えて、次に示すハードドライブの容量も必要になります。
データの量が想定外に増えた場合を考慮して追加しておく容量。
古いデータの検索およびレポーティングを実行するために、Sentinel Log Managerとテープとの間でデータをコピーするための容量。
次の計算式を使用してデータの保存に必要な容量を見積もります。
ローカルイベントストレージ(部分的に圧縮): {イベント1件あたりの平均バイトサイズ} x {日数} x {1秒間のイベント数} x 0.00007 = 必要なストレージの合計GB
イベントサイズは、通常、300~1000バイトです。
ネットワークイベントストレージ(完全に圧縮): {イベント1件あたりの平均バイトサイズ} x {日数} x {1秒間のイベント数} x 0.00002 = 必要なストレージの合計GB
生データストレージ(ローカルストレージとネットワークストレージの両方で完全に圧縮): {生データレコード1件あたりの平均バイトサイズ} x {日数} x {1秒間のイベント数} x 0.000012 = 必要なストレージの合計GB
Syslogメッセージの平均的な生データのサイズは200バイトです。
合計ローカルストレージサイズ(ネットワークストレージが有効な場合): {目的とする日数のローカルイベントストレージサイズ} + {1日分の生データストレージサイズ} = 必要なストレージの合計GB
ネットワークストレージが有効な場合、ローカルストレージがいっぱいになるとイベントデータはネットワークストレージに移動されます。ただし、生データは、ネットワークストレージに移動される前に、一時的にローカルストレージに格納されます。通常、生データがローカルストレージからネットワークストレージに移動されるまでの期間は1日未満です。
合計ローカルストレージサイズ(ネットワークストレージが無効な場合): {保持期間のローカルイベントストレージサイズ} + {保持期間の生データストレージサイズ) = 必要なストレージの合計GB
合計ネットワークストレージサイズ: {保持期間のネットワークイベントストレージサイズ} + {保持期間の生データストレージサイズ) = 必要なストレージの合計GB
メモ:
各数式表現での係数((1日の秒数) x (1日のGB数) x 圧縮比)。
これらの値はあくまでも概算であり、イベントデータのサイズや圧縮データのサイズによって異なります。
部分的に圧縮とは、データは圧縮されていますが、データのインデックスは圧縮されていないことを意味します。完全に圧縮とは、イベントデータとインデックスデータの両方が圧縮されていることを意味します。通常、イベントデータの圧縮比は10:1です。通常、インデックスの圧縮比は5:1です。インデックスは、データの検索を効率化するために使用されます。
また、上の計算式を使用して、テープなどの長期間にわたって使用されるデータストレージシステムに必要なストレージ容量を算出することもできます。
サーバでのディスク使用量をさまざまなEPSレートで見積もるには、次の計算式を使用します。
ディスクに書き込まれるデータ(キロバイト/秒): (バイト単位の平均イベントサイズ + バイト単位の平均生データサイズ) x (1秒間のイベント数) x 圧縮係数0.004 = 1秒間にディスクに書き込まれるデータ
たとえば、500EPSで、平均イベントサイズが464バイト、ログファイルの平均生データサイズが300バイトの場合は、ディスクに書き込まれるデータは次のようにして求められます。
(464バイト + 300バイト) x 500EPS x .004 = 1558KB
ディスクに対するI/O要求の数(1秒間の転送数): (バイト単位の平均イベントサイズ + バイト単位の平均生データサイズ) x (1秒間のイベント数) x 圧縮係数0.00007 = 1秒間のディスクへのI/O要求
たとえば、500EPSで、平均イベントサイズが464バイト、ログファイルの平均生データサイズが300バイトの場合は、1秒間のディスクへのI/O要求数は次のようにして求められます。
(464バイト + 300バイト) x 500EPS x .00007 = 26tps
1秒間にディスクに書き込まれるブロック数: (バイト単位の平均イベントサイズ + バイト単位の平均生データサイズ) x (1秒間のイベント数) x 圧縮係数0.008 = 1秒間にディスクに書き込まれるブロック数
たとえば、500EPSで、平均イベントサイズが464バイト、ログファイルの平均生データサイズが300バイトの場合は、1秒間にディスクに書き込まれるブロック数は次のようにして求められます。
(464バイト + 300バイト) x 500EPS x .008 = 3056
検索実行時にディスクから1秒間に読み取られるデータ: (バイト単位の平均イベントサイズ + バイト単位の平均生データサイズ) x (クエリに一致するイベントの数(百万単位)) x 圧縮係数0.013 = ディスクから1秒間に読み取られるキロバイト数
たとえば、300万のイベントが検索クエリに一致し、ログファイルの平均イベントサイズが464バイト、平均生データサイズが300バイトの場合は、1秒間にディスクから読み取られるデータは次のようにして求められます。
(464バイト + 300バイト) x 3 x .013 = 300KB
サーバでのネットワーク帯域幅使用量をさまざまなEPSレートで見積もるには、次の計算式を使用します。
{バイト単位の平均イベントサイズ + バイト単位の平均生データサイズ} x {1秒間のイベント数} x 圧縮係数0.0003 = Kbps (キロバイト/秒)単位のネットワーク帯域幅
たとえば、500EPSで、平均イベントサイズが464バイト、ログファイルの平均生データサイズが300バイトの場合は、ネットワーク帯域幅の使用率は次のようにして求められます。
(464バイト + 300バイト) x 500EPS x .0003 = 115Kbps
Sentinel Log Managerは、広範にわたるテストが実施されており、VMware ESXサーバで完全にサポートされています。ESX上の物理マシンまたはその他の仮想環境におけるテスト結果と同等のパフォーマンス結果を達成するには、仮想環境が物理マシンで推奨されているものと同じメモリ、CPU、ディスク容量、およびI/Oを備える必要があります。
物理マシンで推奨される内容については、セクション 2.1, ハードウェア要件を参照してください。