Novell Sentinel Log Manager 支持 64 位 Intel Xeon 和 AMD Opteron 处理器,但不支持 Itanium 处理器。
下表列出了可保留联机数据 90 天的生产系统的建议硬件要求:这些建议的硬件要求是针对平均事件大小为 300 字节制定的。
表 2-1 Sentinel Log Manager 硬件要求
|
要求 |
Sentinel Log Manager (500 EPS) |
Sentinel Log Manager (2500 EPS) |
Sentinel Log Manager (7500 EPS) |
|---|---|---|---|
|
压缩 |
高达 10:1 |
高达 10:1 |
高达 10:1 |
|
最大事件源数量 |
最多 1000 |
最多 1000 |
最多 2000 |
|
最大事件率 |
500 |
2500 |
7500 |
|
CPU |
一个 Intel Xeon E5450 3-GHz(4 核)CPU 或 两个 Intel Xeon L5240 3-(2 核)CPU(共 4 核) |
一个 Intel Xeon E5450 3-GHz(4 核)CPU 或 两个 Intel Xeon L5240 3-(2 核)CPU(共 4 核) |
两个 Intel Xeon X5470 3.33-GHz(4 核)CPU(共 8 核) |
|
随机存取存储器 (RAM) |
4 GB |
4 GB |
8 GB |
|
本地储存(30 天) |
2 个 500 GB,7200 RPM 驱动器(硬件 RAID 带 256 MB 缓存,RAID 1) |
4 个 10 TB,7200 RPM 驱动器(硬件 RAID 带 256 MB 缓存,RAID 1) |
16 个 600 GB,15k RPM 驱动器(硬件 RAID 带 512 MB 缓存,RAID 10)或等效的储存区域网络 (SAN) |
|
网络储存(90 天) |
600 GB |
2 TB |
5.8 TB |
为了获得最佳系统性能,请遵循以下准则:
本地储存应具有足够的空间,以便能够至少储存相当于 5 天的数据,包括事件数据和原始数据。有关计算数据储存需求的详细信息,请参阅部分 2.1.3, 数据储存要求评估。
网络储存中包含所有 90 天的有效数据,其中包括本地储存中事件数据的完整压缩副本。将事件数据的副本保留在本地储存上是为了提高搜索和报告的性能。如果担心网络储存大小不足,则可以减少本地储存大小。然而,由于解压缩会占用一定的系统开销,因此这会导致在本地储存中执行数据搜索和报告时性能会下降约 70%。
您必须将网络储存位置设置到一个外部多驱动器储存网络区域 (SAN) 或网络连接的储存 (NAS) 上。
一台计算机可以包括多个事件源。例如,一台 Windows 服务器可以包括两个 Sentinel 事件源,因为您想从 Windows 操作系统以及托管在该服务器的 SQL Server 数据库收集数据。
推荐的稳态量是最大许可的 EPS 的 80%。若达到此限制,Novell 建议您添加附加 Sentinel Log Manager 实例。
最大事件源限制不是硬限制,而是基于 Novell 进行的性能测试和假定每个事件源每秒处于低平均事件率(小于 3 EPS)。高 EPS 率将导致低可持续最大事件源。可使用等式(最大事件源) x (每个事件源平均 EPS)= 最大事件率算出特定的平均 EPS 率或事件源数的大致限制,只要最大事件源数不超过上面指定的限制。
一个 Intel Xeon X5570 2.93-GHz(4 核 CPU)
4GB RAM
10 GB 可用磁盘空间
Sentinel Log Manager 用于长期保留原始数据,以遵守法律和其他要求。Sentinel Log Manager 采用压缩形式以帮助您高效使用本地和网络储存空间。但是随着时间增长,储存要求将变得严重起来。
要克服大型储存系统的成本限制问题,您可以使用经济有效的数据储存系统来长期储存数据。基于磁带的储存系统是最常见并且经济有效的解决方案。但是,磁带不允许随机访问已储存的数据,而要执行快速搜索则必须支持随机访问。因此,希望有一种长期储存数据的混合方式,其中需要搜索的数据位于随机访问储存系统上,而需要保留且不搜索的数据保存到经济有效的备用系统上,如磁带。有关使用这种混合方法的说明,请参阅《Sentinel Log Manager 1.2.2 管理指南》
中的对长期数据储存使用顺序访问储存。
要确定 Sentinel Log Manager 所需的随机存取储存空间的大小,首先估计您需要对多少天的数据执行定期搜索或运行报告。您应当在本地 Sentinel Log Manager 计算机上拥有足够的硬盘空间,或者在远程 Server Message Block (SMB) 协议、CIFS 协议、网络文件系统 (NFS) 或 SAN 上拥有足够空间,以用于 Sentinel Log Manager 储存数据。
您也应当拥有以下超出您的最低要求的附加硬盘空间。
考虑到高于预期的数据率。
要将数据从磁带复制回 Sentinel Log Manager,以在历史数据上执行搜索和报告。
使用以下公式估计储存数据所需的空间大小:
本地事件储存(部分压缩): {每个事件的平均字节数} x {天数} x {每秒发生的事件数} x 0.00007 = 所需的总储存大小 (GB)
事件大小通常为 300-1000 字节。
网络事件储存(完全压缩): {每个事件的平均字节数} x {天数} x {每秒发生的事件数} x 0.00002 = 所需的总储存大小 (GB)
原始数据储存(同时在本地和网络储存上执行完全压缩): {每个原始数据记录的平均字节数} x {天数} x {每秒发生的事件数} x 0.000012 = 所需的总储存大小 (GB)
syslog 讯息的平均原始数据大小通常是 200 字节。
本地储存的总大小(启用网络储存): {所需天数的本地事件储存大小} + {一天的原始数据储存大小} = 所需的总储存大小 (GB)
如果启用了网络储存,当本地储存已满时,事件数据将移动到网络储存中。但是,在将原始数据移动到网络储存之前,原始数据只是会临时存放在本地储存上。通常情况下,将原始数据从本地储存移动到网络储存所需要的时间不到一天。
本地储存的总大小(禁用网络储存): {保留时间的本地事件储存大小} + {保留时间的原始数据储存大小) = 所需的总储存大小 (GB)
网络储存的总大小: {保留时间的网络事件储存大小} + {保留时间的原始数据储存大小) = 所需的总储存大小 (GB)
注:
每个公式中的系数代表 ((每天的秒数) x (每个字节的 GB 数) x 压缩率)。
这些数字只是基于事件数据大小和压缩数据大小所做的估计值。
部分压缩的意思是指压缩数据,但不压缩数据的索引。完全压缩的意思是指同时压缩事件数据和索引数据。事件数据压缩率通常为 10:1。索引数据压缩率通常为 5:1。索引用于通过索引数据优化搜索。
您还可以使用以上公式确定长期数据储存系统(如磁带)所需的储存空间。
可以使用以下公式来估计服务器上不同 EPS 率下的磁盘利用率数值。
写入到磁盘的数据(千字节/秒): (事件大小的平均字节数 + 原始数据大小的平均字节数) x (每秒发生的事件数)x 0.004 压缩系数 = 每秒写入到磁盘的数据量
例如,在 500 EPS 时,日志文件中事件平均大小为 464 字节,原始数据平均大小为 300 字节,则确定写入到磁盘的数据量的方法如下:
(464 字节 + 300 字节) x 500 EPS x 0.004 = 1558 千字节
对磁盘的 I/O 请求数(每秒传输数): (事件大小的平均字节数 + 原始数据大小的平均字节数) x (每秒发生的事件数) x 0.00007 压缩系数 = 每秒对磁盘的 I/O 请求数
例如,在 500 EPS 时,日志文件中事件平均大小为 464 字节,原始数据平均大小为 300 字节,则确定每秒对磁盘的 I/O 请求数的方法如下:
(464 字节 + 300 字节) x 500 EPS x 0.00007 = 26 tps
每秒写入到磁盘的数据块数量: (事件大小的平均字节数 + 原始数据大小的平均字节数) x (每秒发生的事件数) x 0.008 压缩系数 = 每秒写入到磁盘的数据块数量
例如,在 500 EPS 时,日志文件中事件平均大小为 464 字节,原始数据平均大小为 300 字节,则确定每秒写入到磁盘的数据块数量的方法如下:
(464 字节 + 300 字节) x 500 EPS x 0.008 = 3056
执行搜索时每秒从磁盘中读取的数据量: (事件大小的平均字节数 + 原始数据大小的平均字节数) x (数百万事件中与查询相匹配的事件数) x 0.013 压缩系数 = 每秒从磁盘中读取的数据量(千字节)
例如,如果有 300 万个与搜索查询匹配的事件,而日志文件中的平均事件大小为 464 字节,平均原始数据大小为 300 字节,则每秒钟从磁盘中读取的数据可确定如下:
(464 字节 + 300 字节) x 3 x 0.013 = 300 KB
可以使用以下公式来估计服务器上不同 EPS 率下的网络带宽利用率:
{事件大小的平均字节数 + 原始数据大小的平均字节数} x {每秒发生的事件数} x 0.0003 压缩系数 = 网络带宽(单位:千字节/秒,即 Kbps)
例如,在 500 EPS 时,日志文件中事件平均大小为 464 字节,原始数据平均大小为 300 字节,则确定网络带宽利用率的方法如下:
(464 字节 + 300 字节} x 500 EPS x 0.0003 = 115 Kbps
Sentinel Log Manager 经过广泛测试,完全支持 VMware ESX 服务器。要在 ESX 上或任何其他虚拟环境中获得与物理计算机测试结果类似的性能结果,该虚拟环境应提供与物理计算机的建议配置相同的内存、CPU、磁盘空间和 I/O。
有关物理计算机建议配置的详细信息,请参阅部分 2.1, 硬件要求。