64 位元的 Intel Xeon 與 AMD Opteron 處理器支援 Novell Sentinel Log Manager,但 Itanium 處理器並不支援它。
下列表格針對保存 90 天線上資料的生產系統,列出建議的硬體需求。以下建議需求適用於 300 位元組的平均事件大小。
表 2-1 Sentinel Log Manager 硬體需求
|
要求 |
Sentinel Log Manager (500 EPS) |
Sentinel Log Manager (2500 EPS) |
Sentinel Log Manager (7500 EPS) |
|---|---|---|---|
|
壓縮 |
最多 10:1 |
最多 10:1 |
最多 10:1 |
|
事件來源上限 |
最多 1000 個 |
最多 1000 個 |
最多 2000 個 |
|
事件發生率上限 |
500 |
2500 |
7500 |
|
CPU |
一個 Intel Xeon E5450 3-GHz (4 核) CPU 或 兩個 Intel Xeon L5240 3-(雙核) CPU (共 4 核) |
一個 Intel Xeon E5450 3-GHz (4 核) CPU 或 兩個 Intel Xeon L5240 3-(雙核) CPU (共 4 核) |
兩個 Intel Xeon X5470 3.33-GHz (4 核) CPU (共 8 核) |
|
隨機存取記憶體 (RAM) |
4 GB |
4 GB |
8 GB |
|
本地儲存 (30 天) |
2x 500 GB,7.2k RPM 磁碟機 (256 MB 快取的硬體 RAID,RAID 1) |
4x 10 TB,7.2k RPM 磁碟機 (256 MB 快取的硬體 RAID,RAID 1) |
16 x 600 GB、15k RPM 磁碟機 (具 512 MB 快取記憶體的硬體 RAID、RAID 10),或同等的儲存區域網路 (SAN) |
|
網路儲存 (90 天) |
600 GB |
2 TB |
5.8 TB |
遵循下列方針以達到最佳系統效能:
本地儲存應該要有足夠的空間保留至少 5 天的資料,其中包含事件和原始資料。如需有關計算資料儲存需求的詳細資料,請參閱節 2.1.3, 資料儲存需求預估。
網路儲存可容納完整 90 天的資料,其中包括本地儲存事件資料的完整壓縮副本。將事件資料副本保存在本地儲存是基於搜尋和報表效能考量。若擔心儲存量過大,則可減少本地儲存的大小。不過,由於解壓縮負載的緣故,針對本地儲存以外的資料進行搜尋和報表時,估計效能會降低 70%。
您必須將網路儲存位置設定為外部的多磁碟機 SAN 或網路附加儲存 (NAS)。
一部機器可以包含多個事件來源。例如,Windows 伺服器可以包含兩個 Sentinel 事件來源,因為您想要收集 Windows 作業系統的資料,還想收集該機器上主控之 SQL Server 資料庫的資料。
建議的穩定狀態量為最大授權 EPS 的 80%。Novell 建議您在達到此限制時,新增其他 Sentinel Log Manager 例項。
事件來源上限不是硬限制,但卻是以 Novell 執行的效能測試為基礎的建議值,且假設每個事件來源,每秒的平均事件發生率都較低 (低於 3 EPS)。較高的 EPS 率會導致可承受事件來源上限偏低。您可以使用公式 (事件來源上限) x (每個事件來源的平均 EPS) = 事件發生率上限,來得到特定平均 EPS 率或事件來源數的約略限制,只要事件來源數上限不超過上述限制即可。
一個 Intel Xeon X5570 2.93-GHz (4 CPU 核)
4 GB RAM
10 GB 可用硬碟空間
Sentinel Log Manager 可用於長時間保留原始資料,以符合法規及其他需求。Sentinel Log Manager 可使用壓縮來協助您有效使用本地與網路儲存空間。但是,在較長的時間內,儲存需求可能很重要。
若要克服大型儲存系統的成本限制問題,您可以使用具成本效益的資料儲存系統來長期儲存資料。磁帶型儲存系統是最常用且具成本效益的解決方案。不過,磁帶無法讓您隨機存取已存資料,但這項功能是執行快速搜尋所必需的。因此,對於儲存長期資料的需求必須採用混合方法。在此方法中,您需要搜尋的資料可於隨機存取儲存系統中獲得,而您需要保留但不需搜尋的資料會保存在具成本效益的替代物上,例如磁帶。如需使用此混合方法的指示,請參閱《Sentinel Log Manager 1.2.2 管理指南》中的「使用順序存取儲存以長期儲存資料
」。
若要決定 Sentinel Log Manager 所需隨機存取儲存空間的量,請先預估您需要定期執行搜尋或執行報表之資料天數。您應該在本地 Sentinel Log Manager 機器上,或者在遠端「伺服器訊息區塊」(SMB) 通訊協定 (或 CIFS 通訊協定)、網路檔案系統 (NFS) 或 Sentinel Log Manager 的 SAN 上,擁有足夠的硬碟空間,以便於歸檔資料。
您還應該擁有超過需求下限的以下其他硬碟空間:
用於說明高於預期的資料速率。
用於將磁帶中的資料複製回 Sentinel Log Manager 中,以對歷程資料執行搜尋與報表。
使用以下公式,預估儲存資料所需的空間量:
本地事件儲存 (部分壓縮): {每個事件的平均位元組大小} x {天數} x {每秒事件數} x 0.00007 = 需要的 GB 儲存總數
事件大小的範圍通常為 300-1000 位元組。
網路事件儲存 (完整壓縮): {每個事件的平均位元組大小} x {天數} x {每秒事件數} x 0.00002 = 需要的 GB 儲存總數
原始資料儲存 (完整壓縮於本地與網路儲存): {每個原始資料記錄的平均位元組大小} x {天數} x {每秒事件數} x 0.000012 = 需要的 GB 儲存總數
syslog 訊息通常的平均原始資料大小為 200 位元組。
本地儲存大小總數 (啟用網路儲存): {適合目標天數的本地事件儲存大小} + {單日原始資料儲存大小) = 需要的 GB 儲存總數
如果已啟用網路儲存,則當本地儲存已滿時,會將事件資料移至網路儲存。不過,原始資料在移至網路儲存之前會先暫時存放在本地儲存。將原始資料從本地儲存移至網路儲存的所需時間通常不到一天。
本地儲存大小總數 (停用網路儲存): {適合保留期間的本地事件儲存大小} + {適合保留期間的原始資料儲存大小) = 需要的 GB 儲存總數
網路儲存大小總數: {適合保留期間的網路事件儲存大小} + {適合保留期間的原始資料儲存大小) = 需要的 GB 儲存總數
附註:
每項公式係數的表現方式為 ((每日秒鐘數) x (每位元組 GB) x 壓縮比率)。
這些數目只是預估值,且取決於事件資料大小以及壓縮資料大小。
部分壓縮代表資料經過壓縮,但資料的索引則未經過壓縮。完整壓縮代表事件資料和索引資料皆經過壓縮。事件資料壓縮率一般為 10:1,索引資料壓縮率一般為 5:1。索引可用於最佳化整體資料搜尋。
您也可以使用上述公式,決定長期資料儲存系統 (如磁帶) 所需的儲存空間量。
使用下列公式,並以各種 EPS 比率來估計伺服器上的磁碟使用量。
寫入至磁碟的資料 (KB/秒): (單位為位元組的平均事件大小 + 單位為位元組的平均原始資料大小) x (每秒事件數) x .004 壓縮係數 = 每秒寫入至磁碟的資料
例如,在 500 EPS 下,記錄檔案中的平均事件大小為 464 位元組,平均原始資料大小則為 300 位元組,則寫入至磁碟的資料決定如下:
(464 位元組 + 300 位元組) x 500 EPS x .004 = 1558 KB
對於磁碟的輸入/輸出申請 (每秒傳輸數): (單位為位元組的平均事件大小 + 單位為位元組的平均原始資料大小) x (每秒事件數) x .00007 壓縮係數 = 對於磁碟的每秒輸入/輸出申請數
例如,在 500 EPS 下,記錄檔案中的平均事件大小為 464 位元組,平均原始資料大小則為 300 位元組,則對於磁碟的每秒輸入/輸出申請數決定如下:
(464 位元組 + 300 位元組) x 500 EPS x .00007 = 26 tps
每秒寫入至磁碟的區塊數: (單位為位元組的平均事件大小 + 單位為位元組的平均原始資料大小) x (每秒事件數) x .008 壓縮係數 = 每秒寫入至磁碟的區塊數
例如,在 500 EPS 下,記錄檔案中的平均事件大小為 464 位元組,平均原始資料大小則為 300 位元組,則每秒寫入至磁碟的區塊數決定如下:
(464 位元組 + 300 位元組) x 500 EPS x .008 = 3056
執行搜尋時每秒從磁碟讀取的資料: (單位為位元組的平均事件大小 + 單位為位元組的平均原始資料大小) x (單位為百萬的符合查詢事件數) x .013 壓縮係數 = 每秒從磁碟讀取的 KB 數
例如,若符合搜尋查詢的事件數為 3 百萬,記錄檔案中的平均事件大小為 464 位元組,且平均原始資料大小為 300 位元組,則每秒從磁碟讀取的資料量如下所計:
(464 位元組 + 300 位元組) x 3 x .013 = 300 KB
使用下列公式,估計各種 EPS 比率下伺服器的網路頻寬使用率。
(單位為位元組的平均事件大小 + 單位為位元組的平均原始資料大小) x (每秒事件數) x .0003 壓縮係數 = 單位為 Kbps (千位元/秒) 的網路頻寬
例如,在 500 EPS 下,記錄檔案中的平均事件大小為 464 位元組,平均原始資料大小則為 300 位元組,則網路頻寬使用率決定如下:
(464 位元組 + 300 位元組) x 500 EPS x .0003 = 115 Kbps
Sentinel Log Manager 在 VMware ESX 伺服器上受到廣泛測試及完全支援。為了在 ESX 上或任何其他虛擬環境中,實現能和實體機器測試結果相媲美的效能結果,虛擬環境應根據建議的實體機器要求,提供同樣的記憶體、CPU、磁碟空間及輸入/輸出。
如需有關實體機器建議的詳細資訊,請參閱「節 2.1, 硬體需求」。