負荷軽減策の実施で、サービス停止のリスクを軽減
「負荷軽減策」とは?
Kiwi Syslog Serverは、処理能力オーバーでメモリ不足に陥るとサービス停止となります。その危険性を下げるために有効な「負荷軽減策」を紹介します。負荷軽減策:
・ヒットする可能性の高いRuleの順位を上にする
・各RuleのActionの最後に「Stop Processing message」を追加
(運用上それ以下のRuleを見る必要が無い場合)
ルールの順序を見直し、Actionの最後に「Stop Processing message」を追加することで、下側のルールでそのログが評価されないので、負荷軽減となります。
Kiwi Syslog Serverの処理能力:
メーカー提示のKiwi Syslog Serverの処理能力は、100-200万メッセージ/時(400-600メッセージ/秒)です。
※デフォルトのルール設定(ローカル保存)での処理能力です。
※処理能力については、お客様の環境、ルールの数、ルール設定の複雑さにより変動します。
参考URL:
https://support.solarwinds.com/SuccessCenter/s/article/Maximum-number-of-messages-for-Kiwi-Syslog-Daemon
***************
現在の負荷はどの程度?
「統計診断レポート」で負荷がどの程度なのかを確認し、「負荷軽減策」実施の要否を判断しましょう。■負荷はどの程度かかっている?確認方法紹介■
Kiwi Syslog Serverの処理において負荷がどの程度かかっているかは統計診断レポートで確認します。
手順:
1) Kiwiコンソール(Kiwi Syslog Server Manager)を起動します。
2) Manage > Debug options > Get Diagnostic informationを選択し、統計診断レポート(Syslog_Diagnostics.txt)を開き、スクロールダウンし「Message Buffer Information」項目で、
Message Count
Message Count Max
を確認します。
<解説>
Kiwi Syslog Serverの処理エンジンがビジー状態のときに、大量のメッセージを受信するとメッセージは内部メッセージバッファヘ格納され待機状態となります。
"Message Count"は、メッセージバッファに現在待機中のメッセージ数です。
"Message Count Max"は、サービス開始後に内部メッセージバッファに格納された最大メッセージ数です。
この"Message Count"の数が0(ゼロ)の場合、メッセージバッファに格納されずに処理がスムーズに行われています。
"Message Count"の数が大きいほど負荷が高い状態にあると判断できます。
例:
Message Buffer Information (UDP, TCP, SNMP)
===========================================
Message Count: 37784
Message Count Max: 80352
⇒負荷が高い状態です。「負荷軽減策」を実施してください。
負荷軽減策を実施後、
Message Count:
を確認し、数が減少していれば「負荷軽減策」の効果の表れです。
※"Message Count Max"値の初期化はKiwi Syslog Serverのサービス再起動が必要となります。
※"Message Count Max"値の初期化はKiwi Syslog Serverのサービス再起動が必要となります。
負荷軽減策実施後も"Message Count" の数に減少傾向が見られない場合は、
統計診断レポート上部に記載の1時間平均の受信数"+ Messages per hour - Average Last 24 hours: "を確認します。メーカー提示の処理能力(100-200万メッセージ/時)以上である場合はKiwi Syslog Serverへ送信するログ数を減らしてください。
***************
「負荷軽減策」設定例
4つの送信元別にDisplay表示を行うため、以下のような4つのルールがある場合に「負荷軽減策」を追加する手順の紹介です。
なお、ルール名は送信元ホスト名と同じとしています。
1) 統計診断ファイル(Syslog_Diagnostics.txt)の「Breakdown of Syslog messages by sending host」で送信メッセージ数の多いホスト名を確認します。以下の順です。(なお、この例では名前解決を有効としているのでホスト名表示です。名前解決を行わない場合はIPアドレスでの表示となります)
最も送信数が多いホストは「Device_3」であることがわかります。
2) このヒットする可能性の高いRuleである「Device_3」を上位に↑↓で移動し、
ルールの順序を
3) 「Device_3」ルールにActionを追加します。
4) 以下のように新しいアクション「New Action」が追加されますので、右ペインで「Stop Processing message」を選択します。
アクション名は自動命名機能で「Stop Processing message」とします。
5) 他のRuleにおいても運用上それ以下のRuleを見る必要が無い場合、Actionの最後に「Stop Processing message」を追加します。
同じActionを追加する場合は、サブメニューの「Copy action」「Paste action」を利用すると簡単に追加できます。
操作は以下となります。
コピー元アクション上で「Copy action]を選択
6) コピー先「Actions」右クリック後「Paste action」選択
コピーされました。
7) 他のルールのActionsツリーにも同様の操作で「Stop Processing message」をコピーします。
最後までご覧頂き、ありがとうございます。
***************
Kiwi Syslog Serverの製品紹介ページ・製品ガイドをご参照ください。 
製品についてのご質問は以下まで 
2) このヒットする可能性の高いRuleである「Device_3」を上位に↑↓で移動し、
ルールの順序を
Device_1
Device_2
Device_3
Device_4
Device_2
Device_3
Device_4
から、
Device_3
Device_1
Device_2
Device_4
に変更します。Device_1
Device_2
Device_4
3) 「Device_3」ルールにActionを追加します。
4) 以下のように新しいアクション「New Action」が追加されますので、右ペインで「Stop Processing message」を選択します。
アクション名は自動命名機能で「Stop Processing message」とします。
5) 他のRuleにおいても運用上それ以下のRuleを見る必要が無い場合、Actionの最後に「Stop Processing message」を追加します。
同じActionを追加する場合は、サブメニューの「Copy action」「Paste action」を利用すると簡単に追加できます。
操作は以下となります。
コピー元アクション上で「Copy action]を選択
6) コピー先「Actions」右クリック後「Paste action」選択
7) 他のルールのActionsツリーにも同様の操作で「Stop Processing message」をコピーします。
最後までご覧頂き、ありがとうございます。
***************
 |
