5.5.16. Optimiser les performances

5.5.16.1. Introduction

L'optimisation des performances peut être faite suivant les possibilités suivantes :

  • sujet 1 : adaptation du GCap aux caractéristiques du réseau

    • incohérence entre la MTU défini sur le GCap et celui des trames capturées.

      Pour modifier la MTU voir la Procédure pour ajuster la taille du paquet capturé.

    • vérification de la bonne adéquation entre les caractéristiques du GCap (débit max, nombre de sessions...) et celui du réseau à surveiller.

      Pour cela, consulter les datasheets du GCap.

  • sujet 2 : optimisation des ressources du GCap

    • le nombre de CPU dédié au moteur de détection est trop faible : les CPUs peuvent être surchargés et potentiellement des paquets sont non analysés et donc perdus (droppés).

      Pour changer cette valeur, voir la Procédure d'assignation du nombre de CPU au moteur de détection.

    • préférer utiliser un TAP agrégateur par opposition à la fonction agrégation ("cluster") du GCap. La solution avec un TAP agrégateur est préférable car c'est celle qui nécessite le moins de ressources du GCap à flux identique.

  • sujet 3 : optimisation du flux réseau à analyser

    • un ou des CPU sont surchargés car il y a trop de paquets analysés. Pour diminuer une partie du réseau capturé, il est possible de supprimer le flux analysé inutilement.

      Pour gérer ce filtrage de paquets, voir la procédure de définition des règles de filtrage du flux.

    • un CPU uniquement est surchargé. Dans ce cas, il y a mauvaise répartition de la charge du flux entre les CPU.

      Pour changer cela, il est possible de définir une règle ou plus certainement modifier une règle existante. IL a été défini un flux mais de façon trop large, il faut donc le subdiviser pour que chaque partie soit analysée par plusieurs CPU.

      Pour modifier les règles, voir la procédure de définition des règles statiques de filtrage des paquets.

    • modifier les protocoles analysés.

      Pour modifier cette liste, il est nécessaire d'effectuer cette action sur le GCenter appairé.

      Se référer à la documentation du GCenter.

  • sujet 4 : optimisation des règles du moteur de détection

    Les règles définissent :

    • les règles de détection

    • les règles de reconstruction de fichiers

    • les règles définissant les seuils ou les limites dans la rubrique threshold

    Voir la documentation du GCenter pour plus d'informations,

  • sujet 5 : supervision de la solution

    Un service de supervision nommé Netdata embarqué dans le GCenter permet de relever des informations en temps réel sur l'état des CPU, la charge, les disques, les moteurs de détection ou encore le filtrage.

    Cette fonctionnalité est disponible depuis l'adresse suivante: https://Nom_du_GCenter/gstats.

    Sur le GCap, Netdata permet d'avoir plus d'information sur des compteurs par protocole, du nombre de sessions, de flux ou encore l'état des tables de hashage depuis 'Stats.log'.

5.5.16.3. Opérations préliminaires

5.5.16.4. Procédure pour ajuster la taille du paquet capturé

Ce réglage permet d'ajuster la taille du paquet capturé pour le mettre conforme à la taille des paquets circulant sur le réseau.

Danger

Les fonctionnalités de Load Balancing et de Filtrage XDP ne sont pas supportées lorsque la MTU > 3000.

5.5.16.5. Procédure d'assignation du nombre de CPU au moteur de détection

Astuce

Dédier le maximum des CPU présents au moteur de détection (sans excéder 80% des CPU).

Ceci est à effectuer quand les CPU dédiés au moteur de détection sont surchargés (utiliser la commande show cpus).

5.5.16.6. Procédure de définition des règles de filtrage du flux

Astuce

Le(s) CPU présent(s) est surchargé et une partie du flux ne peut etre analaysée, un certain nombre de paquets sont droppés :

  • pour visualiser une surcharge des CPU , utiliser la commande show cpus

  • pour visualiser le nombre de paquets perdus (dropped) par coeur cpux, utiliser la commande show health, détails des compteurs sofnet - Statistiques sur les paquets reçus en fonction des cœurs de processeurs.

Une partie du flux capturé ne peut être détecté, ni reconstruit : par exemple les flux cryptés.

Si rien n'est fait, le système va monopoliser des ressources pour aboutir à un résultat connu par avance.

Pour éviter cela, il est possible de créer des règles pour filtrer le flux à capturer.

5.5.16.7. Procédure de configuration d'équilibrage de charge venant de l'interface de capture monx

Astuce

Dans ce cas ou il y a mauvaise répartition de la charge du flux entre les CPU, il est possible de définir une règle ou plus certainement modifier une règle existante. Il a été défini un flux mais de façon trop large, il faut donc le subdiviser pour que chaque partie soit analysée par plusieurs CPU en utilisant des méthodes de répartition de charge (algorithme).

5.5.16.8. Procédure d'optimisation des règles du moteur de détection

Astuce

Les règles du moteur de détection peuvent être définies : - en local sur le GCap, - sur le GCenter. Ce sont sur ces 2 appliances qu'il faut les modifier pour les optimiser.

De plus, si la configuration courante est multi-tenant alors les même règles sont appliquées sur les interfaces : ceci peut ne pas être optimisé!

  • Utiliser la commande show advanced-configuration local-rules pour afficher :

    • dans la rubrique Rules : les règles locales de Sigflow, c'est-à-dire :

      • les règles de détection

      • les règles de reconstruction de fichiers

    • dans la rubrique threshold :

      • les seuils ou limites définis par le mot clé "threshold"

      • les règles de suppression définies par le mot clé "suppress"

  • Utiliser la commande set advanced-configuration local-rules pour modifier les règles locales de la sonde GCap.

  • Optimiser les rulesets transmis depuis le GCenter. Pour cela, utiliser le GCenter.