5.5.16. Optimiser les performances
5.5.16.1. Introduction
L'optimisation des performances peut être faite suivant les possibilités suivantes :
sujet 1 : adaptation du GCap aux caractéristiques du réseau
incohérence entre la MTU défini sur le GCap et celui des trames capturées.
Pour modifier la MTU voir la Procédure pour ajuster la taille du paquet capturé.
vérification de la bonne adéquation entre les caractéristiques du GCap (débit max, nombre de sessions...) et celui du réseau à surveiller.
Pour cela, consulter les datasheets du GCap.
sujet 2 : optimisation des ressources du GCap
le nombre de CPU dédié au moteur de détection est trop faible : les CPUs peuvent être surchargés et potentiellement des paquets sont non analysés et donc perdus (droppés).
Pour changer cette valeur, voir la Procédure d'assignation du nombre de CPU au moteur de détection.
préférer utiliser un TAP agrégateur par opposition à la fonction agrégation ("cluster") du GCap. La solution avec un TAP agrégateur est préférable car c'est celle qui nécessite le moins de ressources du GCap à flux identique.
sujet 3 : optimisation du flux réseau à analyser
un ou des CPU sont surchargés car il y a trop de paquets analysés. Pour diminuer une partie du réseau capturé, il est possible de supprimer le flux analysé inutilement.
Pour gérer ce filtrage de paquets, voir la procédure de définition des règles de filtrage du flux.
un CPU uniquement est surchargé. Dans ce cas, il y a mauvaise répartition de la charge du flux entre les CPU.
Pour changer cela, il est possible de définir une règle ou plus certainement modifier une règle existante. IL a été défini un flux mais de façon trop large, il faut donc le subdiviser pour que chaque partie soit analysée par plusieurs CPU.
Pour modifier les règles, voir la procédure de définition des règles statiques de filtrage des paquets.
modifier les protocoles analysés.
Pour modifier cette liste, il est nécessaire d'effectuer cette action sur le GCenter appairé.
Se référer à la documentation du GCenter.
sujet 4 : optimisation des règles du moteur de détection
Les règles définissent :
les règles de détection
les règles de reconstruction de fichiers
les règles définissant les seuils ou les limites dans la rubrique threshold
Voir la documentation du GCenter pour plus d'informations,
sujet 5 : supervision de la solution
Un service de supervision nommé Netdata embarqué dans le GCenter permet de relever des informations en temps réel sur l'état des CPU, la charge, les disques, les moteurs de détection ou encore le filtrage.
Cette fonctionnalité est disponible depuis l'adresse suivante: https://Nom_du_GCenter/gstats.
Sur le GCap, Netdata permet d'avoir plus d'information sur des compteurs par protocole, du nombre de sessions, de flux ou encore l'état des tables de hashage depuis 'Stats.log'.
5.5.16.2. Prérequis
Utilisateur : setup
Commandes utilisées dans cette procédure :
5.5.16.3. Opérations préliminaires
Se connecter sur le GCap (voir Procédure de connexion sur le GCap via SSH.
Arrêter le moteur de détection (voir monitoring-engine)
5.5.16.4. Procédure pour ajuster la taille du paquet capturé
Ce réglage permet d'ajuster la taille du paquet capturé pour le mettre conforme à la taille des paquets circulant sur le réseau.
Danger
Les fonctionnalités de Load Balancing et de Filtrage XDP ne sont pas supportées lorsque la MTU > 3000.
Utiliser la commande
show advanced-configuration mtu
pour afficher la valeur en octets de la MTU de toutes les interfaces réseau activéesUtiliser la commande
set advanced-configuration mtu
pour modifier le nombre de CPU dédié
5.5.16.5. Procédure d'assignation du nombre de CPU au moteur de détection
Astuce
Dédier le maximum des CPU présents au moteur de détection (sans excéder 80% des CPU).
Ceci est à effectuer quand les CPU dédiés au moteur de détection sont surchargés (utiliser la commande show cpus).
Utiliser la commande
show advanced-configuration cpu-config
pour afficher le nombre de CPU dédié au moteur de détection SigflowUtiliser la commande
set advanced-configuration cpu-config
pour modifier le nombre de CPU dédié
5.5.16.6. Procédure de définition des règles de filtrage du flux
Astuce
- Le(s) CPU présent(s) est surchargé et une partie du flux ne peut etre analaysée, un certain nombre de paquets sont droppés :
pour visualiser une surcharge des CPU , utiliser la commande show cpus
pour visualiser le nombre de paquets perdus (dropped) par coeur cpux, utiliser la commande show health, détails des compteurs sofnet - Statistiques sur les paquets reçus en fonction des cœurs de processeurs.
Une partie du flux capturé ne peut être détecté, ni reconstruit : par exemple les flux cryptés.
Si rien n'est fait, le système va monopoliser des ressources pour aboutir à un résultat connu par avance.
Pour éviter cela, il est possible de créer des règles pour filtrer le flux à capturer.
Utiliser la commande
show advanced-configuration packet-filtering
pour afficher les règles statiques de filtrage des paquets.Utiliser la commande
set advanced-configuration packet-filtering
pour spécifier des règles statiques de filtrage des flux capturés par les interfaces de capture.
5.5.16.7. Procédure de configuration d'équilibrage de charge venant de l'interface de capture monx
Astuce
Dans ce cas ou il y a mauvaise répartition de la charge du flux entre les CPU, il est possible de définir une règle ou plus certainement modifier une règle existante. Il a été défini un flux mais de façon trop large, il faut donc le subdiviser pour que chaque partie soit analysée par plusieurs CPU en utilisant des méthodes de répartition de charge (algorithme).
Utiliser la commande
show advanced-configuration load-balancing
pour afficher la configuration d'équilibrage de charge venant de l'interface de capture monx listée vers les CPU du GCap.Utiliser la commande
set advanced-configuration load-balancing
pour modifier la charge des interfaces de capture.
5.5.16.8. Procédure d'optimisation des règles du moteur de détection
Astuce
Les règles du moteur de détection peuvent être définies : - en local sur le GCap, - sur le GCenter. Ce sont sur ces 2 appliances qu'il faut les modifier pour les optimiser.
De plus, si la configuration courante est multi-tenant alors les même règles sont appliquées sur les interfaces : ceci peut ne pas être optimisé!
Utiliser la commande
show advanced-configuration local-rules
pour afficher :dans la rubrique Rules : les règles locales de Sigflow, c'est-à-dire :
les règles de détection
les règles de reconstruction de fichiers
dans la rubrique threshold :
les seuils ou limites définis par le mot clé "threshold"
les règles de suppression définies par le mot clé "suppress"
Utiliser la commande
set advanced-configuration local-rules
pour modifier les règles locales de la sonde GCap.Optimiser les rulesets transmis depuis le GCenter. Pour cela, utiliser le GCenter.