5.5.16. Optimiser les performances

5.5.16.1. Introduction

L'optimisation des performances peut être faite suivant les possibilités suivantes :

  • sujet 1 : adaptation du GCap aux caractéristiques du réseau

    • incohérence entre la MTU définie sur le GCap et celle des trames capturées.
      Pour modifier la MTU, voir la Procédure pour ajuster la taille du paquet capturé.

    • vérification de la bonne adéquation entre les caractéristiques du GCap (débit max, nombre de sessions, etc.) et celui du réseau à surveiller.
      Pour cela, consulter les datasheets du GCap.

  • sujet 2 : optimisation des ressources du GCap

    • le nombre de CPU dédié au moteur de détection est trop faible.
      Les CPUs peuvent être surchargés et potentiellement des paquets sont non analysés et donc perdus (droppés).

    • préférer utiliser un TAP agrégateur par opposition à la fonction agrégation ("cluster") du GCap.
      La solution avec un TAP agrégateur est préférable car c'est celle qui nécessite le moins de ressources du GCap à flux identique.

  • sujet 3 : optimisation du flux réseau à analyser

    • un ou des CPU sont surchargés car il y a trop de paquets analysés.

      • Pour diminuer la taille du réseau capturé, il est possible de supprimer le flux analysé inutilement.

      • Pour gérer ce filtrage de paquets, voir la procédure de définition des règles de filtrage du flux.

    • un CPU uniquement est surchargé. Dans ce cas, il y a mauvaise répartition de la charge du flux entre les CPU.

      • Pour changer cela, il est possible de définir une règle ou plus certainement modifier une règle existante.
        Il a été défini un flux mais de façon trop large, il faut donc le subdiviser pour que chaque partie soit analysée par plusieurs CPU.

      • Pour modifier les règles, voir la procédure de définition des règles statiques de filtrage des paquets.

    • modifier les protocoles analysés.

      • Pour modifier cette liste, il est nécessaire d'effectuer cette action sur le GCenter appairé.
        Se référer à la documentation du GCenter.

  • sujet 4 : optimisation des règles du moteur de détection

    Les règles définissent :

    • les règles de détection

    • les règles de reconstruction de fichiers

    • les règles définissant les seuils ou les limites dans la rubrique threshold

    Voir la documentation du GCenter pour plus d'informations.

  • sujet 5 : supervision de la solution

    Un service de supervision nommé Netdata, embarqué dans le GCenter, permet de relever des informations en temps réel sur l'état des CPU, la charge, les disques, les moteurs de détection ou encore le filtrage.
    Cette fonctionnalité est disponible depuis l'adresse suivante : https://Nom_du_GCenter/gstats.
    Sur le GCap, Netdata permet d'avoir plus d'information sur les compteurs par protocole, le nombre de sessions, le flux ou encore l'état des tables de hachage depuis 'Stats.log'.

5.5.16.2. Prérequis

5.5.16.3. Opérations préliminaires

5.5.16.4. Procédure pour ajuster la taille du paquet capturé

Ce réglage permet d'ajuster la taille du paquet capturé pour le mettre conforme à la taille des paquets circulant sur le réseau.

Danger

La fonctionnalité de Filtrage XDP n'est pas supportée lorsque la MTU > 3000.

5.5.16.5. Procédure de définition des règles de filtrage du flux

Astuce

Le(s) CPU présent(s) est surchargé et une partie du flux ne peut être analysée, un certain nombre de paquets sont droppés :

  • pour visualiser le nombre de paquets perdus (dropped) par cœur cpu, utiliser la commande show health, détails des compteurs softnet - Statistiques sur les paquets reçus en fonction des cœurs de processeurs.
    Une partie du flux capturé ne peut être détectée, ni reconstruite : par exemple, les flux cryptés.
Si rien n'est fait, le système va monopoliser des ressources pour aboutir à un résultat connu par avance.
Pour éviter cela, il est possible de créer des règles pour filtrer le flux à capturer.