8.16. Procédure pour optimiser les performances

A - Introduction

L’optimisation des performances peut être faite suivant les possibilités suivantes :

• sujet 1 : adaptation du GCap aux caractéristiques du réseau

  • incohérence entre la MTU définie sur le GCap et celle des trames capturées.

    Pour modifier la MTU, voir D - Procédure pour ajuster la taille du paquet capturé.
  • vérification de la bonne adéquation entre les caractéristiques du GCap (débit max, nombre de sessions, etc.) et celui du réseau à surveiller.

    Pour cela, consulter les datasheets du GCap.

• sujet 2 : optimisation des ressources du GCap

  • le nombre de CPU dédié au moteur de détection est trop faible.

    Les CPUs peuvent être surchargés et potentiellement des paquets sont non analysés et donc perdus (droppés).
  • préférer utiliser un TAP agrégateur par opposition à la fonction agrégation (“cluster”) du GCap.

    La solution avec un TAP agrégateur est préférable car c’est celle qui nécessite le moins de ressources du GCap à flux identique.

• sujet 3 : optimisation du flux réseau à analyser

  • un ou des CPU sont surchargés car il y a trop de paquets analysés.

    • Pour diminuer la taille du réseau capturé, il est possible de supprimer le flux analysé inutilement.

    • Pour gérer ce filtrage de paquets, voir de définition des règles de filtrage du flux.

  • un CPU uniquement est surchargé.

    Dans ce cas, il y a mauvaise répartition de la charge du flux entre les CPU.

    • Pour changer cela, il est possible de définir une règle ou plus certainement modifier une règle existante.

      Il a été défini un flux mais de façon trop large, il faut donc le subdiviser pour que chaque partie soit analysée par plusieurs CPU.

    • Pour modifier les règles, voir de définition des règles statiques de filtrage des paquets.

  • modifier les protocoles analysés.

    • Pour modifier cette liste, il est nécessaire d’effectuer cette action sur le GCenter appairé.

      Se référer à la documentation du GCenter.

• sujet 4 : optimisation des règles du moteur de détection

  Les règles définissent :

  • les règles de détection

  • les règles de reconstruction de fichiers

  • les règles définissant les seuils ou les limites dans la rubrique `threshold`

    Voir la documentation du GCenter pour plus d’informations.

• sujet 5 : supervision de la solution

  Un service de supervision nommé Netdata, embarqué dans le GCenter, permet de relever des informations en temps réel sur l’état des CPU, la charge, les disques, les moteurs de détection ou encore le filtrage.

  Cette fonctionnalité est disponible depuis l’adresse suivante : https://Nom_du_GCenter/gstats.

  Sur le GCap, Netdata permet d’avoir plus d’information sur les compteurs par protocole, le nombre de sessions, le flux ou encore l’état des tables de hachage depuis ‘Stats.log’.

Pour...	utiliser la commande	effectuer successivement les procédures
Ajuster la taille du paquet capturé	show interfaces set advanced-configuration mtu	1 - C - Opérations préliminaires 2 - D - Procédure pour ajuster la taille du paquet capturé
Définir des règles de filtrage du flux	show advanced-configuration packet-filtering	1 - C - Opérations préliminaires 2 - E - Procédure de définition des règles de filtrage du flux

---

B - Prérequis

• Utilisateur : setup

• Commandes utilisées dans cette procédure :

• show interfaces

• set advanced-configuration mtu

• show advanced-configuration packet-filtering

---

C - Opérations préliminaires

1. Se connecter sur le GCap (voir Procédure pour se connecter à distance au GCap via un tunnel SSH)

2. Arrêter le moteur de détection Sigflow (voir monitoring-engine).

---

D - Procédure pour ajuster la taille du paquet capturé

Ce réglage permet d’ajuster la taille du paquet capturé pour le mettre conforme à la taille des paquets circulant sur le réseau.

Danger

La fonctionnalité de Filtrage XDP n'est pas supportée lorsque la MTU > 3000.

1. Utiliser la commande show interfaces pour afficher la valeur en octets de la MTU de toutes les interfaces réseau activées.

2. Utiliser la commande set advanced-configuration mtu pour modifier le nombre de CPU dédié.

---

E - Procédure de définition des règles de filtrage du flux

Astuce

Le(s) CPU présent(s) est surchargé et une partie du flux ne peut être analysée, un certain nombre de paquets est droppé :

• pour visualiser le nombre de paquets perdus (dropped) par cœur cpu, utiliser la commande `show health`, détails des compteurs softnet - Statistiques sur les paquets reçus en fonction des cœurs de processeurs.

  Une partie du flux capturé ne peut être détectée, ni reconstruite : par exemple, les flux cryptés.

Si rien n'est fait, le système va monopoliser des ressources pour aboutir à un résultat connu par avance.

Pour éviter cela, il est possible de créer des règles pour filtrer le flux à capturer.

1. Utiliser la commande show advanced-configuration packet-filtering pour afficher les règles statiques de filtrage des paquets.

---