راهکارهای بهینه سازی و افزایش عملکرد اسپلانک

مقدمه

با توجه به نیاز مبرم اسپلانک به منابع پردازشی و ذخیره سازی بی شک یکی از مهم ترین دغدغه های سازمانها استفاده حداکثری از منابع موجود و بکار رفته در طراحی اسپلانک می باشد . در این مقاله به روشهایی جهت بالا بردن کارایی سامانه اسپلانک با استفاده از منابع موجود خواهیم پرداخت:

همانگونه که میدانیم معماری توزیع شده اسپلانک از سه لایه جستجو (search )، ذخیره سازی و Indexing، و جمع آوری لاگ (collection) تشکیل شده است . شایان ذکر است در ادامه به تغییر مقدار پیش فرض پارامترهایی در تنظیمات اسپلانک خواهیم پرداخت که هر سه لایه نامبرده را شامل می گردد.

 

 

 

۱. در لایه جستجو (search head)

  • تغییر مقدار max searches per cpu بر روی search head ها به مقدار 2

تاثیر: دو برابر شدن تعداد search  های انجام شده به ازای هر cpu core

محل انجام تنظیمات : فایل limits.conf ماشین  search head

مسیر:

SPLUNK_Home/etc/system/local/limits.conf

تنظیمات:

[search]

Max_searches_per_cpu = 2

۲. در لایه Indexing

 

 

 

 

 

در حالت کلی اسپلانک پس از دریافت لاگ از لایه جمع آوری ، لاگهای دریافتی را از طریق pipeline ها پردازش می نماید. هر pipeline یک thread است که شامل چندین processor می باشد. بین pipeline ها queue  وجود داشتع که توسط این pipeline ها و queue ها  امکان پردازش موازی event ها در زمان index فراهم می گردد.

 

 

 

با تغییر تنظیمات پیش فرض مطابق با دستورات زیر، parallelization در این لایه صورت پذیرفته که تاثیر بسزایی در کارایی سامانه خواهد داشت:

  • تغییر مقدار Pipeline set ها به عدد 2

تاثیر: دو برابر شدن تعداد pipeline ها به ازای هر indexer

محل انجام تنظیمات : فایل server.conf ماشین های Indexer که میتوان از طریق Cluster Master تنظیمات اعمال گردد.

تنظیمات به صورت زیر می باشد:

مسیر:

SPLUNK_Home/etc/system/local/server.conf

تنظیمات:

[general]

parallelIngestionPipelines = 2

 

  • تغییر مقدار Batch mode search parallelization

تاثیر: دو برابر شدن تعداد pipeline های search  در حالت batch search  به ازای هر Indexer.

محل انجام تنظیمات : فایل limits.conf ماشین های Indexer که میتوان از طریق  Cluster Masterتنظیمات اعمال گردد.

تنظیمات به صورت زیر می باشد:

مسیر:

SPLUNK_Home/etc/system/local/limitsl.conf

تنظیمات:

[search]

batch_search_max_pipeline =  2

 

  • تغییر مقدار auto summarize max concurrent

تاثیر: دو برابر شدن تعداد جستجوهای زمانبندی شده و accelerate شده به ازای هر search بر روی هر Indexer

محل انجام تنظیمات : فایل savedsearches.conf  ماشین های Indexer که میتوان از طریق  Cluster Masterتنظیمات اعمال گردد.

تنظیمات به صورت زیر می باشد:

مسیر:

SPLUNK_Home/etc/system/local/savedsearches.conf

تنظیمات:

auto_summarize.max_concurrent = 2

3. در لایه جمع آوری (Collection)

  • تعییر مقدار Pipeline set ها به عدد 2

تاثیر: دو برابر شدن تعداد pipeline ها به ازای هر indexer

محل انجام تنظیمات : فایل server.conf ماشین های Forwarder Heavy که میتوان از طریق deployment server تنظیمات اعمال گردد.

تنظیمات به صورت زیر می باشد:

مسیر:

SPLUNK_Home/etc/system/local/server.conf

تنظیمات:

[general]

parallelIngestionPipelines = 2

  • تغییر مقدار پیش فرض size queue

از آنجا که مقدار پیش فرض تنظیمات مربوط به queue  برابر با 500KB میباشد ، در صورت دریافت حجم بالای لاگ در سطح forwarder منجر به پر شدن queue و drop  شدن لاگ دریافتی خواهد گردید، در چنین شرایطی با توجه به میزان لاگ دریافتی توسط Forwarder  تغییر این مقدار برای جلوگیری از بروز چنین مشکلی کار آمد می باشد.

تنظیمات به صورت زیر می باشد:

مسیر:

SPLUNK_Home/etc/system/local/server.conf

تنظیمات:

[queue]

maxSize = 2GB

  • غیرفعالسازی punct:

Punct یک فیلد پیش فرض اسپلانک است که الگوی آن به ازای هر نوع event مقداری unique میباشد.

این فیلد برای شناسایی  شاخصه های تعیین کننده جهت ایجاد event type ها یا شناسایی anomaly ها بکار میرود.

همچنین این فیلد در زمان index  بسیار بار پردازشی ایجاد مینماید که توصیه میشود در صورت عدم استفاده غیر فعال گردد.

نحوه غیر فعالسازی :

مسیر:

SPLUNK_Home/etc/system/local/props.conf

به ازای host، source و یا sourcetype مورد نطر در فایل props.conf عبارت  ANNOTATE_PUNCT = false را وارد می نماییم:

مثال:

[syslog]

ANNOTATE_PUNCT = false

administrator
با سال‌ها تجربه در طراحی، پیاده‌سازی و مدیریت مراکز عملیات امنیتی (SOC) و Splunk، تخصص من بر توسعه و بهینه‌سازی زیرساخت‌های امنیتی متمرکز است تا سازمان‌ها را در برابر تهدیدات سایبری مقاوم‌تر سازم. تسلط بر طیف گسترده‌ای از ابزارها و فناوری‌های امنیتی، همراه با توانایی تحلیل و مدیریت تهدیدات، به من این امکان را داده است که در محیط‌های پویا و چالش‌برانگیز، راهکارهای مؤثر و عملی ارائه دهم. علاوه بر فعالیت‌های اجرایی، به‌عنوان مدرس در حوزه امنیت سایبری و فناوری اطلاعات، دانش و تجربیات خود را به دیگران انتقال داده و در تربیت متخصصان آینده این حوزه نقش مؤثری ایفا می‌کنم. مهارت‌های ارتباطی قوی و توانایی کار تیمی، به من کمک می‌کند تا به‌طور مؤثر با تیم‌های فنی و مدیریتی همکاری کرده و در پیشبرد اهداف سازمانی نقشی کلیدی داشته باشم. تعهد به یادگیری مستمر، ارائه راهکارهای نوآورانه و ارتقای سطح امنیت سایبری، همواره از اولویت‌های حرفه‌ای من بوده است.

نظرات

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Telegram