【質問コーナー】ログの受信性能、どうなの？EasyBlocks Syslogの負荷状況を可視化してみた

最適なストレージ容量についてよく聞かれるEasyBlocks Syslogシリーズですが、次に多いのは「ログの受信性能はどの程度か？」というご質問です。
そこで今回は、前回公開したEasyBlocks 監視の負荷状況の可視化と同じ様に、EasyBlocks Syslogでも負荷状況を測定していきます。

はじめに

普段、ログ受信関連の指標として「ひと月あたりのログ保存容量はストレージ総容量の20%以下にてご利用ください」という使用方法を推奨しています。
例）120GBモデルの場合、ひと月あたりのログ保存容量は120GBの20％以下なので24GB以下での利用

しかしながら、この指標だけでは判断が出来ないというお声もいただいているため、今回は実際に一定数のログを受信している状態でEasyBlocks Syslogの負荷がどのような状況になっているのか、可視化してまとめてみようと思います。
高負荷になっていないから問題ないと一概に言い切れるわけではありませんが、ひとつの目安にしていただければと思います。
※本記事では秒間〇〇件というログを受信した状態で負荷状況を確認していますが、試した秒間件数の受信を保証するものではありませんので予めご了承下さい。

使用する製品と設定について

使用する製品：EasyBlocks Syslog HX 2T
設定　　　　：当日分データ表示設定無効、キーワード検索設定無効

今回はEasyBlocks Syslog HXを使用して、複数パターンでログを受信しているタイミングの負荷状況を可視化して確認していきます。
EasyBlocks Syslogシリーズはログを受信してデータベースに格納しているため、
CPUロードアベレージ・SYSLOGプロセスのCPU使用率・データベースプロセスのCPU使用率の３項目を確認項目としてみていきます。

ログ受信は、当日分データ表示設定無効及びキーワード検索設定無効にすることで、最もパフォーマンスが良くなります。通常運用が「ログ受信・蓄積のみ」といういう場合は本設定が推奨となりますので、参考にしてください。

実測パターン

負荷状況を確認する内容はそれぞれ以下の通りです。

負荷状況確認項目は共通して「CPUロードアベレージ」「SYSLOGプロセスのCPU使用率」「データベースプロセスのCPU使用率」とします。

実測結果

負荷結果 ＜パターン1＞

負荷結果＜パターン2＞

負荷結果＜パターン3＞

負荷結果＜パターン4＞

負荷結果＜まとめ＞

秒間100件から秒間1,000件までの4パターンのログ受信状況を可視化してみました。
パターン1から4までの結果として、全パターンで負荷状況は秒間のログ送信件数を増やしてもそれほど大きな変化はありませんでした。

ただし今回試した内容としては「当日分データ表示設定無効」、「キーワード検索設定無効」設定の場合となります。
どちらか片方または両方を有効にしている場合、今回測定した結果以上の負荷状況が想定されますし、実際のネットワーク環境によってEasyBlocks Syslogの稼働状況にも負荷状況は変化しますので、あくまでも参考値としてご参考いただければと思います。

さいごに

今回は4パターンでEasyBlocks Syslog HXの負荷状況を確認しました。

測定した構成・設定での結果としては特に問題のない負荷状況となりましたが、冒頭に記載した通り「ひと月あたりのログ保存容量はストレージ総容量の20%以下での利用」という指標があります。
ピーク時に、今回のような秒間1,000件程度のログ受信は問題ないと考えますが、恒久的な受信となるとストレージ使用量の注意事項に該当してしまう可能性も考えられますので、ご注意ください。